Sign in Subscribe
GRC

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken
Photo by ALEXANDRE LALLEMAND / Unsplash

Am 15. April 2026 hat der Europäische Datenschutzausschuss (EDPB) die lange erwarteten Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zur öffentlichen Konsultation freigegeben. Das 66-seitige Dokument adressiert eine Reihe strittiger Auslegungsfragen, die in der Praxis seit Inkrafttreten der DSGVO für Unsicherheit gesorgt haben, und bringt in einigen Punkten beachtliche Präzisierungen. Für DSB in Forschungseinrichtungen, Pharmaunternehmen, Kliniken und allen Organisationen mit Forschungsbezug ist das Dokument Pflichtlektüre.

Der Forschungsbegriff: sechs Schlüsselindikatoren

Zentral ist die Eingrenzung dessen, was nach der DSGVO überhaupt als "wissenschaftliche Forschung" gilt und damit die Forschungsprivilegien (u. a. Artikel 5 Absatz 1 Buchstabe b zweiter Halbsatz, Artikel 9 Absatz 2 Buchstabe j, Artikel 89) in Anspruch nehmen darf. Der EDPB definiert in Abschnitt 2.1 sechs Schlüsselindikatoren: methodisches und systematisches Vorgehen, Einhaltung ethischer Standards, Verifizierbarkeit und Transparenz, Autonomie und Unabhängigkeit, Beitrag zu Gesellschaftswohl und Wissenszuwachs sowie wissenschaftliches Potenzial. Treffen alle sechs Faktoren zu, greift eine Vermutung zugunsten wissenschaftlicher Forschung. Treffen nicht alle zu, muss der Verantwortliche die Einordnung rechtfertigen und nachweisen können – ein klassischer Anwendungsfall der Rechenschaftspflicht nach Artikel 5 Absatz 2.

Praktisch bedeutsam: Reine Marktanalyse und kommerziell motivierte Kundenauswertung fallen ausdrücklich heraus (Beispiel 3), während rein privatwirtschaftliche oder gewinnorientierte Forschung sehr wohl erfasst sein kann, sofern die Indikatoren vorliegen (Beispiele 1 und 2, Randnummer 61).

Vermutung der Zweckvereinbarkeit – aber kein Freibrief

Abschnitt 3.1.1 bestätigt die in Artikel 5 Absatz 1 Buchstabe b verankerte Vermutung: Weiterverarbeitung zu Forschungszwecken gilt als mit dem ursprünglichen Zweck vereinbar, ein Kompatibilitätstest nach Artikel 6 Absatz 4 entfällt. Der EDPB stellt jedoch klar, dass Zweckvereinbarkeit und Rechtmäßigkeit zwei getrennte Prüfungen bleiben. Die ursprüngliche Rechtsgrundlage trägt die Weiterverarbeitung nicht automatisch mit. Insbesondere bei einer Erstverarbeitung auf Grundlage von Einwilligung oder rechtlicher Verpflichtung ist eine Fortführung selten tragfähig (Randnummer 22).

Abschnitt 4.1.2 liefert endlich eine klare Position zur "Broad Consent"-Debatte. Der EDPB anerkennt beide Modelle – Broad Consent für einen bestimmten Forschungsbereich und Dynamic Consent für einzelne Projekte – als zulässig, knüpft aber Bedingungen. Die Zweckbeschreibung muss hinreichend eingegrenzt sein (etwa "medizinische Forschung im Bereich Onkologie"), die reine Formulierung "für Forschungszwecke" genügt nicht (Randnummer 44). Zudem sind ergänzende Schutzmaßnahmen zwingend: detaillierte laufende Information der Betroffenen, unabhängige Aufsichtsgremien, zeitlich befristete Gültigkeit der Einwilligung und gegebenenfalls technische Werkzeuge wie Consent-Dashboards (Randnummern 48 bis 50).

Wichtig für die Praxis: Einwilligung zur Teilnahme an einer klinischen Studie nach Clinical Trials Regulation (CTR) und Einwilligung als datenschutzrechtliche Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe a beziehungsweise Artikel 9 Absatz 2 Buchstabe a sind zu trennen (Abschnitt 4.1.3).

Berechtigtes Interesse als Forschungsgrundlage

Abschnitt 4.3 bestätigt, was viele in der Praxis bereits so handhaben: Wissenschaftliche Forschung kann ein berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f darstellen – unabhängig davon, ob gemeinnützig oder kommerziell. In der Interessenabwägung fällt das gesellschaftliche Interesse an Forschung erheblich ins Gewicht. Für medizinische Forschung weist der EDPB in Randnummer 75 auf Artikel 53 Absatz 1 Buchstabe e der European Health Data Space Verordnung (EHDS) als Ausnahme nach Artikel 9 Absatz 2 hin.

Offensichtlich öffentlich gemachte Daten

Die Auslegung von Artikel 9 Absatz 2 Buchstabe e in Abschnitt 4.4.2 ist restriktiv. Für die Annahme, besondere Kategorien seien "offensichtlich öffentlich gemacht", braucht es eine eindeutige aktive Handlung der betroffenen Person. Forschung mit Daten aus Social-Media-Profilen ist möglich, setzt aber voraus, dass die Plattform-Defaulteinstellungen nicht automatisch Öffentlichkeit erzeugen und dass die betroffene Person wissentlich in die Veröffentlichung gewilligt hat (Randnummer 70). Ein praktisch sehr relevanter Hinweis für Forschende, die mit öffentlich zugänglichen Profilen arbeiten.

Betroffenenrechte: Recht auf Löschung und Widerspruch

Abschnitt 6.2.2 legt fest, dass die Ausnahme vom Löschungsrecht nach Artikel 17 Absatz 3 Buchstabe d eng auszulegen ist. Erst wenn eine Löschung das Forschungsziel unmöglich macht oder ernsthaft beeinträchtigt, darf der Verantwortliche ablehnen. Bei großen Kohorten wird eine einzelne Löschung selten dieses Kriterium erfüllen – ein häufig übersehener Punkt. Für Longitudinalstudien oder kleine Samples sieht die Sache anders aus.

Zum Widerspruchsrecht nach Artikel 21 Absatz 6 (Abschnitt 6.3): Ein Widerspruch kann abgewiesen werden, wenn die Verarbeitung für eine Aufgabe im öffentlichen Interesse erforderlich ist – nicht beschränkt auf Artikel 6 Absatz 1 Buchstabe e, sondern auch bei Artikel 6 Absatz 1 Buchstabe f, sofern das berechtigte Interesse mit einem öffentlichen Interesse zusammenfällt.

Rollenverteilung bei Verbundforschung

Abschnitt 7 ist besonders wertvoll für Public-Private-Partnerships und Forschungskonsortien. Wer aktiv an der Erstellung eines Forschungsprotokolls mitwirkt, ist in der Regel (gemeinsam) Verantwortlicher – auch wenn die Einrichtung selbst keine personenbezogenen Daten verarbeitet (Randnummer 135). Bloße Förderung oder Begutachtung qualifiziert nicht als Verantwortlichkeit. Die Vereinbarung nach Artikel 26 Absatz 1 muss die tatsächliche Rollenverteilung abbilden und den Betroffenen zugänglich sein.

Geeignete Garantien nach Artikel 89 Absatz 1

Abschnitt 8 listet konkrete Schutzmaßnahmen, die weit über Anonymisierung und Pseudonymisierung hinausgehen. Der EDPB nennt unter anderem Governance-Strukturen mit Betroffenenvertretung, erweiterte Transparenz über Online-Plattformen, Secure Processing Environments, föderierte Datenbanken, Privacy Enhancing Technologies wie homomorphe Verschlüsselung und synthetische Daten sowie vertragliche Re-Identifikationsverbote. Für genetische und biometrische Daten gelten nach Abschnitt 8.4 strengere Anforderungen, die auch Risiken für Verwandte berücksichtigen müssen.

Fazit für die Praxis

Die Leitlinien schließen konkrete Lücken und sind in vielen Punkten praxistauglich formuliert. DSB sollten konkret prüfen, ob bestehende Forschungsregister und Biobanken die Kriterien für Broad Consent erfüllen, ob Rollenverteilungen in Konsortialvereinbarungen der jetzt präzisierten Systematik standhalten und ob die getroffenen Artikel-89-Garantien den skizzierten Standards entsprechen. Die öffentliche Konsultation bietet Gelegenheit, eigene Erfahrungen einzubringen, bevor die finale Fassung verabschiedet wird.

Das Dokument steht auf der Website des EDPB zum Download bereit.

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung
generativer KI (Claude Opus 4.7, Anthropic) erstellt und vor
Veröffentlichung redaktionell geprüft.

Read next

Wie die USA europäische Grundrechte zur Verhandlungsmasse machen

Wie die USA europäische Grundrechte zur Verhandlungsmasse machen

Die geplante Verschärfung der ESTA-Einreiseregeln und das neue EU-US-Rahmenabkommen zum Datenaustausch markieren einen Paradigmenwechsel im transatlantischen Verhältnis – mit weitreichenden Folgen für den europäischen Datenschutz. Wer aus Europa in die USA reisen will, steht künftig vor einer grundlegenden Entscheidung: umfassende Einblicke in das eigene Privatleben gewähren oder zu Hause bleiben. Was
Michael Mrak