Die deutschen Datenschutzaufsichtsbehörden haben neue Leitplanken für den internationalen Datentransfer in der medizinischen Forschung gezogen. Mit ihren im September 2025 veröffentlichten Anwendungshinweisen konkretisiert die Datenschutzkonferenz (DSK) die Anforderungen der DSGVO an grenzüberschreitende Datenübermittlungen zu Forschungszwecken. Die Hinweise richten sich in erster Linie an Forschungseinrichtungen, Universitätskliniken, CROs und Sponsoren klinischer Studien, entfalten aber weit über Deutschland hinaus Bedeutung für alle Akteure mit europäischem Forschungsschwerpunkt.
Die Veröffentlichung gilt als wichtiger Orientierungspunkt in einem Umfeld, in dem internationale Kooperationen und die Nutzung medizinischer Daten zunehmend zentral für wissenschaftlichen Fortschritt sind. Die DSK versucht, den Spagat zwischen Forschungsfreiheit und Datenschutzrecht zu meistern — mit einem klar strukturierten, an der Praxis orientierten Regelungsrahmen.
Rechtsgrundlagen und Broad Consent
Im Mittelpunkt steht die Frage, auf welcher Rechtsgrundlage personenbezogene Gesundheitsdaten im Rahmen von Forschungsprojekten verarbeitet werden dürfen. Die DSK betont, dass die Verarbeitung grundsätzlich sowohl nach Artikel 6 DSGVO als auch nach einer der Voraussetzungen des Artikel 9 Absatz 2 DSGVO legitimiert werden muss. Relevant ist dabei die Einwilligung der betroffenen Person — der sogenannte Broad Consent.
Anders als in früheren Positionierungen erkennen die Aufsichtsbehörden die Zulässigkeit eines Broad Consent für wissenschaftliche Forschung nun ausdrücklich an, sofern geeignete Schutzmaßnahmen getroffen werden. Der Broad Consent erlaubt, Daten auch für zukünftige Forschungszwecke zu verwenden, die zum Zeitpunkt der Datenerhebung noch nicht vollständig feststehen. Die DSK stellt jedoch klar, dass dieser Spielraum nur besteht, wenn das Prinzip der Datenminimierung gewahrt bleibt und flankierende organisatorische und technische Maßnahmen greifen.
Gefordert werden eine wirksame Pseudonymisierung oder doppelte Kodierung, eine robuste Verwaltung von Einwilligungen und Widerrufen, eng definierte Aufbewahrungsfristen und frühzeitige Einbindung von Datenschutzbeauftragten und Ethikkommissionen. Auch wenn nicht in jedem Fall eine Datenschutz-Folgenabschätzung zwingend ist, empfiehlt die DSK, eine solche als Instrument zur Risikoanalyse und Dokumentation dennoch regelmäßig durchzuführen. Damit zielt die DSK darauf ab, rechtliche Anforderungen mit einem methodischen Anspruch an verantwortungsvolle Forschungsgovernance zu verbinden.
Übermittlung an Drittländer
Den zweiten Schwerpunkt bildet die Übermittlung personenbezogener Forschungsdaten an Empfänger außerhalb des Europäischen Wirtschaftsraums. Hier orientiert sich die DSK strikt an der bekannten Kaskade aus Kapitel V DSGVO, formuliert aber zugleich Konkretisierungen für Forschungsszenarien.
Zunächst ist zu prüfen, ob für das Zielland ein gültiger Angemessenheitsbeschluss der Europäischen Kommission besteht. Die DSK verlangt, dass dessen Fortgeltung regelmäßig überprüft und dokumentiert wird, insbesondere in Fällen, in denen politische oder rechtliche Entwicklungen die Stabilität des Datenschutzniveaus beeinflussen. Fehlt ein solcher Beschluss, sind geeignete Garantien im Sinne des Artikels 46 DSGVO erforderlich, typischerweise Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules). Diese müssen durch ergänzende technische oder organisatorische Maßnahmen abgesichert werden, um ein im Wesentlichen gleichwertiges Schutzniveau sicherzustellen.
Die Behörden betonen die Pflicht, im Rahmen eines Transfer Impact Assessments (TIA) die tatsächlichen Zugriffsmöglichkeiten staatlicher Stellen im Empfängerland zu analysieren und die vorhandenen Rechtsbehelfe für betroffene Personen zu bewerten. Nur wenn das Ergebnis zeigt, dass ein gleichwertiges Schutzniveau erreichbar ist, kann die Übermittlung fortgesetzt werden.
Bemerkenswert ist, dass die DSK über diese etablierten Mechanismen hinaus auch den parallelen Einsatz von Einwilligungen in Betracht zieht. Selbst bei bestehendem Angemessenheitsbeschluss könne es sinnvoll sein, eine ausdrückliche Einwilligung der betroffenen Person einzuholen – vorausgesetzt, sie wird transparent über den Zweck und die rechtlichen Rahmenbedingungen der Übermittlung informiert. Diese Öffnung interpretiert die DSK als zusätzliche Transparenzmaßnahme, nicht als Ersatz, sondern als Ergänzung zu den Garantien nach Kapitel V. Dennoch stellt die DSK klar: Wird die Einwilligung widerrufen, sind künftige Übermittlungen unzulässig, selbst wenn eine andere Übermittlungsgrundlage theoretisch fortbesteht.
Schließlich bekräftigt die DSK, dass Ausnahmen nach Artikel 49 DSGVO – etwa Übermittlungen aufgrund individueller Einwilligung oder aus wichtigen Gründen des öffentlichen Interesses – nur restriktiv und im Einzelfall zulässig sind. Allgemeine, auf Vorrat eingeholte Broad Consents genügen hierfür nicht. Damit unterstreichen die Behörden die Einzelfallbezogenheit des Ausnahmecharakters und setzen einen klaren Akzent gegen pauschale oder blanketartige Übermittlungsklauseln.
Transparenzpflichten im Fokus
Einen wesentlichen Teil der Anwendungshinweise widmet die DSK den Informationspflichten nach Artikeln 13 und 14 DSGVO, die in der Praxis unterschätzt werden können. Forschungseinrichtungen müssen betroffene Personen umfassend über Art und Umfang der Datenübermittlungen unterrichten. Dazu gehören Angaben zum Empfängerland, zu etwaigen Weiterübermittlungen an andere Drittländer, zur jeweils einschlägigen Rechtsgrundlage (Angemessenheitsbeschluss, Garantien oder Ausnahmetatbestand) sowie zu den Risiken, die sich aus einem fehlenden gleichwertigen Schutzniveau ergeben können.
Werden geeignete Garantien nach Artikel 46 DSGVO verwendet, ist darüber hinaus zu erläutern, wie betroffene Personen Kopien der relevanten Schutzmechanismen erhalten können. Bei Ausnahmetatbeständen nach Artikel 49 DSGVO muss ausdrücklich darauf hingewiesen werden, dass in dem betreffenden Land kein dem EU-Standard entsprechendes Datenschutzniveau besteht. Für Fälle, in denen eine ausdrückliche Einwilligung eingeholt wird, fordert die DSK eine klare Aufklärung über die möglichen Risiken – etwa unbegrenzte staatliche Zugriffsmöglichkeiten oder das Fehlen durchsetzbarer Betroffenenrechte.
Diese Konkretisierungen sollen nicht nur die Transparenz stärken, sondern erhöhen zugleich die Anforderungen an Dokumentation und Kommunikationsqualität. Datenschutzinformationen im Forschungsbereich werden damit zu einem zentralen Governance-Instrument, das sowohl regulatorischen als auch ethischen Standards genügen muss.
Bedeutung für Forschungseinrichtungen und Life-Sciences-Unternehmen
Für Sponsoren, CROs und universitäre Forschungseinrichtungen können die neuen Anwendungshinweise ein Zugewinn an Rechtssicherheit bedeuten: Die DSK scheint erstmals ein kohärentes Interpretationsschema zu etablieren, das die Anforderungen der DSGVO auf den Forschungsbereich überträgt, ohne die Besonderheiten klinischer und akademischer Forschung aus dem Blick zu verlieren.
Praktisch bedeutsam ist die Erwartung, dass bestehende Einwilligungsprozesse, Datenschutzkonzepte und Transfermechanismen überprüft und harmonisiert werden. Multicenter-Studien, internationale Datenpools und Forschungsnetzwerke sollten ihre Mechanismen zur Pseudonymisierung, Einwilligungsverwaltung und Datenspeicherung an den neuen Maßstab anpassen. Ebenso empfiehlt sich eine systematische Überprüfung bestehender Standardvertragsklauseln und TIAs im Lichte der DSK-Kriterien.
Auch aus Compliance-Sicht gewinnt die Verzahnung von Datenschutz, Ethik und Governance an Gewicht. Die Einbindung des Datenschutzbeauftragten bereits in der frühen Studienplanung, die Abstimmung mit Ethikkommissionen und die fortlaufende Dokumentation der Datenflüsse werden künftig nicht nur als Best Practice, sondern als regulatorische Erwartung verstanden.
Ausblick
Die DSK-Anwendungshinweise setzen einen hohen, zugleich aber praxistauglichen Standard für internationale Forschung mit personenbezogenen Daten. Sie zielen ab auf das Schaffen von mehr Rechtssicherheit für Kooperationen, die über EU-Grenzen hinausgehen, und bieten eine Grundlage für institutionelle Datenschutzkonzepte im Bereich Life Sciences.
Für Unternehmen und Forschungseinrichtungen empfiehlt sich eine zeitnahe Überprüfung bestehender Prozesse. Wer Einwilligungs- und Transfermechanismen jetzt anpasst, pseudonymisierte Datenströme sauber dokumentiert und Informationspflichten konsistent umsetzt, kann dadurch nicht nur die eigene Compliance stärken, sondern auch das Vertrauen von Probanden, Partnern und Aufsichtsbehörden.