Der Europäische Datenschutzausschuss (EDSA) hat am 15. April 2026 die Guidelines 1/2026 on processing of personal data for scientific research purposes für eine öffentliche Konsultation verabschiedet. Sie richten sich an Verantwortliche in Universitäten, Spitälern, öffentlichen Forschungseinrichtungen, Pharmaunternehmen und privaten Forschungsinstituten.
Die Leitlinien konkretisieren die forschungsspezifischen Bestimmungen der DSGVO – insbesondere Art. 5(1)(b) und (e), Art. 9(2)(j), Art. 14(5)(b), Art. 17(3)(d), Art. 21(6) sowie Art. 89 DSGVO – und enthalten ein entsprechendes Prüfraster. Bestimmte Themen werden ausgenommen, darunter die Zweckvereinbarkeitsprüfung nach Art. 6(4) DSGVO ausserhalb des Forschungskontexts, automatisierte Einzelentscheidungen und das Zusammenspiel mit dem sektorspezifischen Recht der EU und der Mitgliedstaaten. Der European Health Data Space und die Clinical Trials Regulation werden nur punktuell erwähnt.
Forschungsbegriff
Nur „genuine” wissenschaftliche Forschung soll von den Forschungsprivilegien der DSGVO profitieren. Der Begriff sei nach Erwägungsgrund 159 zwar weit auszulegen, dürfe aber „not be stretched beyond its common meaning”. Dazu schlägt der EDSA sechs Schlüsselfaktoren (key-indicative factors) vor, die kumulativ zu prüfen sind:
- Methodisch-systematisches Vorgehen: Forschungsplan, Hypothesenbildung oder – bei explorativer Forschung – ein klar formuliertes Ziel.
- Einhaltung ethischer Standards: Sektorspezifische Ethik, Einwilligung zur Teilnahme, Transparenz, Accountability.
- Verifizierbarkeit und Transparenz: Nachprüfbare Resultate, Peer-Review, Publikation der Ergebnisse (berechtigte Einschränkungen wie IP-Schutz vorbehalten).
- Autonomie und Unabhängigkeit: Forschung frei von unzulässigem Druck; akademische oder wissenschaftliche Qualifikation der Forschenden (PhD oder nachgewiesene Expertise). Kommerzielle Durchführung steht dem nicht entgegen.
- Ziele der Forschung: Beitrag zum allgemeinen Wissen und Wohlergehen der Gesellschaft; kommerzielle Interessen sind nicht ausgeschlossen.
- Wissenschaftlicher Mehrwert: Potenzial, bestehendes Wissen zu erweitern oder in neuartiger Weise anzuwenden.
Sind diese Faktoren erfüllt, wird wissenschaftliche Forschung vermutet. Fehlen einige, trägt der Verantwortliche die Begründungslast. Marketinganalysen stellen keine Forschung dar. Auch Bearbeitungsoperationen im Rahmen von Forschungsdateninfrastrukturen (Biobanken, Registerdatenbanken) sowie vorgelagerte Tätigkeiten wie Kontaktdatenerhebung oder Pseudonymisierung können unter den Forschungszweck fallen, sofern die Faktoren entsprechend gespiegelt werden.
Zweckvereinbarkeit und Aufbewahrung
Nach Art. 5(1)(b) DSGVO gilt die Weiterverarbeitung für Forschungszwecke als mit den ursprünglichen Zwecken kompatibel, weshalb eine Zweckvereinbarkeitsprüfung nach Art. 6(4) DSGVO entfällt. Die Zweckkompatibilität ersetzt die Rechtmässigkeitsprüfung aber nicht. Die Rechtsgrundlage der Ersterhebung kann zwar oft weitergeführt werden, aber nicht, wenn die Ersterhebung auf einer Einwilligung oder einer gesetzlichen Pflicht beruhte und die neue Bearbeitung den entsprechenden Rahmen sprengt. Werden Personendaten zwischen zwei Verantwortlichen für Forschungszwecke weitergegeben, muss entsprechend keiner der beiden Verantwortlichen eine Zweckvereinbarkeitsprüfung durchführen, aber beide müssen jeweils eine Rechtsgrundlage nach Art. 6(1) DSGVO oder eine Ausnahme nach Art. 9(2) DSGVO sicherstellen.
Bei der Aufbewahrung nach Art. 5(1)(e) DSGVO dürfen Personendaten auch über die Erfüllung des ursprünglichen Zwecks hinaus aufbewahrt werden, sofern künftige Forschungsprojekte hinreichend vorhersehbar sind. Ein generisches „für Forschungszwecke” genüge aber nicht; erforderlich sei eine Eingrenzung auf ein spezifisches Forschungsgebiet.
Rechtsgrundlagen: Einwilligung, öffentliches und berechtigtes Interesse
Broad und Dynamic Consent
Wo spezifische Forschungszwecke bei der Erhebung der Daten noch nicht bekannt sind, genügt „Broad Consent”, d.h. eine Einwilligung für ein bestimmtes Forschungsgebiet. Voraussetzung sind aber Schutzmassnahmen, etwa detaillierte, laufende Information der betroffenen Personen z.B. über einen Newsletter, Aufsicht und eine ethische Prüfung. „Dynamic Consent” (d.h. projekt- oder stufenweise eingeholte Einwilligungen) kann insbesondere bei engem und langfristigem Kontakt zwischen Forschenden und betroffenen Personen geeigneter sein; auch Kombinationen aus Broad und Dynamic Consent sind zulässig.
Der EDSA verlangt sodann, dass der Verantwortliche vor jeder Datenverwendung in einem Einzelprojekt prüft, ob das Projekt den berechtigten Erwartungen der Betroffenen entspricht. Wenn nicht, ist eine neue Einwilligung einzuholen. Diese zusätzliche Erwartungsprüfung ist in Erwägungsgrund 33 DSGVO nicht angelegt und nähert den Broad Consent faktisch dem Dynamic Consent an.
Bei klinischer Forschung, die gleichzeitig der Gesundheitsversorgung und der Forschung dient, genügt bei verknüpften Zwecken eine einzige Einwilligung. Sind die Zwecke nicht verknüpft, sind getrennte Einwilligungen nötig. Bei Patienten mit stark eingeschränkter Urteilsfähigkeit soll auf Einwilligung verzichtet werden.
Einwilligungen nach dem einschlägigen Forschungsrecht erfüllen die Anforderungen der DSGVO an eine Einwilligung nicht unbedingt. Verantwortliche müssen die datenschutzrechtliche Einwilligung deshalb separat dokumentieren, idealerweise mit klar unterscheidbaren Einwilligungsformularen oder ‑bereichen.
Öffentliches Interesse
Auf ein öffentliches Interesse als Rechtsgrundlage können sich auch private Forschungseinrichtungen berufen, sofern das einschlägige EU- oder mitgliedstaatenliche Recht deren Tätigkeit erfasst (vgl. Erwägungsgrund 45 DSGVO). Eine gesetzliche Forschungspflicht ist nicht erforderlich.
Berechtigtes Interesse
Wissenschaftliche Forschung auch kommerzieller Natur kann ein berechtigtes Interesse darstellen. Der Forschungszweck hat bei der Interessenabwägung i.d.R. erhebliches Gewicht. Restrisiken für die Betroffenenrechte sind aber nach Art. 89(1) DSGVO zu mindern und bei der Interessenabwägung zu berücksichtigen.
Bei medizinischer Forschung (z.B. klinischen Studien) genügt Art. 6(1)(f) DSGVO allein nicht, zusätzlich ist eine Ausnahme nach Art. 9(2) DSGVO erforderlich.
Besonders schützenswerte Personendaten
Für besondere Kategorien personenbezogener Daten kommen als Rechtsgrundlage insbesondere die ausdrückliche Einwilligung (Art. 9(2)(a)), offensichtlich öffentlich gemachte Daten (Art. 9(2)(e)) und nationale Forschungsprivilegien (Art. 9(2)(j)) in Frage. Die Hürde für das offensichtliche Öffentlichmachen ist dabei hoch, Daten in Social Media sind nur erfasst, wenn die betroffene Person die Daten durch eine eindeutige Handlung öffentlich zugänglich gemacht hat. Das ist bei aktiven Nutzern (Influencer, Blogger) eher anzunehmen als bei Beiträgen Dritter.
Bei der Bearbeitung besonderer Kategorien im grossen Massstab ist eine Datenschutz-Folgenabschätzung durchzuführen.
Informationspflichten
Bei Langzeitforschung soll der Verantwortliche den betroffenen Personen aktiv Kontaktwege anbieten (E‑Mail, Brief, Telefon) und sie etwa über ein Privacy Dashboard oder eine Website informiert halten. Ändern sich Risikoprofil, Empfängerkreis, Aufbewahrungsdauer oder Rechtsgrundlage wesentlich, sind die betroffenen Personen vor der Umsetzung zu informieren.
Will ein Verantwortlicher Personendaten, die ursprünglich für einen anderen Zweck erhoben wurden, später für Forschungszwecke weiterverarbeiten, muss er die Betroffenen nach Art. 13(3) DSGVO informieren. Wer Kontaktdaten wissentlich löscht, obwohl er eine spätere Forschungsnutzung plant, verletzt den Transparenzgrundsatz.
Werden im Verlauf eines Forschungsprojekts neue Personendaten generiert (z.B. Diagnosen, abgeleitete Pseudonyme, Klassifikationen), gelten diese nicht als direkt beim Betroffenen erhoben; es gilt Art. 14 DSGVO.
Die Ausnahmen nach Art. 14(5) DSGVO bei der Beschaffung von Personendaten über Dritte sind dabei restriktiv auszulegen:
- Die Ausnahme bei unverhältnismässigem Aufwand ist in der Forschung relevant (veraltete Kontaktdaten, grosse Datenbestände über 10 Jahre, unzugängliche Populationen). Verantwortliche müssen dann aber indirekt informieren (Webseite, Auslage in Spitälern/Schulen, Medien, Patientenorganisationen).
- „Covert research” (die Information vereitelt die Forschungsziele) soll nur erfolgen, wenn es klar notwendig ist („strictly necessary”) und nur bei zusätzlichen Garantien wie einem Ethik-Review.
Betroffenenrechte: Löschung und Widerspruch
Die Ausnahme vom Löschungsrecht nach Art. 17(3)(d) DSGVO greift nur, wenn die Löschung die Forschungsziele wahrscheinlich verunmöglichen oder ernsthaft einschränken würde. Bei grossen Datensätzen mit vielen Betroffenen wird dies selten der Fall sein; bei kleinen Kohorten oder Längsschnittstudien eher. Widerruft eine betroffene Person ihre Einwilligung, sind die Daten nach Art. 17(1)(b) DSGVO zu löschen, sofern keine andere Rechtsgrundlage die weitere Aufbewahrung trägt.
Im Widerspruchsfall kann der Verantwortliche die Bearbeitung fortsetzen, wenn sie für eine Aufgabe im öffentlichen Interesse erforderlich ist. Der EDSA dehnt dies auf Art. 6(1)(f) aus, sofern das berechtigte Interesse mit einem öffentlichen Interesse zusammenfällt. Die besonderen Umstände des Betroffenen müssen aber berücksichtigt werden (z.B. eine seltene Krankheit mit hohem Reidentifikationsrisiko).
Verantwortliche haben zudem zu prüfen, ob mitgliedstaatenliches Recht nach Art. 89(2) DSGVO Betroffenenrechte für Forschungszwecke einschränkt; entsprechende Abweichungen sind gegenüber den Betroffenen offenzulegen.
Rollenverteilung bei mehreren Akteuren
Die Qualifikation als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist funktional zu bestimmen und fallweise zu dokumentieren. Der EDSA präzisiert wie folgt:
- Wer an der Erstellung eines Forschungsprotokolls mitwirkt und Zwecke und wesentliche Mittel festlegt, ist regelmässig Verantwortlicher, auch wenn er keine Daten selbst verarbeitet (z.B. der Sponsor einer klinischen Studie).
- Reine Forschungsförderung oder Beratung (z.B. durch eine Ethikkommission) genügt nicht für eine Verantwortlichkeit.
- Auftragsverarbeiter sind etwa Contract Research Organizations (CROs), sofern sie nur weisungsgebunden tätig werden.
- Bei gemeinsamer Verantwortlichkeit sind die Verantwortlichkeiten vertraglich zu regeln, die Betroffenen sind entsprechend zu informieren (Art. 26 DSGVO). Es kann sein, dass sich mehrere Verantwortliche auf unterschiedliche Rechtsgrundlagen stützen.
Geeignete Garantien nach Art. 89(1) DSGVO
Art. 89(1) DSGVO begründet nach dem EDSA eine eigenständige Pflicht, neben den allgemeinen Pflichten aus Art. 5, 24, 25 und 32 DSGVO:
- Anonymisierung vor Pseudonymisierung: Können Forschungszwecke mit anonymen Daten erreicht werden, sind Personendaten zu anonymisieren. Der Anonymisierungsvorgang selbst kann auf dieselbe Rechtsgrundlage gestützt werden wie die vorgelagerten Operationen.
- Pseudonymisierung nach dem Stand der Technik; Reidentifikationsrisiken bei Datensatzkombinationen sind laufend zu überwachen.
- Zusätzliche Garantien wie Secure Processing Environments, föderierte Datenbanken, Privacy Enhancing Technologies (homomorphe Verschlüsselung, synthetische Daten), vertragliche Reidentifikationsverbote, Ethik-Oversight, Codes of Conduct nach Art. 40 DSGVO und Zertifizierungen nach Art. 42 DSGVO.
- Besondere Vorsicht ist bei genetischen und biometrischen Daten geboten, weil genetische Profile nur ausnahmsweise anonym sind, Familienangehörige mitbetroffen sind und Risiken lebenslang bestehen.