EDPB-Leitlinien 1/2026: Neue Orientierung für die Forschungsdatenverarbeitung

18.05.2026

Der Europäische Datenschutzausschuss (EDSA) hat die Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke verabschiedet und zur öffentlichen Konsultation gestellt. Das Dokument schließt eine seit Jahren bestehende Auslegungslücke in der DS-GVO und richtet sich an Verantwortliche in Wissenschaft, Industrie und öffentlichen Einrichtungen gleichermaßen.

Was gilt als „wissenschaftliche Forschung“?

Der Begriff ist in der DS-GVO bewusst weit gefasst – er erfasst Grundlagenforschung, angewandte Forschung sowie kommerziell finanzierte Forschung. Der EDSA präzisiert ihn nun anhand von sechs Schlüsselmerkmalen:

1. 1. Methodisches und systematisches Vorgehen (inkl. Forschungsplan oder Hypothese)
   2. Einhaltung ethischer Standards des jeweiligen Fachgebiets
   3. Nachprüfbarkeit und Transparenz der Ergebnisse (z. B. Peer Review, Publikation)
   4. Autonomie und Unabhängigkeit des Forschungsteams
   5. Gesellschaftlicher Erkenntnisgewinn als Forschungsziel
   6. Beitrag zum wissenschaftlichen Wissensstand oder neuartige Anwendung bestehenden Wissens

Sind alle sechs Merkmale erfüllt, kann die Verarbeitung als wissenschaftliche Forschung i. S. d. DS-GVO vermutet werden. Fehlen einzelne Merkmale, trifft den Verantwortlichen eine erhöhte Darlegungs- und Begründungslast. Eine rein kommerzielle Markt- oder Kundenanalyse erfüllt diese Kriterien nach Auffassung des EDSA hingegen ausdrücklich nicht.

Rechtmäßigkeit und Einwilligung

Der EDSA bestätigt, dass für die wissenschaftliche Forschung alle einschlägigen Rechtsgrundlagen nach Art. 6 Abs. 1 DS-GVO in Betracht kommen. Besondere Aufmerksamkeit verdienen:

Broad Consent und Dynamic Consent: Wenn Forschungszwecke zum Zeitpunkt der Datenerhebung noch nicht vollständig bestimmt sind, kann eine Einwilligung für einen definierten Forschungsbereich (Broad Consent) ausreichen – etwa „onkologische Forschung“. Eine vollständige Zweckoffenheit genügt hingegen nicht. Sobald konkrete Projektpurposen feststehen, soll auf Dynamic Consent umgestellt werden. Beide Formen können kombiniert werden und erfordern zusätzliche Schutzmaßnahmen (z. B. unabhängige Aufsichtsgremien, regelmäßige Information der Betroffenen).

Öffentliches Interesse (Art. 6 Abs. 1 lit. e DS-GVO): Diese Rechtsgrundlage steht ausdrücklich auch privaten Forschungseinrichtungen offen, sofern das einschlägige Unions- oder Mitgliedstaatrecht deren Tätigkeiten erfasst.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO): Wissenschaftliche Forschung kann – auch gewinnorientiert – ein berechtigtes Interesse begründen. Im Rahmen der Interessenabwägung ist dem gesellschaftlichen Mehrwert echter Forschung ein erhebliches Gewicht beizumessen.

Zweckbindung und Speicherbegrenzung

Art. 5 Abs. 1 lit. b DS-GVO statuiert eine Vereinbarkeitsfiktion: Die Weiterverarbeitung für wissenschaftliche Zwecke gilt als mit dem ursprünglichen Erhebungszweck vereinbar – eine erneute Kompatibilitätsprüfung nach Art. 6 Abs. 4 DS-GVO entfällt. Die Prüfung der Rechtmäßigkeit der Weiterverarbeitung bleibt jedoch zwingend. Verlängerte Speicherfristen über den Projektabschluss hinaus sind zulässig, sofern künftige Forschungsvorhaben hinreichend konkret beschrieben und geeignete Schutzmaßnahmen nach Art. 89 Abs. 1 DS-GVO getroffen werden.

Besondere Datenkategorien

Bei der Verarbeitung sensibler Daten (Art. 9 D-SGVO) kommen neben der expliziten Einwilligung auch Ausnahmen nach nationalem Recht in Betracht. Genetische und biometrische Daten unterliegen einem erhöhten Schutzbedarf: Pseudonymisierung allein genügt hier regelmäßig nicht; zusätzlich sind Maßnahmen wie ethische Begutachtung, restriktive Zugriffskontrollen und gesicherte Verarbeitungsumgebungen erforderlich. Daten, die Betroffene öffentlich zugänglich gemacht haben (z. B. Social-Media-Beiträge), können unter engen Voraussetzungen auf Art. 9 Abs. 2 lit. e DS-GVO gestützt werden – die Hürde ist jedoch bewusst hoch angesetzt.

Betroffenenrechte: Löschung und Widerspruch

Das Recht auf Löschung (Art. 17 DS-GVO) kann bei wissenschaftlicher Forschung eingeschränkt sein, wenn die Löschung die Forschungsziele unmöglich machen oder erheblich beeinträchtigen würde (Art. 17 Abs. 3 lit. d DS-GVO). Diese Ausnahme ist restriktiv auszulegen; insbesondere bei großen Kohorten wird ein einzelner Löschantrag die Forschung in der Regel nicht gefährden.

Beim Widerspruchsrecht (Art. 21 DS-GVO) kann ein Verantwortlicher einen Widerspruch zurückweisen, wenn die Verarbeitung im öffentlichen Interesse notwendig ist – und zwar auch dann, wenn er sich auf berechtigtes Interesse stützt, sofern dieses mit einem öffentlichen Interesse zusammenfällt. In jedem Fall ist die individuelle Situation des Betroffenen zu berücksichtigen.

Verantwortlichkeit und Rollenzuweisung

Gerade bei kooperativen Forschungsvorhaben (z. B. Klinische Studien, Public-Private Partnerships) ist die Abgrenzung zwischen alleinigem Verantwortlichen, gemeinsam Verantwortlichen (Art. 26 DS-GVO) und Auftragsverarbeiter (Art. 28 DS-GVO) komplex. Der EDSA stellt klar: Wer aktiv an der Ausgestaltung des Forschungsprotokolls und der Zweckfestlegung mitwirkt, ist regelmäßig (Mit-)Verantwortlicher – unabhängig davon, ob er selbst Zugriff auf personenbezogene Daten hat. Die bloße Finanzierung eines Projekts oder die Mitwirkung als unabhängiger Berater reicht hingegen nicht aus.

Geeignete Garantien nach Art. 89 DS-GVO

Die Leitlinien benennen einen umfangreichen Katalog möglicher Schutzmaßnahmen: Anonymisierung oder Pseudonymisierung als Grundanforderung, Datenschutz-Folgenabschätzung bei risikobehafteten Verarbeitungen, unabhängige ethische Aufsichtsgremien, Privacy Enhancing Technologies (z. B. homomorphe Verschlüsselung, synthetische Daten), gesicherte Verarbeitungsumgebungen sowie strenge Zugriffs- und Vertraulichkeitspflichten. Art und Umfang der erforderlichen Maßnahmen richten sich stets nach Natur, Umfang und Risikoprofil der jeweiligen Forschungsaktivität.

Praxishinweis

Die Leitlinien sind derzeit zur öffentlichen Konsultation gestellt und noch nicht endgültig verabschiedet. Verantwortliche sollten die Konsultationsphase nutzen, um eigene Verarbeitungstätigkeiten anhand der sechs Schlüsselmerkmale zu überprüfen, Einwilligungskonzepte zu evaluieren sowie Datenschutzinformationen und Rollenvereinbarungen in Forschungskooperationen anzupassen. Insbesondere für die Pharmaindustrie, klinische Forschung und KI-Forschung mit personenbezogenen Daten ergeben sich erhebliche Konkretisierungspflichten.

Über den Autor – Phillip Hetzschold

Phillip Hetzschold ist Wirtschaftsjurist (LL.B.) und arbeitet als Junior Data Protection Consultant. Er verfügt über fundierte juristische Kenntnisse im Gesellschaftsrecht. Darauf aufbauend berät erPhillip Hetzschold ist Wirtschaftsjurist (LL.B.) und arbeitet als Junior Data Protection Consultant. Er verfügt über fundierte juristische Kenntnisse im Handels- und Gesellschaftsrecht. Darauf aufbauend berät er, in deutscher und englischer Sprache, kleine und mittlere Unternehmen praxisnah zu datenschutzrechtlichen Fragestellungen – insbesondere im unternehmerischen und digitalen Kontext.

Kontakt:

Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

+49 (0)89 1891 7360 email@iitr.de Kontaktformular

Beitrag teilen:

Ähnliche Beiträge:

• „IT-Sicherheit“: Checkliste der Datenschutz-Aufsicht Bayern
• Datenschutzkonforme Einbindung verschiedener Tools auf Webseiten
• LDI NRW prüft Datenschutz‑Schulungen: Unsere Schulungs-Angebote im Überblick