Internationale Zusammenarbeit ist für die medizinische Forschung unverzichtbar. Klinische Studien und Datenanalysen leben davon, dass Forscherteams über Ländergrenzen hinweg Erkenntnisse austauschen. Doch sobald personenbezogene Daten verarbeitet werden, sind die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu beachten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Lände (DSK) hat deshalb auf ihrer Zwischenkonferenz am 17.09.2025 zwei Papiere für internationale Datenübermittlung in der Gesundheitsforschung verabschiedet.
Bedeutung internationaler Kooperationen in der Gesundheitsforschung
Gesundheitsdaten sind ein besonders geschützter Teil personenbezogener Daten und genießen nach Art. 9 DSGVO einen erhöhten Schutz. Gleichzeitig sind sie für die medizinische Forschung von hoher Relevanz, etwa bei der Entwicklung neuer Therapien, Medikamentenstudien oder der Analyse epidemiologischer Zusammenhänge. Internationale Kooperationen ermöglichen es, Patientendaten aus unterschiedlichen Kontexten zusammenzuführen und dadurch belastbare Ergebnisse zu erzielen. Gerade dieser internationale Austausch bringt aber erhebliche rechtliche Unsicherheiten mit sich. Sobald Daten außerhalb der Europäischen Union verarbeitet werden, greifen die besonderen Vorgaben zu Drittlandübermittlungen.
Datenschutzrechtliche Einordnung von Forschung
Der Begriff des „wissenschaftlichen Forschungszwecks“ führt an verschiedenen Stellen in der DSGVO zu Privilegierungen. Dazu gehört etwa die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO), die Öffnungsklausel für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. j DSGVO), die Einschränkung der Informationsfreiheit (Art. 14 Abs. 5 lit. b DSGVO), des Rechts auf Löschung (Art. 17 Abs. 3 lit. d DSGVO) und das Widerspruchsrecht (Art. 21 Abs. 6 DSGVO). Vor fast genau einem Jahr hat die DSK bereits ein Positionspapier zur Definition dieses Begriffs veröffentlicht.
Kernaussagen der Anwendungshinweise
In einer Pressemitteilung der DSK (abrufbar hier) erklärt Maike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und 2025 DSK-Vorsitzende, dass die Übermittlung von Gesundheitsdaten in Drittländer nur unter bestimmten Voraussetzungen, insbesondere denen des Kapitels V der DSGVO, zulässig ist. Die 14-seitigen „Anwendungshinweise zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken“ (abrufbar hier) stellen hierfür auf eine Einzelfallprüfung ab, die nach Art. 44 S. 1 DSGVO in zwei Schritten erfolgen müsse.
1. Vorhandensein einer Rechtsgrundlage
Zunächst sei festzustellen, ob eine Rechtsgrundlage für die Datenverarbeitung im Sinne von Art. 6 Abs. 1, Art. 5 Abs. 1 lit. a, Art. 9 DSGVO vorliegt. Für besondere Datenkategorien, wie Gesundheitsdaten, sei auch zu prüfen, ob eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegt.
Eine geeignete Rechtsgrundlage könne beispielsweise „Broad Consent“ (breite Einwilligung) sein. Diese könne unter engen Voraussetzungen bei Forschungszwecken von dem Grundsatz der Zweckbestimmung Ausnahmen machen, wenn zum Zeitpunkt der Datenerhebung der konkrete Forschungszweck noch nicht feststeht. Dann seien jedoch „zusätzliche Garantiemaßnahmen zur Datensicherheit“ zu ergreifen, von denen die DSK einige auflistet.
Je nach Art der Rechtsgrundlage könnten auch besondere Wechselwirkungen mit der Rechtsgrundlage für die Drittlandsdatenübermittlung bestehen.
Daneben sei hier auch die Einhaltung der allgemeinen Datenschutzgrundsätze zu prüfen. Insbesondere sei im Rahmen des Datenminimierungsgrundsatzes zu kontrollieren, ob nicht anonymisierte oder pseudonymisierte Daten verwendet werden können und müssen.
2. Rechtsgrundlage für internationale Datenübermittlung
Auf der zweiten Stufe sei zu prüfen, ob es eine Rechtsgrundlage für die Datenübermittlung an ein Drittland nach Art. 44 ff. DSGVO gibt. Entsprechende Rechtsgrundlagen können laut der DSK beispielsweise Angemessenheitsbeschlüsse oder Standardvertragsklauseln sein.
Empfehlungen für Informationspflichten
Neben den Anwendungshinweisen hat die DSK auch „Empfehlungen für Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken“ (abrufbar hier) veröffentlicht. Hierin thematisiert die DSK die Pflicht zur Transparenz gegenüber den Betroffenen nach Art. 13 Abs. 1 lit. f, 14 Abs. 1 lit. f DSGVO. Forschungsinstitutionen müssten klar und verständlich darüber informieren, welche Daten in welchem Umfang weitergegeben werden, an wen die Übermittlung erfolgt und welche Risiken damit verbunden sein können. Daneben sei auch auf die Drittlandsübermittlung und die Übermittlungsgrundlage hinzuweisen.
Weitere Themen der DSK
Zusätzlich zu den Anwendungshinweisen und Empfehlungen zu Drittlandsdatenübermittlungen zu Forschungszwecken hat die DSK auch eine Entschließung zur verfassungskonformen Gestaltung automatisierte Datenanalyse durch Polizeibehörden veröffentlich.
Zudem griff sie die laufende Diskussion über eine mögliche Reform der DSGVO auf. Sowohl auf europäischer als auch auf deutscher Ebene werden derzeit unterschiedliche Vorschläge diskutiert, die den Rechtsrahmen verändern könnten. Die DSK betont, dass sie diese Debatte eng begleiten werde, wobei die Grundprinzipien des Datenschutzes aus ihrer Sicht unverrückbare Leitplanken darstellen.
Fazit
Die Papiere der DSK über internationale Datenübermittlung in Gesundheitsforschung stellt eine wertvolle Unterstützung für Forschungseinrichtungen und Unternehmen im Gesundheitswesen dar. Sie zeigt, dass internationale Kooperation zwar gewollt und notwendig ist, jedoch datenschutzrechtliche Grenzen einzuhalten sind.
