Direkt zum Inhalt
Home
  • Karriere
  • News
  • Presse
  • Newsletter
  • Kontakt
  • TMF-Mitgliedschaft
  • Login
  • de
  • en
  • Über uns
    • Der Verein
      • Vorstand
      • Finanzierung
      • Satzung
      • Rat der Förderer
      • TMF-Botschafter
    • Mitglieder
      • Mitglied werden
      • Informationen für Antragsteller
      • Unsere Mitglieder
      • Mitgliederversammlung
      • Logo-Download
    • Team
    • Karriere
      • Stellenausschreibungen
    • Kooperationen
  • Unsere Arbeit
    • Arbeitsgruppen
    • Interessenvertretung
      • GFDI-Koordinierungsgruppe
    • Projekte
    • Produkte
  • Politik
    • Stellungnahmen
    • Impulse zur Bundestagswahl
    • Innovationspapier
  • Veranstaltungen
    • Veranstaltungen
      • TMF-Termine
      • Partner-Termine
    • TMF-Kongresse
      • TMF-Jahreskongress 2026
      • Nationales Digital Health Symposium 2026
      • MII-Symposium 2026
      • genomDE-Symposium 2025
      • Registertage 2026
      • Biobanken-Symposium 2026
      • LongCARE-Symposium 2026
    • TMF-Akademie
      • TMF-School 2026
      • TMF-Tutorials 2025
    • Veranstaltungsräume
  • Publikationen
    • TMF-Schriftenreihe
    • Jahresberichte
    • Publikationsliste
    • White Paper 2025
  • Unsere Themen
    • Ethik & Datenschutz
    • Qualitätsmanagement
    • IT-Infrastruktur
    • Digitalisierung & E-Health
    • Genommedizin & Biobanken
    • Klinische Forschung, Register, Versorgungsforschung
  • Suche
  1. Home
  2. Politik und Strategie
  3. Stellungnahmen
  4. Stellungnahme der TMF zu den Guidelines 01/2026 on processing of personal data for scientific research purposes des European Data Protection Board vom 15. April 2026
Stellungnahme

Stellungnahme der TMF zu den Guidelines 01/2026 on processing of personal data for scientific research purposes des European Data Protection Board vom 15. April 2026

Berlin, 25. Juni 2026.

Ethik & Datenschutz

Downloads

Anhang Size Stellungnahme 198.8 KB ">Termin speichern
Anhang Size
Stellungnahme 198.8 KB

1. Zusammenfassung

Die TMF, die durch die Beratung von oder Beteiligung an hunderten Projekten seit über 25 Jahren sehr umfangreiche Erfahrungen mit der Umsetzung und Berücksichtigung des Datenschutzes in der medizinischen Forschung gesammelt hat, begrüßt jede Hilfestellung diesbezüglich. Der sehr lange Text der vorliegenden Leitlinien verfehlt jedoch an vielen Stellen das Ziel, Forschenden tatsächlich eine Hilfestellung an die Hand zu geben. Dies liegt unter anderem daran, dass zu in der Literatur strittigen Auslegungsfragen auch die an der Erstellung der Leitlinien beteiligten Datenschutzbehörden offensichtlich disparate Auffassungen vertreten und so der hier veröffentlichte Text zu diesen Fragen nicht eindeutig Stellung bezieht. Stattdessen finden sich mal Formulierungen, die man eher der einen Interpretation zuordnen würde und dann Formulierungen die eher zu einer gegensätzlichen Interpretation passen. Dies kann z. B. bei den Ausführungen zur Vereinbarkeit einer Weiterverarbeitung mit den ursprünglichen Erhebungszwecken nach Art. 5(1)(b) DSGVO nachvollzogen werden. Hier geht es um die Wertung der ursprünglichen Rechtsgrundlage für die Erhebung als ausreichend oder eben nicht ausreichend für die Weiterverarbeitung. Leider wird bei diesem Hin und Her die eigentlich sehr klare Auslegungshilfe in Erwägungsgrund Nr. 50 Satz 2 DSGVO weitgehend ignoriert. Ähnliches gilt für die Ausführungen zum Broad Consent vor dem Hintergrund der umstrittenen Auslegungshilfe in Erwägungsgrund Nr. 33 DSGVO. Wenn sich zwei unterschiedliche Auslegungen der DSGVO an solchen Stellen diametral widersprechen, hilft leider ein Kompromisstext den Anwendern in keiner Weise weiter. Womöglich wäre es für alle Beteiligten hilfreicher, wenn die Datenschutzbehörden in der Lage wären, ihre Unentschiedenheit an solchen Stellen offenzulegen. Letztlich wäre dies auch in Richtung des Gesetzgebers das ehrlichere und bessere Signal.

Daneben ist ein Trend erkennbar, die im Rahmen eines risikobasierten Ansatzes möglichen Öffnungen für die und Privilegierungen der Forschung in der DSGVO immer möglichst eng auszulegen. Dieser Trend führt manchmal immerhin zu Klarheit, kann aber auch nicht ungeteilt als Hilfestellung oder Unterstützung der Forschung gewertet werden. Hier ist insbesondere der Abschnitt zu den Informationspflichten zu nennen, in dem die in Art. 11(1) und 89(1) DSGVO zum Ausdruck kommende höhere Gewichtung eines datensparsamen Ansatzes gegenüber der Umsetzbarkeit aller Rechte und Pflichten aus der DSGVO in ihr Gegenteil verkehrt wird.

Darüber hinaus enthält die Leitlinie viele Feststellungen, die für unterschiedliche Anwender durchaus hilfreich sein können. Vor dem Hintergrund der hier vorgelegten Analyse empfehlen wir allerdings eine grundlegende Überarbeitung im Sinne der genannten Punkte.

 

2. Anwendungsbereich der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken

Zu diesem Abschnitt gibt es keine Anmerkungen.

 

3. Datenschutzprinzipien

Rn.: 19

Text der Guidelines: Under Article 5(1)(b) GDPR, further processing for scientific research purposes is presumed to be compatible with the initial purpose(s) of the processing29. Therefore, when further processing personal data for scientific research purposes it is not necessary to undertake the compatibility test, pursuant to Article 6(4) GDPR30. […]

Anmerkung: Die hier vorgenommene Wertung, dass ein Kompatibilitätstest nach Art. 5(1)(b) DSGVO bei einer Weiterverarbeitung zu wissenschaftlichen Forschungszwecken nicht notwendig sein soll, ist grundsätzlich nachvollziehbar. Allerdings lässt die DSGVO in Art. 5(1)(b) und in Erwägungsgrund Nr. 50 DSGVO mit der Art der Formulierung (‚soll‘ statt ‚ist‘ und doppelter Verneinung) etwas mehr Spielräume bei der Wertung als z. B. in der Auslegungshilfe zur nicht notwendigen neuen Rechtsgrundlage in Erwägungsgrund Nr. 50 Satz 2 DSGVO (‚ist‘ statt ‚soll‘). Bei Betrachtung der in Art. 6(4) DSGVO und etwas allgemeiner auch in Erwägungsgrund Nr. 50 formulierten Prüfkriterien zur Vereinbarkeit einer Weiterverarbeitung mit den Erhebungszwecken fällt auf, dass diese auf Verarbeitungen zu wissenschaftlichen Forschungszwecken – wenn auch nicht immer – so doch oft zutreffen. Forschung adressiert häufig die Verbesserung bestimmter Aspekte in dem Bereich, aus dem Daten genutzt werden. Beispielsweise hat medizinische Forschung mit Behandlungsdaten oft die Verbesserung der Behandlung zum Ziel. Insofern gibt es häufig eine Verbindung der Zwecke. Und auch die risikobasierten Kriterien, wie etwa die Datensparsamkeit, sind in der Forschung in der Regel gegeben. Vor diesem Hintergrund wird auch der postulierte Grundsatz der Vereinbarkeit einer Weiterverarbeitung zu wissenschaftlichen Forschungszwecken nachvollziehbar, da bei einer typischen, aggregierenden und den individuellen Einzelfall eher ignorierenden Auswertung die Risiken für die Betroffenen tatsächlich sehr gering sind (vergl. Roßnagel, Art. 5 Rn. 104 in [1]). Da dies aber nicht für alle Forschungsprojekte gelten muss, sollte ggf. auch bei einer Verarbeitung zu wissenschaftlichen Forschungszwecken zur Feststellung der Vereinbarkeit gemäß Art. 5(1)(b) DSGVO eine Prüfung nach den Kriterien in Art. 6(4) DSGVO empfohlen werden.

 

Rn.: 21

Text der Guidelines: In this regard, the EDPB has previously stated that under certain conditions, and provided that appropriate safeguards have been adopted pursuant to Article 89(1) GDPR, a controller may be able to rely on the legal basis for the initial processing operations when further processing personal data for scientific research purposes32. However, the EDPB and the EDPS have also stated that the question of compatibility of purposes should not be confused with principle of lawfulness33. Therefore, the possibility to rely on the legal basis that the initial processing was based on requires an assessment of lawfulness to determine that this legal basis is also suitable to rely on for the further processing of personal data for scientific research purposes.

Anmerkung: Tatsächlich lässt das in Art. 5(1)(b) DSGVO beschriebene Prinzip der möglichen Vereinbarkeit einer Weiterverarbeitung personenbeziehbarer Daten mit dem Erhebungszweck verschiedene Lesarten hinsichtlich der Würdigung der Rechtsgrundlage der Erhebung zu. Als allererste Auslegungshilfe sind daher die Erwägungsgründe heranzuziehen und in Erwägungsgrund 50 Satz 2 DSGVO findet sich dann auch eine eindeutige Auslegungshilfe hierzu. Bei Vereinbarkeit einer Weiterverarbeitung mit dem Erhebungszweck ist demnach keine weitere, von der Rechtsgrundlage für die Erhebung verschiedene Rechtsgrundlage mehr erforderlich. Diese eindeutige Auslegungshilfe wird hier leider verunklart oder es wird ihr gleich widersprochen. Es wird offengelassen, wie eine Prüfung darauf zu erfolgen hat, ob die Rechtsgrundlage für die Erhebung auch eine gemäß Art. 5(1)(b) DSGVO vereinbare Weiterverarbeitung tragen kann.

 

Rn.: 22

Text der Guidelines: In many cases controllers will be able to rely on the same legal basis, for example where a controller initially processed personal data on the basis of public or legitimate interest. It is, however, not always possible to rely on the same legal basis when further processing personal data for scientific research purposes. This applies in particular if the initial legal basis for the primary processing is consent or a legal obligation.

Anmerkung: Hier werden bestimmte Kategorien von Rechtsgrundlagen, wie die Einwilligung und eine gesetzliche Verpflichtung, von der Möglichkeit ausgeschlossen, dass sie auch eine nach Art. 5(1)(b) DSGVO vereinbare Weiterverarbeitung tragen könnten. Es bleibt offen, warum diese Kategorien ausgeschlossen werden und dieser prinzipielle Ausschluss ist auch nicht mit der uneingeschränkt formulierten Regel in Erwägungsgrund Nr. 50 Satz 2 DSGVO vereinbar.

 

Rn.: 23

Text der Guidelines: If a controller considers that further processing for scientific research purposes could be based on Article 6(1)(f) GDPR, the significant societal interest of conducting scientific research, as also reflected by the presumed compatibility of processing for scientific research purposes, carries significant weight in the balancing test in relation to the data subjects’ interests or fundamental rights or freedoms.

Anmerkung: Dieses Beispiel legt zum einen nahe, dass eine neue Prüfung auf eine Rechtsgrundlage auch bei einer nach Art. 5(1)(b) DSGVO vereinbaren Weiterverarbeitung durchzuführen ist, da ansonsten der Zweck der wissenschaftlichen Forschung (der nur bei der Weiterverarbeitung vorliegen sollte) nicht in die ursprüngliche Prüfung einer Rechtsgrundlage nach Art. 6(1)(f) DSGVO hätte eingehen können. Offen bleibt, ob mit „same legal basis“ in den Ausführungen ggf. nur dieselbe Kategorie einer Rechtsgrundlage gemeint sein könnte.

Zusammengefasst ist zu kritisieren, dass eine in Art. 6(4) formalisierte und in Erwägungsgrund Nr. 50 etwas allgemeiner beschriebene Prüfung auf Vereinbarkeit bei einer Weiterverarbeitung zu wissenschaftlichen Forschungszwecken kategorisch ausgeschlossen wird, obwohl gleichzeitig eine in der DSGVO nicht angelegte Prüfung auf eine Tragfähigkeit einer Rechtsgrundlage gefordert wird, wobei selbst hier unklar bleibt, ob die Tragfähigkeit der Rechtsgrundlage für die Erhebung oder doch einer separaten für die Weiterverarbeitung zu prüfen ist.

 

Rn.: 24

Text der Guidelines: If a controller further processes special categories of personal data, pursuant to Article 9(1) GDPR, for scientific research purposes, it may also rely on the presumption of compatibility of purposes, pursuant to Article 5(1)(b). Nevertheless, the controller must still assess which derogation to the prohibition to process special categories of personal data, pursuant to Article 9(2) GDPR, that applies when further processing such data for scientific research purposes38. Accordingly, if the controller intends to rely on the same derogation, pursuant to Article 9(2) GDPR, that it relied on for the initial processing operation, then the controller must assess whether that derogation is also suitable for the further processing of personal data for scientific research purposes39.

Anmerkung: Die Uneindeutigkeit hinsichtlich der Wertung der Bedeutung der Rechtsgrundlage für die Erhebung der Daten bezüglich der Weiterverarbeitung zu wissenschaftlichen Zwecken wird hier ausgedehnt auf die Verbotsausnahmen für die Verarbeitung besonderer Kategorien personenbeziehbarer Daten nach Art. 9(1) DSGVO. Der Ausschluss der möglichen Prüfung einer Vereinbarkeit der Weiterverarbeitung nach den Kriterien in Art. 6(4) DSGVO führt offensichtlich auch dazu, dass übersehen wird, dass hier besondere Kategorien personenbezogener Daten schon dahingehend berücksichtigt sind, dass sie eine Vereinbarkeit nach Art. 5(1)(b) DSGVO nicht grundsätzlich ausschließen, aber doch erschweren.

 

Rn.: 25

Text der Guidelines: When the controller further processes personal data concerning health, genetic or biometric data, it should also consider that there may be additional conditions or limitations imposed by MS law on the processing, pursuant to Article 9(4) of GDPR, also in cases of further processing for scientific research purposes.

Anmerkung: Dem ist zuzustimmen.

 

4. Rechtmäßigkeit der Verarbeitung

Rn.: 37

Text der Guidelines: If personal data is processed in the field of medical research involving patients, such as clinical trials, then the controller should consider the mental or physical condition of the patient. If a patient’s capacity to provide consent is severely affected by his or her mental or physical medical condition, then the controller should refrain from relying on consent for the processing of personal data54. Conversely, the fact that a data subject is a patient receiving health care does not in itself affect the data subject’s capacity to freely provide consent, in so far as the data subject is not severely affected by a mental or physical medical condition55.

Anmerkung: Dem ist zuzustimmen. Wir danken für die Klarstellung in Satz 3.

 

Rn.: 45

Text der Guidelines: […] The purpose for processing can be delimited to a certain field of research, for example medical research in the field of oncology, or sociological research in the field of criminology. However, the purpose can also be delimited in view of expected outcomes of the research, for example conducting genetic research to find better medical treatment methods.

Anmerkung: Es ist im Sinne einer Auslegungshilfe nicht hilfreich, wenn die in der DSGVO schon vorhandene Auslegungshilfe in Erwägungsgrund Nr. 33 hier mit falscher Wortwahl wiederholt wird. So wird aus „certain areas of scientific research“ im Plural in Erwägungsgrund Nr. 33 DSGVO hier ein „certain field of research” im Singular.

 

Rn.: Ex. 8

Text der Guidelines: […] In order to meet the requirements of a comprehensive medical research infrastructure, and to include inter-disciplinary issues as well as questions of multimorbidity, the purposes covered by the given consent are not limited to any specific disease. Instead, the given consent covers a broad range of specified medical disciplines. When additional medical disciplines that are not covered by the original consent are added, data subjects are informed about this. The data subjects are also asked whether they want to consent to the processing of their personal data in research projects covered by the additional purposes. […]

Anmerkung: Es freut uns, dass hier offensichtlich der Broad Consent der Medizininformatik-Initiative in Deutschland, an dessen Entwicklung und Abstimmung mit den Datenschutzbehörden die TMF zentral mitgewirkt hat, als Beispiel Eingang in die Leitlinien gefunden hat. Problematisch ist hier aber die Einführung undefinierter „medical disciplines“, die letztlich doch wieder eher zu einer Verunsicherung der Leser führen. Sollten hiermit doch wieder Krankheitsgebiete gemeint sein, wäre dies widersprüchlich zu der einführenden Feststellung, dass der Consent nicht beschränkt ist auf „any specific disease“. Wir empfehlen daher, alle Bezüge zu den „medical disciplines“ zu streichen.

 

5. Informationspflichten

Art. 89(1) S. 4 DSGVO sieht ausdrücklich vor, dass Forschungszwecke ohne Identifizierung der Person verfolgt werden sollen. Die Guidelines hingegen fokussieren stark auf die Durchsetzbarkeit von Betroffenenrechten. Den dabei bestehenden und in der DSGVO angelegten Zielkonflikt lösen die Guidelines nicht mit einer nachvollziehbaren Begründung auf. Die konkreten Empfehlungen strapazieren das Verständnis von Erforderlichkeit und ignorieren an gleicher Stelle den Grundsatz der Datenminimierung. Im schlimmsten Fall zieht das angeregte Vorhalten von Identifikationsmerkmalen Verstöße gegen Art. 89 DSGVO nach sich, dessen Vorgaben bei der Verarbeitung zu Forschungszwecken grundsätzlich, über die Benennung in „Privilegierungen“ als Korrektiv oft sogar ganz konkret umzusetzen sind.

Die DSGVO löst diesen Zielkonflikt für die Betroffenenrechte in ihrem Artikel 11 auf und zwar zugunsten der Datenminimierung. Diese Wertung bleibt aber nahezu unberücksichtigt, soweit die Informationspflichten behandelt werden.

Unklar ist außerdem, welchen Use-Case die Ersteller vor Augen hatten. An der Realität universitärer Forschung gehen viele der Ausführungen weit vorbei. Gerade dort wo Forschung kein singuläres Ereignis, sondern wesentlicher Auftrag ist, sind aufwändige Kontaktbemühungen auf Einzelfallebene kein gangbarer Weg. Die DSGVO will Forschung privilegiert wissen und sieht als wesentliches Korrektiv die De-Identifizierung vor. Dieser Grundsatz wird in sein Gegenteil verkehrt, wenn in den Guidelines die Ausnahme zur Regel definiert wird.

Sofern forschende Einrichtungen wie etwa Universitätskliniken Daten aus der Versorgung ihrer Patienten zu wissenschaftlichen Forschungszwecken weiterverarbeiten, treffen sie die Pflichten aus Art. 13 DSGVO. Gleichzeitig findet hier die Forschung in aller Regel in einem geplanten Rahmen statt, so dass grundsätzlich eine Vorab-Informierung der Patienten im Sinne von Art. 13(3) DSGVO möglich ist. Um Forschung dieser Einrichtungen nicht massiv zu behindern, ist es daher essentiell zu einem gemeinsamen Verständnis davon zu kommen, in welchen Fällen eine betroffene Person als bereits informiert im Sinne von Art. 13(4) DSGVO gelten kann. Insofern empfehlen wir hier Best Practices aus anderen Bereichen, wie etwa beim Broad Consent (vergl. Beispiel Nr. 8), zu berücksichtigen. Hierzu gehört eine umfangreiche initiale Informierung über die anstehende Zweckänderung und die Breite möglicher Forschungszwecke sowie fortwährende Transparenzangebote, die aber z. B. auch das Recht auf Nicht-Wissen einzelner Patienten respektieren.

 

Rn.: 77

Text der Guidelines: When a controller intends to or anticipates that it will process personal data for scientific research purposes over longer periods of time, then it should give data subjects an opportunity to voluntarily provide contact details. This will make it possible for data subjects to get necessary updates on the processing of their personal data. Data subjects should get this opportunity, even if the purposes for processing personal data do not require the processing of contact details*

Anmerkung: Die Erhebung von Kontaktdaten, wenn diese nicht für den Studienzweck erforderlich sind, widerspricht dem Grundsatz der Erforderlichkeit und Datenminimierung gemäß Art. 5 DSGVO sowie Art. 11 DSGVO

 

Rn.: Ex. 14

Text der Guidelines: A customer wants to know more about how their individual personal data are processed for the scientific research project conducted by the university and contacts the university’s DPO. Since the university cannot identify the data subject, the DPO informs the university which in turn instructs the retail analytics company to provide the necessary information to the DPO. Having received the information, the DPO informs the data subject about the processing of their personal data at the retail analytics company.

Anmerkung: Der beschriebene und als beispielhaft dargestellte Datenfluss konterkariert die Grundregel, dass Betroffenenanfragen dort bearbeitet werden, wo eine Identifizierung des Teilnehmers möglich ist. Andernfalls besteht die Gefahr der Aufhebung der Pseudonymisierung. Als Kontaktmöglichkeit hätte insofern im Sinne datensparsamer Umsetzungsmöglichkeiten das Unternehmen angegeben werden müssen. Auch wenn der beschriebene Datenfluss unter bestimmten Voraussetzungen im Rahmen einer Auftragsverarbeitung rechtlich zulässig ist, halten wir die Darstellung in einem Beispiel doch für nicht hilfreich.

 

Rn.: 85

Text der Guidelines: The controller must inform the data subjects in advance of the further processing operations. Provision of information within a sufficient period before the processing starts should allow the data subjects to consider the impact of the further processing of their personal data. Several factors should be taken into account to determine such period, such as the intrusiveness of the processing into the private life, its impact on the protection of personal data, the processing of special categories of data or other types of sensitive personal data, the reasonable expectations of the data subject, or the fact that data subjects are in a vulnerable position. This also allows data subjects to exercise their rights under the GDPR, not least to withdraw their consent in case the processing operations concerns a certain area of scientific research to which the data subject has given broad consent, or to object to the further processing, when applicable.

Anmerkung: Wichtig ist hier, dass eine solche Vorabinformation der Betroffenen durch Einrichtungen, deren Einrichtungszweck auch die sekundäre Nutzung von Daten zu Forschungszwecken ist, wie etwa bei Universitätskliniken, schon bei der Erhebung der Primärdaten möglich und dann in Kombination mit weiteren Transparenzangeboten auch ausreichend ist.

 

Rn.: 86

Text der Guidelines: It may be challenging for controllers to inform data subjects of further processing for scientific research purposes if they have not retained the contact details of the data subjects, for example due to pseudonymisation of the personal data where identifiers or a table of correspondence are not accessible for the controller. To that end, if the controller knows at the time of collection (or when contact details are deleted because they are not necessary to process) that the personal data will be processed for scientific purposes at a later stage, then the controller should make sure that data subjects can stay informed, in accordance with Articles 12 and 13 GDPR.

Anmerkung: Grundsätzlich begrüßen wir die Wertung, dass Verantwortliche schon zum Zeitpunkt der Erhebung der Daten ausreichende Informationsangebote machen können, ohne aber zwangsweise zu einem späteren Zeitpunkt mit Informationen auf die Betroffenen zukommen zu müssen. Wir verstehen aber nicht, warum diese Art der Informierung, wenn sie denn grundsätzlich für ausreichend gehalten wird, auf die hier genannte Fallgruppe beschränkt sein muss, in der der Verantwortliche später nicht mehr über die Kontaktdaten der Betroffenen verfügt.

 

Rn.: 87

Text der Guidelines: Controllers should not knowingly delete contact details if they intend to or anticipate that they will further process personal data for scientific research purposes. If a controller knowingly deletes contact details and then fails to inform data subjects directly when further processing personal data for scientific research purposes, this may lead to a breach of the principle of transparency, pursuant to Article 5(1)(a) GDPR, as well as Article 13(3).

Anmerkung: Das würde bedeuten, dass nie Kontaktdaten gelöscht werden. In der Regel lässt sich das Thema Zukunftsforschung nicht vollständig ausschließen, da neue Erkenntnisse aus der Forschung die Weiterverarbeitung der Studiendaten notwendig machen könnten. Zudem konterkariert diese Vorgabe die Maßnahmen nach Art 89 DSGVO: hiernach ist die Anonymisierung von Daten herbeizuführen sobald der Zweck es erlaubt. Wir empfehlen daher die Streichung dieser Rn.

 

Rn.: 88

Text der Guidelines: If the controller at the time of collection of the personal data did not know or anticipate that it would process personal data for scientific research purposes at a later stage, it may not have contact details of the data subjects. If the controller has identifiers, such as a name or administrative identification number, it should make reasonable efforts to acquire contact details if they are readily available and acquisition would not require a disproportionate effort.

Anmerkung: Die Pflicht, erstmal anhand von vorhandenen Identifikatoren die aktuellen Kontaktdaten herauszufinden, erhöht die Risiken für die Rechte und Freiheiten der betroffenen Personen. Dadurch wird erst eine Verarbeitung ihrer identifizierenden Daten notwendig, da diese ggf. über Melderegister abgefragt werden müssen. In der Folge wird auch der Kreis der Empfänger erweitert, obwohl dies nicht für den eigentlichen Forschungszweck erforderlich ist. Dies widerspricht diametral dem in Art. 11(1) DSGVO formulierten Grundsatz, dass „the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation“. Wir empfehlen die Streichung dieser Rn.

 

Rn.: 89

Text der Guidelines: If public registries or other viable means are not available, if their use would require a disproportionate effort, or if a data subject is not listed in any of the available sources, then the controller should inform data subjects indirectly. The provision of such information should ensure that as many data subjects concerned as possible are reached. Relevant means to make the information publicly available, which need to be adjusted depending on the context of the research project and the data subjects involved, include:

  • Providing information on a website, as detailed above;
  • Posting information in localities where the relevant data subjects are present regularly (e.g. schools, universities, correctional facilities, medical care facilities, pharmacies, etc);
  • Advertising in public spaces, on the television or radio, in newspapers – in particular local media or online; and
  • Providing information through associations representing research subjects (e.g. patient organisations, trade unions, non-profit organisations etc).

Anmerkung: Tatsächlich enthält Art. 13 DSGVO für Verantwortliche, die die weiterverarbeiteten Daten selber erhoben haben, keine Ausnahmeregelungen wie etwa Art. 14(5) DSGVO, der Anpassungen der Art der Informierung in Abhängigkeit von den Schwierigkeiten einer Informierung erlaubt. Insofern gehen wir eher davon aus, dass in bestimmten Fällen einer datensparsamen Verarbeitung die Pflicht zur Umsetzung von Art. 13 gemäß Art. 11(1) DSGVO komplett entfällt.

 

Rn.: 100

Text der Guidelines: If a controller can demonstrate that it would require a disproportionate effort to inform the data subjects individually, it is exempt from doing so, pursuant to Article 14(5)(b) GDPR. In the field of scientific research, the following situations may in particular be associated with a disproportionate effort:

  • A high number of data subjects to inform, for example large registries with patient data, population data or data on pupils accumulated nation-wide, while many contact details are outdated due to the age of the dataset. This exemption cannot be relied on if the controller can lawfully obtain a high number of contact details easily, for example through the use public registers149;
  • Difficulties of finding the contact details of the data subject, for example if the contact details were collected a long time ago and might no longer be accurate and there are no reasonable means available to the controller to obtain current contact details; or
  • The age of the personal data, e.g. if the data set is older than 10 years.

Anmerkung: Zu Punkt 1: Die Kosten und der Aufwand, die für die eigentliche Registerabfrage und für die Briefversendung zuzüglich der Personalkosten anfallen, ist gerade bei den großen Betroffenenanzahlen unverhältnismäßig. Insbesondere wird bei den Aufwänden auch der Umgang mit der Reaktion der angeschriebenen Personen nicht berücksichtigt. Es ist zu berücksichtigen, dass die Zahl der Betroffenen in der Forschung oft vier- oder fünfstellig ist und teilweise auch im sechsstelligen Bereich liegen kann. Gerade die dann damit verbundenen finanziellen Hürden gefährden den Forschungszweck.

Zudem wird hier vorausgesetzt, dass zusätzliche Informationen über die Betroffenen aktiv vom Verantwortlichen eingesammelt werden, der die Daten nicht selbst bei den Betroffenen erhoben hat und insofern in der Forschung oft auch nicht über die Identifikationsdaten der Betroffenen verfügt. Insofern wird die Wertung des Art. 11(1) DSGVO hier praktisch umgedreht und der Verweis in Art. 14(5)(b) auf Art. 89(1) DSGVO mit der Notwendigkeit einer datensparsamen Verarbeitung vollständig ignoriert. Von der Privilegierung der Forschung ist insoweit nichts zu merken.

Zu Punkt 3: Wir empfehlen eine Anpassung wie folgt: „ … the data set is 5 years old or older“.

Grundsätzlich haben alle 3 drei Punkte das Alter des Datensatzes als Kriterium enthalten. Das Alter sollte nur bei dem letzten Kriterium enthalten bleiben.

 

Rn.: 103

Text der Guidelines :It should be noted that processing of personal [data] for scientific research without individually informing the data subjects should only occur where it is strictly necessary, as it constitutes a serious interference with the fundamental rights and freedoms of data subjects. Accordingly, when controllers conduct covert research, they should adopt appropriate safeguards, pursuant to Article 89(1) GDPR, to counter-act that interference.

Anmerkung: Es sollte hier der Klarheit halber darauf hingewiesen werden, dass diese Feststellung nur für die Fälle gilt, in denen eine Informierung grundsätzlich möglich ist und hierfür keine zusätzlichen Daten eingeholt oder verarbeitet werden müssen. Ansonsten wäre es irritierend, dass auf Art. 89(1) DSGVO und die Safeguards verwiesen wird, ohne ein Wort zu Art. 89(1) S. 3 und S. 4 zu verlieren, die die De-Identifizierung verlangen und sogar Anonymisierung fordern.

 

Rn.: 107

Text der Guidelines: If a controller makes changes to its processing operations that renders the information previously provided to data subjects obsolete or incomplete, then it must inform the data subjects about those changes, pursuant to Article 13(4) and 14(5)(a) GDPR.

Anmerkung: Der Abschnitt enthält keine Bezugnahme auf konkrete gesetzliche Pflichten. Er steht außerhalb der Fälle der zweckändernden Weiterverarbeitung (Ziff. 5.3, 5.4 der Guidelines), das Wording entspricht auch nicht den Art. 13(3) und 14(4) DSGVO. Der Verweis auf eine ältere Guideline legt nahe, dass das alles aus der Transparenzpflicht abgeleitet wird, dort allerdings nur hinsichtlich der Erlaubnisnorm. Hier ist die Formulierung unbeschränkt, damit wären die Artt. 13/14 DSGVO Dauerpflichten.

Die Verweisung auf Art. 13(4) und 14(5)(a) DSGVO hilft bei der Verortung nicht weiter, weil dort – anders als der Standort suggeriert – gerade die Ausnahme von erneuten Informationspflichten geregelt sind.

Wir empfehlen die Streichung dieser Rn.

 

Rn.: 108

Text der Guidelines: In the field of scientific research, changes to the processing of personal data that would require additional information include:

  • Making substantial changes to the objectives of a research project, leading to a change of the purposes of processing of personal data;
  • Determining that the personal data will be processed on the basis of a different legal basis than the initial one160;
  • Changes to the identity of the controller – for example if a research laboratory merges with another laboratory, forming a new entity;
  • Engaging with new research partners that are not reasonably expected by a data subject and that will receive personal data, in particular if research partners outside the EEA are engaged resulting in transfer to third countries, or international organisations161;
  • Extending the period of processing personal data, including storage, depending on how substantial the change is and what information on the period of retention that has been communicated to the data subject;
  • Changes to the risk profile for the processing of personal data, for example because of changes to the scientific methods or the use of novel or untested technology;
  • Adding categories of personal data to the data set used in a research project, that have not been communicated to the data subject previously; and
  • Changes to the interface for data subjects to be able to exercise their rights, such as introducing a dedicated platform for the purpose162.

Anmerkung: Wir verweisen auf unsere Kommentierung der Rn. 107 und empfehlen eine Streichung dieser Rn.

 

* Fettungen sind zur Verdeutlichung von uns vorgenommen und entsprechen nicht dem Original.

 

6. Betroffenenrechte

Rn.: 120

Text der Guidelines: Article 17(3)(d) GDPR provides for a specific exception from the right to erasure if the processing is necessary for scientific research purposes, in accordance with Article 89(1) GDPR. In addition to assessing the strict necessity of processing of personal data in relation to the scientific research purpose, the controller must also assess the individual circumstances in each request of a data subject when applying Article 17(1)(d) GDPR. To that end, Article 17(3)(d) GDPR should only be applied in limited circumstances, as it is only when erasure is likely to render impossible or seriously impair the achievement of the scientific research purposes that it is possible for a controller to reject a request for erasure175. For example, if a controller processes personal data from a large number of data subjects, requests of data subjects for erasure of their personal data may not make it impossible or seriously impair the achievement of the scientific research purposes. However, if a controller uses personal data from a small number of data subjects, where the personal data of each data subject is of significant importance for the outcome of a research project, then it is more likely that the controller is justified in relying on Article 17(3)(d) of the GDPR and reject a request for erasure. A request for erasure of personal data may also make it impossible or seriously impair the achievement of the scientific research purposes if the controller researches developments or trends over a longer period of time and the request is received while the research is still in progress.

Anmerkung: Begrüßt wird der Hinweis, dass ein Löschen bei kleinen Fallzahlen ein Forschungsprojekt so gefährden kann, dass die Ausnahme nach Art. 17(3)(d) DSGVO hier Anwendung finden könnte.

Wünschenswert wäre die Berücksichtigung eines anderen Falls, der viel häufiger relevant werden dürfte. Nach guter wissenschaftlicher Praxis sind Daten aus durchgeführten und veröffentlichten Forschungsprojekten 10 Jahre unverändert aufzubewahren, um solche Projekte nachvollziehbar zu machen. Die Wahrscheinlichkeit, dass in einem so langen Zeitraum ein Widerruf oder ein Widerspruch bei der verantwortlichen Stelle eintrifft, ist typischerweise höher als in anderen Phasen eines Forschungsprojekts. Das Löschen eines einzelnen Datensatzes aus einem solcherart archivierten Datensatz führt aber zwingend dazu, dass der Zweck der Nachvollziehbarkeit mit einem solchen Datensatz nicht mehr erreicht wird. Insofern kann hier auch von einer Gefährdung des ganzen Forschungsprojekts ausgegangen werden. Daher sollte dieser Fall hier explizit mit aufgenommen werden.

Der Vollständigkeit halber wäre eine Klarstellung wünschenswert, dass die Rechtsgrundlage für die weitere Verarbeitung nach Anwendung von Art. 17(3)(d) DSGVO die ursprüngliche Rechtsgrundlage ist.

 

7. Verantwortlichkeit

Rn.: 143

Text der Guidelines: If several parties carrying out the research are joint controllers, they can generally rely on the same legal basis. However, the GDPR does not preclude that different joint controllers rely on different legal bases, depending on their applicability to a given processing operation216.

Anmerkung: Die Klarstellung, dass gemeinsam verantwortliche Stellen nicht unbedingt eigenständige Rechtsgrundlagen benötigen, wird begrüßt.

 

8. Technische und organisatorische Schutzmaßnahmen

Rn.: 161

Text der Guidelines: To ensure the proper effectiveness of anonymisation or pseudonymisation, controllers must use state-of-the-art anonymisation or pseudonymisation methods, taking into account the most current assessment of effectiveness, risks of re-identification, threats to security, etc. The EDPB’s guidelines on pseudonymisation provide further guidance on how to assess effectiveness239. […]

Anmerkung: Es wird hier auf den Entwurf von Leitlinien des EDPB zur Pseudonymisierung verwiesen. Die TMF hatte diesen Entwurf kritisch kommentiert und wir bitten hier erneut um sorgfältige Berücksichtigung dieser Kommentierung.1

 

9. Literatur

1. Simitis, S., Hornung, G., Spiecker gen. Döhmann, I., Hrsg. Datenschutzrecht. DS-GVO/BDSG. 2. Aufl. 2025, Nomos, Baden-Baden.

 

10. Abkürzungsverzeichnis

BDSG – Bundesdatenschutzgesetz
DPO – Data Privacy Officer
DS – Datenschutz
DSGVO – Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (Verordnung 2016/679)
DS-GVO – siehe DSGVO
EDPB – European Data Protection Board (https://edpb.europa.eu)
EDPS – European Data Protection Supervisor (www.edps.europa.eu)
EEA – European Economic Area; Europäischer Wirtschaftsraum
EG – Europäische Gemeinschaft
Ex. – Example
GDPR – General Data Protection Regulation
MS – Member State
Rn. – Randnummer
TMF – TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (www.tmf-ev.de)

Newsletter-Anmeldung

Sie möchten über Aktivitäten der TMF informiert bleiben? Dann registrieren Sie sich in nur zwei Schritten zum TMF-Newsletter.

Abonnieren

Home

TMF – Technologie- und
Methodenplattform
für die vernetzte medizinische
Forschung e.V.

Charlottenstraße 42/
Ecke Dorotheenstraße
10117 Berlin

Tel.: 030 - 22 00 24 70
Fax: 030 - 22 00 24 799
E-Mail: info@tmf-ev.de

  • Über uns
  • Unsere Arbeit
  • Politik
  • Veranstaltungen
  • Publikationen
  • Unsere Themen
  • Suche
  • Impressum
  • Datenschutzerklärung
  • Cookie-Einstellungen
  • Medizininformatik-Initiative
  • ToolPool Gesundheitsforschung
Folgen Sie uns:
  • Twitter
  • LinkedIn
  • YouTube

© 2026 TMF e.V. All rights reserved.

  • Datenschutzhinweise
  • Impressum
  • Cookie-Einstellungen
  • de
  • en
  • Über uns
    • Der Verein
      • Vorstand
      • Finanzierung
      • Satzung
      • Rat der Förderer
      • TMF-Botschafter
    • Mitglieder
      • Mitglied werden
      • Informationen für Antragsteller
      • Unsere Mitglieder
      • Mitgliederversammlung
      • Logo-Download
    • Team
    • Karriere
      • Stellenausschreibungen
    • Kooperationen
  • Unsere Arbeit
    • Arbeitsgruppen
    • Interessenvertretung
      • GFDI-Koordinierungsgruppe
    • Projekte
    • Produkte
  • Politik
    • Stellungnahmen
    • Impulse zur Bundestagswahl
    • Innovationspapier
  • Veranstaltungen
    • Veranstaltungen
      • TMF-Termine
      • Partner-Termine
    • TMF-Kongresse
      • TMF-Jahreskongress 2026
      • Nationales Digital Health Symposium 2026
      • MII-Symposium 2026
      • genomDE-Symposium 2025
      • Registertage 2026
      • Biobanken-Symposium 2026
      • LongCARE-Symposium 2026
    • TMF-Akademie
      • TMF-School 2026
      • TMF-Tutorials 2025
    • Veranstaltungsräume
  • Publikationen
    • TMF-Schriftenreihe
    • Jahresberichte
    • Publikationsliste
    • White Paper 2025
  • Unsere Themen
    • Ethik & Datenschutz
    • Qualitätsmanagement
    • IT-Infrastruktur
    • Digitalisierung & E-Health
    • Genommedizin & Biobanken
    • Klinische Forschung, Register, Versorgungsforschung
  • Suche
  • Karriere
  • News
  • Presse
  • Newsletter
  • Kontakt
  • TMF-Mitgliedschaft
  • Login