AVATAR Transfer

April 2026: Neue EDPB-Leitlinien zur Verarbeitung Personenbezogener Daten

Neue EDPB-Leitlinien: Bedeutung für AVATAR-Transfer


Der EDSA (Europäischer Datenschutzausschuss) hat im April neue Leitlinien für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken angenommen. Liebenstein Law ordenet die Bedeutung dieser neuen Leitlinien für das AVATAR-Transfer Projekt ein.

Gesundheitsdaten können Forschung, Versorgung und Medizintechnik erheblich voranbringen. Gleichzeitig gehören sie zu den sensibelsten personenbezogenen Daten. AVATAR-Transfer setzt hier an und untersucht, wie Gesundheitsdaten durch Anonymisierung, synthetische Daten und weitere Verfahren datenschutzkonform nutzbar gemacht werden können.
Neue Orientierung bieten die Leitlinien 1/2026 des EDPB oder EDSA zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke. Die Konsultationsfrist für die Leitlinien läuft derzeit bis zum 25.06.2026 – dementsprechend kann der EDPB auf Stellungnahmen von Stakeholdern reagieren und die Leitlinien final anpassen.
Für AVATAR-Transfer sind nach aktuellem Stand drei Fragen im Zusammenhang mit der bisher veröffentlichten Fassung der Leitlinien zentral: Wann liegt wissenschaftliche Forschung vor? Wann dürfen vorhandene Gesundheitsdaten für neue Forschungsfragen weiterverwendet werden? Welche Garantien sind für eine verantwortungsvolle Nutzung sensibler notwendig?

1. Forschungsbegriff als Ausgangspunkt der Leitlinien

Die EDPB Guidelines 1/2026 ändern die DSGVO nicht, präzisieren aber erstmals konkret, wie personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden dürfen.² Für AVATAR-Transfer ist entscheidend, dass der EDPB Forschung weit versteht und auch technologische Entwicklung, Demonstrationsvorhaben, angewandte Forschung, privat finanzierte Forschung und Forschung im öffentlichen Gesundheitsinteresse einbezieht.³
Zugleich stellt der EDPB klar: Nicht jede datengetriebene Produktentwicklung oder wirtschaftliche Datennutzung ist Forschung. Die forschungsbezogenen Erleichterungen der DSGVO greifen nur bei echter wissenschaftlicher Forschung.
Diese ist anhand von sechs Leitindikatoren zu bestimmen: methodischer und systematischer Ansatz, Einhaltung ethischer Standards, Verifizierbarkeit und Transparenz, Autonomie und Qualifikation der Forschenden, Beitrag zu Wissenszuwachs gesellschaftlichem Wohlergehen, Potenzial zur Erweiterung oder neuartigen Anwendung bestehenden Wissens.⁴
Neu ist somit insbesondere die größere Rechtssicherheit für anwendungsnahe, technische und transferorientierte Projekte. Für AVATAR-Transfer ist dies günstig, weil nicht nur medizinische Use Cases, sondern auch die Entwicklung und Validierung von Anonymisierung, Datensynthese, Privacy-Utility-Metriken, Re-Identifikationsanalysen, föderiertem Lernen und homomorpher Verarbeitung als Forschungsleistung eingeordnet werden können.
Jeder Transferfall sollte jedoch kurz dokumentieren, welche Forschungsfrage, Methode, ethischen Anforderungen, Überprüfbarkeit, Qualifikation und welcher Wissenszuwachs vorliegen.

Bei wirtschaftsnahen Use Cases bleibt die Abgrenzung zur Produktentwicklung zentral. Therapieverlaufsprognosen, ophthalmologische Rehabilitation, Biosignalanalyse oder Genomdatenanonymisierung lassen sich regelmäßig forschungsnah begründen. Post-Market-Surveillance ist dagegen nur dann Forschung, wenn neue datenschutzwahrende Verfahren zur Anonymisierung, Verschlüsselung oder statistischen Auswertung von PMS-Daten entwickelt oder validiert. Bloße Marktüberwachung genügt nicht.

2. Forschungsdateninfrastrukturen und vorbereitende Verarbeitungsschritte

Neu und für AVATAR-Transfer besonders wichtig ist außerdem, dass die Leitlinien nicht nur einzelne Forschungsprojekte erfassen, sondern auch Forschungsdateninfrastrukturen, Repositorien, Datenbanken und vorbereitende Verarbeitungsschritte. Damit können auch Datenkuratierung, Kategorisierung, Pseudonymisierung, Anonymisierung und Bereitstellung von Daten wissenschaftlichen Forschungszwecken dienen, wenn sie einem klaren Forschungsziel zugeordnet sind.⁵
Für AVATAR-Transfer bedeutet dies, dass nicht nur die medizinischen Use Cases, sondern auch die Plattformarchitektur, die Anonymisierungsservices, die Privacy-Utility-Evaluation, die Re-Identifikationsanalyse und die Datensynthese rechtlich als Bestandteile wissenschaftlicher Forschung eingeordnet werden können.

3. Sekundärnutzung wissenschaftlicher Forschungsdaten

Ebenfalls bedeutsam ist die Klarstellung zur Sekundärnutzung. Die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gilt grundsätzlich als mit dem ursprünglichen Zweck vereinbar. Ein zusätzlicher Kompatibilitätstest nach Art. 6 Abs. 4 DSGVO ist dann nicht erforderlich.

Diese Erleichterung ist für Gesundheitsdatenräume und Sekundärdatennutzung zentral. Sie bedeutet aber nicht, dass die Verarbeitung automatisch rechtmäßig ist. Auch bei wissenschaftlicher Forschung braucht jede personenbezogene Verarbeitung eine Rechtsgrundlage nach Art. 6 DSGVO und bei Gesundheitsdaten, genetischen Daten oder biometrischen Daten zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO. Im Rahmen des Projektes AVATAR-Transfer sollte deshalb für jeden Datenfluss dokumentiert werden, woher die Daten stammen, welchem Zweck sie ursprünglich dienten, welche neue Forschungsfrage verfolgt wird und welche rechtliche Grundlage einschlägig ist.⁶

4. § 6 GDNG und Art. 9 Abs. 2 lit. j DSGVO. Forschungsbegriff als Scharnier

Art. 9 Abs. 2 lit. j DSGVO erlaubt die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke nur auf Grundlage von Unionsrecht oder mitgliedstaatlichem Recht und nur unter den Garantien des Art. 89 Abs. 1 DSGVO. § 6 GDNG ist eine solche nationale Regelung für datenverarbeitende Gesundheitseinrichtungen: 

Rechtmäßig gespeicherte Versorgungsdaten dürfen insbesondere für medizinische, rehabilitative und pflegerische Forschung weiterverarbeitet werden, sofern dies erforderlich ist und die gesetzlichen Schutzvorgaben eingehalten werden. Dazu gehören insbesondere Pseudonymisierung, frühestmögliche Anonymisierung, Rechte- und Rollenkonzepte, Protokollierung sowie Transparenz gegenüber den betroffenen Personen.⁷
Der Bezug zu den neuen EDPB-Leitlinien liegt im Forschungsbegriff. Für AVATAR-Transfer bedeutet dies: § 6 GDNG und Art. 9 Abs. 2 lit. j DSGVO können die Nutzung von Gesundheitsdaten nicht für beliebige technische oder wirtschaftliche Zwecke tragen.
Sie werden aber relevant, wenn die Verarbeitung nachvollziehbar in ein wissenschaftliches Forschungsdesign eingebettet ist, etwa zur Entwicklung, Validierung oder Bewertung von Anonymisierung, synthetischen Daten, Re-Identifikationsanalysen oder anderen datenschutzwahrenden Verfahren. Der jeweilige Use Case sollte daher kurz dokumentieren, welche Forschungsfrage verfolgt wird, warum die Datenverarbeitung erforderlich ist und welche Schutzmaßnahmen eingesetzt werden.⁸

5. Art.-89-Garantien: Anonymisierung, Pseudonymisierung und PET

Der Kernansatz von AVATAR-Transfer wird durch die Leitlinien bestätigt: Nach Art. 89 Abs. 1 DSGVO sind bei Forschung vorrangig anonymisierte Daten zu verwenden, soweit der Forschungszweck damit erreicht werden kann; andernfalls sind pseudonymisierte Daten vorzuziehen.
Direkt identifizierende Daten dürfen nur verarbeitet werden, wenn dies erforderlich und verhältnismäßig ist. Der EDPB nennt zudem ausdrücklich Privacy-Enhancing Technologies, sichere Verarbeitungsumgebungen, homomorphe Verschlüsselung und synthetische Daten als mögliche Garantien für Forschung.⁹
Entscheidend bleibt dabei die präzise rechtliche und technische Einordnung: Pseudonymisierte Daten bleiben personenbezogen, synthetische Daten sind nicht automatisch anonym, und die Herstellung anonymer oder synthetischer Daten aus Gesundheitsdaten ist selbst eine rechtfertigungsbedürftige Verarbeitung.

6. Fazit

Die neuen EDPB-Leitlinien bestätigen den Grundansatz von AVATAR-Transfer: Gesundheitsdaten können für Forschung und Innovation nutzbar gemacht werden, wenn technische Schutzmaßnahmen, rechtliche Prüfung und transparente Governance zusammen gedacht werden. Datenschutz ist damit nicht nur eine Grenze der Datennutzung, sondern eine Voraussetzung für verantwortungsvolle und vertrauenswürdige Gesundheitsdatenforschung.
 

Quellen

  1. AVATAR-Transfer, Projektbeschreibung, www.avatar-projekt.de; Liebenstein Law, AVATAR BMFTR-/BMBF-Projekt, www.liebenstein-law.de/avatar-bmbf-projekt/.
  2. European Data Protection Board (EDPB), Guidelines 1/2026 on processing of personal data for scientific research purposes, Konsultationsfassung vom 16.04.2026, öffentliche Konsultation bis 25.06.2026.
  3. Vgl. Erwägungsgrund 159 DSGVO sowie EPDB, Guidelines 1/2026, on processing of personal data for scientific research purposes, adopted version for public consultation, 15. April 2026,  Rn. 7; der EDSA verweist ausdrücklich auf technologische Entwicklung, Demonstration, Grundlagenforschung, angewandte Forschung, privat finanzierte Forschung und Forschung im öffentlichen Gesundheitsinteresse.
  4. EPDB, Guidelines 1/2026 on processing of personal data for scientific research purposes, adopted version for public consultation, 15. April 2026, Rn. 5, 7, 9 und 11 f.; die Leitlinien betonen einen weiten, aber nicht grenzenlosen Forschungsbegriff und nennen sechs Leitindikatoren für echte wissenschaftliche Forschung
  5. EDPB Guidelines 1/2026 on processing of personal data for scientific research purposes, adopted version for public consultation, 15. April 2026, Abschnitte zu Research Data Infrastructures und vorbereitenden Verarbeitungsschritten, Rn. 13 f. und Rn. 18; zu Forschungsdateninfrastrukturen, Repositorien, Datenbanken und vorbereitenden Verarbeitungsschritten.
  6. EDPB, Guidelines 1/2026, on processing of personal data for scientific research purposes, adopted version for public consultation, 15. April 2026, zur Zweckkompatibilität wissenschaftlicher Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DSGVO sowie zur gesonderten Prüfung von Art. 6 und Art. 9 DSGVO, insb. Rn. 19 ff., 24 ff.
  7. § 6 Abs. 1 bis 4 GDNG; die Norm erlaubt die Weiterverarbeitung rechtmäßig gespeicherter Versorgungsdaten für Qualitätssicherung, Patientensicherheit, medizinische, rehabilitative und pflegerische Forschung sowie Statistik und verlangt u. a. Pseudonymisierung, frühestmögliche Anonymisierung, Rechte- und Rollenkonzepte, Protokollierung und Transparenz.
  8. Vgl. Straub/Kowalski, Gesundheitsdatennutzungsgesetz und Digital-Gesetz unter der Lupe, Die Onkologie 2024, 735–743; der Beitrag hebt hervor, dass das GDNG erhebliches Potenzial für Forschung mit versorgungsnahen Daten hat, zugleich aber von konkreter Umsetzung, Strukturen und aufsichtsbehördlicher Handhabung abhängt.
  9. EDPB, Guidelines 1/2026, on processing of personal data for scientific research purposes, adopted version for public consultation, 15. April 2026, zu Garantien nach Art. 89 DSGVO und Privacy-Enhancing Technologies, Rn. 170.

Veröffentlichungsdatum: 18.05.2026