Datenübermittlung in Drittländer bei medizinischer Forschung – was Sie wissen sollten

Datenschutz Datenschutz Grundwissen Datenschutz national Datenschutz international Datenschutz Aufsichtsbehörden

Dienstag, 11. November 2025

Bei internationalen Forschungskooperationen entstehen häufig Transfers personenbezogener Daten in Länder außerhalb der EU bzw. des EWR („Drittländer"). Gerade in der medizinischen Forschung ist dies relevant – etwa für genetische Analysen, biomedizinische Studien oder klinische Forschung mit Partnern im Ausland. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat deshalb Anwendungshinweise veröffentlicht, die helfen sollen, gesetzliche Anforderungen umzusetzen und Risiken zu minimieren.

Nachfolgend finden Sie eine verständliche Zusammenfassung dieser Hinweise – mit Fokus auf Praxisrelevanz und Umsetzung.

Warum besondere Regelungen?

Ein Drittlandtransfer von personenbezogenen Daten berührt mehrere Schutzinteressen und rechtliche Vorgaben:

Die DSGVO erlaubt grundsätzlich nur solche Übermittlungen, die ein angemessenes Datenschutzniveau gewährleisten.
Medizinische Forschung umfasst oftmals besonders sensible Daten (z. B. Gesundheitsdaten, genetische Daten).
In der Forschung ist häufig noch nicht zu Beginn klar, welche Analysen später stattfinden – das führt zu Herausforderungen bei Zweckbindung und Einwilligung.

Die Anwendungshinweise der DSK spezifizieren, wie Verantwortliche und Forschungsinstitutionen diese rechtlichen Anforderungen bei Drittlandübermittlungen praktisch erfüllen können.

Zwei-Stufen-Prüfung – verpflichtend bei allen Transfers

Die DSK betont: Jede Datenübermittlung an ein Drittland muss in zwei Stufen geprüft werden.

Erste Stufe – allgemeine Rechtsgrundlage prüfen
- Es ist zu klären, ob eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten nach Art. 6 DSGVO (bspw. Einwilligung) besteht.
- Bei besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) ist zusätzlich die Ausnahme nach Art. 9 Abs. 2 zu prüfen.
- Grundsatz der Datenminimierung: Es muss geprüft werden, ob mit weniger Daten oder anonymisierten Daten der gleiche Forschungszweck erreicht werden kann.
Zweite Stufe – Voraussetzungen des Kapitels V DSGVO (Art. 44 ff.)
- Gibt es einen Angemessenheitsbeschluss der EU-Kommission für das Drittland?
- Falls nein, sind geeignete Garantien erforderlich (z. B. Standardvertragsklauseln) und ggf. Ergänzungsmaßnahmen („supplementary measures").
- In Ausnahmefällen kann auf Ausnahmetatbestände (Art. 49 DSGVO) zurückgegriffen werden – allerdings unter engen Voraussetzungen.

Besonderheiten bei Broad Consent und medizinischen Daten

In der medizinischen Forschung wird oft der sogenannte Broad Consent genutzt – das heißt eine breit formulierte Einwilligung, die flexibel zukünftige Forschung zulassen soll.

Die DSK weist darauf hin:

Der Broad Consent kann eine Rechtsgrundlage der ersten Stufe sein, muss aber so gestaltet sein, dass Transparenz, Zweckklarheit und Rechte der Betroffenen gewahrt bleiben.
Bei besonderen Daten (Gesundheit, Bioproben etc.) muss zusätzlich geprüft werden, ob Ausnahmen gemäß Art. 9 erlaubt sind.
Für Drittlandtransfers, die auf einem Broad Consent beruhen, gelten besonders hohe Anforderungen an Garantien und Transparenz – um das Vertrauensprinzip nicht zu gefährden.
Ein bloßer wirtschaftlicher Vorteil im Drittland (z. B. günstigere Analyse) reicht nicht zur Rechtfertigung einer Übermittlung.

Garantien und Maßnahmen nach Kapitel V DSGVO

Wenn kein Angemessenheitsbeschluss vorliegt, müssen geeignete Garantien getroffen werden:

Standardvertragsklauseln (SCC) oder genehmigte Verhaltensregeln
Zusätzliche, datenschutzstärkende Maßnahmen, z. B. Verschlüsselung, Pseudonymisierung, Zugriffskontrollen
Prüfen, ob lokale Gesetze im Drittland Geheimzugriffsrechte für Behörden erlauben – in solchen Fällen müssen ergänzende Schutzmaßnahmen greifen

Die DSK betont, dass diese Maßnahmen nicht rein formell sein dürfen – sie müssen wirksam konzipiert und umgesetzt sein.

Informationspflichten gegenüber Betroffenen

Gemäß der DSGVO müssen Betroffene über geplante Datenübermittlungen in Drittländer informiert werden:

Sinnvolle Transparenz über Zweck, Empfänger und Rechtsgrundlage
Angabe der Garantien, die für die Übermittlung ergriffen wurden
Klarer Hinweis darauf, dass Daten in Drittländer übermittelt werden

Die DSK hat zu diesem Zweck eine Anlage mit konkreten Empfehlungen formuliert, wie solche Informationen gestaltet werden können (z. B. verständliche Texte, Stichpunkte, Hinweise auf Rechte der Betroffenen).

Ausnahmen bei Drittlandübermittlungen

In einigen Fällen erlaubt die DSGVO Übermittlungen auch ohne andere Garantien:

Wenn ein Angemessenheitsbeschluss existiert
Unter engen Bedingungen in Ausnahmekonstellationen (Art. 49)
Bei lebenswichtigen Interessen der betroffenen Person
In einigen Fällen des öffentlichen Interesses

Diese Ausnahmen sind ausschließlich restriktiv zu nutzen und rechtlich gut zu begründen.

Vorteile dieser Anwendungshinweise

Klare Orientierung für Forschungsinstitutionen und Datenschutzverantwortliche
Reduktion von Rechtsunsicherheiten und Haftungsrisiken
Förderung verantwortlicher internationaler Forschung
Schutz der Rechte betroffener Personen auch bei globalen Projekten

Fazit und Handlungsempfehlungen

Die Anwendungshinweise der DSK zeigen: Drittlandübermittlungen in der medizinischen Forschung sind möglich – aber nur mit sorgfältiger Prüfung, klaren Garantien und transparenter Kommunikation.

Für Ihre Praxis heißt das:

Führen Sie stets eine Zwei-Stufen-Prüfung durch
Nutzen Sie wirksame Schutzmaßnahmen (z. B. Verschlüsselung)
Gestalten Sie Einwilligungen transparent und rechtskonform
Sorgen Sie für klare Informationspflichten gegenüber Betroffenen
Dokumentieren Sie alle Entscheidungen und Maßnahmen sorgfältig

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz