Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) hat am 15. April 2026 die Guidelines 1/2026 zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke veröffentlicht. Die Leitlinien befinden sich derzeit in der Konsultation und sollen die Anwendung der DSGVO im Bereich der Forschung präzisieren, in der insbesondere Künstliche Intelligenz erheblich an Bedeutung gewonnen hat. Für die Praxis sind die Leitlinien insbesondere für Forschungseinrichtungen und Unternehmen mit Forschungs- und Entwicklungsaktivitäten relevant.
Neue Leitplanken für Datenverarbeitung in der Forschung
Die Leitlinien konkretisieren zunächst den Begriff der „wissenschaftlichen Forschung“ im Sinne der DSGVO. Maßgeblich sind mehrere Kriterien, darunter eine methodisch-systematische Vorgehensweise, die Einhaltung wissenschaftlicher und ethischer Standards sowie eine auf Erkenntnisgewinn gerichtete Zielsetzung. Auf dieser Grundlage bestätigt der EDPB zentrale datenschutzrechtliche Privilegierungen. Die Weiterverarbeitung personenbezogener Daten zu Forschungszwecken gilt grundsätzlich als mit dem ursprünglichen Zweck vereinbar. Zudem können Daten länger gespeichert werden, sofern dies für Forschungszwecke erforderlich ist.
Hinsichtlich der Rechtsgrundlagen sieht die DSGVO keine eigenständige Rechtsgrundlage für Forschungszwecke vor. Vielmehr sind weiterhin die allgemeinen Tatbestände heranzuziehen. In Betracht kommen insbesondere Einwilligungen – auch in Form von Broad oder Dynamic Consent –, berechtigte Interessen sowie die Wahrnehmung von Aufgaben im öffentlichen Interesse. Die Vermutung der Zweckkompatibilität erleichtert zwar die Weiterverarbeitung, entbindet jedoch nicht von der Pflicht, eine tragfähige Rechtsgrundlage zu bestimmen und zu dokumentieren. Entscheidend ist dabei, dass die Rechtmäßigkeit nicht einmalig, sondern fortlaufend zu prüfen ist.
Für die Praxis bedeutet dies insbesondere, dass Forschungsprojekte nicht isoliert betrachtet werden können. Vielmehr ist eine kontinuierliche Bewertung der Rechtsgrundlage entlang des gesamten Forschungslebenszyklus erforderlich. Dies betrifft insbesondere den Übergang von der Datenerhebung zur weiteren Nutzung, etwa für Anschlussstudien, Sekundäranalysen oder andere Formen der Weiterverarbeitung. Die Vermutung der Zweckkompatibilität erleichtert diese Übergänge, ersetzt jedoch nicht die rechtliche Neubewertung einzelner Verarbeitungsphasen.
Gerade bei komplexen oder mehrphasigen Projekten kann dies dazu führen, dass unterschiedliche Verarbeitungsschritte auf unterschiedliche Rechtsgrundlagen gestützt werden müssen. Dies gilt insbesondere dann, wenn sich Zweck, Umfang oder Kontext der Verarbeitung im Zeitverlauf verändern oder wenn besondere Kategorien personenbezogener Daten betroffen sind. Für besondere Kategorien personenbezogener Daten gelten zusätzlich die Anforderungen des Art. 9 DSGVO. Auch hier bleibt eine eigenständige Prüfung erforderlich, unabhängig davon, ob die Verarbeitung zu Forschungszwecken erfolgt.
Betroffenenrechte können eingeschränkt werden
Die Leitlinien stellen klar, dass Betroffenenrechte auch im Forschungskontext grundsätzlich fortgelten und die maßgebliche Grenze der Forschungsprivilegien bilden. Zwar erlaubt die DSGVO Einschränkungen einzelner Rechte, insbesondere des Rechts auf Löschung und des Widerspruchsrechts. Voraussetzung ist jedoch, dass die Ausübung dieser Rechte die Forschungszwecke unmöglich macht oder ernsthaft beeinträchtigt. Darüber hinaus müssen solche Einschränkungen gesetzlich vorgesehen sein und durch geeignete Garantien flankiert werden. Zu diesen Garantien zählen insbesondere Pseudonymisierung, Datenminimierung sowie technische und organisatorische Maßnahmen im Sinne von Art. 89 DSGVO. Für Forschungseinrichtungen und forschende Unternehmen bedeutet dies, dass Betroffenenrechte den Regelfall darstellen. Einschränkungen sind im Einzelfall zu begründen und rechtlich abzusichern. Eine pauschale Reduktion dieser Rechte unter Verweis auf Forschungszwecke ist nicht zulässig.
Praxisfolgen für Unternehmen
Für Forschungseinrichtungen und forschende Unternehmen führen die Leitlinien zu einer präziseren, zugleich aber anspruchsvolleren Einordnung datengetriebener Verarbeitungsvorgänge. Zunächst steigt der Aufwand für die Qualifikation als wissenschaftliche Forschung. Datenverarbeitungen müssen entlang der vom EDPB entwickelten Kriterien strukturiert eingeordnet und dokumentiert werden. Insbesondere im KI-Kontext ist eine klare Abgrenzung zwischen Forschungszwecken und produktbezogener Nutzung erforderlich.
Auch die Wahl und Begründung der Rechtsgrundlage gewinnt an Bedeutung. Zwar eröffnen die Leitlinien Spielräume, etwa bei berechtigten Interessen oder flexiblen Einwilligungsmodellen. Diese müssen jedoch belastbar hergeleitet und konsistent umgesetzt werden, insbesondere bei mehrphasigen oder iterativen Projekten.
Konkrete Herausforderungen ergeben sich im operativen Umgang mit Betroffenenrechten. Zentrale Frage ist dabei, unter welchen Voraussetzungen die Ausübung dieser Rechte die Forschungsziele tatsächlich unmöglich macht oder ernsthaft beeinträchtigt und damit eine Einschränkung rechtfertigt. Diese Bewertung erfordert eine einzelfallbezogene Abwägung und eine enge Verknüpfung mit der konkreten Ausgestaltung des jeweiligen Forschungsvorhabens
Hinzu kommt, dass die Ablehnung von Anfragen eine nachvollziehbare und dokumentierte Begründung erfordert, die den Bezug um konkreten Forschungsvorhaben herstellt. Diese Anforderungen lassen sich regelmäßig nicht abstrakt erfüllen, sondern erfordern projektbezogene Prozesse und entsprechende Governance-Strukturen.
Fazit
Die Guidelines 1/2026 schaffen mehr Klarheit für die Verarbeitung personenbezogener Daten zu Forschungszwecken, insbesondere im Kontext datengetriebener Technologien und KI. Sie bestätigen bestehende Privilegierungen, konkretisieren jedoch zugleich deren Voraussetzungen und Grenzen.
Für forschende Unternehmen bedeutet dies vor allem eine stärkere Strukturierungspflicht. Die Einordnung als wissenschaftliche Forschung muss nachvollziehbar begründet werden. Für die Praxis ergibt sich daraus kein grundsätzlicher Paradigmenwechsel, wohl aber eine Verdichtung der Anforderungen. Datengetriebene Forschung bleibt möglich, setzt jedoch eine saubere rechtliche Einordnung, belastbare Prozesse und eine konsistente Governance voraus.
Die Leitlinien befinden sich derzeit in der öffentlichen Konsultation, die bis zum 25. Juni 2026 läuft. Im Anschluss wird der EDPB die eingegangenen Stellungnahmen auswerten und die Leitlinien in finaler Fassung verabschieden. Es ist davon auszugehen, dass diese künftig als maßgeblicher Referenzrahmen für die Auslegung der DSGVO im Forschungsbereich dienen werden.
Quelle: Pressemitteilung EDPB, 16.04.2026
Wir beraten Unternehmen/Organisationen im Datenschutz bei der Planung und Durchführung von Forschungsprojekten bzw. klinischen Studien. Diese Leistungen können individuell projektbasiert im Rahmen der Datenschutzberatung oder im Rahmen der Wahrnehmung der Rolle des externen Datenschutzbeauftragten erfolgen. Kontaktieren Sie uns gerne bei Fragen.
