Das Urteil vom 04.09.2025 (C-413/23 P) ist eine klare Ansage für bessere Forschungsmöglichkeiten. Bislang forderten die Datenschutzbehörden für die Forschung ohne gesetzliche Grundlage eine Einwilligung oder die Anonymisierung der Daten.
Beides ist schwierig: Rücklaufquoten für retrospektive Daten sind spärlich, Schwerkranke können oft nicht wirksam einwilligen. Anonymisierung wurde in Deutschland bisher als Allheilmittel gehandelt, führt aber zu Dubletten, verhindert periodenübergreifende Forschung und der Patient kann nicht gem. EHDS-VO über signifikante Befunde oder Therapieoptionen informiert werden („Recht auf Gefundenwerden“). Deswegen ist die Forschung mit pseudonymisierten Daten der Goldstandard.
Pseudonymisierung ist der Goldstandard
In Deutschland halten viele Datenschutzbehörden aber pseudonymisierte Daten für personenbezogen, wenn es irgendwo auf der Welt einen Schlüssel für sie gibt, und fordern Einwilligungen. Dem ist der EuGH nun entgegengetreten: Personenbezug liegt nur dann vor, wenn der Adressat über die erforderlichen Kenntnisse und Mittel verfügt, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person zu identifizieren. Maßgeblich sind Kosten, Zeitaufwand und die zum Zeitpunkt der Verarbeitung verfügbare Technologie.
Gefragt sind nun Verantwortung und eine Risikobewertung im Einzelfall: Dokumentation der Risikoeinschätzung zur Re-Identifizierbarkeit, technische und organisatorische Maßnahmen zum Datenschutz und externe Testate, die die rechtliche Einordnung und die Risikoanalyse bestätigen. Alles machbar.
Während für den Dateninhaber also der Personenbezug erhalten bleiben kann, können die Daten für den Empfänger als nicht personenbezogene Daten gelten und zur Forschung genutzt werden – ein echter Gamechanger.
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company