Biotech-Gesetz: Datenschützer fordern schärfere Regeln für Gesundheitsdaten

Europas Datenschutzbehörden warnen vor zu laschen Vorgaben im geplanten Biotech-Gesetz. Sie fordern strengere Auflagen für den Umgang mit hochsensiblen Gesundheits- und Gendaten.

Die Initiative der EU-Kommission soll Europas Biotechnologie-Branche stärken und klinische Studien vereinfachen. Doch nun melden sich die obersten Datenschützer zu Wort: Das Europäische Datenschutzgremium (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben am 12. März 2026 eine gemeinsame Stellungnahme veröffentlicht. Darin unterstützen sie zwar das Ziel, Europas Wettbewerbsfähigkeit zu steigern. Gleichzeitig fordern sie deutlich robustere Schutzvorkehrungen für die Privatsphäre von Studienteilnehmern. Diese Empfehlungen werden zum zentralen Compliance-Leitfaden für Pharmakonzerne, Forschungseinrichtungen und Biotech-Startups in der EU.

Da die Anforderungen an den Datenschutz stetig komplexer werden, ist eine strukturierte Umsetzung für Unternehmen unerlässlich. Dieser kostenlose Leitfaden bietet Ihnen eine praxisnahe 5-Schritte-Anleitung, um die Vorgaben der EU-Datenschutzgrundverordnung rechtssicher zu erfüllen. Gratis DSGVO-Leitfaden mit Checkliste sichern

Einheitliche Regeln für klinische Studien

Das Europäische Biotech-Gesetz soll den Flickenteppich bei der Anwendung der Clinical Trials Regulation (CTR) in den Mitgliedstaaten beseitigen. Die Datenschutzbehörden begrüßen diesen Schritt hin zu einem einheitlichen Rechtsrahmen. Ein Kernpunkt ist die Schaffung einer einzigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Studien-Sponsoren und -Prüfer.

Rechtsexperten erwarten, dass diese Harmonisierung die regulatorische Klarheit erheblich verbessert. Bürokratische Hürden, die derzeit die Entwicklung neuer Medikamente verzögern, könnten sinken. Die EU will ihren Binnenmarkt so agiler und für globale Biotech-Investitionen attraktiver machen. Die Behörden betonen jedoch: Administrative Vereinfachung darf nicht auf Kosten des Schutzes der Studienteilnehmer gehen. Die hohe Sensibilität von genetischen und Gesundheitsdaten erfordert durchgängig hohe Schutzstandards.

Klare Verantwortung und KI-Regeln

Um angemessene Datenschutzstandards zu wahren, fordern EDPB und EDPS konkrete Nachbesserungen am Gesetzestext. Eine zentrale Forderung betrifft die klare Zuordnung rechtlicher Verantwortlichkeiten. Die Behörden verlangen, dass der finale Text eindeutig definiert, ob die Akteure, die Studien finanzieren und durchführen, als alleinige oder gemeinsame Verantwortliche (Data Controller) handeln. Diese Klarstellung ist für die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) essenziell.

Zudem adressiert die Stellungnahme den Einsatz von Künstlicher Intelligenz (KI) in der Forschung. Das Biotech-Gesetz muss strikte Kohärenz mit dem kürzlich in Kraft getretenen KI-Gesetz (AI Act) wahren. Pflichten für Sponsoren im Umgang mit automatisierten Systemen dürfen nicht im Widerspruch zu bestehenden KI-Regeln stehen. Außerdem fordern die Aufseher verbindliche technische Schutzmaßnahmen. Die Gesetzgebung soll die Pseudonymisierung von Daten explizit vorschreiben, wo immer die Verarbeitung direkt identifizierbarer Daten nicht zwingend für die Forschungsziele nötig ist.

Der Einsatz von KI in der Forschung unterliegt seit August 2024 strengen EU-Regeln, deren Missachtung teure Bußgelder nach sich ziehen kann. Dieser kompakte Leitfaden erklärt Ihnen verständlich die neuen Kennzeichnungspflichten und Risikoklassen für Ihr Unternehmen. Kostenloses E-Book zur EU-KI-Verordnung herunterladen

Kritik an 25-Jahre-Speicherpflicht

Ein weiterer kritischer Punkt sind die geplanten Aufbewahrungsfristen. Der ursprüngliche Entwurf sieht eine verpflichtende Mindestspeicherdauer von 25 Jahren für klinische Studiendaten vor. EDPB und EDPS raten dringend davon ab, diese lange Frist pauschal auf alle personenbezogenen Daten anzuwenden. Sie verletze das DSGVO-Grundprinzip der Speicherbegrenzung. Die Behörden empfehlen, die 25-Jahre-Frist ausschließlich auf die zentrale Studiendokumentation (Clinical Trial Master File) zu beschränken.

Die Stellungnahme prüft auch die Regeln für die Nachnutzung von Forschungsdaten. Das Biotech-Gesetz will eine Rechtsgrundlage schaffen, damit derselbe Verantwortliche Studiendaten weiterverarbeiten darf. Die Datenschützer fordern, dass das Gesetz die genauen Zwecke und spezifischen Schutzmaßnahmen für diese Nachnutzung klar definiert. Ob die Daten für neue Studien oder breitere Forschungszwecke genutzt werden sollen – die Grundrechte der Teilnehmer müssen vor unkontrollierter Datenvermehrung geschützt werden. Klare Grenzen sind für das öffentliche Vertrauen in die medizinische Forschung unverzichtbar.

Was die Empfehlungen für die Industrie bedeuten

Die Veröffentlichung hat erhebliche Auswirkungen auf die Compliance-Strategien der Life-Sciences-Branche. Biotech-Firmen setzen zunehmend auf großangelegte Datenanalysen. Vorhersehbare Regeln werden so zu einem wichtigen Wettbewerbsfaktor. EDPB-Vorsitzende Anu Talus betonte, dass europäische Innovationsambitionen auf öffentlichem Vertrauen basieren müssten. Die Empfehlungen zielten darauf ab, Teilnehmer zu schützen und gleichzeitig Rechtssicherheit für Forscher zu schaffen. EDPS Wojciech Wiewiórowski unterstrich, dass ein wettbewerbsfähiger Biotech-Sektor von einem harmonisierten Rechtsumfeld mit klaren Rollendefinitionen abhänge.

Für Compliance-Beauftragte ist klar: Branchenspezifische Gesetze werden die Kernprinzipien der DSGVO nicht aushebeln. Unternehmen müssen sich auf strengere Governance-Strukturen einstellen, besonders bei der Datenminimierung und der Dokumentation von Verantwortlichkeiten. Auch Organisationen in regulatorischen Sandboxes werden unter genauer Beobachtung stehen. Die Stellungnahme stellt klar, dass Durchführungsakte für solche Testumgebungen eine gültige Rechtsgrundlage für die Verarbeitung sensibler Daten bieten müssen. Innovation darf keine Hintertür für Datenausbeutung werden.

Der weitere Weg des Gesetzes

Nach der Stellungnahme vom 12. März rücken nun das Europäische Parlament und der Rat der Europäischen Union in den Fokus. Diese Gesetzgeber müssen die Datenschutz-Empfehlungen prüfen und möglicherweise in den finalen Text des Biotech-Gesetzes integrieren. Beobachter rechnen mit intensiven Verhandlungen zwischen Befürwortern medizinischer Innovation und Verfechtern des Privatsphärenschutzes – besonders bei der 25-Jahre-Speicherregel und den Definitionen der Verantwortlichenrollen.

Biotech-Firmen und Forschungseinrichtungen sollten die legislativen Entwicklungen in den kommenden Monaten genau verfolgen. Der endgültige Zeitplan für die Umsetzung des Gesetzes hängt vom üblichen EU-Gesetzgebungsverfahren ab. Die gemeinsame Stellungnahme bietet jedoch bereits einen klaren Fahrplan für die regulatorischen Erwartungen. Organisationen, die langfristige klinische Studien planen, sollten ihre Aufbewahrungsrichtlinien und Pseudonymisierungsverfahren proaktiv überprüfen. So stellen sie sicher, dass sie den künftigen rechtlichen Anforderungen entsprechen.

boerse | 68690173 |