Datenschutz: Strengere Regeln für medizinische Spenderdatenbanken

Die deutschen Datenschutzbehörden verschärfen die Regeln für medizinische Spenderdaten. Biobanken und Register müssen ihre Einwilligungen überprüfen.

BERLIN – Für medizinische Spenderdatenbanken in Deutschland beginnt eine neue Ära. Anfang Februar 2026 haben die Aufsichtsbehörden klargestellt: Die Zeiten unklarer oder pauschaler Einwilligungen für die Nutzung sensibler Gesundheitsdaten sind vorbei. Der Druck kommt aus Brüssel und Berlin zugleich, während der Europäische Gesundheitsdatenraum (EHDS) in eine kritische Umsetzungsphase tritt.

Am 5. Februar startete der Bundesbeauftragte für den Datenschutz (BfDI) offiziell das „ReguLab“. Diese regulatorische Sandbox soll Rechtssicherheit für datengetriebene Innovationen im Gesundheitssektor schaffen, noch bevor sie auf den Markt kommen. „Rechtliche Unsicherheit bei der Umsetzung des Datenschutzes hemmt Innovationen“, betonte die Bundesbeauftragte Prof. Dr. Louisa Specht-Riemenschneider. Das Lab soll diese Unklarheiten beseitigen.

Für Biobanken und Spenderregister, die genetische und Gesundheitsinformationen verwalten, bedeutet das das Ende einer Grauzone. Künftig müssen Einwilligungen granular, widerrufbar und streng zweckgebunden sein – selbst innerhalb neuer, innovationsfreundlicher Testumgebungen. Vage Formulare, wie sie in der Vergangenheit oft für Forschungszwecke genutzt wurden, reichen nicht mehr aus.

Unternehmen und Forschungseinrichtungen riskieren empfindliche Sanktionen, wenn ihre KI‑Systeme die neuen EU‑Vorgaben nicht erfüllen. Die EU‑KI‑Verordnung verlangt unter anderem Risikoklassifizierung, ausführliche Dokumentation und Kennzeichnung von Systemen, die mit sensiblen Gesundheitsdaten trainiert werden — genau das, womit Biobanken und Spenderregister jetzt konfrontiert sind. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Pflichten gelten, wie Sie Ihr KI‑Projekt richtig einstufen und welche Fristen Sie kennen müssen. KI‑Verordnung: Gratis‑Leitfaden downloaden

EHDS-Umsetzung: Hürden bei der „Sekundärnutzung“

Der strenge Kurs der deutschen Behörden steht im Einklang mit der Umsetzung der EHDS-Verordnung, die seit März 2025 in Kraft ist. Sie soll die „Sekundärnutzung“ von Gesundheitsdaten für die Forschung erleichtern, oft auch ohne ausdrückliche Einwilligung. Doch der Übergang stellt bestehende Spenderdatenbanken vor massive Herausforderungen.

Die Interaktion zwischen EHDS und der nationalen Auslegung der Datenschutz-Grundverordnung (DSGVO) bleibt komplex. Die deutschen Aufseher deuten die Sekundärnutzungs-Regeln konservativ aus. Datenbanken müssen nachweisen, dass ihre oft Jahre alten Datensätze die strengen Transparenzanforderungen für den europäischen Datenaustausch erfüllen. Andernfalls droht der Ausschluss wertvoller Forschungsdaten aus der europäischen Infrastruktur.

Data Act vs. DSGVO: Ein klares Machtwort

Weitere Komplexität bringt das Zusammenspiel von DSGVO und dem neuen EU Data Act. Am 6. Februar veranstaltete der BfDI seine zweite „Denkwerkstatt“, um Konflikte zwischen beiden Verordnungen zu klären. Das zentrale Ergebnis: Die Datenaustausch-Regeln des Data Act senken nicht die Datenschutzstandards.

Für Hersteller medizinischer Geräte und Betreiber von Spenderdatenbanken heißt das: Anfragen nach Datenzugang können die Notwendigkeit einer rechtlichen Grundlage – in der Regel die ausdrückliche Einwilligung – nicht umgehen, wenn es um persönliche Gesundheitsdaten geht. Diese Klarstellung ist besonders für Register relevant, die mit Pharmaunternehmen forschen. Ihr Weg zur Compliance wird enger.

KI-Entwicklung unter strengerer Beobachtung

Die Verschärfung betrifft auch die Nutzung von Spenderdaten zum Training Künstlicher Intelligenz (KI). Ende Januar warnten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) in einer gemeinsamen Stellungnahme vor dem uneingeschränkten Einsatz sensibler Daten zur KI-Bias-Erkennung.

Solche Daten sollten nur in „umgrenzten Situationen“ verarbeitet werden, so die Aufseher. Für medizinische Datenbanken, die oft hochwertige genomische Daten für KI-Trainings besitzen, wirkt dies wie eine Bremse im „Goldrausch“ der KI-Entwicklung. Jede weitere Nutzung ihrer Daten für KI muss nun explizit in der ursprünglichen Spenden-Einwilligung abgedeckt sein.

Ausblick: Das Jahr der Nachrüstung

Branchenbeobachter sehen 2026 als Jahr der „Compliance-Nachrüstung“ für medizinische Biobanken. Das ReguLab bietet einen kooperativen Weg, doch die Botschaft ist klar: Die Ära pauschaler Datennutzung ist beendet.

Organisationen sollten ihre Einwilligungserklärungen sofort überprüfen. Mit dem Vollzug der EHDS-Sekundärnutzung 2029 im Blick, werden die Entscheidungen der kommenden Monate über die Zukunftsfähigkeit der Spenderdatenbanken im europäischen Ökosystem entscheiden.

PS: Das Thema KI‑Compliance lässt sich nicht aufschieben — die EU‑Regeln sind bereits in Kraft und verlangen klare Nachweise zur Datenherkunft und Bias‑Minderung. Wenn Sie Spenderdaten für KI‑Training nutzen, brauchen Sie eine konkrete Umsetzungsstrategie. In unserem kostenlosen Leitfaden finden Verantwortliche im Gesundheitssektor Checklisten, Dokumentationsvorlagen und eine Schritt‑für‑Schritt‑Anleitung, um KI‑Systeme rechtskonform zu betreiben. So schützen Sie Spenderrechte und vermeiden teure Rechtsrisiken. Jetzt KI‑Umsetzungsleitfaden anfordern