Regulatorischer Kontext · 2026-03-31 · Lesezeit: ~7 Min.
DSGVO und Gesundheitsdaten - Besondere Kategorien, Auftragsverarbeitung und was das für Bioinformatik-Pipelines bedeutet
Gesundheits- und Genomdaten gehören in der DSGVO zu besonders sensiblen Daten. Für technische Teams ist entscheidend, wie Rechtsgrundlagen, Betriebsmodelle und Schutzmassnahmen praktisch zusammenspielen.
Besondere Kategorien nach Art. 9 DSGVO
Gesundheitsdaten unterliegen erhöhten Anforderungen. Verarbeitung setzt regelmäßig eine klare Rechtsgrundlage voraus, etwa ausdrückliche Einwilligung oder eine spezifische Forschungsausnahme.
In Deutschland können zusätzliche Vorgaben aus dem BDSG einschlägig sein, etwa für Forschung und Archivierung im öffentlichen Interesse.
Auftragsverarbeitung und Cloud-Bezug
Werden externe Anbieter in die Verarbeitung eingebunden, ist deren Rolle als Auftragsverarbeiter sauber zu regeln. Das betrifft Verträge, Weisungsstrukturen, technische Maßnahmen und Nachweispflichten.
Bei Drittstaatentransfers steigen Anforderungen an Risikoanalyse und Garantien. Diese Fragen sollten bereits in der Architekturphase bewertet werden, nicht erst nach Inbetriebnahme.
DSFA und technische Schutzmassnahmen
- Bei hohem Risiko kann eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 erforderlich sein.
- Pseudonymisierung reduziert Risiken, ersetzt aber nicht automatisch alle DSGVO-Pflichten.
- Vollständige Anonymisierung ist bei Genomdaten oft schwer belastbar; Re-Identifikationsrisiken bleiben zu bewerten.
Quellen
Die Darstellung ist eine technische und sachliche Einordnung (Stand: 31.03.2026), keine Rechtsberatung. Für verbindliche Bewertungen nutzen Sie spezialisierte Datenschutz- und Rechtsberatung.
Zuletzt aktualisiert: 2026-03-31
Verwandte Kontexte
EHDS - Was der European Health Data Space von Kliniken und Forschungseinrichtungen technisch verlangt · HIPAA für EU-Unternehmen - Wann der amerikanische Gesundheitsdatenschutz relevant wird
Relevanz für Synaptic Four
BioResearch Assistant ist auf on-premise-orientierte Verarbeitung und Pseudonymisierung ausgelegt. Damit kann die Institution die Kontrolle über sensible Datenflüsse enger halten.
Das ist keine automatische Compliance-Zusage. Es ist ein technisches Fundament, das in Governance, Vertragswerk und Datenschutzprozesse eingebettet werden muss.
Für Produktdetails siehe BioResearch Assistant.