Für viele wissenschaftliche Forschungsprojekte ist es unerlässlich, personenbezogene Daten zu verarbeiten. Forschungsvorhaben stehen daher häufig im Spannungsfeld zwischen dem Schutz der Persönlichkeitsrechte jener, deren Daten herangezogen werden sollen, und dem Erkenntnisgewinn. Neue Behandlungsmöglichkeiten in der Medizin, neue Schul- und Unterrichtskonzepte wie auch neue Technologien lassen sich jedoch häufig nur dann entwickeln, wenn auch personenbezogene Daten untersucht werden können. Gleichzeitig ist der Schutz der Persönlichkeitsrechte der betroffenen Personen ein zentrales Anliegen des Datenschutzrechts.

Die Datenschutz-Grundverordnung (DSGVO) sieht für die wissenschaftliche Forschung besondere Regelungen und Privilegierungen vor. So können unter bestimmten Voraussetzungen personenbezogene Daten auch ohne Einwilligung der betroffenen Personen zu Forschungszwecken verarbeitet werden. Voraussetzung ist jedoch stets, dass geeignete Garantien und Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

Zu den wichtigsten Grundsätzen gehören

• Transparenz und Information: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden.
• Datenminimierung und Zweckbindung: Es dürfen nur die für das Forschungsvorhaben erforderlichen Daten verarbeitet und diese nur für festgelegte, legitime Zwecke genutzt werden.
• Technische und organisatorische Maßnahmen: Die Sicherheit der Daten muss durch geeignete Maßnahmen, wie Pseudonymisierung oder Verschlüsselung, gewährleistet werden.
• Betroffenenrechte: Auch im Forschungskontext stehen den betroffenen Personen Rechte wie Auskunft, Widerspruch oder Löschung zu – allerdings können diese Rechte im Einzelfall eingeschränkt sein, wenn dies für die Forschung erforderlich ist und gesetzlich vorgesehen wird.

Gerade bei besonders sensiblen Daten, wie genetischen Daten oder Gesundheitsdaten, gelten erhöhte Anforderungen. Hier ist in der Regel eine ausdrückliche Einwilligung der betroffenen Personen erforderlich, es sei denn, eine gesetzliche Grundlage sieht etwas anderes und zugleich besondere Schutzmaßnahmen vor.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in mehreren Positionspapieren und Entschließungen die datenschutzrechtlichen Anforderungen an die wissenschaftliche Forschung konkretisiert. Diese Papiere können sowohl Forschenden als auch betroffenen Personen Orientierung bieten.

Auch spezifische Fragestellungen, wie etwa die Übermittlung von Forschungsdaten in Drittländer, werden in eigenen DSK-Papieren behandelt.
 

Am 26. März 2024 ist das Gesundheitsdatennutzungsgesetz in Kraft getreten. Mit diesem Gesetz sollen Gesundheitsdaten außerhalb des unmittelbaren Versorgungskontextes unter anderem zu Forschungszwecken nutzbar gemacht werden. Eine Weitergabe der personenbezogenen Daten an Dritte in diesem Kontext ist danach zunächst grundsätzlich untersagt. Die jeweils zuständige Datenschutzaufsichtsbehörde kann für öffentlich geförderte Zusammenschlüsse von datenverarbeitenden Gesundheitseinrichtungen einschließlich Verbundforschungsvorhaben und Forschungspraxennetzwerken unter bestimmten Voraussetzungen jedoch einer solchen Weitergabe im Rahmen der Weiterverarbeitung zustimmen. Diesbezüglich stellt der HmbBfDI folgendes Antragsformular zur Verfügung, welches von der Taskforce Forschungsdaten der Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) erstellt wurde.

Mit dem Digital Services Act (DSA) wurden Ende Oktober 2025 zudem neue Möglichkeiten für die wissenschaftliche Forschung geschaffen: Forschende können künftig unter bestimmten Voraussetzungen Zugang zu Daten sehr großer Online-Plattformen und Suchmaschinen beantragen, um systemische Risiken zu untersuchen. Dabei gelten strenge datenschutzrechtliche Anforderungen, deren Einhaltung im Antragsverfahren geprüft wird.

Antrag über das Data Access Portal der EU

Entsprechende Anträge können über das Data Access Portal der EU direkt beim Digital Services Coordinator (DSC) am Ort des Unternehmenssitzes, aber auch beim nationalen DSC der Forschungsorganisation eingereicht werden. In Deutschland ist der DSC in der Bundesnetzagentur (BNetzA) angesiedelt. Die finale Bewertung und Zulassung erfolgt durch den oder die Koordinator:in am Ort der Niederlassung der Online-Plattform. Da eine Vielzahl der Online-Plattformen in Irland ansässig ist (zum Beispiel Meta mit Facebook und Instagram, TikTok, X, Google, unter anderem mit YouTube und Search), wird in diesen Fällen der irische DSC über die Anträge entscheiden.

Schutz der Nutzendendaten

Da die Datensätze direkte oder indirekte Rückschlüsse auf einzelne Nutzende zulassen können, durch deren Interaktionen, Profile oder andere veröffentlichte Inhalte, müssen Forschende die Vorgaben der Datenschutzgrundverordnung (DSGVO) bei der Durchführung ihres Vorhabens einhalten. Sofern eine Forschungseinrichtung ihren Antrag beim deutschen DSC einreicht, prüft im Rahmen des Zulassungsprozesses auch die Datenschutzaufsichtsbehörde am Sitz der Forschungseinrichtung. Eine Checkliste erläutert, wie Forschende nachweisen können, dass sie die Anforderungen einhalten.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ist die Schnittstelle der deutschen Datenschutz-Aufsichtsbehörden zur BNetzA, der die Anfragen bündelt und dadurch der BNetzA als zentraler Ansprechpartner im föderalen System dient. Bei Fragen zum Datenschutz in der wissenschaftlichen Forschung steht Ihnen der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gerne beratend zur Seite.