Download als PDF
Datenschutz und Forschung
1. Allgemeines
Personenbezogene Daten sind eine wichtige Grundlage für die Gewinnung neuer Erkenntnisse durch wissenschaftliche Forschung. Oftmals betreffen die genutzten Daten zugleich sensible Merkmale der Betroffenen. Zudem können die Forschungsdaten durch innovative Verfahren mit anderen Daten zusammengeführt und für andere Kontexte ausgewertet werden. Dies kann zu Nachteilen für die Betroffenen führen. Das Spannungsverhältnis zwischen der grundrechtlich geschützten Forschungsfreiheit [1] und dem Recht auf Datenschutz beziehungsweise informationelle Selbstbestimmung [2] wird durch die DSGVO adressiert: Der Forschung werden Privilegien eingeräumt, den Betroffenen zum Ausgleich Garantien für ihre Rechte und Freiheiten.
2. Welche Privilegierungen sieht die DSGVO vor?
Viele Regelungen der DSGVO beziehen sich auf den Begriff der „wissenschaftlichen Forschungszwecke“. Hierzu zählen Art. 5 Abs. 1 Buchst. b DSGVO (Zweckvereinbarkeit), Art. 9 Abs. 2 Buchst. j DSGVO (Öffnungsklausel für die Verarbeitung besonderer Kategorien personenbezogener Daten), Art. 14 Abs. 5 Buchst. b DSGVO (Einschränkung der Informationspflichten), Art. 17 Abs. 3 Buchst. d DSGVO (Einschränkung des Rechts auf Löschung), Art. 21 Abs. 6 DSGVO (Widerspruchsrecht) und Art. 89 DSGVO (besondere Garantien und Ausnahmen). Diese Regelungen privilegieren Datenverarbeitungen zu wissenschaftlichen Forschungszwecken und sehen bestimmte Ausnahmen und Einschränkungen von datenschutzrechtlichen Anforderungen vor.
3. Was ist wissenschaftliche Forschung?
Um festzustellen, ob diese privilegierenden Regelungen anwendbar sind, muss geprüft werden, ob eine Verarbeitung tatsächlich zu wissenschaftlichen Forschungszwecken erfolgt. Dies kann regelmäßig nur in einer Einzelfallbeurteilung erfolgen. Die DSK hat in ihrem Positionspapier zum Begriff „Wissenschaftliche Forschungszwecke“ vom 11.09.2024 (als PDF) Kriterien aufgestellt, die den verantwortlichen Stellen eine Hilfestellung bei dieser Beurteilung gibt.
Auf europäischer Ebene hat der Europäische Datenschutzausschuss Leitlinien zur wissenschaftlichen Forschung entwickelt. Diese befinden sich derzeit in der öffentlichen Konsultation. Sobald diese Leitlinien Geltung erlangen, sind die dortigen Kriterien ergänzend zu berücksichtigen.
4. Welche Rechtsgrundlagen gelten für die Forschung mit personenbezogenen Daten?
Wichtigste Rechtsgrundlagen für die Forschung mit personenbezogenen Daten sind entweder die Einwilligung der Betroffenen [3] oder spezifische Forschungsklauseln im Bundes- oder Landesrecht.
a) Forschung durch öffentliche Stellen
§ 13 Niedersächsisches Datenschutzgesetz (NDSG) regelt die Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke durch öffentliche niedersächsische Stellen (§ 1 Abs. 1 Nr. 1 NDSG). Ob es sich bei einem Vorhaben um privilegierte Forschung handelt, ist anhand der von der DSK aufgestellten Kriterien zu ermitteln. Dabei ist der Forschungsbegriff weit auszulegen. [4]
Speziell im Hochschulbereich gilt, dass das Forschungsprivileg nicht dadurch ausgeschlossen wird, dass ein Forschungsvorhaben zugleich auch Ausbildungs- und Prüfungszwecken dient. So werden auch Dissertations- und Habilitationsvorhaben privilegiert, nicht aber Seminararbeiten. Nicht erfasst sind Untersuchungen, die nur zu Aufsichts-, Organisations- und Kontrollzwecken durchgeführt werden.
§ 13 Abs. 1 regelt die Voraussetzungen der Datenverarbeitung für ein bestimmtes Forschungsvorhaben einschließlich der Übermittlung an andere öffentliche niedersächsische Stellen und betrifft sowohl die besonderen Daten nach Art. 9 Abs. 1 DSGVO als auch die sonstigen Daten. Artikel 89 DSGVO regelt weitergehende Anforderungen an die Rechtmäßigkeit der Datenverarbeitung, die insbesondere durch das Anonymisierungsgebot des § 13 Abs. 2 NDSG sowie die Vorgabe einer Trennung der Haupt- und Hilfsmerkmale umgesetzt wird. Eine personenbezogene Veröffentlichung kommt nur bei Vorliegen einer Einwilligung oder bei zeitgeschichtlichen Ereignissen in Betracht (Absatz 3).
Zudem ist zu beachten, dass bereichsspezifische Forschungsklauseln, wie beispielsweise § 75 Sozialgesetzbuch X im Hinblick auf die Verarbeitung von Sozialdaten, als speziellere Regelungen dem § 13 NDSG vorgehen. [5]
b) Für die Forschung durch nicht-öffentliche Stellen gilt § 27 BDSG.
c) Sonderfall: Nutzung von Gesundheitsdaten zu Forschungszwecken
Für die Forschung mit Gesundheitsdaten sind zusätzlich zu den datenschutzrechtlichen Normen die Regelungen zum Patientengeheimnis (ärztliche Schweigepflicht) zu beachten, die sich in den Berufsordnungen der Kammern und in § 203 StGB finden. Wegen des dort statuierten Erfordernisses der Einwilligung des Patienten kann regelmäßig nicht von einem überwiegenden Forschungsinteresse ausgegangen werden, so dass die allgemeinen Forschungsklauseln nicht zum Tragen kommen.
Mit Inkrafttreten des Gesundheitsdatennutzungsgesetzes (GDNG) im Jahr 2024 wurden zusätzliche Rechtsgrundlagen für die Sekundärnutzung von Gesundheitsdaten geschaffen und der Datenaustausch bei länderübergreifenden Forschungsvorhaben im Gesundheitsbereich ermöglicht. Zudem werden die bestehenden datenschutzaufsichtsrechtlichen Zuständigkeiten modifiziert:
- § 6 Abs. 1 GDNG ist die Rechtsgrundlage für die Weiterverarbeitung von Gesundheitsdaten zu Forschungszwecken durch Gesundheitseinrichtungen (sog. Eigenforschung)
- § 6 Abs. 3 Satz 4 GDNG schafft eine bundeseinheitliche Rechtsgrundlage für die gemeinsame Nutzung und Verarbeitung von Gesundheitsdaten zu Forschungszwecken durch öffentlich geförderte Zusammenschlüsse datenverarbeitender Gesundheitseinrichtungen. Neben den gesetzlichen Tatbestandsvoraussetzungen bedarf es der Zustimmung der jeweils zuständigen Datenschutzaufsichtsbehörde. Um das Zustimmungsverfahren möglichst effizient zu gestalten, hat die DSK für die forschenden Stellen ein einheitliches Antragsformular erstellt.
- § 5 GDNG regelt die Datenschutzaufsicht bei länderübergreifenden Gesundheitsforschungsvorhaben. Sofern die verantwortlichen Stellen der Datenschutzaufsicht unterschiedlicher Aufsichtsbehörden unterliegen, kann einer Aufsichtsbehörde die Federführung (Absätze 1 bis 3) oder die alleinige Zuständigkeit (Absatz 4) übertragen werden. Eine Orientierungshilfe der DSK zur Zusammenarbeit mehrerer Aufsichtsbehörden im Rahmen von § 5 GDNG vom 12.12.2025 (als PDF) dient den verantwortlichen Stellen als Hilfestellung für die entsprechenden Anzeigeverfahren.
4. Medizinische Forschungskooperationen mit Stellen in Drittländern
Als Reaktion auf vielfältige Nachfragen hat die DSK am 17.09.2025 die „Anwendungshinweise zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen wissenschaftlicher Forschung zu medizinischen Zwecken“ (PDF) entwickelt. Hiermit wird den forschenden Stellen der Rechtsrahmen für medizinische Forschungskooperationen mit Stellen außerhalb der EU/des EWR aufgezeigt. Dabei werden auf der ersten Stufe die Rechtsgrundlagen für die Datenübermittlung beleuchtet und auf der zweiten Stufe die Anforderungen nach Art. 44 ff. DSGVO dargestellt.
5. Antrag auf Datenzugang gemäß Artikel 40 DSA
Forschende können nach Artikel 40 Digital Service Act (DSA) einen Antrag auf Datenzugang bei sehr großen Online-Plattformen und Suchmaschinen stellen. Zuständige Behörde ist in Deutschland die Bundesnetzagentur als "Digital Service Coordinator" (DSC). Diese entscheidet über das Vorliegen der Zugangsvoraussetzungen im Benehmen mit der zuständigen Datenschutzaufsichtsbehörde (Art. 40 Abs. 4 und 8 DSA i.V.m. § 19 Abs. 1 Digitale-Dienste-Gesetz).
Die anliegende Checkliste stellt die wesentlichen Anforderungen zusammen, die forschende Stellen erfüllen müssen, um den Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben zu erbringen.