Forschung trifft auf Datenschutz

Personenbezogen ist jede Information, die direkt oder indirekt einer natürlichen Person zugeordnet werden kann. Dies umfasst weit mehr als Namen oder Adressdaten. In der Forschungspraxis fallen hierunter insbesondere:

• Audio- und Videoaufnahmen: Interviews, Beobachtungsstudien, Gesichter, Stimmen oder individuelle Bewegungsmuster (Gangbilder).
• Bilddaten: Fotos aus Laboraufnahmen oder Videostudien.
• Bioproben: Gewebe- oder Blutproben, sofern Verknüpfungsinformationen existieren.
• Umfragedaten: Evaluationsbögen und Online-Formulare, auch ohne explizite Namensabfrage.
• Technische Rohdaten: Messwerte, GPS- und Sensordaten, die über Zeitstempel oder spezifische Merkmale eine Identifikation ermöglichen.
• Pseudonymisierte Datensätze: Diese gelten weiterhin als personenbezogen – selbst wenn die auswertende Stelle den Schlüssel zur Re-Identifikation nicht selbst besitzt, dieser aber an anderer Stelle existiert.

Zentraler Grundsatz: Pseudonymisierung ist eine Schutzmaßnahme zur Risikominimierung, führt jedoch nicht aus dem Anwendungsbereich der DSGVO heraus.

Der rechtliche Idealfall ist die Arbeit mit anonymen Daten, da für diese die DSGVO keine Anwendung findet. Eine absolute Anonymität, bei der ein Personenbezug unter keinen Umständen wiederhergestellt werden kann, ist in der wissenschaftlichen Praxis jedoch oft schwer realisierbar.

Die DSGVO verfolgt hier einen pragmatischen Ansatz (Erwägungsgrund 26): Ein Personenbezug gilt dann als aufgehoben, wenn die Identifikation unter Berücksichtigung aller verfügbaren Zusatzinformationen, technischen Mittel, Kosten und des Zeitaufwands nicht mehr mit vertretbarem Aufwand möglich ist. Dabei sind zwei Faktoren wesentlich:

1. Kontextabhängigkeit: Die Anonymität hängt stark vom Umfeld ab. Eine Liste von Studierenden einer großen Fakultät bietet eine höhere Anonymität als Daten aus einem Fachseminar mit sehr geringer Teilnehmendenzahl.
2. Zusatzwissen Dritter: Daten, die intern als anonym eingestuft werden, können für externe Kooperationspartner aufgrund von spezifischem Zusatzwissen wieder einen Personenbezug erlangen.

Bestimmte Faktoren erhöhen das Risiko, dass Personen trotz Schutzmaßnahmen identifizierbar werden:

• Kleine Gruppen & viele Merkmale: Je kleiner die Stichprobe (z. B. eine spezielle Expertengruppe) und je mehr Merkmale kombiniert werden (Alter, Beruf, seltene Krankheit), desto wahrscheinlicher wird die eindeutige Zuordnung. Ein „95-jähriger Student der Byzantinistik“ ist oft eindeutig.
• Freitextfelder: Hier "verplappern" sich Teilnehmende oft. Namen von Orten, Kollegen, oder die Beschreibung seltener persönlicher Ereignisse können eine einfache Re-Identifikation ermöglichen.
• Audio- und Bildmaterial: Biometrische Merkmale wie Stimmen oder Mimik sind technisch nur mit hohem Aufwand vollständig zu anonymisieren.
• Langzeitstudien: Wenn für Folgeerhebungen eine Zuordnung erforderlich bleibt, ist eine echte Anonymisierung meist nicht beabsichtigt. In diesen Fällen ist eine konsequente Pseudonymisierung zwingend.

Zur Minimierung datenschutzrechtlicher Risiken empfiehlt sich die Einhaltung folgender Prinzipien:

• Kategorisierung: Verwendung von Kategorien (z. B. Altersgruppen, Kontinent) anstelle von präzisen Werten wie dem Geburtsdatum oder Geburtsort.
• Datenminimierung: Beschränkung der Erhebung auf die für den Forschungszweck absolut notwendigen Parameter.
• Prüfung bei kleinen Gruppen: Prüfung, ob Teilnehmende durch die Kombination von Angaben innerhalb der Gruppe erkennbar bleiben.
• Frühzeitige Planung bei Medien: Rechtzeitige Klärung, ob technische Verfahren wie Verpixelung oder Stimmverfremdung für den Forschungszweck ausreichen oder ob Rohdaten unter besonderen Schutzvorkehrungen gespeichert werden müssen.

Die Hochschule trägt die volle Verantwortung, sofern sie maßgeblich die Rahmenbedingungen und die Ausrichtung der Datenverarbeitung vorgibt. Das kann folgende Konstellationen betreffen:

• Beschäftigte im Dienst: Forschungstätigkeiten, die von Mitarbeitenden im Rahmen ihrer dienstlichen Aufgaben ausgeübt werden. Die Abwicklung erfolgt über die Hochschulinfrastruktur und unterliegt der Genehmigung durch die Leitungsebene.
• Betreute Studierendenprojekte: Forschung im Rahmen von Lehrveranstaltungen oder Abschlussarbeiten, bei denen Thema, Methoden und Infrastruktur maßgeblich durch die Hochschule vorgegeben und eng betreut werden.

Studierende nehmen die Rolle der Verantwortlichen ein, wenn Projekte außerhalb des unmittelbaren Hochschulkontextes realisiert werden.

Das kann der Fall sein, wenn die Entscheidung über Zweck und Mittel der Forschung unabhängig von Vorgaben oder intensiver Betreuung durch die Hochschule getroffen wird. In dieser Konstellation beschränkt sich die Rolle der Hochschule auf den Status der Einschreibung, ohne eine Projektleitung zu übernehmen.

Die Verantwortlichkeit bei Promotionen ist differenziert zu betrachten:

• Regelfall: Häufig liegt die primäre Verantwortung bei der promovierenden Person, da diese die Forschung eigenständig konzipiert, durchführt und wissenschaftlich verantwortet. Diese Unabhängigkeit wird oft durch die jeweiligen Promotionsordnungen gestützt.
• Mitverantwortlichkeit der Hochschule: Eine gemeinsame Verantwortlichkeit kann entstehen, wenn die Promotion fest in ein Drittmittelprojekt integriert ist, bei dem die Hochschule als Vertragspartner fungiert, oder wenn eine intensive Nutzung zentraler Infrastrukturen (z. B. spezialisierte Labore oder zentrale Server) den Austausch von Daten bedingt.

Verfolgen mehrere Akteure (z. B. verschiedene Hochschulen oder Forschungseinrichtungen) ein Vorhaben gemeinsam, liegt oft eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor.

• Voraussetzung: Die Beteiligten verfolgen ein gemeinsames Forschungskonzept mit abgestimmten Zwecken und Mitteln.
• Anforderung: In diesem Fall ist der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit zwingend erforderlich. Darin wird transparent festgelegt, welche Partei welche datenschutzrechtlichen Pflichten (z. B. Informationspflichten gegenüber Betroffenen oder technische Sicherheitsmaßnahmen) übernimmt.

Die Klärung dieser Zuständigkeiten ist keine rein formale Aufgabe, sondern muss zu Beginn eines Projekts erfolgen. Nur so kann sichergestellt werden, dass alle gesetzlichen Anforderungen – von der Dokumentation bis zur eventuell notwendigen Datenschutz-Folgenabschätzung – rechtzeitig von der zuständigen Stelle erfüllt werden.

Das Forschungsprivileg umfasst eine Reihe von Modifikationen der allgemeinen DSGVO-Vorschriften. Diese wurden speziell für die Verarbeitung personenbezogener Daten zu wissenschaftlichen, historischen oder statistischen Forschungszwecken geschaffen.

Es handelt sich nicht um eine Befreiung vom Datenschutz. Vielmehr erlaubt es die Verarbeitung von Daten auch dann, wenn die vollständige Gewährung bestimmter Betroffenenrechte (z. B. Auskunft, Berichtigung oder Widerspruch) die Erreichung des Forschungszwecks unmöglich machen oder ernsthaft beeinträchtigen würde.

Die DSGVO legt den Begriff der wissenschaftlichen Forschung weit aus. Er umfasst die klassische geistes-, natur- und sozialwissenschaftliche Forschung an Hochschulen und Forschungseinrichtungen.

• Wesentliches Kriterium: Das Projekt verfolgt das Ziel, neue wissenschaftliche Erkenntnisse zu gewinnen. Die Durchführung muss anerkannten wissenschaftlichen Standards hinsichtlich Methodik, Dokumentation und Validierung entsprechen.
• Abgrenzung: Reine Marketingstudien, kommerzielle Produktentwicklungen oder interne Verwaltungsaufgaben der Hochschule fallen nicht unter diesen privilegierten Begriff.

Die Anwendung des Forschungsprivilegs ist an strikte Voraussetzungen gebunden, die kumulativ erfüllt sein müssen:

• Strikte Zweckbindung: Die Datenverarbeitung erfolgt ausschließlich zu wissenschaftlichen, historischen oder statistischen Zwecken.
• Notwendigkeit der Einschränkung: Die Ausübung der allgemeinen Betroffenenrechte würde die Forschungsziele ernsthaft beeinträchtigen oder deren Erreichung unmöglich machen.
• Implementierung geeigneter Garantien: Zum Schutz der Rechte und Freiheiten der betroffenen Personen müssen spezifische Sicherheitsmaßnahmen getroffen werden.

Die Inanspruchnahme von Erleichterungen setzt voraus, dass die Datensicherheit durch technische und organisatorische Maßnahmen (TOM) kompensiert wird:

• Datenminimierung: Die Erhebung beschränkt sich auf das für die Forschungsfrage absolut notwendige Maß.
• Pseudonymisierung: Die Identifikationsmerkmale werden frühestmöglich von den Inhaltsdaten getrennt. Die Arbeit erfolgt mit Schlüsseln (z. B. Proband_045 statt Max Müller), wobei die Zuordnungsliste separat und geschützt verwahrt wird.
• Anonymisierung: Sobald ein konkreter Personenbezug für den Forschungszweck nicht mehr erforderlich ist, ist eine Anonymisierung durchzuführen. Anonymisierte Daten unterliegen nicht mehr der DSGVO.
• Infrastrukturelle Sicherheit: Der Einsatz verschlüsselter Hardware, sicherer Serverumgebungen und strenger Zugriffskontrollen ist obligatorisch.
• Zweckbindungsgebot: Daten aus Forschungsprojekten dürfen nicht für fachfremde Zwecke (z. B. Marketing oder Verwaltung) verwendet werden.

Das Forschungsprivileg ermöglicht eine flexible Datennutzung zur Sicherung der Wissenschaftsfreiheit. Im Gegenzug ist durch Pseudonymisierung und Verschlüsselung sicherzustellen, dass kein Missbrauch der Daten erfolgt. Zur rechtssicheren Planung und Anwendung dieser Freiräume wird eine frühzeitige Einbindung der zuständigen Datenschutzstelle der Hochschule empfohlen.

Bereits der Aufruf einer externen Webseite oder Cloud-Anwendung löst eine Datenverarbeitung aus. Bei der Nutzung von Online-Tools werden technisch zwingend Protokolldaten erfasst:

• IP-Adresse: Die digitale Kennung des genutzten Endgeräts.
• Nutzungsdaten: Zeitstempel des Zugriffs, Browsertyp und Betriebssystem.

Diese Daten werden grundsätzlich als personenbezogen eingestuft, da sie (zumindest für den Dienstanbieter) einen Rückschluss auf die nutzende Person ermöglichen. Daraus resultiert die Pflicht zur datenschutzrechtlichen Bewertung des Tools vor dessen Einsatz.

Wird ein externer Dienst – etwa eine Umfrageplattform, ein Transkriptionsservice oder ein Cloud-Repositorium – weisungsgebunden zur Verarbeitung von Forschungsdaten genutzt, liegt eine Auftragsverarbeitung gemäß Art. 28 DSGVO vor. In diesem Fall bestehen spezifische Compliance-Anforderungen:

• Abschluss eines AV-Vertrags: Es muss ein schriftlicher Vertrag vorliegen, der die Rechte und Pflichten beider Parteien rechtssicher festlegt.
• Ausschluss der Eigennutzung: Vertraglich muss sichergestellt sein, dass der Dienstleister die Daten ausschließlich für die Forschungszwecke und nicht für eigene Analysen oder Marketingzwecke verwendet.
• Prüfung technischer Standards: Die Technischen und Organisatorischen Maßnahmen (TOM) des Anbieters (z. B. Verschlüsselungsverfahren, Zugriffsbeschränkungen) müssen kritisch geprüft und dokumentiert werden.

Eine besondere Herausforderung im Forschungsalltag stellen Anbieter oder Serverstandorte außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) dar – dies betrifft insbesondere häufig genutzte US-Dienste. In diesen Fällen liegt eine Drittlandübermittlung vor.

Daten dürfen nur dann in ein Drittland übertragen werden, wenn zusätzlich zur allgemeinen Rechtsgrundlage (z. B. Einwilligung oder Forschungsprivileg) auch die strengen Voraussetzungen für den Drittlandtransfer (wie ein Angemessenheitsbeschluss oder Standarddatenschutzklauseln) erfüllt sind.

Um rechtliche Risiken und aufwendige Prüfverfahren zu minimieren, empfiehlt sich folgendes Vorgehen:

• Priorisierung hochschulinterner Tools: Es sollten vorrangig Dienste genutzt werden, die durch die Hochschule selbst oder das Rechenzentrum der Hamburger Hochschulen bereitgestellt werden. Hier sind die datenschutzrechtlichen Rahmenbedingungen bereits geprüft und vertraglich fixiert.
• Fokus auf EU/EWR-Hosting: Bei der Wahl externer Dienstleister ist auf eine garantierte Datenspeicherung innerhalb des EU-/EWR-Raums zu achten.
• Frühzeitige Beratung: Bei der Nutzung von Tools mit Drittlandbezug oder bei Unsicherheiten bezüglich der Vertragslage ist die frühzeitige Einbindung der zuständigen Datenschutzstelle ratsam. Die erforderliche Risikoprüfung ist komplex und muss für das Projekt dokumentiert werden.

Die Einwilligung der betroffenen Personen stellt ethisch oft die transparenteste Lösung dar, insbesondere bei sensiblen oder emotionalen Forschungsthemen. Eine Einwilligung ist rechtlich jedoch nur wirksam, wenn folgende Kriterien erfüllt sind:

• Freiwilligkeit: Den betroffenen Personen dürfen keine Nachteile durch die Verweigerung oder den Widerruf der Einwilligung entstehen (z. B. Ausschluss von Benotungsrelevanz).
• Informiertheit: Es muss eine verständliche Aufklärung über Zweck, Umfang, Risiken der Verarbeitung sowie die bestehende Widerrufsmöglichkeit erfolgen.
• Spezifität: Die Zustimmung muss sich auf einen konkret benannten Forschungszweck beziehen.
• Unmissverständlichkeit: Die Zustimmung erfordert eine aktive Handlung (z. B. eine Unterschrift oder ein aktiver Klick im Online-Verfahren).

Für Forschungsprojekte sieht die DSGVO eine Besonderheit vor: Da sich Forschungsthemen im Prozess entwickeln können, erlaubt Art. 5 Abs. 1 lit. b DSGVO eine weiter gefasste Zweckbestimmung, sofern die generelle Forschungsrichtung transparent beschrieben wird.

Praxis-Hinweis: Bei Online-Umfragen wird die Einwilligung meist durch eine vorgeschaltete Informationsseite und eine Bestätigung ("Opt-in") realisiert, bevor der Zugriff auf den Fragebogen erfolgt.

Die Verarbeitung von Daten ohne Einwilligung stützt sich an öffentlichen Hochschulen primär auf die gesetzlichen Aufgaben.

1. Öffentliches Interesse und Kernaufgabe (Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 3 HmbDSG) - Die Forschung ist eine im Hamburgischen Hochschulgesetz (HmbHG) verankerte Kernaufgabe der Hochschulen. Eine Datenverarbeitung kann daher zulässig sein, wenn sie zur Wahrnehmung dieser öffentlichen Aufgabe erforderlich ist.
2. Die Forschungsgeneralklausel (§ 11 HmbDSG) - Das Hamburgische Datenschutzgesetz enthält spezifische Regelungen für Wissenschaft und Statistik. Diese Klausel ermöglicht eine Verarbeitung auch ohne Einwilligung, sofern das wissenschaftliche und öffentliche Interesse die schutzwürdigen Belange der Betroffenen deutlich überwiegt. Dies erfordert eine strenge Einzelfallabwägung und den Nachweis, dass der Forschungszweck nicht mit weniger invasiven Mitteln (z. B. anonymisierten Daten) erreicht werden kann.

3. Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 2 lit. j DSGVO) - Bei der Verarbeitung sensibler Informationen (z. B. Gesundheitsdaten, ethnische Herkunft, politische Meinungen) ist eine zusätzliche Rechtsgrundlage erforderlich. Art. 9 Abs. 2 lit. j DSGVO legitimiert diese Verarbeitung zu Forschungszwecken unter der Bedingung, dass weitreichende Garantien wie Pseudonymisierung und hohe technische Sicherheitsstandards implementiert sind.

   ---

   Abwägung der Legitimationsstrategie

   Die Wahl der Rechtsgrundlage ist eine methodische und ethische Entscheidung. Der bevorzugte Weg ist die Einwilligung. Sie stärkt das Vertrauen in die Forschung und ist juristisch meist die risikoärmste Option. Zudem begünstigt die Freiwilligkeit oft die Validität der Ergebnisse, da Teilnehmende aus intrinsischer Motivation handeln, was das Risiko von verzerrten Antworten verringert. Eine gesetzliche Legitimation greift hingegen dort, wo eine Einwilligung nicht praktikabel oder unmöglich ist (z. B. bei umfangreichen Registerstudien oder retrospektiven Analysen). In diesen Fällen besteht eine erhöhte Dokumentationspflicht: Die Interessenabwägung und die getroffenen Schutzmaßnahmen müssen lückenlos nachweisbar sein, um die Datenschutzkonformität des Vorhabens jederzeit belegen zu können.

Erfolgt die Datenerhebung unmittelbar bei der betroffenen Person – etwa durch Interviews, Online-Umfragen oder Laborexperimente – finden die Bestimmungen des Art. 13 DSGVO Anwendung.

• Grundsatz: Diese Informationspflichten sind auch im Forschungskontext grundsätzlich vollständig zu erfüllen.
• Inhaltliche Anforderungen: Die Informationen müssen klar und verständlich aufbereitet sein und folgende Punkte umfassen:
  • Identität der verantwortlichen Stelle (in der Regel die Hochschule).
  • Kontaktdaten der bzw. des behördlichen Datenschutzbeauftragten.
  • Konkreter Zweck sowie die gewählte Rechtsgrundlage der Datenverarbeitung.
  • Empfänger der Daten (sofern eine Weitergabe beabsichtigt ist).
  • Geplante Speicherdauer bzw. Kriterien für die Löschung.
  • Rechte der betroffenen Person (Auskunft, Berichtigung, Beschwerderecht bei Aufsichtsbehörden etc.).

Art. 14 DSGVO ist in seinen Anforderungen strikt, sieht jedoch in Kombination mit dem Forschungsprivileg (Art. 14 Abs. 5 lit. b DSGVO) Ausnahmen vor:

Von einer Information der Betroffenen kann abgesehen werden, wenn die Benachrichtigung mit einem unverhältnismäßig großen Aufwand verbunden wäre (z. B. bei massiven, historischen Datenmengen) oder die Erreichung der Forschungsziele ernsthaft beeinträchtigt würde.

Wichtiger Hinweis: Die Hürden für diese Ausnahme sind hoch. Die Nutzung dieser Regelung erfordert eine lückenlose Dokumentation der Gründe für den unverhältnismäßigen Aufwand oder die Beeinträchtigung der Forschungsziele.

Zur Gewährleistung der Transparenz und zur effizienten Erfüllung der gesetzlichen Pflichten hat sich folgendes Vorgehen bewährt:

• Erstellung von Informationsblättern: Für jedes Projekt sollte ein prägnantes Informationsblatt (als PDF oder digitale Unterseite) bereitgehalten werden.
• Barrierefreie Sprache: Die Formulierungen sollten klar, verständlich und weitgehend frei von komplexen juristischen Fachbegriffen sein, um die Informationsaufnahme für Laien zu erleichtern.
• Sicherstellung der Verfügbarkeit: Eine prominente Verlinkung des Informationsblattes auf Projektwebseiten sowie die Beifügung zu Einladungsschreiben, Einwilligungs- oder Registrierungsformularen stellt die rechtzeitige Information sicher.

Die Weitergabe von Daten innerhalb von Kooperationen oder an externe Dienstleister ist nur zulässig, wenn die anfängliche Rechtsgrundlage dies abdeckt oder eine neue vorliegt.

• Informationspflicht: Informieren Sie Betroffene immer darüber, dass ihre Daten an Kooperationspartner weitergegeben und dort verarbeitet werden. Dies muss bereits im Informationsblatt transparent dargelegt werden.
• Die Auftragsverarbeitung (Art. 28 DSGVO): Beauftragen Sie Dritte mit einer weisungsgebundenen Leistung (z. B. ein externes Labor für Analytik, einen Transkriptionsdienst oder einen Cloud-Hoster), ist zwingend ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO abzuschließen.
• Die Gemeinsame Verantwortlichkeit (Art. 26 DSGVO): Wenn mehrere Hochschulen oder Einrichtungen gemeinsam über Zweck und Mittel der Verarbeitung entscheiden, müssen sie eine Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) treffen. Diese regelt, wer für Auskünfte, Löschungen und Sicherheit zuständig ist.

Die Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) unterliegt besonders strengen Anforderungen.

• Wie oben bereits erläutert, müssen Datentransfers in Drittländer (z. B. USA, sofern kein spezifischer Angemessenheitsbeschluss greift) gemäß Art. 44 ff. DSGVO geprüft werden.
• Die Absicherung erfolgt in der Regel über Standardvertragsklauseln (SCCs) in Kombination mit zusätzlichen technischen Schutzmaßnahmen (z. B. Ende-zu-Ende-Verschlüsselung).

Die Publikation von Ergebnissen markiert das Ziel wissenschaftlicher Arbeit, stellt jedoch datenschutzrechtlich die weitreichendste Form der Datenweitergabe dar, da die Informationen einem unbegrenzten Personenkreis zugänglich gemacht werden.

• Ausschluss der Identifizierbarkeit: Identifizierbare Informationen (Namen, ungekürzte Freitextzitate, unkenntlich gemachte Fotos oder Videos) dürfen ohne eine explizite, informierte Einwilligung zur Veröffentlichung nicht publiziert werden.
• Regelfall: Anonymisierung und Aggregation: Der Standard für Publikationen ist die vorherige Anonymisierung oder Aggregation von Befragungs- und Messdaten. Veröffentlicht werden lediglich gruppierte Auswertungen, statistische Kennzahlen oder Mittelwerte, um die Erstellung von Einzelprofilen und eine Re-Identifikation auszuschließen.

Eine über den Projektabschluss hinausgehende Aufbewahrung kann in bestimmten Konstellationen zulässig sein:

• Wissenschaftliche Integrität: Notwendigkeit der Daten zur Replikation von Ergebnissen oder zur Validierung von Folgestudien (Gute Wissenschaftliche Praxis).
• Förderrechtliche Vorgaben: Spezifische Archivierungsfristen durch Drittmittelgeber oder Anforderungen von Fachverlagen.
• Archivrecht: Gesetzliche Verpflichtungen zur Übergabe relevanter Bestände an das zuständige Hochschularchiv.

Zur Umsetzung dieser Anforderungen tragen strukturierte Datenmanagementpläne (DMP) und abgestimmte Löschkonzepte bei. Eine frühzeitige Festlegung, welche Datenbestände dauerhaft archiviert (in der Regel anonymisiert) und welche gelöscht werden, sichert die Compliance des Projekts.