Die Verarbeitung personenbezogener Daten ist für viele Forschungsbereiche unverzichtbar. Gerade in Medizin, Sozialwissenschaften und bei der Entwicklung Künstlicher Intelligenz können große Datenmengen zu neuen Erkenntnissen führen. Gleichzeitig stellt sich häufig die Frage, wie Forschungsvorhaben datenschutzkonform gestaltet werden können. Der Europäische Datenschutzausschuss, EDSA, hat hierzu neue Leitlinien zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken veröffentlicht. Ziel ist es, mehr Rechtssicherheit für Forschungseinrichtungen, Unternehmen und öffentliche Stellen zu schaffen und zugleich die Rechte betroffener Personen zu schützen.
Mehr Klarheit für wissenschaftliche Forschung nach der DSGVO
Der EDSA macht deutlich, dass die Datenschutz-Grundverordnung Forschung nicht verhindern soll. Vielmehr bietet die DSGVO einen Rahmen, der wissenschaftliche Forschung ermöglicht und zugleich Grundrechte schützt. Die Leitlinien geben praktische Orientierung dazu, wann eine Verarbeitung wissenschaftlichen Forschungszwecken dient, welche Rechtsgrundlagen infrage kommen, wie Einwilligungen gestaltet werden können und welche Schutzmaßnahmen erforderlich sind.
Wann gilt ein Projekt als wissenschaftliche Forschung?
Ein zentraler Punkt ist die Abgrenzung echter wissenschaftlicher Forschung. Nicht jedes datengetriebene Analyseprojekt kann sich automatisch auf die besonderen Regeln der DSGVO für Forschungszwecke berufen. Der EDSA nennt hierfür mehrere Indikatoren, etwa einen methodischen und systematischen Ansatz, ethische Standards, Transparenz, wissenschaftliche Zielsetzung sowie das Potenzial, bestehendes Wissen zu erweitern oder neu anzuwenden.
Erfüllt ein Vorhaben diese Kriterien, spricht dies für wissenschaftliche Forschung im Sinne der DSGVO. Werden sie nicht erfüllt, muss begründet werden können, warum das Projekt dennoch entsprechend einzuordnen ist. Das ist insbesondere für Unternehmen relevant, die datenbasierte Forschung mit kommerziellen Interessen verbinden.
Weiterverarbeitung von Daten wird erleichtert
Besonders praxisrelevant sind die Aussagen zur Zweckbindung. In der Forschung zeigt sich häufig erst im Verlauf eines Projekts, dass Daten auch für weitere wissenschaftliche Fragestellungen relevant sein können.
Der EDSA stellt klar, dass die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken grundsätzlich als mit dem ursprünglichen Erhebungszweck vereinbar gilt. Verantwortliche müssen daher keinen zusätzlichen Zweckkompatibilitätstest durchführen. Dennoch bleibt es erforderlich, die Rechtmäßigkeit der Verarbeitung zu prüfen und eine tragfähige Rechtsgrundlage sicherzustellen.
Rechtsgrundlagen: Einwilligung, öffentliches Interesse und berechtigtes Interesse
Die Leitlinien befassen sich auch mit möglichen Rechtsgrundlagen. Eine Einwilligung kann weiterhin eine wichtige Rolle spielen. Wenn die konkreten Forschungszwecke bei der Datenerhebung noch nicht vollständig feststehen, kann unter bestimmten Voraussetzungen eine breite Einwilligung zulässig sein. Dabei muss die Forschung in einem bestimmten wissenschaftlichen Bereich beschrieben werden und durch zusätzliche Schutzvorkehrungen abgesichert sein.
Daneben kommen auch andere Rechtsgrundlagen in Betracht. Forschung im öffentlichen Interesse ist nicht ausschließlich öffentlichen Stellen vorbehalten. Auch private Einrichtungen können sich darauf stützen, wenn eine gesetzliche Grundlage ihre Tätigkeit abdeckt. Zudem kann wissenschaftliche Forschung ein berechtigtes Interesse darstellen, auch wenn sie kommerziell betrieben wird. Entscheidend bleibt dann eine sorgfältige Interessenabwägung.
Betroffenenrechte und Schutzmaßnahmen
Betroffenenrechte bleiben auch im Forschungskontext relevant. Rechte auf Auskunft, Löschung oder Widerspruch werden nicht aufgehoben. Einschränkungen können jedoch greifen, wenn die Ausübung dieser Rechte ein Forschungsvorhaben unmöglich machen oder ernsthaft beeinträchtigen würde. Solche Einschränkungen müssen sorgfältig begründet und dokumentiert werden.
Zugleich betont der EDSA die Bedeutung geeigneter Schutzmaßnahmen. Anonymisierte Daten sollten bevorzugt genutzt werden, wenn der Forschungszweck damit erreicht werden kann. Ist dies nicht möglich, kommt Pseudonymisierung als wichtige Schutzmaßnahme in Betracht. Weitere Maßnahmen können etwa ethische Aufsicht, sichere Verarbeitungsumgebungen, Vertraulichkeitsvereinbarungen und Schutzmaßnahmen bei der Veröffentlichung von Forschungsergebnissen sein.
Bedeutung für Forschungseinrichtungen und Unternehmen
Die Leitlinien sind für öffentliche Forschungseinrichtungen, Hochschulen, Unternehmen und Forschungskooperationen gleichermaßen relevant. Gerade bei gemeinsamen Projekten oder Dateninfrastrukturen muss klar dokumentiert werden, wer Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist. Diese Rollenverteilung ist entscheidend für Rechenschaftspflichten und Betroffenenrechte.
Für die Praxis heißt das: Forschungsprojekte sollten nicht nur wissenschaftlich, sondern auch datenschutzrechtlich strukturiert geplant werden. Dazu gehören eine klare Zweckbeschreibung, eine belastbare Rechtsgrundlage, dokumentierte Schutzmaßnahmen und transparente Informationen gegenüber Betroffenen.
Fazit
Die EDSA-Leitlinien zur wissenschaftlichen Forschung zeigen, dass Datenschutz und Innovation kein Gegensatz sein müssen. Die DSGVO erlaubt datenbasierte Forschung, verlangt aber klare Strukturen, nachvollziehbare Rechtsgrundlagen und wirksame Schutzmaßnahmen.
Forschungseinrichtungen und Unternehmen sollten frühzeitig prüfen, ob ihr Vorhaben die Kriterien wissenschaftlicher Forschung erfüllt, welche Rechtsgrundlage trägt und welche technischen sowie organisatorischen Maßnahmen erforderlich sind. So können Forschungsdaten verantwortungsvoll genutzt werden, ohne den Schutz betroffener Personen aus dem Blick zu verlieren.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
