Skip to main contentSkip to page footer

Datenschutz in der Forschung

Forschen Sie mit personenbezogenen Daten? – Dann hilft es, sich frühzeitig Gedanken zu machen: Etwa dazu, wie Sie die „informierte Einwilligung“ von den Studienteilnehmenden einholen, wie Sie Daten anonymisieren und sichern können. 

Hier gelangen Sie zu den einzelnen Inhalten:

Forschen mit personenbezogenen DatenInformierte EinwilligungEinwilligung bei Minderjährigen oder nicht einwilligungsfähigen PersonenAnonymisieren und PseudonymisierenPersonenbezogene Daten sicher verarbeitenWeiterführende Informationen und Quellen

Forschen mit personenbezogenen Daten

Wenn Sie an Ihre eigene Forschung denken: Erheben Sie Namen, Kontaktdaten, Bilder oder Stimmen? Über solche Informationen – sogenannte personenbezogene Daten – lassen sich Teilnehmer*innen von Studien eindeutig identifizieren. 

Die Vorgaben des Datenschutzes sind im Forschungsprozess immer dann zu beachten, wenn personenbezogene Daten natürlicher Personen erhoben oder verarbeitet werden. Ziel des Datenschutzes ist die Wahrung von Persönlichkeitsrechten natürlicher Personen. Dazu gehört das Recht auf informationelle Selbstbestimmung und der Schutz vor negativen Folgen durch die Verarbeitung personenbezogener Daten. 

Im Stamp, dem „Standardisierten Datenmanagementplan für die Bildungsforschung“ ist folgender Standard definiert: 

„Die Verarbeitung personenbezogener Daten erfolgt gemäß den rechtlichen Vorgaben des Datenschutzes. Dies betrifft im Projektverlauf (1) das gesicherte Verarbeiten personenbezogener Daten sowie über das Projektende hinaus (2) die Verfügbarkeit der Daten zur Nachnutzung durch Dritte und (3) die Langfristsicherung relevanter Materialien.“

Die Vorgaben des Datenschutzes gestatten das Forschen – genauer das Erheben, Verarbeiten und Nutzen – personenbezogener Daten nur,

  • wenn dies gesetzlich oder durch andere Rechtsvorschriften erlaubt oder vorgeschrieben ist
  • oder die jeweils betroffene Person, um deren Daten es geht, hierin eingewilligt hat (Art. 6 DSGVO; ausgeübtes informationelles Selbstbestimmungsrecht BDSG a. F. § 4 Abs. 1)

Anders formuliert ist Forschung immer dann möglich, wenn Daten anonym oder anonymisiert sind. Bei Forschung mit personengezogenen Daten muss eine Einwilligung vorliegen oder eine Rechtsvorschrift Forschung erlauben. 

Was personenbezogene Daten sind, ist in der DSGVO definiert:

Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. (Art. 4 Nr. 1 DSGVO)

Personen können eindeutig identifiziert werden über Angaben wie Name, Adresse, Geburtsdatum oder Versicherungsnummer. Bei diesen Angaben handelt es sich um sogenannte direkte Identifikatoren. 

Neben Daten, die eine direkte Identifikation von Personen ermöglichen, können Personen auch indirekt durch Kombination von Daten identifiziert werden. Etwa, wenn es in einem namentlich bekannten Ort nur eine einzige Grundschule gibt und die Schulleiterin Teilnehmerin an einer Studie ist. Die betreffende Person kann bereits anhand der beiden Merkmale Ort und berufliche Position in ihrer Kombination eindeutig identifiziert werden. 

Ob Merkmale tatsächlich personenbeziehbar sind, hängt von den Angaben ab, die vorliegen, sowie den sonstigen Informationen, die zugänglich sind. 

Die DSGVO definiert „besondere Kategorien personenbezogener Daten":

Es gibt besondere Kategorien personenbezogener Daten, die als besonders sensibel gelten: „personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie […] genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. (Art. 9 Nr. 1 DSGVO)

Die besonderen Kategorien personenbezogener Daten gelten als besonders sensibel und sind besonders zu schützen.

Informierte Einwilligung

Einwilligungen von Studienteilnehmenden sind nur wirksam, wenn diese vollständig und verständlich über die Inhalte und Zwecke der Erhebung personenbezogener Daten informiert werden. Einwilligungen bestehen in der Regel aus drei Elementen:

  1. Informationsteil: Hier wird die Studie beschrieben und die Bitte um Einwilligung vorgetragen.
  2. Hinweise zum Datenschutz: In den Hinweisen wird erläutert, auf welcher rechtlichen Grundlage welche Daten erhoben werden, wie diese verwendet werden und welche Rechte die betroffenen Personen haben.
  3. Einverständniserklärung: Bei schriftlichen Erklärungen ist das der Abschnitt, bei dem die Betroffenen per Unterschrift ihr Einverständnis erklären.

Bei quantitativen Umfragen und Surveys wird häufig vom Einholen schriftlicher Einwilligungserklärungen abgesehen. Stattdessen wird ein Informationsblatt ausgehändigt, in dem den Studienteilnehmenden Anonymität zugesichert wird. Dieses Informationsblatt sollte auch Angaben zum Datenteilen oder der Langfristsicherung der Daten entsprechend der Guten Wissenschaftlichen Praxis enthalten. 

Über welche Inhalte muss informiert werden? Welche Rechte haben Betroffene? Was hat es mit Freiwilligkeit, Widerruf und Nachteilsfreiheit auf sich? Welche Formalia sind zu beachten? Informationen finden Sie in den folgenden Checklisten und Formulierungsbeispielen:

 

Eine Anregung, wie Untersuchungspersonen in einfachen und klaren Worten über die Art der Datenverwendung bei Surveys informiert werden können, finden Sie hier:

Einwilligung bei Minderjährigen oder nicht einwilligungsfähigen Personen

Die Einwilligung zur Verwendung personenbezogener Daten ist eine höchstpersönliche Angelegenheit, die in der Regel durch die betroffene Person selbst abzugeben ist. Bei Minderjährigen sind dabei Altersgrenzen zu beachten. Neben dem Alter der Personen ist – generell und nicht nur bei Minderjährigen – die Einsichtsfähigkeit wichtiges Kriterium für das Einholen der Einwilligung. Das bedeutet, dass die betroffenen Personen in der Lage sein müssen, die Tragweite der abgegebenen Einwilligung zu erkennen.

Was ist zu tun?

  • klären, welche Altersgrenzen durch die DSGVO, die nationalen Datenschutzgesetze und die Schulgesetze oder Verordnungen vorliegen
  • klären, ob die betroffenen Personen einwilligungsfähig sind 
  • klären, bei wem die Einwilligung stellvertretend einzuholen ist 
  • Einwilligungserklärungen in zielgruppengerechter Sprache verfassen 
 unter 14-Jährige 14 bis 17-Jährige 18-Jährige
Einwilligung der Kinder/ Jugendlichenempfehlenswert ist eine informelle Zustimmung             

falls Einwilligungsfähigkeit vorliegt: Einwilligung

falls Einwilligungsfähigkeit nicht vorliegt: Zustimmung zur Teilnahme

 Einwilligung                                                               
Einwilligung der Erziehungs-/Sorgeberechtigtenerforderlich und alleine ausreichend ggf. erforderlich nicht erforderlich
HinweisGegebenenfalls sind weitergehende Vorgaben der jeweiligen Schulgesetze oder Schulaufsichtsbehörden zu beachten.

 

Die Verbände der Markt- und Sozialforschung in Deutschland haben Richtlinien für die Befragung von Minderjährigen in einem Dokument zusammengestellt.Richtlinien für die Befragung von Minderjährigen

Ein Beispiel für Aufklärung von Kindern aus dem Projekt TRIO: 
 
Ein Beispiel für Aufklärung von Kindern aus dem Projekt DYNAMIK: 

Anonymisieren und Pseudonymisieren

Durch Anonymisierung werden personenbezogene Daten derart verändert, dass sie nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Pseudonymisierung meint die Verarbeitung personenbezogener Daten in einer Weise, dass sich die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zuordnen lassen, ohne zusätzliche Informationen hinzuzuziehen. Die zusätzlichen Informationen, etwa eine Schlüsseldatei, liegen aber noch vor, sodass eine Identifikation grundsätzlich möglich ist. 

Anonymisierung und Pseudonymisierung sind nur ein Aspekt zur Einhaltung datenschutzrechtlicher Bestimmungen und sollten im Zusammenspiel mit anderen betrachtet werden:

Vertiefende Informationen können Sie hier nachlesen, sich anhören oder anschauen:

Personenbezogene Daten sicher verarbeiten

Auch wenn die Einwilligung zur Studie und zur Verarbeitung personenbezogener Daten vorliegt, sollten weitere Maßnahmen zum Schutz getroffen werden. 

  • sogenannte technische und organisatorische Maßnahmen, etwa getrennte Speicherung von Identifikatoren und Daten
  • schnellstmögliche Anonymisierung, sobald der Forschungszweck dies erlaubt
  • die Grundsätze der Geeignetheit, der Erforderlichkeit und der Verhältnismäßigkeit der Verarbeitung der personenbezogenen Daten
  • Zugriffsregelungen, durch die eine datenschutzkonforme Verwendung der personenbezogenen Daten sichergestellt wird

Weiterführende Informationen und Quellen

Zum Datenschutz

 

Zur Anonymisierung und Pseudonymisierung

 

Zur DSGVO