DE | EN
Logo Forschungsdaten Bildung
Logo DIPF
Daten managen Recht & Ethik Datenschutzrechtliche Aspekte

Datenschutzrechtliche Aspekte

Erheben Sie im Rahmen Ihrer Forschung Namen der Studienteilnehmenden oder andere Informationen, über die sich die Personen eindeutig identifizieren lassen, wie Kontaktdaten, Bilder und Stimmen? Oder lassen sich die Studienteilnehmenden über eine Kombination bestimmter Informationen identifizieren? Dann machen Sie sich frühzeitig Gedanken zum Forschen mit personenbezogenen Daten, zu dem Erfordernis eine informierte Einwilligung bei den Beteiligten einzuholen und zu Fragen der Anonymisierung sowie Sicherung der Daten.

Hier gelangen Sie zu den einzelnen Inhalten:

 Forschen mit personenbezogenen Daten

 Informierte Einwilligung

 Einwilligung bei Minderjährigen oder nicht einwilligungsfähigen Personen

 Anonymisieren und Pseudonymisieren

 Personenbezogene Daten sicher verarbeiten

 Weiterführende Informationen und Quellen

Forschen mit personenbezogenen Daten

Die Vorgaben des Datenschutzes sind im Forschungsprozess immer dann zu beachten, wenn personenbezogene Daten natürlicher Personen erhoben oder verarbeitet werden. Ziel des Datenschutzes ist die Wahrung von Persönlichkeitsrechten natürlicher Personen. Dazu gehört das Recht auf informationelle Selbstbestimmung und der Schutz vor negativen Folgen durch die Verarbeitung personenbezogener Daten.

Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. (Art. 4 Nr. 1 DSGVO)

Personen können eindeutig identifiziert werden über Angaben wie Name, Adresse, Geburtsdatum oder Versicherungsnummer. Bei diesen Angaben handelt es sich um sogenannte direkte Identifikatoren. Neben Daten, die eine direkte Identifikation von Personen ermöglichen, können Personen auch indirekt durch Kombination von Daten identifiziert werden. Etwas, wenn es in einem namentlich bekannten Ort nur eine einzige Grundschule gibt und die Schulleiterin Teilnehmerin an einer Studie ist. Die betreffende Person kann bereits anhand der beiden Merkmale Ort und berufliche Position in ihrer Kombination eindeutig identifiziert werden. Ob Merkmale tatsächlich personenbeziehbar sind, hängt von den Angaben ab, die vorliegen sowie den sonstigen Informationen, die zugänglich sind.

Es gibt besondere Kategorien personenbezogener Daten, die als besonders sensibel gelten: „personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie […] genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. ( Art. 9 Nr. 1 DSGVO)

 Die Vorgaben des Datenschutzes gestatten das Forschen – genauer das Erheben, Verarbeiten und Nutzen – personenbezogener Daten nur,

  • wenn dies gesetzlich oder durch andere Rechtsvorschriften erlaubt oder vorgeschrieben ist
  • oder die jeweils betroffene Person, um deren Daten es geht, hierin eingewilligt hat (Art. 6 DSGVO; ausgeübtes informationelles Selbstbestimmungsrecht BDSG a. F. § 4 Abs. 1)

Anders formuliert ist Forschung immer dann möglich, wenn Daten anonym oder anonymisiert sind. Bei Forschung mit personengezogenen Daten muss eine Einwilligung vorliegen oder eine Rechtsvorschrift Forschung erlauben.

Informierte Einwilligung

Einwilligungen von Studienteilnehmenden sind nur wirksam, wenn diese vollständig und verständlich über die Inhalte und Zwecke der Erhebung personenbezogener Daten informiert werden.

Einwilligungen bestehen in der Regel aus drei Elementen:

  1. Informationsteil: Hier wird die Studie beschrieben und die Bitte um Einwilligung vorgetragen.
  2. Hinweise zum Datenschutz: In den Hinweisen wird erläutert, auf welcher rechtlichen Grundlage welche Daten erhoben werden, wie diese verwendet werden und welche Rechte die betroffenen Personen haben.
  3. Einverständniserklärung: Bei schriftlichen Erklärungen ist das der Abschnitt, bei dem die Betroffenen per Unterschrift ihr Einverständnis erklären.

Bei quantitativen Umfragen und Surveys wird häufig vom Einholen schriftlicher Einwilligungserklärungen abgesehen. Stattdessen wird ein Informationsblatt ausgehändigt, in dem den Studienteilnehmenden Anonymität zugesichert wird. Dieses Informationsblatt sollte auch Angaben zum Datenteilen oder der Langfristsicherung der Daten entsprechend der Guten Wissenschaftlichen Praxis enthalten.

 



Weitere Informationen finden Sie in den folgenden Checklisten und Formulierungsbeispielen:

 Checkliste zur Erstellung rechtskonformer Einwilligungserklärungen | 2019

 Formulierungsbeispiele für “informierte Einwilligungen” | 2018

 Formulierungsbeispiele für „informierte Einwilligungen“ in leichter Sprache | 2018

 CESSDA Data Management Expert Guide

 Consent for data sharing

Eine Anregung, wie Untersuchungspersonen in einfachen und klaren Worten über die Art der Datenverwendung bei Surveys informiert werden können, finden Sie hier:

 Beispiel Survey "Private Haushalte und ihre Finanzen”

 Beispiel Survey "Leben in Deutschland”

Einwilligung bei Minderjährigen oder nicht einwilligungsfähigen Personen

Die Einwilligung zur Verwendung personenbezogener Daten ist eine höchstpersönliche Angelegenheit, die in der Regel durch die betroffene Person selbst abzugeben ist. Bei Minderjährigen sind dabei Altersgrenzen zu beachten. Neben dem Alter der Personen ist – generell und nicht nur bei Minderjährigen – die Einsichtsfähigkeit wichtiges Kriterium für das Einholen der Einwilligung. Das bedeutet, dass die betroffenen Personen in der Lage sein müssen, die Tragweite der abgegebenen Einwilligung zu erkennen.

Was ist zu tun?

  • klären, welche Altersgrenzen durch die DSGVO, die nationalen Datenschutzgesetze und die Schulgesetze oder Verordnungen vorliegen
  • klären, ob die betroffenen Personen einwilligungsfähig sind
  • klären, bei wem die Einwilligung stellvertretend einzuholen ist
  • Einwilligungserklärungen in zielgruppengerechter Sprache verfassen
  unter 14-Jährige 14-17-Jährige 18-Jährige
Einwilligung der Kinder/Jugendlichen empfehlenswert ist eine informelle Zustimmung

falls Einwilligungsfähigkeit vorliegt: Einwilligung

falls Einwilligungsfähigkeit nicht vorliegt: Zustimmung zur Teilnahme

Einwilligung
Einwilligung der Erziehungs-/ Sorgeberechtigten erforderlich und alleine ausreichend ggf. erforderlich nicht erforderlich
Hinweis Gegebenenfalls sind weitergehende Vorgaben der jeweiligen Schulgesetze oder Schulaufsichtsbehörden zu beachten.

Die Verbände der Markt- und Sozialforschung in Deutschland haben  Richtlinien für die Befragung von Minderjährigen in einem Dokument zusammengestellt.

Hier ein Beispiel für Aufklärung von Kindern aus dem  Projekt TRIO:

 Einladungskarte

 Infoflyer

Anonymisieren und Pseudonymisieren

Durch Anonymisierung werden personenbezogene Daten derart verändert, dass sie nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Pseudonymisierung meint die Verarbeitung personenbezogener Daten in einer Weise, dass sich die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zuordnen lassen, ohne zusätzliche Informationen hinzuzuziehen. Die zusätzlichen Informationen, etwa eine Schlüsseldatei, liegen aber noch vor, sodass eine Identifikation grundsätzlich möglich ist.

Anonymisierung und Pseudonymisierung sind nur ein Aspekt zur Einhaltung datenschutzrechtlicher Bestimmungen und sollten im Zusammenspiel mit anderen betrachtet werden:

Personenbezogene Daten sicher verarbeiten

Auch wenn die Einwilligung zur Studie und zur Verarbeitung personenbezogener Daten vorliegt, sollten weitere Maßnahmen zum Schutz getroffen werden.

  • sogenannte technische und organisatorische Maßnahmen, etwa getrennte Speicherung von Identifikatoren und Daten
  • schnellstmögliche Anonymisierung, sobald der Forschungszweck dies erlaubt
  • die Grundsätze der Geeignetheit, der Erforderlichkeit und der Verhältnismäßigkeit der Verarbeitung der personenbezogenen Daten
  • Zugriffsregelungen, durch die eine datenschutzkonforme Verwendung der personenbezogenen Daten sichergestellt wird

Weiterführende Informationen und Quellen

Zum Datenschutz

 Handreichung zum Datenschutz | 2020
Der RatSWD hat eine Handreichung zum Datenschutz verfasst.

 Datenschutz und Forschungsdaten | 2017
Das Dokument enthält Empfehlungen des Rats für Informationsinfrastrukturen.

 Datenschutz in den Sozialwissenschaften | 2009
Häder berichtet im RatSWD Working Paper über Datenschutz.

 Datenschutz in Wissenschaft und Forschung| 2002
Die Datenschutzbeauftragten Metschke & Wellbrock befassen sich mit Datenschutz im Forschungskontext.

Zur Anonymisierung und Pseudonymisierung

 Empfehlungen zur Anonymisierung quantitativer Daten | 2015
Ebel (GESIS) fasst Empfehlungen in einem kurzen Papier zusammen.

 Anonymisierung/Pseudonymisierung in Qualiservice | 2013
Kretzer informiert über das Anonymisierungskonzept qualitativer Daten des FDZ Qualiservice.

 Qualitative Daten anonymisieren und für Sekundäranalysen aufbereiten| 2021
Eine Arbeitsgruppe der Universität Bochum hat ein Anonymisierungsmodell für qualitative Daten entwickelt.

Zur DSGVO

 Harmonisierung der Datenschutz-Gesetze in Europa | 2015
Eine Stellungnahme des RatSWD zur Datenschutzgrundverordnung.

 The GDPR and research one year on – experiences across Europe | 2019
Ein Webinar von CESSDA zu Erfahrungen mit der DSGVO.

 Stamp – Datenschutz im Forschungsdatenmanagement

Der Stamp definiert FAIR Data Standards für das gesamte Forschungsdatenmanagement. Hier finden Sie den Standard zum Datenschutz.

Standard Datenschutz: Die Verarbeitung personenbezogener Daten erfolgt gemäß den rechtlichen Vorgaben des Datenschutzes. Dies betrifft im Projektverlauf (1) das gesicherte Verarbeiten personenbezogener Daten sowie über das Projektende hinaus (2) die Verfügbarkeit der Daten zur Nachnutzung durch Dritte und (3) die Langfristsicherung relevanter Materialien.

Erläuterung: Die Verarbeitung personenbezogener Daten unterliegt den rechtlichen Regelungen des Datenschutzes, das heißt den entsprechenden Datenschutzgesetzen. Geschütztes Rechtsgut ist dabei das Informationelle Selbstbestimmungsrecht, das unter anderem durch das Datenschutzrecht konkretisiert wird. Die Einhaltung datenschutzrechtlicher Regelungen ist somit eine Grundvoraussetzung für das rechtskonforme Verarbeiten personenbezogener Daten im Projekt ebenso wie für deren Verfügbarkeit zur Nachnutzung durch Dritte oder die Langfristsicherung.

Letzte Aktualisierung: 08.04.2024

Verbund Forschungsdaten Bildung (VerbundFDB)

c/o DIPF | Leibniz-Institut für Bildungsforschung und Bildungsinformation
Rostocker Str. 6
60323 Frankfurt am Main

Tel.: +49 (0)69 247 08 - 300
verbund@forschungsdaten-bildung.de