Dennis A. Winkler
Themenseite · § 27 DSAG LSA

Forschungszweck als Rechtsgrundlage

Eine der wiederkehrenden Fragen im Hochschulalltag: Auf welche Rechtsgrundlage stütze ich eine Forschungsverarbeitung? Häufig wird reflexhaft die Einwilligung gewählt, obwohl der wissenschaftliche Forschungszweck mit Art. 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. j DSGVO in Verbindung mit § 27 DSAG LSA für viele Konstellationen eine eigenständige und tragfähige Rechtsgrundlage bietet. Der praxisrelevante Vorteil: Bei korrekter Stützung auf § 27 DSAG LSA besteht kein jederzeitiger Widerruf wie bei der Einwilligung – stattdessen greift das spezifische Forschungs-Widerspruchsrecht aus Art. 21 Abs. 6 DSGVO mit Abwägungsvorbehalt zugunsten der Forschung. Diese Seite erläutert das Prüfsystem, die Vorteile gegenüber der Einwilligung und die Grenzen, an denen klinische, arzneimittel- und medizinprodukterechtliche Spezialnormen, ethik- oder zustimmungspflichtige Studienformen sowie projektbezogene Sondervorgaben vorrangig greifen können. Die Stützung auf § 27 DSAG LSA setzt im Einzelfall stets eine sorgfältige Subsumtion voraus.

Keine Rechtsberatung, kein Ersatz für Einzelfallprüfung: Diese Seite dient der fachlichen Orientierung und kann eine rechtsverbindliche Einzelfallbewertung nicht ersetzen. Sie stellt keine individuelle Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Für konkrete Fragen wenden Sie sich bitte an die Landesbeauftragte für den Datenschutz Sachsen-Anhalt oder an eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei.

Persönliche fachliche Auffassung: Ich bin hauptberuflich als Datenschutzmanager an einer öffentlichen Hochschule in Sachsen-Anhalt tätig. Die hier veröffentlichten Inhalte geben ausschließlich meine persönliche fachliche Auffassung wieder und stellen keine offizielle Position meines Arbeitgebers dar.

Praxisbeispiele als didaktische Fallgruppen: Die auf dieser Seite enthaltenen Praxisbeispiele sind didaktische Fallgruppen zur Veranschaulichung typischer Konstellationen. Sie ersetzen keine Bewertung des konkreten Einzelfalls; abweichende Sachverhaltsmerkmale können zu einer anderen rechtlichen Würdigung führen.

01

Forschungsfreiheit und datenschutzrechtlicher Forschungsbegriff

Die Wissenschaftsfreiheit ist in Art. 5 Abs. 3 GG grundrechtlich verankert; sie umfasst Forschung, Lehre und die Methodenwahl. Auf europäischer Ebene tritt Art. 13 GRCh hinzu. ErwGr 159 DSGVO konkretisiert, was unter wissenschaftlichen Forschungszwecken zu verstehen ist: „technologische Entwicklung und Demonstration, Grundlagenforschung, angewandte Forschung sowie privat finanzierte Forschung". Die DSGVO legt damit einen weiten Forschungsbegriff zugrunde, der grundlagen-, anwendungs- und industrienahe Forschung umfasst.

Das forschungsspezifische Datenschutzregime der DSGVO setzt sich aus mehreren Bausteinen zusammen:

  • Art. 5 Abs. 1 lit. b 2. Halbsatz DSGVO – Privilegierung der Weiterverarbeitung zu Forschungszwecken (kein zwingender Zweckwechsel).
  • Art. 5 Abs. 1 lit. e 2. Halbsatz DSGVO – verlängerte Speicherung zulässig, wenn Forschungszweck überwiegt.
  • Art. 9 Abs. 2 lit. j DSGVO – Verarbeitung besonderer Kategorien zu Forschungszwecken bei geeigneten Garantien.
  • Art. 14 Abs. 5 lit. b DSGVO – Befreiung von der Informationspflicht bei unverhältnismäßigem Aufwand (eng auszulegen).
  • Art. 17 Abs. 3 lit. d DSGVO – Beschränkung des Löschanspruchs zugunsten der Forschung.
  • Art. 21 Abs. 6 DSGVO – Eingeschränktes Widerspruchsrecht bei wissenschaftlicher Forschung; das Widerspruchsrecht entfällt, soweit die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist.
  • Art. 89 DSGVO – generelle Garantieklausel für Forschungsausnahmen, die durch Mitgliedstaatenrecht ausgefüllt werden.

In Sachsen-Anhalt füllt § 27 DSAG LSA die durch Art. 89 DSGVO eröffnete Öffnungsklausel auf Landesebene aus (auf Bundesebene erfüllt § 27 BDSG diese Funktion). Für Hochschulen des Landes Sachsen-Anhalt ist § 27 DSAG LSA damit die zentrale Norm der forschungsspezifischen Privilegierung; die allgemeine Rechtsgrundlage einer Forschungsverarbeitung folgt daneben aus Art. 6 Abs. 1 lit. e DSGVO i. V. m. der jeweiligen Aufgabennorm. Art. 5 Abs. 3 GG; Art. 13 GRCh; Art. 5 Abs. 1 lit. b und e (jeweils 2. Halbsatz), Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. j, Art. 14 Abs. 5 lit. b, Art. 17 Abs. 3 lit. d, Art. 21 Abs. 6, Art. 89 DSGVO; ErwGr 33, 50, 156–162 DSGVO; § 27 DSAG LSA; § 27 BDSG (auf Bundesebene)

02

Rechtsgrundlagen-Architektur für Landeshochschulen Sachsen-Anhalts

Forschung an einer Hochschule in Trägerschaft des Landes Sachsen-Anhalt ist staatlicher Aufgabenvollzug; einschlägig sind nach hier vertretener Auffassung insbesondere § 3 HSG LSA (Aufgaben der Hochschulen) und § 4 HSG LSA (Freiheit von Kunst und Wissenschaft, Forschung, Lehre und Studium). Die datenschutzrechtliche Stützung folgt dieser Aufgabe:

Datenkategorie Rechtsgrundlage Spezifische Voraussetzungen
Allgemeine personenbezogene Daten Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 4 Abs. 1 DSAG LSA i. V. m. § 3 HSG LSA und § 27 DSAG LSA Erforderlichkeit für die Forschung; Schutzmaßnahmen (insb. Pseudonymisierung).
Besondere Kategorien (Art. 9 DSGVO – z. B. Gesundheits-, Genetik-, biometrische Daten) Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 Abs. 2 DSAG LSA Verhältnismäßigkeit, geeignete Garantien, regelmäßig Pseudonymisierung; Veröffentlichungseinschränkungen.
Strafrechtliche Daten (Art. 10 DSGVO) Art. 10 DSGVO i. V. m. spezialgesetzlicher Befugnis Strenge Zugriffs- und Veröffentlichungseinschränkungen.
Daten aus klinischer Prüfung (Arzneimittel, Medizinprodukte) AMG / MPDG / EU-Arzneimittel-VO 536/2014 / EU-MDR 2017/745 Spezialregelungen verdrängen die Forschungsausnahme; Probandeneinwilligung zwingend.

Die Rechtsgrundlage ist vor Beginn der Verarbeitung festzulegen und im Verfahrensverzeichnis zu dokumentieren. Eine gleichzeitige doppelte Stützung („§ 27 DSAG LSA und zur Sicherheit zusätzlich Einwilligung") ist regelmäßig problematisch (vgl. ausführlich § 05). § 3 HSG LSA; § 4, § 27 DSAG LSA; Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. j DSGVO

03

Warum die Forschungsklausel der Einwilligung häufig überlegen ist

Die Einwilligung wirkt zunächst „bürgerfreundlich" – aber sie ist datenschutzrechtlich eine der prekärsten Rechtsgrundlagen. § 27 DSAG LSA bietet aus Sicht der Forschung gewichtige Vorteile:

Aspekt Einwilligung (Art. 6 Abs. 1 lit. a / 9 Abs. 2 lit. a) Forschungsausnahme (§ 27 DSAG LSA)
Wirksamkeitsvoraussetzungen Freiwilligkeit, Bestimmtheit, Informiertheit, Unmissverständlichkeit – im Hochschulkontext angreifbar (Machtungleichgewicht, ErwGr 43). Gesetzliche Voraussetzungen objektiv prüfbar – kein subjektiver Wirksamkeitsstreit.
Widerruf Jederzeit nach Art. 7 Abs. 3 DSGVO; bei Widerruf entfällt regelmäßig die Rechtsgrundlage. Kein Widerrufsrecht – stattdessen Widerspruch nach Art. 21 DSGVO mit Abwägungsvorbehalt zugunsten der Forschung; eng begrenzt nach Art. 21 Abs. 6 DSGVO.
Rechtssicherheit für die Forschung Wegfall der Datenbasis bei Widerruf → wissenschaftliche Konsistenz gefährdet. Datenbasis bleibt regelmäßig stabil; Rückrechnung wissenschaftlicher Auswertungen entfällt.
Verhältnis zu Pflichtverarbeitungen Kopplungsverbot Art. 7 Abs. 4 DSGVO; Vermischung mit Pflichtkontext zerstört Freiwilligkeit. Keine Kopplungsproblematik im Sinne des Art. 7 Abs. 4.
Aufwand Einholung, Dokumentation, Widerrufsmanagement, Reaktionsketten. Einmalige Rechtsgrundprüfung; Schutzmaßnahmen technisch verankert.

Der praktische Kernvorteil

Wer eine Studie auf Einwilligung stützt, riskiert, dass einzelne Probandinnen oder Probanden nach Abschluss der Datenerhebung – und gegebenenfalls nach Veröffentlichung wissenschaftlicher Ergebnisse – die Einwilligung widerrufen. Der Widerruf wirkt zwar nur ex nunc, zwingt aber regelmäßig zur Löschung der bei dem Verantwortlichen gespeicherten Daten und kann die Reproduzierbarkeit der Studie gefährden. Stützung auf § 27 DSAG LSA vermeidet diese Verletzlichkeit.

Wichtig: § 27 DSAG LSA ist kein Freibrief. Die Voraussetzungen (Erforderlichkeit, geeignete Garantien, insbesondere Pseudonymisierung) sind nachweispflichtig zu erfüllen – aber sie sind dauerhaft und planbar, nicht von individuellen Willenserklärungen abhängig.

04

Voraussetzungen des § 27 DSAG LSA

§ 27 DSAG LSA verlangt – in unionsrechtskonformer Auslegung von Art. 9 Abs. 2 lit. j i. V. m. Art. 89 DSGVO – die kumulative Erfüllung folgender Voraussetzungen:

  1. Wissenschaftlicher Forschungszweck Die Verarbeitung muss tatsächlich der Forschung dienen. Reine Auftragsdatenverarbeitung für Industrie ohne erkenntnisorientierten Anteil reicht nicht; Drittmittelforschung ist erfasst, soweit das Forschungsinteresse überwiegt.
  2. Erforderlichkeit der personenbezogenen Verarbeitung Anonymisierte oder vorab pseudonymisierte Daten sind vorrangig. Personenbezogene Verarbeitung ist nur zulässig, soweit der Forschungszweck mit anonymen Daten nicht oder nur mit unverhältnismäßigem Aufwand erreichbar ist.
  3. Überwiegendes Forschungsinteresse Die Belange der Forschung müssen die schutzwürdigen Interessen der Betroffenen überwiegen. Typische abwägungsrelevante Faktoren: Sensitivität der Daten, gesellschaftlicher Erkenntnisgewinn, Beteiligung vulnerabler Gruppen.
  4. Pseudonymisierung als Pflicht-TOM § 27 Abs. 3 DSAG LSA verlangt die Pseudonymisierung, soweit der Forschungszweck dies zulässt – sie ist keine Empfehlung, sondern materielle Wirksamkeitsvoraussetzung der Verarbeitung. Die Schlüsseldatei ist getrennt zu führen und besonders zu schützen.
  5. Veröffentlichungseinschränkungen Die Veröffentlichung von Forschungsergebnissen ist nur in anonymisierter Form zulässig, soweit der Forschungszweck nicht zwingend eine personenbezogene Veröffentlichung erfordert.
  6. Drittlandsschutz (§ 27 Abs. 4 DSAG LSA) Übermittlungen in Drittländer unterliegen den allgemeinen Anforderungen des Kapitels V DSGVO; die Forschungsausnahme entbindet nicht. Vertiefung auf der Themenseite Drittlandstransfer.

Information bleibt – auch bei § 27 DSAG LSA

Die Informationspflichten nach Art. 13 und 14 DSGVO gelten auch bei Stützung auf § 27 DSAG LSA. Sie sind nur ausnahmsweise nach Art. 14 Abs. 5 lit. b DSGVO eingeschränkt, wenn die Information unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert – das ist eng auszulegen und voraussetzungsvoll zu dokumentieren.

05

Wann auf die Einwilligung nicht verzichtet werden kann

Die Forschungsausnahme deckt nicht alle Konstellationen ab. Mehrere Spezialgesetze verdrängen die DSGVO-Forschungsausnahme oder treten gleichrangig hinzu:

Konstellation Maßgebliche Spezialnorm Konsequenz für die Rechtsgrundlage
Klinische Prüfung von Arzneimitteln EU-Verordnung 536/2014; AMG (insb. § 40, 40a, 40b) Probandeneinwilligung zwingend; Studienprotokoll, Ethikvotum, BfArM-Genehmigung; § 27 DSAG LSA tritt zurück.
Klinische Prüfung mit Medizinprodukten EU-MDR 2017/745; MPDG Probandeneinwilligung zwingend; Spezialverfahren.
Forschung mit menschlichen embryonalen Stammzellen StZG; ESchG Probandeneinwilligung zwingend; Genehmigung Robert-Koch-Institut.
Genomforschung mit besonderer Eingriffstiefe GenDG; landesrechtliche Forschungsklauseln Einwilligung erforderlich; spezifische Aufklärung.
Forschung mit Tonband-, Bild- oder Videoaufzeichnungen KUG; Persönlichkeitsrecht Zweistufige Bewertung: Forschungsausnahme deckt ggf. die Datenverarbeitung – nicht aber die Veröffentlichung.

In diesen Konstellationen tritt § 27 DSAG LSA hinter das Spezialgesetz zurück. Die Einwilligung ist dann nicht datenschutzrechtlich, sondern arzneimittel- oder medizinproduktrechtlich erforderlich – beide Normsysteme sind getrennt zu prüfen und zu dokumentieren. VO (EU) 536/2014; AMG §§ 40 ff.; MDR 2017/745; MPDG; StZG; GenDG; §§ 22, 23 KUG

Doppelgleisigkeit vermeiden

Die parallele Stützung auf zwei Rechtsgrundlagen („Einwilligung und § 27 DSAG LSA") schwächt beide Grundlagen: Sie weckt Zweifel an der Freiwilligkeit der Einwilligung (warum braucht es sie noch?) und an der Erforderlichkeit der gesetzlichen Stützung. Empfehlung: Eine Rechtsgrundlage festlegen und konsequent durchhalten. Ausnahme: Wo der Forschungszweck den Datenverarbeitungsteil trägt, eine Veröffentlichung mit Bild oder Stimme aber hinausgeht, kann eine ergänzende Einwilligung gerade für den Veröffentlichungsteil sinnvoll sein – dies ist dann keine doppelte Stützung, sondern eine zweckdifferenzierte Lösung.

06

Pseudonymisierung als Schlüssel-TOM

Pseudonymisierung ist der zentrale Mechanismus des Forschungsdatenschutzes. Art. 4 Nr. 5 DSGVO definiert sie als Verarbeitung in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

§ 27 Abs. 3 DSAG LSA und Art. 89 Abs. 1 DSGVO machen die Pseudonymisierung in der Forschung zur Pflicht-TOM. Praktische Anforderungen:

  • Trennung der Schlüsseldatei vom Forschungsdatensatz – idealerweise organisatorisch (anderes Personal) und technisch (andere Systeme).
  • Beschränkung des Zugriffs auf den Schlüssel auf einen eng definierten Personenkreis (Treuhandstelle).
  • Schlüssel-Rotation und Auditierbarkeit der Zugriffe.
  • Festlegung, ab welchem Punkt der Auswertung mit anonymisierten Auszügen weitergearbeitet wird.
  • Lösch- oder Vernichtungsplan für den Schlüssel nach Studienende.

Die Reichweite der Pseudonymisierung ist in der jüngeren Rechtsprechung des EuGH (Urteil v. 04.09.2025 – C-413/23 P EDPS/SRB) konkretisiert worden: Pseudonymisierte Daten verlieren je nach Empfängerperspektive möglicherweise den Personenbezug, wenn ihm die zusätzlichen Informationen rechtlich und faktisch unzugänglich sind. Diese Linie ist in der deutschen Aufsichtspraxis nicht unumstritten und wird auf der Themenseite Anonymisierung vs. Pseudonymisierung vertieft. Für den Forschungskontext bedeutet sie: Eine sauber gestaltete Pseudonymisierung kann nicht nur die Verarbeitung legitimieren, sondern auch ihre Auswirkungen schmälern. Art. 4 Nr. 5, Art. 89 Abs. 1 DSGVO; § 27 Abs. 3 DSAG LSA; EuGH, Urteil v. 04.09.2025 – C-413/23 P (EDPS/SRB)

07

Praxisbeispiele aus dem Hochschulalltag

Sekundärnutzung

Sekundärnutzung klinischer Routinedaten der Universitätsmedizin

Eine Forschungsgruppe der Medizinischen Fakultät möchte Routinedaten aus dem KIS für eine retrospektive Versorgungsforschungsstudie auswerten. Eine Einwilligung wäre nur unter erheblichem Aufwand und mit hohem Selektionsbias einholbar.

Bewertungsansatz: Stützung auf § 27 Abs. 2 DSAG LSA i. V. m. Art. 9 Abs. 2 lit. j DSGVO ist regelmäßig der tragfähigste Weg. Voraussetzungen: Pseudonymisierung über Treuhandstelle, dokumentierte Erforderlichkeit der Routinedatennutzung, Veröffentlichung nur in anonymisierter Aggregatform. Die Information nach Art. 14 DSGVO ist regelmäßig durch geeignete Veröffentlichung der Studieninformation auf der Webseite des Klinikums oder im Patienten-Aufnahmebogen möglich.

Klinische Prüfung

Klinische Prüfung Phase II

Eine klinische Prüfung der Phase II prüft die Wirksamkeit eines neuen Wirkstoffs an Probandinnen und Probanden mit Einschlusskriterien.

Bewertungsansatz: § 27 DSAG LSA tritt zurück; AMG/EU-VO 536/2014 verlangt die ausdrückliche und vollständig informierte Probandeneinwilligung. Die datenschutzrechtliche Stützung folgt der arzneimittelrechtlichen Einwilligung über Art. 9 Abs. 2 lit. a DSGVO. Ethikvotum, BfArM-Genehmigung, Studienregister sind zwingend.

Sozialwissenschaft

Online-Befragung zu Studierendenmobilität

Eine sozialwissenschaftliche Forschungsgruppe befragt Studierende zu ihren Mobilitätsmustern. Die Befragung ist vollständig anonym konzipiert – allerdings führt die Kombination einzelner Antworten potenziell zur Re-Identifizierung.

Bewertungsansatz: Stützung auf § 27 DSAG LSA als Forschungsklausel ist tragfähig. Die Pseudonymisierung greift hier durch konsequente Reduktion auf nicht re-identifizierbare Aggregat-Antworten – der Fragebogen sollte vorab auf Re-Identifizierungspfade geprüft werden. Information nach Art. 13 DSGVO am Anfang des Fragebogens.

Drittmittel

Drittmittelprojekt mit Industriepartner

Ein Lehrstuhl bearbeitet ein Drittmittelprojekt mit einem Industriepartner. Die Studie nutzt personenbezogene Daten aus einer hochschulinternen Datenbank.

Bewertungsansatz: § 27 DSAG LSA ist tragfähig, solange das wissenschaftliche Erkenntnisinteresse überwiegt. Bei reiner Auftragsforschung ohne erkennbaren wissenschaftlichen Eigenanteil kippt das Argument; dann ist eine andere Rechtsgrundlage zu suchen (häufig Einwilligung der Betroffenen oder Vertrag mit Dritten). Vertragliche Regelungen zur Datenherausgabe an den Industriepartner: Auftragsverarbeitung oder gemeinsame Verantwortlichkeit prüfen.

Internationale Kooperation

Datenweitergabe an internationales Forschungsnetzwerk

Eine Forschungsgruppe möchte pseudonymisierte Forschungsdaten in eine europäische Forschungsinfrastruktur (z. B. ELIXIR, BBMRI) einspeisen.

Bewertungsansatz: § 27 DSAG LSA i. V. m. Art. 9 Abs. 2 lit. j DSGVO kann den Datentransfer rechtfertigen, soweit die Forschungsausnahme greift. Bei Sitz der Empfänger in einem Drittland ist zusätzlich Kapitel V DSGVO zu beachten; § 27 Abs. 4 DSAG LSA stellt klar, dass die allgemeinen Drittlandsanforderungen gelten. Vertiefung auf der Themenseite Drittlandstransfer.

08

Stolpersteine

  1. Reflexartige Einwilligung: Forschende orientieren sich an älteren Mustern aus der Zeit vor Geltung der DSGVO und holen Einwilligungen ein, obwohl § 27 DSAG LSA tragfähig wäre. Empfehlung: vor jeder Studie die Rechtsgrundlage strukturiert prüfen.
  2. Doppelgleisige Stützung: Einwilligung und § 27 DSAG LSA gleichzeitig schwächen beide Grundlagen.
  3. Übersehene Spezialgesetze: AMG/MPDG/StZG gehen vor; Forschungsausnahme deckt klinische Prüfungen nicht.
  4. Information vergessen: Art. 13/14 DSGVO bleibt anwendbar – die Forschungsausnahme befreit davon nicht.
  5. Nachgelagerte Zweckänderungen: Sekundärnutzung erhobener Forschungsdaten für ein anderes Projekt erfordert eine eigene Zweckänderungsprüfung (Art. 6 Abs. 4 DSGVO i. V. m. § 27 DSAG LSA).
  6. Schlüsseldatei nicht getrennt: Pseudonymisierung verfehlt ihren Zweck, wenn Forschende Zugriff auf den Schlüssel haben – die Pflicht-TOM wird dadurch praktisch hohl.
  7. Veröffentlichung mit Personenbezug: Veröffentlichungen müssen anonymisiert sein, soweit der Forschungszweck nicht zwingend personenbezogen erfolgt.
  8. Drittlandsproblematik unterschätzt: Europäische Forschungsnetzwerke verlangen häufig den Export in Drittländer – Kapitel V DSGVO bleibt anwendbar.

Weitere Themenseiten zu Datenschutz, KI-Verordnung und Informationssicherheit.

Zur Themenübersicht

Fragen zu dieser Seite?

Hinweise, Fehlerkorrekturen oder Anregungen zur Erweiterung dieser Seite nehme ich gerne entgegen.

kontakt@dennisawinkler.de