Dennis A. Winkler
Themenseite · § 27 DSAG LSA

Forschungszweck als Rechtsgrundlage

Eine der wiederkehrenden Fragen im Hochschulalltag: Auf welche Rechtsgrundlage stütze ich eine Forschungsverarbeitung? Häufig wird reflexhaft die Einwilligung gewählt, obwohl der wissenschaftliche Forschungszweck mit Art. 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. j DSGVO in Verbindung mit § 27 DSAG LSA für viele Konstellationen eine eigenständige und tragfähige Rechtsgrundlage bietet. Der praxisrelevante Vorteil: Bei korrekter Stützung auf § 27 DSAG LSA besteht kein jederzeitiger Widerruf wie bei der Einwilligung. Die betroffene Person kann zwar nach Art. 21 Abs. 6 DSGVO Widerspruch einlegen; der Verantwortliche kann diesen jedoch nur zurückweisen, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist – die Erforderlichkeit ist eng auszulegen und im Einzelfall zu begründen. Diese Seite erläutert das Prüfsystem, die Vorteile gegenüber der Einwilligung und die Grenzen, an denen klinische, arzneimittel- und medizinprodukterechtliche Spezialnormen, ethik- oder zustimmungspflichtige Studienformen sowie projektbezogene Sondervorgaben vorrangig greifen können. Die Stützung auf § 27 DSAG LSA setzt im Einzelfall stets eine sorgfältige Subsumtion voraus.

Keine Rechtsberatung, kein Ersatz für Einzelfallprüfung: Diese Seite dient der fachlichen Orientierung und kann eine rechtsverbindliche Einzelfallbewertung nicht ersetzen. Sie stellt keine individuelle Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Für konkrete Fragen wenden Sie sich bitte an die Landesbeauftragte für den Datenschutz Sachsen-Anhalt oder an eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei.

Persönliche fachliche Auffassung: Ich bin hauptberuflich als Datenschutzmanager an einer öffentlichen Hochschule in Sachsen-Anhalt tätig. Die hier veröffentlichten Inhalte geben ausschließlich meine persönliche fachliche Auffassung wieder und stellen keine offizielle Position meines Arbeitgebers dar.

Praxisbeispiele als didaktische Fallgruppen: Die auf dieser Seite enthaltenen Praxisbeispiele sind didaktische Fallgruppen zur Veranschaulichung typischer Konstellationen. Sie ersetzen keine Bewertung des konkreten Einzelfalls; abweichende Sachverhaltsmerkmale können zu einer anderen rechtlichen Würdigung führen.

01

Forschungsfreiheit und datenschutzrechtlicher Forschungsbegriff

Die Wissenschaftsfreiheit ist in Art. 5 Abs. 3 GG grundrechtlich verankert; sie umfasst Forschung, Lehre und die Methodenwahl. Auf europäischer Ebene tritt Art. 13 GRCh hinzu. ErwGr 159 DSGVO konkretisiert, was unter wissenschaftlichen Forschungszwecken zu verstehen ist: Sie sollten „die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung" einschließen. Die DSGVO legt damit einen weiten Forschungsbegriff zugrunde, der grundlagen-, anwendungs- und industrienahe Forschung umfasst.

Das forschungsspezifische Datenschutzregime der DSGVO setzt sich aus mehreren Bausteinen zusammen:

  • Art. 5 Abs. 1 lit. b 2. Halbsatz DSGVO – Privilegierung der Weiterverarbeitung zu Forschungszwecken (kein zwingender Zweckwechsel).
  • Art. 5 Abs. 1 lit. e 2. Halbsatz DSGVO – verlängerte Speicherung zulässig, wenn Forschungszweck überwiegt.
  • Art. 9 Abs. 2 lit. j DSGVO – Verarbeitung besonderer Kategorien zu Forschungszwecken bei geeigneten Garantien.
  • Art. 14 Abs. 5 lit. b DSGVO – Befreiung von der Informationspflicht bei unverhältnismäßigem Aufwand (eng auszulegen).
  • Art. 17 Abs. 3 lit. d DSGVO – Beschränkung des Löschanspruchs zugunsten der Forschung.
  • Art. 21 Abs. 6 DSGVO – Modifiziertes Widerspruchsrecht bei wissenschaftlicher Forschung: Die betroffene Person kann der Verarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen; der Verantwortliche kann den Widerspruch nur zurückweisen, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist (eng auszulegen).
  • Art. 89 DSGVO – generelle Garantieklausel für Forschungsausnahmen, die durch Mitgliedstaatenrecht ausgefüllt werden.

In Sachsen-Anhalt füllt § 27 DSAG LSA die durch Art. 89 DSGVO eröffnete Öffnungsklausel auf Landesebene aus (auf Bundesebene erfüllt § 27 BDSG diese Funktion). Für Hochschulen des Landes Sachsen-Anhalt ist § 27 DSAG LSA damit die zentrale Norm der forschungsspezifischen Privilegierung; die allgemeine Rechtsgrundlage einer Forschungsverarbeitung folgt daneben aus Art. 6 Abs. 1 lit. e DSGVO i. V. m. der jeweiligen Aufgabennorm. Art. 5 Abs. 3 GG; Art. 13 GRCh; Art. 5 Abs. 1 lit. b und e (jeweils 2. Halbsatz), Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. j, Art. 14 Abs. 5 lit. b, Art. 17 Abs. 3 lit. d, Art. 21 Abs. 6, Art. 89 DSGVO; ErwGr 33, 50, 156–162 DSGVO; § 27 DSAG LSA; § 27 BDSG (auf Bundesebene)

Sechs Schlüsselindikatoren wissenschaftlicher Forschung

Der Forschungsbegriff der DSGVO ist weit, aber nicht beliebig. Der Europäische Datenschutzausschuss (EDPB) hat in seinen Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken (Entwurfsfassung vom 15.04.2026, öffentliche Konsultation bis 25.06.2026; Endfassung steht noch aus) sechs Schlüsselindikatoren benannt, an denen geprüft werden kann, ob eine Verarbeitung tatsächlich der wissenschaftlichen Forschung dient:

  1. Methodisch-systematischer Ansatz – Forschungsplan, Hypothese oder ausformuliertes Forschungsziel; Vorgehen entspricht den Methoden des betreffenden Forschungsfeldes.
  2. Einhaltung wissenschaftsethischer Standards – etwa Ethikvotum, Selbstverpflichtung auf gute wissenschaftliche Praxis (GWP), Schutz der Forschungsteilnehmenden.
  3. Überprüfbarkeit und Transparenz – Hypothesen, Methoden, Daten und Schlussfolgerungen sind kritisch nachvollziehbar; Veröffentlichung der Ergebnisse, in der Regel nach unabhängiger Begutachtung.
  4. Autonomie und Unabhängigkeit – Forschungsfragen, Methodenwahl und Veröffentlichung erfolgen ohne sachfremden Druck; die forschenden Personen verfügen über akademische oder fachliche Qualifikation oder arbeiten unter qualifizierter Anleitung. Trifft auch auf privatwirtschaftliche Forschung zu.
  5. Forschungsziel – Beitrag zum gesellschaftlichen Erkenntnis- und Wohlfahrtsgewinn; gewerbliche Interessen schließen den Forschungscharakter nicht aus.
  6. Beitrag zum bestehenden wissenschaftlichen Wissen – Potenzial, vorhandenes Wissen zu erweitern oder in neuen Anwendungen zu nutzen; ggf. Begutachtung durch unabhängige Stellen (Förderbegutachtung, Ethikkommission).

Sind alle sechs Indikatoren erfüllt, kann eine Vermutung der Forschungseigenschaft im Sinne der DSGVO greifen. Sind nicht alle erfüllt, muss der Verantwortliche begründen und dokumentieren, weshalb die Verarbeitung dennoch als wissenschaftliche Forschung einzuordnen ist; je mehr Indikatoren erfüllt sind, desto belastbarer die Einordnung. Die Indikatoren sind in der Praxis besonders wertvoll bei Drittmittelprojekten mit Industriepartnern und bei Datenanalysen, die nicht an einem klassischen Forschungsprotokoll hängen. EDPB, Leitlinien 1/2026, Abschnitt 2.1, Rn. 11; ErwGr 159 DSGVO

Vermutung der Vereinbarkeit bei Sekundärnutzung

Art. 5 Abs. 1 lit. b 2. Halbsatz DSGVO enthält eine zentrale Privilegierung für die Forschung: Die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gilt nicht als mit dem ursprünglichen Erhebungszweck unvereinbar. Praktische Folge: Bei der Sekundärnutzung zu Forschungszwecken ist kein gesonderter Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO durchzuführen.

Der EDPB stellt in seinen Leitlinien 1/2026 (Abschnitt 3.1.1) zugleich klar: Die Vermutung der Vereinbarkeit beseitigt nicht die Pflicht, eine taugliche Rechtsgrundlage für die Weiterverarbeitung zu prüfen. In vielen Fällen kann auf dieselbe Rechtsgrundlage zurückgegriffen werden, auf die die ursprüngliche Erhebung gestützt war – insbesondere bei Art. 6 Abs. 1 lit. e DSGVO. Bei einer ursprünglichen Einwilligung ist die Stützung schwieriger, weil eine Zweckänderung den Bestimmtheitsgrundsatz der Einwilligung berühren kann; hier ist regelmäßig eine eigene Prüfung – oder eine ergänzende Einwilligung – erforderlich. Bei besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ist zusätzlich zu prüfen, welche Erlaubnis­norm aus Art. 9 Abs. 2 DSGVO die Sekundärnutzung trägt. Art. 5 Abs. 1 lit. b 2. Halbsatz, Art. 6 Abs. 1 und Abs. 4, Art. 9 Abs. 2 DSGVO; ErwGr 50 DSGVO; EDPB, Leitlinien 1/2026, Abschnitt 3.1.1, Rn. 19–25

Forschungsdatenverarbeitung – Voraussetzungen § 27 DSAG LSA 1 Erforderlichkeit für wissenschaftliche oder historische Forschung § 27 Abs. 1 DSAG LSA 2 Pseudonymisierung soweit Forschungszweck erlaubt; Trennung der Identifikatoren 3 Klin. Spezialnormen z. B. § 9 KRG LSA Tumorbefunde, GenDG, AMG 4 Datenminimierung Art. 5 Abs. 1 lit. c DSGVO – nur erforderliche Daten Forschungs-Privileg ist kein Freibrief: 4 kumulative Voraussetzungen Rechtsgrundlage: Art. 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 DSAG LSA Eigene Darstellung nach § 27 DSAG LSA i. V. m. Art. 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. j DSGVO. Klinische Spezialnormen (KRG LSA, GenDG, AMG) bleiben vorrangig.
02

Rechtsgrundlagen-Architektur für Landeshochschulen Sachsen-Anhalts

Forschung an einer Hochschule in Trägerschaft des Landes Sachsen-Anhalt ist staatlicher Aufgabenvollzug; einschlägig sind nach hier vertretener Auffassung insbesondere § 3 HSG LSA (Aufgaben der Hochschulen) und § 4 HSG LSA (Freiheit von Kunst und Wissenschaft, Forschung, Lehre und Studium). Die datenschutzrechtliche Stützung folgt dieser Aufgabe:

Datenkategorie Rechtsgrundlage Spezifische Voraussetzungen
Allgemeine personenbezogene Daten Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 4 Satz 1 Nr. 2 DSAG LSA i. V. m. § 3 HSG LSA und § 27 DSAG LSA Erforderlichkeit für die Forschung; Schutzmaßnahmen (insb. Pseudonymisierung).
Besondere Kategorien (Art. 9 DSGVO – z. B. Gesundheits-, Genetik-, biometrische Daten) Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 Abs. 4 DSAG LSA Verhältnismäßigkeit, geeignete Garantien, regelmäßig Pseudonymisierung; Veröffentlichungseinschränkungen.
Strafrechtliche Daten (Art. 10 DSGVO) Art. 10 DSGVO i. V. m. spezialgesetzlicher Befugnis Strenge Zugriffs- und Veröffentlichungseinschränkungen.
Daten aus klinischer Prüfung (Arzneimittel, Medizinprodukte) AMG / MPDG / EU-Arzneimittel-VO 536/2014 / EU-MDR 2017/745 Spezialregelungen verdrängen § 27 DSAG LSA; Probandeneinwilligung zwingend.

Die Rechtsgrundlage ist vor Beginn der Verarbeitung festzulegen und im Verfahrensverzeichnis zu dokumentieren. Eine gleichzeitige doppelte Stützung („§ 27 DSAG LSA und zur Sicherheit zusätzlich Einwilligung") ist problematisch (vgl. ausführlich § 06). § 3 HSG LSA; § 4, § 27 DSAG LSA; Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. j DSGVO

03

Warum die Forschungsklausel der Einwilligung häufig überlegen ist

Die Einwilligung wirkt zunächst „bürgerfreundlich" – aber sie ist datenschutzrechtlich eine der prekärsten Rechtsgrundlagen. § 27 DSAG LSA bietet aus Sicht der Forschung gewichtige Vorteile:

Aspekt Einwilligung (Art. 6 Abs. 1 lit. a / 9 Abs. 2 lit. a) Forschungsausnahme (§ 27 DSAG LSA)
Wirksamkeitsvoraussetzungen Freiwilligkeit, Bestimmtheit, Informiertheit, Unmissverständlichkeit – im Hochschulkontext angreifbar (Machtungleichgewicht, ErwGr 43). Gesetzliche Voraussetzungen objektiv prüfbar – kein subjektiver Wirksamkeitsstreit.
Widerruf Jederzeit nach Art. 7 Abs. 3 DSGVO; bei Widerruf entfällt regelmäßig die Rechtsgrundlage. Kein Widerrufsrecht – stattdessen Widerspruch nach Art. 21 DSGVO mit Abwägungsvorbehalt zugunsten der Forschung; eng begrenzt nach Art. 21 Abs. 6 DSGVO.
Rechtssicherheit für die Forschung Wegfall der Datenbasis bei Widerruf → wissenschaftliche Konsistenz gefährdet. Datenbasis bleibt regelmäßig stabil; Rückrechnung wissenschaftlicher Auswertungen entfällt.
Verhältnis zu Pflichtverarbeitungen Kopplungsverbot Art. 7 Abs. 4 DSGVO; Vermischung mit Pflichtkontext zerstört Freiwilligkeit. Keine Kopplungsproblematik im Sinne des Art. 7 Abs. 4.
Aufwand Einholung, Dokumentation, Widerrufsmanagement, Reaktionsketten. Einmalige Rechtsgrundprüfung; Schutzmaßnahmen technisch verankert.

Der praktische Kernvorteil

Wer eine Studie auf Einwilligung stützt, riskiert, dass einzelne Probandinnen oder Probanden nach Abschluss der Datenerhebung – und gegebenenfalls nach Veröffentlichung wissenschaftlicher Ergebnisse – die Einwilligung widerrufen. Der Widerruf wirkt zwar nur ex nunc, zwingt aber zur Löschung der bei dem Verantwortlichen gespeicherten Daten und kann die Reproduzierbarkeit der Studie gefährden. Stützung auf § 27 DSAG LSA vermeidet diese Verletzlichkeit.

Wichtig: § 27 DSAG LSA ist kein Freibrief. Die Voraussetzungen (Erforderlichkeit, geeignete Garantien, insbesondere Pseudonymisierung) sind nachweispflichtig zu erfüllen – aber sie sind dauerhaft und planbar, nicht von individuellen Willenserklärungen abhängig.

04

Einwilligung in der Forschung – weite und dynamische Einwilligung

Wo § 27 DSAG LSA nicht trägt – etwa weil Spezialgesetze die Einwilligung verlangen (siehe Abschnitt 06) oder weil besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) ohne tragfähige Erlaubnisnorm verarbeitet werden sollen –, bleibt die Einwilligung als Rechtsgrundlage erforderlich. Im Forschungskontext stellt sich dann die Frage, wie der Bestimmtheitsgrundsatz der Einwilligung zu erfüllen ist, wenn die konkreten Forschungszwecke zum Zeitpunkt der Erhebung noch nicht vollständig feststehen. Der Europäische Datenschutzausschuss (EDPB) erkennt in seinen Leitlinien 1/2026 zwei Konstrukte ausdrücklich an, die in der Forschung zulässig sind und sich auch kombinieren lassen.

Weite Einwilligung (broad consent)

Die weite Einwilligung deckt einen klar umrissenen Forschungsbereich ab, ohne dass jedes einzelne Forschungsprojekt zum Zeitpunkt der Erhebung schon feststeht. Sie eignet sich insbesondere für Biobanken, klinische Register und langfristige Forschungsdateninfrastrukturen, in denen Daten für künftige, im Kern absehbare Forschungsfragen vorgehalten werden.

Voraussetzungen nach EDPB:

  • Der Forschungsbereich ist so präzise wie möglich zu beschreiben (z. B. „medizinische Forschung im Bereich Onkologie", „sozialwissenschaftliche Forschung im Bereich Kriminologie"); die bloße Angabe „wissenschaftliche Forschung" reicht nicht.
  • Die Forschungsverarbeitung muss innerhalb des beschriebenen Forschungsbereichs und der berechtigten Erwartungen der betroffenen Person bleiben; greift ein Forschungsprojekt darüber hinaus, ist eine zusätzliche Einwilligung einzuholen.
  • Zusätzliche Schutzmaßnahmen (Garantien) gleichen den geringeren Bestimmtheitsgrad aus: laufende Information der betroffenen Person über die einzelnen Forschungsprojekte (z. B. über eine Webseite oder einen Newsletter), Zugriffs- und Nutzungskontrollen (etwa über eine unabhängige Datentreuhandstelle), zeitliche Befristung der Einwilligung sowie ein unabhängiges Aufsichtsgremium (z. B. Ethikkommission) zur Begutachtung neuer Forschungsprojekte.
  • Der oder die Datenschutzbeauftragte ist bei der Festlegung der Schutzmaßnahmen einzubinden.

Hinweis: Wenn ein einzelnes Forschungsprojekt den Rahmen der weiten Einwilligung verlässt – etwa weil es eine andere Datenkategorie betrifft, eine andere Empfängerkonstellation auslöst oder von der berechtigten Erwartung der betroffenen Person abweicht –, ist für dieses Projekt eine eigene Einwilligung (dynamische Einwilligung, siehe nächste Box) erforderlich. Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7, Art. 9 Abs. 2 lit. a, Art. 89 Abs. 1 DSGVO; ErwGr 33 DSGVO; EDPB, Leitlinien 1/2026, Abschnitt 4.1.2.1, Rn. 43–50

Dynamische Einwilligung (dynamic consent)

Die dynamische Einwilligung wird projektbezogen eingeholt: Für jedes neue Forschungsprojekt – oder für jeden wesentlichen Projektabschnitt – erfolgt eine eigene Einwilligung, sobald der konkrete Verarbeitungszweck feststeht. Die ursprüngliche Einwilligung bezieht sich nur auf die schon bekannten Projekte oder Projektabschnitte.

Das Modell eignet sich besonders, wenn Forschende über längere Zeiträume in engem Kontakt mit den Forschungsteilnehmenden stehen (Längsschnittstudien, klinische Beobachtungsstudien) und die Beteiligten regelmäßig informiert und um Zustimmung angefragt werden können. Vorteil: Der Bestimmtheitsgrundsatz ist klar erfüllt; die Einwilligung trägt projektgenau. Nachteil: Höherer Aufwand für die laufende Kommunikation, und ein Schweigen oder Nicht-Reagieren der betroffenen Person zwingt zur Beendigung der Verarbeitung in dem betreffenden Projekt. Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7 Abs. 1 und 3, Art. 9 Abs. 2 lit. a DSGVO; EDPB, Leitlinien 1/2026, Abschnitt 4.1.2.2, Rn. 51–52

Forschungsteilnahme-Zustimmung neben der Datenschutz-Einwilligung

In der medizinischen Forschung und zunehmend auch in den Sozialwissenschaften ist die Zustimmung zur Forschungsteilnahme (informed consent) ein eigenständiges ethisches und rechtliches Erfordernis – etwa nach der Deklaration von Helsinki, der EU-Arzneimittelverordnung (VO 536/2014) oder der EU-Medizinprodukteverordnung (VO 2017/745). Diese Zustimmung schützt die Würde und körperliche Unversehrtheit der Forschungsteilnehmenden. Sie ist nicht identisch mit der datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Wer beide Zustimmungen zugleich einholt, sollte sie klar voneinander trennen (Art. 7 Abs. 2 DSGVO). Bei überschaubaren Forschungsprojekten ist eine gemeinsame Erklärungsoberfläche zulässig, sofern die einzelnen Zustimmungsfragen erkennbar getrennt bleiben. Bei besonders sensiblen Verarbeitungen (insbesondere besondere Kategorien personenbezogener Daten in der medizinischen Forschung) empfiehlt der EDPB eine getrennte Erklärung allein für die datenschutzrechtliche Einwilligung. Art. 6 Abs. 1 lit. a, Art. 7, Art. 9 Abs. 2 lit. a, Art. 89 Abs. 1 DSGVO; Art. 28 VO (EU) 536/2014; Art. 62 VO (EU) 2017/745; Deklaration von Helsinki (Fortschreibung 2024); EDPB, Leitlinien 1/2026, Abschnitt 4.1.3, Rn. 53–55

05

Voraussetzungen des § 27 DSAG LSA

§ 27 DSAG LSA verlangt – in unionsrechtskonformer Auslegung von Art. 9 Abs. 2 lit. j i. V. m. Art. 89 DSGVO – die kumulative Erfüllung folgender Voraussetzungen:

  1. Wissenschaftlicher Forschungszweck Die Verarbeitung muss tatsächlich der Forschung dienen. Reine Auftragsforschung für Industrie ohne erkenntnisorientierten Anteil reicht nicht; Drittmittelforschung ist erfasst, soweit das Forschungsinteresse überwiegt.
  2. Erforderlichkeit der personenbezogenen Verarbeitung Anonymisierte oder vorab pseudonymisierte Daten sind vorrangig. Personenbezogene Verarbeitung ist nur zulässig, soweit der Forschungszweck mit anonymen Daten nicht oder nur mit unverhältnismäßigem Aufwand erreichbar ist.
  3. Überwiegendes Forschungsinteresse Die Belange der Forschung müssen die schutzwürdigen Interessen der Betroffenen überwiegen. Typische abwägungsrelevante Faktoren: Sensitivität der Daten, gesellschaftlicher Erkenntnisgewinn, Beteiligung vulnerabler Gruppen.
  4. Pseudonymisierung als Pflicht-TOM § 27 Abs. 1 DSAG LSA verlangt die Anonymisierung, sobald dies nach dem Forschungszweck möglich ist; bis dahin sind die identifizierenden Merkmale getrennt zu speichern (= Pseudonymisierung im Sinne von Art. 4 Nr. 5 DSGVO). Sie ist keine bloße Empfehlung, sondern eine geeignete Garantie nach Art. 89 Abs. 1 DSGVO i. V. m. § 27 DSAG LSA – ohne sie trägt die Forschungsausnahme erfahrungsgemäß nicht. Pseudonymisierte Daten bleiben dabei personenbezogen und unterliegen der DSGVO; nur vollständig anonymisierte Daten verlassen deren Anwendungsbereich. Die Schlüsseldatei ist getrennt zu führen und besonders zu schützen.
  5. Veröffentlichungseinschränkungen Die Veröffentlichung von Forschungsergebnissen ist nur in anonymisierter Form zulässig, soweit der Forschungszweck nicht zwingend eine personenbezogene Veröffentlichung erfordert. Wo die Anonymisierung den Forschungsgegenstand selbst aufheben würde, gilt § 27 Abs. 2 DSAG LSA: Eine personenbezogene Veröffentlichung ist nur mit Einwilligung der betroffenen Person zulässig oder wenn dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. Letztere Öffnungsklausel ist im Hochschulalltag eng zu verstehen, kann aber etwa in historisch-epidemiologischen oder zeitgeschichtlich bedeutsamen Forschungsvorhaben in Betracht kommen. Verfassungsrechtlich flankiert wird die enge Auslegung durch die Wissenschaftsfreiheit nach Art. 5 Abs. 3 GG; sie schützt die Forschung vor einer Auslegung der Veröffentlichungsschranke, die das Forschungsziel praktisch entwerten würde.
  6. Drittlandstransfer Übermittlungen in Drittländer i. S. v. Kap. V DSGVO unterliegen den allgemeinen Anforderungen aus Art. 44 ff. DSGVO; die Forschungsausnahme entbindet nicht. § 27 Abs. 3 DSAG LSA regelt eigenständig die Übermittlung an Empfänger außerhalb des Geltungsbereichs des DSAG LSA – das ist eine andere Konstellation und ersetzt die Drittlandsprüfung nicht. Vertiefung auf der Themenseite Drittlandstransfer.

Information bleibt – auch bei § 27 DSAG LSA

Die Informationspflichten nach Art. 13 und 14 DSGVO gelten auch bei Stützung auf § 27 DSAG LSA. Sie sind nur ausnahmsweise nach Art. 14 Abs. 5 lit. b DSGVO eingeschränkt, wenn die Information unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert – das ist eng auszulegen und voraussetzungsvoll zu dokumentieren.

★ Interaktiv – Forschungsdatenschutz-Wizard

Für das konkrete Vorhaben steht im Werkzeugkasten ein eigener Wizard zur Verfügung. Eingaben (Personenbezug, Datenkategorien, Datenherkunft, Drittlandbezug) bleiben lokal im Browser; am Ende erzeugt der Wizard eine Bewertung mit Rechtsgrundlage, §-27-DSAG-LSA-Voraussetzungen, DSFA-Score, Drittland-Hinweis und priorisierten Schutzmaßnahmen sowie ein druckfertiges Workpaper für den Forschungsantrag.

★ Forschungsdatenschutz-Wizard öffnen

06

Wann auf die Einwilligung nicht verzichtet werden kann

Die Forschungsausnahme nach Art. 9 Abs. 2 lit. j DSGVO i. V. m. § 27 DSAG LSA deckt nicht alle Konstellationen ab. Mehrere fachgesetzliche Spezialregelungen treten innerhalb der DSGVO-Öffnungsklauseln an die Stelle der allgemeinen Forschungsklausel und konkretisieren die Verarbeitungsvoraussetzungen spezifischer – sie ersetzen nicht die DSGVO als solche, verdrängen aber die Anwendung des § 27 DSAG LSA oder treten gleichrangig hinzu:

Konstellation Maßgebliche Spezialnorm Konsequenz für die Rechtsgrundlage
Klinische Prüfung von Arzneimitteln EU-Verordnung 536/2014; AMG (insb. § 40, 40a, 40b) Probandeneinwilligung zwingend; Studienprotokoll, Ethikvotum, BfArM-Genehmigung; § 27 DSAG LSA tritt zurück.
Klinische Prüfung mit Medizinprodukten EU-MDR 2017/745; MPDG Probandeneinwilligung zwingend; Spezialverfahren.
Forschung mit menschlichen embryonalen Stammzellen StZG; ESchG Probandeneinwilligung zwingend; Genehmigung Robert-Koch-Institut.
Genomforschung mit besonderer Eingriffstiefe GenDG; landesrechtliche Forschungsklauseln Einwilligung erforderlich; spezifische Aufklärung.
Forschung mit Tonband-, Bild- oder Videoaufzeichnungen KUG; Persönlichkeitsrecht Zweistufige Bewertung: Forschungsausnahme deckt ggf. die Datenverarbeitung – nicht aber die Veröffentlichung.

In diesen Konstellationen tritt § 27 DSAG LSA hinter das Spezialgesetz zurück. Die Einwilligung ist dann nicht datenschutzrechtlich, sondern arzneimittel- oder medizinproduktrechtlich erforderlich – beide Normsysteme sind getrennt zu prüfen und zu dokumentieren. VO (EU) 536/2014; AMG §§ 40 ff.; MDR 2017/745; MPDG; StZG; GenDG; §§ 22, 23 KUG

Doppelgleisigkeit vermeiden

Die parallele Stützung auf zwei Rechtsgrundlagen („Einwilligung und § 27 DSAG LSA") schwächt beide Grundlagen: Sie weckt Zweifel an der Freiwilligkeit der Einwilligung (warum braucht es sie noch?) und an der Erforderlichkeit der gesetzlichen Stützung. Empfehlung: Eine Rechtsgrundlage festlegen und konsequent durchhalten. Ausnahme: Wo der Forschungszweck den Datenverarbeitungsteil trägt, eine Veröffentlichung mit Bild oder Stimme aber hinausgeht, kann eine ergänzende Einwilligung gerade für den Veröffentlichungsteil sinnvoll sein – dies ist dann keine doppelte Stützung, sondern eine zweckdifferenzierte Lösung.

07

Pseudonymisierung als Schlüssel-TOM

Pseudonymisierung ist der zentrale Mechanismus des Forschungsdatenschutzes. Art. 4 Nr. 5 DSGVO definiert sie als Verarbeitung in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

§ 27 Abs. 1 DSAG LSA und Art. 89 Abs. 1 DSGVO machen die Anonymisierung – soweit der Forschungszweck sie zulässt – bzw. bis dahin die getrennte Speicherung der identifizierenden Merkmale (Pseudonymisierung im Sinne von Art. 4 Nr. 5 DSGVO) in der Forschung zur Pflicht-TOM. Praktische Anforderungen:

  • Trennung der Schlüsseldatei vom Forschungsdatensatz – idealerweise organisatorisch (anderes Personal) und technisch (andere Systeme).
  • Beschränkung des Zugriffs auf den Schlüssel auf einen eng definierten Personenkreis (Treuhandstelle).
  • Schlüssel-Rotation und Auditierbarkeit der Zugriffe.
  • Festlegung, ab welchem Punkt der Auswertung mit anonymisierten Auszügen weitergearbeitet wird.
  • Lösch- oder Vernichtungsplan für den Schlüssel nach Studienende.

Die Reichweite der Pseudonymisierung wird in der jüngeren Rechtsprechung des EuGH konkretisiert (Urteil v. 04.09.2025 – C-413/23 P, EDSB/SRB): Pseudonymisierte Daten verlieren je nach Empfängerperspektive möglicherweise den Personenbezug, wenn dem Empfänger die zusätzlichen Informationen rechtlich und faktisch unzugänglich sind. Diese Linie ist in der deutschen Aufsichtspraxis nicht unumstritten und wird auf der Themenseite Anonymisierung vs. Pseudonymisierung vertieft. Für den Forschungskontext bedeutet sie: Eine sauber gestaltete Pseudonymisierung kann nicht nur die Verarbeitung legitimieren, sondern auch ihre Auswirkungen schmälern. Art. 4 Nr. 5, Art. 89 Abs. 1 DSGVO; § 27 Abs. 1 DSAG LSA; EuGH, Urteil v. 04.09.2025 – C-413/23 P (EDSB/SRB)

08

Praxisbeispiele aus dem Hochschulalltag

Sekundärnutzung

Sekundärnutzung klinischer Routinedaten der Universitätsmedizin

Eine Forschungsgruppe der Medizinischen Fakultät möchte Routinedaten aus dem KIS für eine retrospektive Versorgungsforschungsstudie auswerten. Eine Einwilligung wäre nur unter erheblichem Aufwand und mit hohem Selektionsbias einholbar.

Bewertungsansatz: Stützung auf § 27 Abs. 4 DSAG LSA i. V. m. Art. 9 Abs. 2 lit. j DSGVO ist hier der tragfähigste Weg. Voraussetzungen: Pseudonymisierung über Treuhandstelle, dokumentierte Erforderlichkeit der Routinedatennutzung, Veröffentlichung nur in anonymisierter Aggregatform. Die Information nach Art. 14 DSGVO ist häufig durch geeignete Veröffentlichung der Studieninformation auf der Webseite des Klinikums oder im Patienten-Aufnahmebogen möglich.

Klinische Prüfung

Klinische Prüfung Phase II

Eine klinische Prüfung der Phase II prüft die Wirksamkeit eines neuen Wirkstoffs an Probandinnen und Probanden mit Einschlusskriterien.

Bewertungsansatz: § 27 DSAG LSA tritt zurück; AMG/EU-VO 536/2014 verlangt die ausdrückliche und vollständig informierte Probandeneinwilligung. Die datenschutzrechtliche Stützung folgt der arzneimittelrechtlichen Einwilligung über Art. 9 Abs. 2 lit. a DSGVO. Ethikvotum, BfArM-Genehmigung, Studienregister sind zwingend.

Sozialwissenschaft

Online-Befragung zu Studierendenmobilität

Eine sozialwissenschaftliche Forschungsgruppe befragt Studierende zu ihren Mobilitätsmustern. Die Befragung ist vollständig anonym konzipiert – allerdings führt die Kombination einzelner Antworten potenziell zur Re-Identifizierung.

Bewertungsansatz: Stützung auf § 27 DSAG LSA als Forschungsklausel ist tragfähig. Die Pseudonymisierung greift hier durch konsequente Reduktion auf nicht re-identifizierbare Aggregat-Antworten – der Fragebogen sollte vorab auf Re-Identifizierungspfade geprüft werden. Information nach Art. 13 DSGVO am Anfang des Fragebogens.

Drittmittel

Drittmittelprojekt mit Industriepartner

Ein Lehrstuhl bearbeitet ein Drittmittelprojekt mit einem Industriepartner. Die Studie nutzt personenbezogene Daten aus einer hochschulinternen Datenbank.

Bewertungsansatz: § 27 DSAG LSA ist tragfähig, solange das wissenschaftliche Erkenntnisinteresse überwiegt. Bei reiner Auftragsforschung ohne erkennbaren wissenschaftlichen Eigenanteil kippt das Argument; dann ist eine andere Rechtsgrundlage zu suchen (häufig Einwilligung der Betroffenen oder Vertrag mit Dritten). Vertragliche Regelungen zur Datenherausgabe an den Industriepartner: Auftragsverarbeitung oder gemeinsame Verantwortlichkeit prüfen.

Internationale Kooperation

Datenweitergabe an internationales Forschungsnetzwerk

Eine Forschungsgruppe möchte pseudonymisierte Forschungsdaten in eine europäische Forschungsinfrastruktur (z. B. ELIXIR, BBMRI) einspeisen.

Bewertungsansatz: § 27 DSAG LSA i. V. m. Art. 9 Abs. 2 lit. j DSGVO kann den Datentransfer rechtfertigen, soweit die Forschungsausnahme greift. Bei Sitz der Empfänger in einem Drittland ist zusätzlich Kapitel V DSGVO zu beachten; § 27 Abs. 3 DSAG LSA regelt nur die Übermittlung an Empfänger außerhalb des Geltungsbereichs des DSAG LSA und ersetzt die Drittlandsprüfung nach Kapitel V DSGVO nicht. Vertiefung auf der Themenseite Drittlandstransfer.

09

Stolpersteine

  1. Reflexartige Einwilligung: Forschende orientieren sich an älteren Mustern aus der Zeit vor Geltung der DSGVO und holen Einwilligungen ein, obwohl § 27 DSAG LSA tragfähig wäre. Empfehlung: vor jeder Studie die Rechtsgrundlage strukturiert prüfen.
  2. Doppelgleisige Stützung: Einwilligung und § 27 DSAG LSA gleichzeitig schwächen beide Grundlagen.
  3. Übersehene Spezialgesetze: AMG/MPDG/StZG gehen vor; Forschungsausnahme deckt klinische Prüfungen nicht.
  4. Information vergessen: Art. 13/14 DSGVO bleibt anwendbar – die Forschungsausnahme befreit davon nicht.
  5. Sekundärnutzung ohne Rechtsgrundlagenprüfung: Bei Weiterverarbeitung zu wissenschaftlichen Forschungszwecken greift die Vermutung der Vereinbarkeit nach Art. 5 Abs. 1 lit. b 2. Halbsatz DSGVO; ein Vereinbarkeitstest nach Art. 6 Abs. 4 DSGVO entfällt damit. Das entbindet aber nicht von der Pflicht, eine taugliche Rechtsgrundlage für die Sekundärnutzung zu prüfen – und bei besonderen Kategorien personenbezogener Daten zusätzlich eine Erlaubnisnorm aus Art. 9 Abs. 2 DSGVO. Vertiefung dazu in Abschnitt 01.
  6. Schlüsseldatei nicht getrennt: Pseudonymisierung verfehlt ihren Zweck, wenn Forschende Zugriff auf den Schlüssel haben – die Pflicht-TOM wird dadurch praktisch hohl.
  7. Veröffentlichung mit Personenbezug: Veröffentlichungen müssen anonymisiert sein, soweit der Forschungszweck nicht zwingend personenbezogen erfolgt.
  8. Drittlandsproblematik unterschätzt: Europäische Forschungsnetzwerke verlangen häufig den Export in Drittländer – Kapitel V DSGVO bleibt anwendbar.
10

Vertiefende Quellen

Rechtsquellen

Rechtsprechung

Aufsichtspraxis

Vertiefende Lektüre

  • Ruiz García, M.: Forschung und Datenschutz – Privilegien der DSGVO (dr-datenschutz.de, 20.09.2023) – einführende Übersicht zu den Forschungsprivilegierungen (Art. 5 Abs. 1 lit. b, Art. 9 Abs. 2 lit. j, Art. 89 DSGVO; ErwG 33, 159) und zum Maßnahmenkatalog des § 22 BDSG (auf Bundesebene; vgl. landesrechtlich § 27 DSAG LSA).

Querverweise auf eigene Themenseiten

Stand: Q2/2026 · letzte inhaltliche Pflege; anbieter- und produktbezogene Aussagen sind dynamisch und vor produktiver Nutzung an aktuellen Primärquellen zu prüfen.

Weitere Themenseiten zu Datenschutz, KI-Verordnung und Informationssicherheit.

Zur Themenübersicht

Fragen zu dieser Seite?

Hinweise, Fehlerkorrekturen oder Anregungen zur Erweiterung dieser Seite nehme ich gerne entgegen.

kontakt@dennisawinkler.de