Forschungsdatenschutz-Wizard

Forschungsvorhaben unterliegen einem eigenen Regelungsregime: Art. 89 DSGVO verlangt geeignete Garantien (insbesondere Pseudonymisierung); § 27 DSAG LSA ist die landesrechtliche Ausfüllungsnorm in Sachsen-Anhalt und tritt für besondere Datenkategorien an die Stelle der allgemeinen Erlaubnistatbestände des § 9 DSAG LSA. Der Wizard bildet folgende Prüfschritte ab:

1. Personenbezug: Wird mit personenbezogenen Daten gearbeitet, mit pseudonymisierten Daten oder mit vollständig anonymisierten Daten? Bei vollständiger Anonymität ist die DSGVO nach ErwGr 26 nicht anwendbar – der Wizard warnt hier ausdrücklich vor De-Anonymisierungs-Risiken, insbesondere bei kleinen Stichproben oder Re-Identifikationsmöglichkeiten.
2. Rechtsgrundlage: Bei institutioneller Hochschulforschung trägt regelmäßig Art. 6 Abs. 1 lit. e DSGVO i. V. m. § 3, § 23 HSG LSA. Art. 6 Abs. 1 lit. f DSGVO ist nach Art. 6 Abs. 1 UAbs. 2 DSGVO ausgeschlossen, soweit die Hochschule in Erfüllung ihrer öffentlichen Aufgaben handelt – das ist bei institutioneller Hochschulforschung praktisch immer der Fall. Bei einwilligungsbasierten Studien ist Art. 6 Abs. 1 lit. a DSGVO einschlägig.
3. Besondere Datenkategorien (Art. 9 DSGVO): § 27 Abs. 4 DSAG LSA i. V. m. § 14 DSAG LSA als landesrechtliche Erlaubnisnorm für Forschungszwecke (konkretisiert Art. 9 Abs. 2 lit. j DSGVO). Voraussetzungen: Zweck nicht oder nicht mit verhältnismäßigem Aufwand anders erreichbar, öffentliches Forschungsinteresse überwiegt erheblich, Abwägung dokumentiert, Datenschutzbeauftragte/r unterrichtet, angemessene Schutzmaßnahmen (insb. E2E-Verschlüsselung bei elektronischer Übermittlung).
4. DSFA-Schwellwert: Heuristische Bewertung orientiert an den Muss-Listen des LfD LSA und der DSK sowie den neun EDSA-Kriterien aus WP 248 rev. 01. Die Heuristik ersetzt nicht die endgültige Schwellwertprüfung – sie bildet die typischen Score-Treiber (Stichprobengröße, sensible Daten, KI-Komponenten, Drittlandbezug, Vulnerabilität der Probanden) ab.
5. Drittlandbezug: Werden Daten in Drittländer übermittelt oder von dort verarbeitet? Stufenfolge nach Kapitel V DSGVO: Angemessenheitsbeschluss (Art. 45), geeignete Garantien (Art. 46) mit Transfer-Folgenabschätzung nach Schrems II (EuGH C-311/18) oder restriktive Ausnahmen (Art. 49).
6. Schutzmaßnahmen-Empfehlung: Pseudonymisierung früh im Datenfluss, getrennte Speicherung der Re-Identifikationsmerkmale, E2E-Verschlüsselung, Berechtigungskonzept, Speicherort im EWR, Aufbewahrungs- und Löschkonzept. Bei KI-/ML-Trainingsdaten zusätzliche Erwägungen aus EDSA-Stellungnahme 28/2024 (LLM und Datenschutz).

1. Forschungsvorhaben benennen: Titel und Beschreibung der Studie/des Projekts. Diese Angaben erscheinen im Workpaper.
2. Personenbezug einstufen: personenbezogene, pseudonymisierte oder anonymisierte Daten. Bei Anonymität prüft der Wizard die Plausibilität (Stichprobengröße, Re-Identifikation, k-Anonymität).
3. Datenkategorien wählen: allgemeine pbD, besondere Kategorien (Art. 9), strafrechtliche Daten (Art. 10), Daten Minderjähriger oder weiterer schutzbedürftiger Gruppen.
4. Datenherkunft und Drittlandbezug angeben: Probandenrekrutierung, Sekundärdatennutzung, Open-Data, Drittland-Speicherung oder -Verarbeitung.
5. Ergebnis lesen: Der Wizard zeigt Rechtsgrundlage, Erlaubnisnorm für besondere Kategorien, DSFA-Score mit Treibern, Drittland-Bewertung und priorisierte Schutzmaßnahmen an. Risikohinweise erscheinen kontextabhängig.
6. Workpaper drucken: Klick auf „Druckansicht" erzeugt ein Workpaper mit Verfahrensname, Eingaben, Bewertungsergebnis und Schutzmaßnahmen – geeignet als Anlage zur Stellungnahme oder zum Forschungsantrag.

Datenverarbeitung: Sämtliche Eingaben werden ausschließlich lokal im Browser verarbeitet (localStorage für Wiederaufnahme, kein Server-Roundtrip). Es findet keine Übermittlung an Anbieter, Tracker oder Analyse-Dienste statt.

• Art. 5 Abs. 1 lit. b und Abs. 2, Art. 6 Abs. 1 lit. a, e und UAbs. 2 DSGVO
• Art. 9 Abs. 2 lit. a und lit. j DSGVO (Forschungstatbestand)
• Art. 89 DSGVO i. V. m. ErwGr 156–162 DSGVO (geeignete Garantien)
• Art. 35 DSGVO (DSFA) sowie EDSA-Leitlinien WP 248 rev. 01 vom 04.10.2017
• § 27 DSAG LSA (Ausnahmen für wissenschaftliche und historische Forschungszwecke nach Art. 89 DSGVO) i. V. m. § 14 DSAG LSA (Schutzmaßnahmen)
• § 3, § 23 HSG LSA (Aufgaben und Forschung der Hochschulen Sachsen-Anhalts)
• EuGH 16.07.2020, C-311/18 (Schrems II) bei Drittlandbezug
• EDSA-Stellungnahme 28/2024 zu LLM und Datenschutz (bei KI-Forschung mit Trainingsdaten)
• Vertiefende Themenseite: Forschungszweck