In einem Satz. Universitäten und Forschungseinrichtungen sind durch DSGVO Art. 89 (Forschungsprivileg) und Landesdatenschutzgesetze weitgehend frei in der Verarbeitung wissenschaftlicher Daten — bei zwingender Pseudonymisierung, technischen Schutzmaßnahmen, Ethik-Kommission und Forschungsdatenmanagement-Plan.
Mit dem Forschungsdatengesetz (FDG, 2024) und der KI-Verordnung 2026 wachsen die Pflichten weiter. Für den Schulbereich siehe unseren Leitfaden zu Schulen, Microsoft 365 und Schülerdaten, ergänzend DSGVO Anforderungen.
Wichtige Punkte
- Art. 89 DSGVO als zentraler Privilegierungs-Tatbestand.
- Pseudonymisierung Standard, Anonymisierung bevorzugt.
- Ethik-Kommission bei medizinischer Forschung Pflicht.
- AI Act trifft Hochschulen ab 2026.
- Open Access / Open Data mit DSGVO vereinbar nur bei Anonymisierung.
1. Art. 89 DSGVO Forschungsprivileg
- Erlaubt Verarbeitung für wissenschaftliche/historische Forschung.
- Voraussetzung: technische Schutzmaßnahmen (insb. Pseudonymisierung).
- Einschränkung mehrerer Betroffenenrechte möglich (Auskunft, Löschung).
- Landesgesetze konkretisieren (z.B. HmbDSG, BayHIG).
2. Verarbeitungszwecke Hochschule
| Bereich | Rechtsgrundlage |
|---|---|
| Studierendenverwaltung | Landeshochschulgesetz |
| Prüfungen | LHG + DSGVO Art. 6 |
| Forschung | Art. 89 + Landesregelung |
| Klinische Studien | AMG + DSGVO Art. 9 |
| Personal | BDSG § 26 |
3. Pseudonymisierung vs. Anonymisierung
- Pseudonymisierung: Re-Identifikation mit zusätzlichen Informationen möglich.
- Anonymisierung: Re-Identifikation faktisch ausgeschlossen.
- Wo möglich Anonymisierung bevorzugen (dann keine DSGVO).
- Bei Genom-/Gesundheitsdaten faktisch nie vollständige Anonymisierung.
4. Ethik-Kommission
Pflicht bei:
- Medizinischer Forschung (AMG, MPG).
- Forschung mit menschlichen Probanden.
- Psychologischer Forschung mit invasiven Methoden.
- Einige Universitäten mit eigener Ethikordnung für Sozialwissenschaften.
5. Einwilligung in Forschung
- Informierte Einwilligung dokumentiert.
- “Breite Einwilligung” für Folgeforschung möglich (Erwägungsgrund 33).
- Widerruf jederzeit, aber bei anonymisierten Daten technisch oft nicht umsetzbar.
- Aufbewahrung Einwilligung mindestens für Forschungsdauer + 10 Jahre.
6. Forschungsdatenmanagement-Plan (FDM)
DFG empfiehlt FDM:
- Datenstruktur und Metadaten.
- Speicherort und Sicherheit.
- Zugriffsrechte.
- Aufbewahrung (mindestens 10 Jahre nach Gute Wissenschaftliche Praxis).
- Archivierung (z.B. RADAR, Zenodo).
7. Open Science und DSGVO
- Open Access (Publikationen): meist unproblematisch.
- Open Data (Forschungsdaten): nur anonymisiert oder mit Einwilligung.
- FAIR-Prinzipien (Findable, Accessible, Interoperable, Reusable) DSGVO-vereinbar.
- Repositorien mit Zugangskontrolle für nicht-anonymisierte Daten.
8. Internationale Kooperationen
- EU-Projekte: SCC oder BCR.
- USA: TIA nach Trump-II, Datenminimierung.
- UK: Adäquanzbeschluss (gilt bis Juni 2025, neu verhandelt).
- Drittland-Forscher-Zugang: Datenexport-Bewertung.
9. KI-Tools in der Forschung
- ChatGPT/Claude für Texterstellung: Datenschutz prüfen.
- AI Act trifft Hochschulen bei Hochrisiko-Anwendungen (z.B. KI-basierte Diagnostik).
- Trainingsdaten mit personenbezogenen Daten: Rechtsgrundlage erforderlich.
- DSFA bei KI-Anwendungen mit Personendaten.
10. Studierendendaten
- Matrikelverwaltung: Landeshochschulgesetz.
- Lernplattformen (Moodle, Stud.IP): kein US-Tracking.
- Klausuraufsicht digital (Proctoring): kritisch, hohe Aufsichtsbeachtung.
- Bibliothekssysteme: Ausleihhistorie streng pseudonymisiert.
11. Tool-Unterstützung
Legiscope liefert Forschungsdaten-Vorlagen, Einwilligungs-Templates und DSFA für KI-Forschung.
11. Sektor-spezifische Enforcement-Fälle
| Jahr | Behörde | Fall | Sanktion | Lehre |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg (Retail-Beispiel) | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen (Immobilien) | 14.500.000 € | Aufbewahrungsverstoß |
| 2021 | LfDI Niedersachsen | Notebooksbilliger (E-Commerce) | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW (Industrie) | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall (Energie) | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfD Berlin | Online-Plattform | 525.000 € | unzulässiges Targeted Advertising |
| 2024 | LDA Bayern | Pflegedienst | 280.000 € | Patientenakten ungesichert |
Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.
12. Sektor-Standards und Codes of Conduct
Branchenspezifische Standards reduzieren das Compliance-Risiko:
- B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
- ISO 27001:2022 für ISMS-Zertifizierung.
- ISO 27701:2019 für Privacy Information Management (PIMS).
- BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
- TISAX für Automotive-Lieferketten.
- C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
- Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).
Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.
13. AVV-Anforderungen im Sektor
Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.
Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.
14. 5-Schritte-Compliance-Plan für den Sektor
- Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
- Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
- Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
- TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
- Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.
15. Häufige Audit-Befunde im Sektor
- Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
- AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
- Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
- Cookie-Banner ohne TTDSG-konforme Reject-Option.
- Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
- Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
- Kameraüberwachung ohne Beschilderung und Interessensabwägung.
- Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
- Backups unverschlüsselt oder offen erreichbar.
- Verspätete Datenpannenmeldung — siehe Datenpanne melden.
16. Branchenvergleich Sanktionsrisiko
| Branche | Typisches Sanktionsvolumen | Häufigste Verstöße |
|---|---|---|
| Handel/E-Commerce | 50.000 - 10 Mio. € | Marketing-Tracking, AVV-Lücken |
| Industrie | 100.000 - 35 Mio. € | Beschäftigtendatenschutz |
| Gesundheit/Pflege | 30.000 - 1 Mio. € | TOM-Defizite, Akten ungesichert |
| Energie/Versorger | 50.000 - 900.000 € | SCHUFA-Abfragen, Smart-Meter |
| Bildung | 5.000 - 100.000 € | MS 365 ohne TIA, Schülerdaten |
| Vereine/NGO | 1.000 - 50.000 € | fehlender DSB, AVV-Lücken |
| Influencer/Creator | 5.000 - 200.000 € | Cookie-Banner, Tracking-Pixel |
Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.
18. DSFA-Pflicht im Sektor
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.
Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.
19. Branchenkodex und Zertifizierung
Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.
20. Schnittstelle zu NIS2 und DORA
Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.
21. Häufige strategische Fehler im Sektor
- Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
- DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
- Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
- Cloud-Migration ohne TIA und ohne Vertragsanpassung.
- Marketing-Tracking ohne TTDSG-konforme Einwilligung.
- Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
- Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.
Fazit
Forschung ist in Deutschland durch Art. 89 und Landesregelungen relativ frei — aber nur mit dokumentierten Schutzmaßnahmen und FDM. Wer Ethik-Kommission und Pseudonymisierung ernst nimmt, hat selten Probleme mit Aufsichtsbehörden.
FAQ
Was ist Art. 89 DSGVO?
Forschungsprivileg: erlaubt Verarbeitung für wissenschaftliche Zwecke bei technischen Schutzmaßnahmen, ermöglicht Einschränkung mehrerer Betroffenenrechte.
Brauche ich Einwilligung für jede Forschung?
Nicht immer — bei pseudonymisierten Sekundärdaten kann gesetzliche Grundlage (LHG, Art. 89) ausreichen. Bei medizinischer Forschung praktisch immer Einwilligung.
Wie lange muss ich Forschungsdaten aufbewahren?
DFG-Gute Wissenschaftliche Praxis: 10 Jahre. Klinische Studien: bis 25 Jahre nach AMG.
Ist ChatGPT in der Forschung erlaubt?
Mit Datenschutz-Check ja, bei personenbezogenen Trainingsdaten DSFA erforderlich. KI-Verordnung 2026 stellt zusätzliche Pflichten.
Was bei Studierenden-Klagen?
Beschwerde an Landesdatenschutzbehörde möglich. Universitäten haben eigenen behördlichen DSB (Pflicht nach LHG).
Welche Behörde ist für meinen Sektor zuständig?
Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.
Brauche ich einen Datenschutzbeauftragten?
Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.
Wie hoch sind realistische Bußgelder im Mittelstand?
Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.
Welche TOM sind im Sektor Pflicht?
Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.
Wie läuft ein Audit der Behörde ab?
Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial