Datenschutz

Gern unterstützen wir Sie bestmöglich bei allen Fragen im Kontext personenbezogener Daten, aber auch hinsichtlich Urheber- und Nutzungsrechte sowie Lizenzen. Bitte beachten Sie, dass wir keine Rechtsberatung durchführen können. Im Zweifelsfall wenden Sie sich an das das Justiziariat im Dezernat 1.

Bitte wenden Sie sich bei Fragen zum Datenschutz von Forschungsdaten zunächst an die folgende E-Mail-Adresse:

fdm[at]uni-hildesheim.de

Ihre Fragen zum Datenschutz werden an den Datenschutzbeauftragten der Universität Hildesheim weitergeleitet. Bei Fragen zur IT-Sicherheit wenden Sie sich an die IT-Sicherheitsbeauftragte.

Weitere Hinweise zu rechtlichen Aspekten wie Urheberrecht oder Lizenzen finden Sie in der Rubrik Rechtliche Aspekte. Darüber hinaus sind ggf. Fragen zur Forschungsethik zu beachten.

Die Datenschutz-Grundverordnung (EU-DSGVO), das Niedersächsische Datenschutzgesetz (NDSG) und, soweit anwendbar, das Bundesdatenschutzgesetz (BDSG) sind zu beachten, sobald personenbezogene oder personenbeziehbare Daten verarbeitet werden, egal ob selbst erhoben oder nachgenutzt. Bevor Sie mit solchen Daten arbeiten dürfen, ist dem Datenschutzbeauftragten ein Datenschutzkonzept vorzulegen.

Personenbezogene Daten sind alle Angaben zu einer natürlichen Person, die zu deren eindeutiger Identifikation oder Identifizierung führen können. Dazu gehören u. a. Namen, Kontaktdaten, genetische oder biometrische Daten und Online-Kennungen wie IP-Adresse (Art. 4 Nr. 1 DSGVO). Häufig ergibt sich ein Personenbezug, wenn verschiedene Angaben ohne Personenbezug kombiniert werden.

Sensible Daten sind nicht für die Öffentlichkeit bestimmt und dürfen nur unter besonderen Bedingungen für die Wissenschaft genutzt werden. Sie unterliegen besonderem Schutz, da sie u. a. Angaben zur ethnischen Herkunft, zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und zum Sexualleben einer Person enthalten können. Deshalb werden sie den besonderen Kategorien personenbezogener Daten zugeordnet und unterliegen strengeren Regeln (Art. 9 DSGVO, § 27 BDSG).

Ob Daten der DSGVO unterliegen, ist nicht immer einfach zu ermitteln. Ein Hilfsmittel stellen die interactive Virtual Assistants iVA 1 und iVA 2 dar. iVA 1 prüft anhand eines Fragebogens, ob die DSGVO anzuwenden ist und welche Vorschriften zu beachten sind. iVA 2 zeigt auf, was für eine rechtskräftige Zustimmung zur Datenverarbeitung beachtet werden muss. Die Ergebnisse sollten mit dem Datenschutzbeauftragten besprochen werden, da iVA 1 und iVA 2 ausschließlich informieren.

Grundsätzlich handelt es sich bei der Arbeit mit personenbezogenen Daten um ein "Verbot mit Erlaubnisvorbehalt", d. h. die Verarbeitung ist nur gestattet,

• wenn dies gesetzlich oder durch andere Rechtsvorschriften erlaubt oder vorgeschrieben ist (z. B. § 13 NDSG, Art. 5 Abs. 1 lit. b) DSGVO oder Art. 6 Abs. 1 lit. e) DSGVO).
• wenn die jeweils betroffene Person, um deren Daten es geht, hierin eingewilligt hat (Informierte Einwilligung).

Es gelten dabei folgende Grundsätze (u. a. Art. 5 DSGVO):

• Fairness und Rechtmäßigkeit
• Zweckbindung
• Datenminimierung (“so viel wie nötig, so wenig wie möglich”)
• Befristete Speicherdauer
• Transparenz
• Datenrichtigkeit
• Vertraulichkeit
• Datensicherheit

Wir empfehlen, vor Beginn der Forschung mit personenbezogenen Daten die Informierte Einwilligung aller betroffenen Personen oder eine anderswertige Erlaubnis einzuholen. Das nachträgliche Klären der Erlaubnis zur Datenverarbeitung kostet Sie vor allem Zeit.

Ein Datenschutzkonzept ist zu entwickeln, sobald personenbezogene Daten zu Forschungszwecken verarbeitet werden sollen. Dabei ist v. a. zu unterscheiden zwischen den Forschungsdaten und den Kontaktdaten. Achten Sie darauf, dass alle benötigten Nutzungsszenarien (u. a. auch Lehre) angegeben werden. Das Konzept besteht aus mehreren Teilen:

• Datenschutzerklärung mit einer Übersicht der Maßnahmen bei der Erhebung, Verarbeitung und Nutzung der Daten, inkl. Speicherung, Sicherung und Löschung (Informationsblatt)
• Informierte Einwilligung
• „Verfahrensverzeichnis“ in Zusammenarbeit mit dem Datenschutzbeauftragten
• ggf. Datenschutz-Folgeabschätzung, insb. bei besonderen Kategorien personenbezogener Daten
• ggf. Nutzungsvereinbarungen mit den Nutzenden
• ggf. Erklärungen über die Wahrung des Datengeheimnisses von Projektmitarbeitenden

Weitere Hinweise geben u. a. Per Holderberg, Marie Meyer, & Johanna Nowakowski (2025): Datenschutz in Online-Umfragen: Ein forschungspraktischer Leitfaden mit Handreichungen, Checklisten und Best-Practice-Beispielen. In: Hildesheimer Beiträge zur Methodenforschung, Nr. 2025-1. https://doi.org/10.18442/hilme-2025-1

Die Technische Universität München bietet mit eTIC – electronic Tool for the compilation of Informed Consent documents ein Tool an, um Datenschutzkonzepte zu erstellen.

Für die Verarbeitung personenbezogener Daten ist zumeist das Einverständnis der betroffenen Personen (schriftlich) einzuholen, z. B. bei Interviews oder Videoaufnahmen. Falls Sie für Ihr Projekt eine eigene Einwilligungserklärung entwickeln wollen, können z. B. die rechtlich geprüften Erklärungsvorlagen des Forschungsdatenzentrums Qualiservice zusätzliche Anregungen geben.

Personenbezogene Daten sind grundsätzlich zu löschen, sobald der Zweck der Erhebung erfüllt ist, spätestens jedoch zum Ende des Forschungsvorhabens, oder wenn das Recht auf Löschung (Art. 17 DSGVO) eingefordert wird. Sofern möglich, sollten personenbezogene Daten unmittelbar nach der Erhebung anonymisiert werden und danach nur noch mit den anonymisierten Daten gearbeitet werden.

Mit der Anonymisierung stellen Sie sicher, dass alle personenbeziehbaren Merkmale in den Daten entfernt werden und kein Rückschluss auf einzelne Personen möglich ist. Eine Alternative ist die Pseudonymisierung. Hierfür gibt es Methoden und Tools wie Amnesia oder QualiAnon. Einen Einblick in die Thematik gibt der Verbund Forschungsdaten Bildung (FDB): https://www.forschungsdaten-bildung.de/anonymisieren-pseudonymisieren.

Die im Forschungsvorhaben für den Datenschutz verantwortliche Person ist auch für die technischen und organisatorischen Sicherungsmaßnahmen (TOMs) zuständig (Art. 32 DSGVO). Diese sollten vor der Datenerhebung bestimmt und mit dem Datenschutzbeauftragten abgesprochen werden.

Dies ist nur möglich, wenn Sie die explizite Erlaubnis hierzu haben, z. B. eine Informierte Einwilligung. Es wird empfohlen, dass die Weitergabe unter Ausschluss der Öffentlichkeit und mit Zugriffsschutz erfolgt. Soweit möglich sollten die personenbezogenen Daten in der erhebenden Institution verbleiben und nur anonymisierte Daten geteilt werden. Besondere Vorsicht gilt bei der Weitergabe ins EU-Ausland. Hierzu kontaktieren Sie den Datenschutzbeauftragten.

Personenbezogene Daten dürfen nur in anonymisierter Form veröffentlicht werden, es sei denn, die betroffene Person stimmt ausdrücklich zu oder es liegt eine entsprechende Rechtsvorschrift vor. Eine Entscheidungshilfe, ob Forschungsdaten veröffentlicht werden dürfen, bietet die Technische Universität Dresden:

• Paul Baumann, Philipp Krahn & Anne Lauber-Rönsberg (2019): Entscheidungsbaum für die Veröffentlichung von Forschungsdaten. Stand 12/2020, S. 2. https://nbn-resolving.org/urn:nbn:de:bsz:14-qucosa2-731105

• Überblick zum Datenschutz bei Forschungsdaten: https://forschungsdaten.info/themen/rechte-und-pflichten/datenschutzrecht/
• Kreutzer, Till & Henning Lahmann (2021) Rechtsfragen bei Open Science: Ein Leitfaden. Hamburg University Press. https://doi.org/10.15460/HUP.211, insb. Kap. IV
• Kuschel, Linda (2018) Wem "gehören" Forschungsdaten? Zur Rechtslage nach Urheber- und Datenschutzrecht. In: Forschung & Lehre 2 (2018), 9, S. 764–766. https://www.forschung-und-lehre.de/forschung/wem-gehoeren-forschungsdaten-1013
• Leibniz Universität Hannover & Technische Informationsbibliothek (2018) FAQs zu rechtlichen Aspekten im Umgang mit Forschungsdaten (Version 180215). https://doi.org/10.5281/zenodo.3233508