Seit dem 29.10.2025 gibt es gegenüber sehr großen Online-Plattformen und Suchmaschinen einen Forschungszugang zu nicht-öffentliche Daten unter den Vorgaben des Digital Services Act (DSA). Hierdurch sollen systemische Risiken für Gesellschaft und Demokratie wissenschaftlich untersucht werden können. Voraussetzung für den Zugang zu diesen Daten ist laut einer Pressemitteilung des Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Einhaltung des Datenschutzes.
Der Digital Services Act
Der DSA gilt seit Anfang Februar 2024 für alle größeren Online-Plattformen, also solche, die 50 Personen oder mehr beschäftigen und einen Jahresumsatz ab 10 Millionen Euro erwirtschaften. Zu den neuen Verpflichtungen gehören etwa die Vorgaben, dass Plattformbetreiber für Nutzer Meldemechanismen einrichten müssen.
Besonderes Augenmerk legt der DSA zudem auf den Schutz Minderjähriger, die keine gezielte personalisierte Werbung erhalten sollen. Gezielte Werbung darf außerdem nicht aufgrund besonders sensibler personenbezogener Daten wie etwa politischer oder religiöser Überzeugungen ausgespielt werden. Hinzu kommen besondere Transparenz- und Begründungspflichten. In Deutschland wurde im April 2024 dann auch mit dem Digitale Dienste Gesetz (DDG) das deutsche Durchsetzungsgesetz verabschiedet.
Erweiterter Datenzugang für die Forschung
Bereits seit Gültigwerden des Gesetzes gewährt der DSA Forschenden auch Zugang zu öffentlich verfügbaren Daten großer Plattformen. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Alexander Roßnagel, erklärt in seiner Pressemitteilung dies als „eine der wichtigsten Regelungen des DSA“.
Mit dem im Juli 2025 verabschiedeten delegierten Rechtsakt der EU-Kommission wird dieser Zugang nun noch weiter ausgeweitet. Forschende können künftig auch interne, nicht-öffentliche Datensätze anfordern. Damit reagiert die EU erneut auf die wachsende Kritik an der Intransparenz großer Plattformen.
Antragsverfahren
Anträge auf Datenzugang können auf verschiedenen Wegen eingereicht werden. Zum einen besteht die Möglichkeit diese zentral über das Data Access Portal der EU unmittelbar beim für das Unternehmen zuständigen Digital Services Coordinator (DSC) einzureichen. Dieser bestimmt sich nach dem Unternehmenssitz. Daneben gibt es auch die Option einen Antrag bei der nationalen Koordinatorin der Forschungseinrichtung zu stellen. In Deutschland fungiert die Bundesnetzagentur (BNetzA) als DSC. Die endgültige Entscheidung über die Zulassung liegt jedoch unabhängig vom Ort der Antragsstellung bei der zuständigen Stelle am Sitz der jeweiligen Plattform. In der Praxis wird das häufig Irland sein, da dort viele große Anbieter wie Meta, Google, TikTok und X niedergelassen sind.
Datenschutzrechtliche Anforderungen an den Forschungszugang
Da viele der begehrten Datensätze Informationen über einzelne Nutzer enthalten können, ist die Einhaltung der DSGVO zentrale Voraussetzung für eine Genehmigung. Um hier Klarheit zu schaffen, hat auch der Europäische Datenschutzausschuss kürzlich Leitlinien zum Zusammenspiel von DSA und der Datenschutzgrundverordnung (DSGVO) veröffentlicht. Der HmbBfDI stellt nun in seiner Pressemitteilung klar, dass Forschende in ihrem Antrag detailliert darlegen müssen, wie sie personenbezogene Daten schützen, welche technischen und organisatorischen Maßnahmen sie vorsehen und welche Löschfristen gelten.
Ob die datenschutzrechtlichen Voraussetzungen vorliegen, prüft die zuständige Datenschutzbehörde. So kontrolliert beispielsweise der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die Anträge hessischer Forschungseinrichtungen, wenn der Antrag bei der deutschen Koordinierungsstelle eingereicht wurde. In diesem Zusammenhang koordiniert auf nationaler Ebene der HmbBfDI als Schnittstelle die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden und der BNetzA.
Checkliste für Datenschutz
Der HmbBfDI stellt zur Einhaltung der datenschutzrechtlichen Vorgaben im Rahmen der Antragsstellung eine Checkliste zur Verfügung. Diese soll als Hilfestellung für die Forschungseinrichtungen dienen. Darin weist er zunächst auf die hohen Anforderungen hin, die an eine erfolgreiche Anonymisierung gestellt werden.
Laut der Checkliste sind im Rahmen des Antrages zunächst Kontaktinformationen zur Forschungseinrichtung sowie Angaben zu weiteren beteiligten Forschungsinstituten erforderlich. Darauf sollten Angaben über die mit der Verarbeitung verbundenen Zwecke sowie zur Erforderlichkeit der Datenverarbeitung folgen. Weiter solle eine Stellungnahme zu (nicht) durchgeführter Anonymisierung oder Pseudonymisierung abgegeben werden. Daneben sei eine Liste der gewünschten personenbezogenen Daten beizufügen, die auch auf die verschiedenen Datenkategorien hinweist und insbesondere darauf eingeht, ob besonders geschützte Daten im Sinne von Art. 9 Abs. 1 DSGVO betroffen sind. Zuletzt empfiehlt der HmbBfDI, Angaben zu technischen und organisatorischen Maßnahmen und einer Datenschutzfolgenabschätzung zu machen.
Fazit
Der erweiterte Forschungszugang zu Daten unter dem DSA ist ein weiterer Schritt hin zu mehr Transparenz- und Rechenschaftspflichten für sehr große Online-Plattformen. Forschende erhalten neue Möglichkeiten, die Funktionsweisen solcher Anbieter zu analysieren. Das darf allerdings nur unter Einhaltung der datenschutzrechtlichen Anforderungen geschehen.
