Datenschutzrechtliche Regelungen müssen in allen Forschungsphasen von der Planung, Erhebung über die Auswertung und Sicherung der Daten bis hin zur Archivierung und Nachnutzung berücksichtigt werden. Sie gelten für alle personenbezogenen Daten, d.h. für alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, inkl. pseudonymisierter Daten (Zuordnung kann unter Hinzuziehung von weiteren Informationen/Kontextdaten erfolgen). Grundlage für den Umgang mit personenbezogenen Daten ist die Europäische Datenschutz-Grundverordnung (DSGVO). Nur vollständig anonymisierte und damit nicht mehr zuzuordnende Daten fallen nicht unter das Datenschutzgesetz.

Eine besondere Rolle mit Blick auf datenschutzrechtliche Anforderungen bei der Archivierung und Bereitstellung von Forschungsdaten zur Sekundärnutzung spielen die Informierte Einwilligung, in der die beforschten Personen bzw. deren Erziehungsberechtigte dem vorgesehenen Vorgehen in allen Phasen der Datennutzung aktiv zustimmen müssen, die Verfahren der Anonymisierung/Pseudonymisierung sowie die unterschiedlichen Möglichkeiten, Sekundärnutzenden Zugang zu Daten zu gewähren, und mit diesen im Bedarfsfall zusätzliche Vorkehrungen zum Schutz der Beforschten zu treffen.