Die Datenschutz-Sandbox

Das Projekt

Stand: Oktober 2025

Professor Dr. Christoph Krönke, Inhaber der Professur I für Öffentliches Recht, und Professor Dr. Agnes Koschmider, Inhaberin der Professur für Wirtschaftsinformatik und Process Analytics, beide Universität Bayreuth, schaffen in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dr. Dieter Kugelmann, die Grundlage für einen Rahmen zur datenschutzsicheren Anwendungsentwicklung. Der LfDI Rheinland-Pfalz richtet hierfür die Datenschutz-Sandbox ein. In dieser können Unternehmen und Behörden Fragen zur Datenschutzkonformität ihrer Anwendungen vor Einführung im Realbetrieb in engem, kooperativem Austausch mit dem LfDI Rheinland-Pfalz behandeln. Mögliche Datenschutzprobleme sollen so in einem gesicherten Rahmen niedrigschwellig erkannt und adressiert werden. Die Datenschutz-Sandbox soll dadurch Unternehmen und Behörden, die innovative, aber datenschutzrechtlich herausfordernde digitale Anwendungen einsetzen möchten, dabei unterstützen, Unsicherheiten abzubauen.

Das Projekt analysiert zudem, welche rechtlichen und informationstechnischen Bedingungen für Sandbox-Verfahren im Datenschutzrecht gelten, und bereitet praxisnahe Handlungsempfehlungen für andere Datenschutzaufsichtsbehörden auf. Das Projekt wird vom Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) gefördert und hat einen vorgesehenen Zeitrahmen von drei Jahren, beginnend im Oktober 2024.

Die am Projekt Beteiligten werden mindestens ein Sandbox-Verfahren exemplarisch durchführen, rechts- und IT-wissenschaftlich begleiten und den Einsatz evaluieren. Alle Erkenntnisse des Projekts sollen letztlich in einer wissenschaftlichen Handreichung für andere Behörden aufbereitet und als Grundlage für Vorschläge zur Fortentwicklung des regulatorischen Rahmens genutzt werden.

„Datenschutz-Sandbox“ – Was ist das?

Die „Datenschutz-Sandbox“ ist eine Regulatory Sandbox, auch Reallabor genannt. Regulatory Sandboxes sind aufsichtsrechtliche Gestaltungen, die es Unternehmen oder Verwaltungsträgern ermöglichen, innovative Anwendungen innerhalb eines zeitlich begrenzten Rahmens und im engen, kooperativen Austausch mit der Aufsichtsbehörde zu entwickeln. Bei der Datenschutz-Sandbox sollen im Vorfeld der Markteinführung bzw. Aktivstellung der Anwendung gemeinsam mit der Aufsichtsbehörde datenschutzrechtliche Gesichtspunkte thematisiert werden, und die Aufsichtsbehörde kann zu diesen Empfehlungen und Hinweise für privatsphäreschonende Gestaltungen geben.

Was bietet die Datenschutz-Sandbox und worauf zielt sie ab?

  • Qualifizierte Beratung
  • Wahrung der Vertraulichkeit (§ 30 VwVfG)
  • Vertrauensbildung
  • Möglichkeit zur frühzeitigen Einflussnahme, um auf privatsphäreschonende Gestaltungen hinzuwirken
  • Beseitigung datenschutzrechtlicher Ungewissheiten
  • ggf. Unterstützung bei einer Datenschutzfolgenabschätzung und Risikobewertungen
  • Wissensgenerierung und -austausch für die Teilnehmenden und den LfDI Rheinland-Pfalz
  • Innovative und zugleich datenschutzfreundliche Anwendungen
  • Wissensquelle in den Abschlussberichten der einzelnen Sandbox-Verfahren

Ablauf eines Sandbox-Projekts

Die genauen Details der Ausgestaltung der Datenschutz-Sandbox sind Gegenstand des Forschungsprojekts. Klar ist aber bereits jetzt, dass sich ein Sandbox-Verfahren in drei Phasen unterteilen lässt: die Vorbereitung, die Durchführung und der Abschluss.

In der Anfangsphase sollen alle notwendigen Vorbereitungen getroffen werden, insbesondere mit dem Unternehmen oder der Behörde eine Vereinbarung über dessen bzw. deren Teilnahme am Sandbox-Verfahren, einschließlich eines individuellen Sandbox-Plans, geschlossen werden. Wie Teilnehmende festgelegt werden, muss noch abschließend geklärt werden.

Die individuelle Durchführung des Sandbox-Verfahrens soll mit dem jeweiligen Teilnehmer im Sandbox-Plan festgelegt und an dem jeweiligen Projekt ausgerichtet werden.

Der Abschluss des Sandbox-Verfahrens soll die Veröffentlichung eines Abschlussberichts mit den im Verfahren gewonnenen datenschutzrechtlichen Erkenntnissen beinhalten, sodass durch die Datenschutz-Sandbox auch ein Mehrwert für Dritte entstehen kann.

Projektbeteiligte

Verantwortlicher Verbundpartner

Prof. Dr. Christoph Krönke

Lehrstuhl Öffentliches Recht I der Universität Bayreuth

Mehr
Projektpartnerin

Prof. Dr. Agnes Koschmider

Lehrstuhl Wirtschaftsinformatik der Universität Bayreuth / Fraunhofer FIT Bayreuth

Mehr

© LfDI / Foto: Andrea Schombara

Projektpartner

Prof. Dr. Dieter Kugelmann

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Mehr

Kontakt

Sie haben Interesse an oder Fragen zu unserem Projekt? Schreiben Sie uns gerne eine E-Mail: 
projekt-sandbox(at)datenschutz.rlp.de