Die Forscher sollten zunächst das Ziel ihrer Tätigkeit bestimmen (beispielsweise eine theoretische Studie durchführen, ein biometrisches System entwickeln, ein bestehendes System testen usw.). Dies ist ein wichtiger Schritt – nicht nur um die Zwecke festzulegen, für die personenbezogene Daten erhoben werden, sondern auch, um den Forschern die Ermittlung zu erleichtern, ob die Tätigkeit als „Forschung“ einzustufen ist und folglich die spezifischen rechtlichen Bestimmungen für Forschungstätigkeiten gelten. Artikel 89 Absatz 2 DSGVO beispielsweise sieht mehrere Ausnahmen in Bezug auf die Verarbeitung personenbezogener Daten zu Forschungszwecken vor. Insbesondere erkennt der Artikel an, dass bestimmte Rechte der betroffenen Personen (Recht auf Auskunft, Recht auf Berichtigung, Recht auf Einschränkung, Recht auf Widerspruch. Weitere Informationen finden Sie im Dokument „Rechte der betroffenen Personen“) die Verwirklichung der spezifischen Forschungszwecke beeinträchtigen oder unmöglich machen würden. Daher sieht er Ausnahmen von diesen Rechten vor, wenn zwei Kriterien erfüllt sind. Erstens muss die Ausnahme ausdrücklich im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehen sein. Forscher dürfen somit neben den Bestimmungen der DSGVO nur dann von der Verpflichtung zur Einhaltung dieser Rechte befreit werden, wenn es in einem nationalen Gesetz oder im EU-Recht andere spezifische Rechtsgrundlagen als die DSGVO gibt (siehe Abschnitt 3.2.3 „Ermittlung der am besten geeigneten Rechtsgrundlage“). Zweitens müssen die Forscher gemäß Artikel 89 Absatz 1 DSGVO geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen ergreifen. Angesichts der potenziellen Auswirkungen der Forschungstätigkeit auf die Einhaltung der Vorschriften sollte unbedingt sofort ermittelt werden, ob die Tätigkeit als „Forschung“ einzustufen ist.
Ein korrektes Scoping der Tätigkeiten ist ebenfalls notwendig, damit die Forscher die mit der Forschung verbundenen Datenschutzrisiken verstehen. So erfordern beispielsweise Systeme, die im Gesundheitswesen oder bei der Strafverfolgung eingesetzt werden sollen, wahrscheinlich genauere Ergebnisse als Systeme, die für Freizeitaktivitäten wie beispielsweise Musik-Streaming-Dienste bestimmt sind. Da die Genauigkeit eines Systems in bestimmten Fällen von der Menge der zu verarbeitenden personenbezogenen Daten abhängen kann (z. B. beim Training eines KI-Algorithmus), könnte der Bedarf an größerer Genauigkeit zu mehr Datenschutzrisiken führen. Die Forscher sollten eindeutig bestimmen, welches Maß an Genauigkeit das System erfüllen muss, und Strategien zur Gewährleistung festlegen, dass diese Genauigkeit durch die Einführung eines möglichst niedrigen Risikoniveaus erreicht wird, zum Beispiel durch die Begrenzung der Menge der verarbeiteten personenbezogenen Daten (siehe Abschnitt 3.3. „Data Minimisation“ im Dokument „Guidelines on Data ProtectionEthicaland Legal Issues in ICT Research and Innovation“).
Fernen müssen die Forscher ihre eigene Rolle und die Rolle der anderen beteiligten Akteure verstehen. Forscher müssen ihre Mitwirkung an der erwarteten Datenverarbeitung prüfen, um zu verstehen, ob sie (d. h. die Einrichtung, für die sie arbeiten) die Hauptverantwortung für die Datenverarbeitung tragen (Verantwortlicher), ob sie die Rolle des Verantwortlichen gemeinsam mit anderen Einrichtungen ausüben (gemeinsam Verantwortliche) oder ob sie Daten im Auftrag anderer Einrichtungen verarbeiten (Auftragsverarbeiter). Die verschiedenen Rollen bringen eine unterschiedliche Verteilung der Verantwortlichkeiten und Haftungen mit sich.