====== Datenschutz in der Forschung ====== **Datenschutz in der Forschung** ist ein Spannungsfeld zwischen den Belangen des Datenschutzes auf der einen Seite und den Zielen der Forschung auf der anderen Seite. Deutlich wird das beispielsweise am datenschutzrechtlichen Grundsatz der [[Datenminimierung]], der in aller Regel genau entgegengesetzt zum Anliegen in der Forschung ist, möglichst umfassende und möglichst genaue Daten zu haben. ===== Begriff der Forschung ===== Die [[DSGVO]] enthält keine [[Legaldefinition]] der (wissenschaftlichen) Forschung. Allerdings gibt [[https://dejure.org/gesetze/DSGVO/Erwaegungsgruende.html|Erwägungsgrund]] 159 Satz 2 Hinweise, wie der Begriff zu verstehen ist: //"Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen."// Allerdings darf der Begriff auch nicht ins Grenzenlose ausgeweitet werden. Es muss um die Gewinnung "neuartiger Erkenntnisse"(so Golla in Specht/Mantz, § 23 Rn.15) gehen, was sich von den nur neuen Erkenntnissen abgrenzt, wenn es darum geht, beispielsweise im Bereich der Marktforschung bekannte und wissenschaftlich gesicherte Methoden allein zur Informationsgewinnung im unternehmerischen Kontext anzuwenden. Möglicherweise kann auch der Begriff der "Origininären Forschung"((Siehe in der Wikipedia [[https://de.wikipedia.org/wiki/Origin%C3%A4re_Forschung|Originäre Forschung]])) beziehungsweise "Theoriefindung" zur Begriffsschärfung beitragen. ===== Adressatenkreis ===== Entsprechend der Weite des Forschungsbegriffs ist auch der Adressatenkreis für Datenschutz in der Forschung groß: Im Hochschulkontext geht es nicht nur um Professorinnen und Professoren und deren in der Forschung tätige wissenschaftliche Mitarbeiter sondern auch um technische Mitarbeiter sowie - nicht zu unterschätzen - um Forschung von Studierenden. ===== Verantwortliche ===== Ein Folgeproblem des Adressatenkreises ist die Frage nach dem [[Verantwortlicher|Verantwortlichen]] der Datenverarbeitung. Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als [[Gemeinsam Verantwortliche]].((Golla in Specht/Mantz, § 23 Rn. 32 schreibt zu § 27 Abs. 1 S. 2 "Forscher oder seiner Institution als Verantwortlichen." Das ist genau das Problem.)) Maßgeblich wird sein, wer bildlich formuliert "die Fäden in der Hand hält". Rechtlich könnte auch danach gefragt werden, wer die **Inhaber der Forschungsdaten** ist.((Zur Einführung in die Thematik Inhaberschaft bei Forschungsdaten siehe [[https://www.kim.uni-konstanz.de/programm/vortraege-und-aufzeichnungen/|Forschungsprojekt DataJus]]. Die [[https://web.archive.org/web/20190308113923/https://www.kim.uni-konstanz.de/programm/vortraege-und-aufzeichnungen/|Seite bei archive.org]])). Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden. Um die vorstehenden Erwägungen anhand von Fallgruppen zu konkretisieren, dürfte (mit aller Vorsicht) folgendes ausgehend von den handelnden natürlichen Personen sinnvoll sein: - Beteiligt sind ausschließlich Beschäftigte im weiteren Sinne(inklusive Hochschullehrer) einer Hochschule --> Hochschule ist Verantwortlicher ((Anmerkung: Natürlich können sich insbesondere Hochschullehrer aber auch andere Beschäftigte auf die Freiheit von Forschung und Lehre gemäß [[https://www.gesetze-im-internet.de/gg/art_5.html|Art. 5]] Abs. 3 GG berufen. Das muss und sollte aber kein Widerspruch zur Hochschule als [[Verantwortlicher]] sein: Verantwortlicher ist gemäß [[https://dejure.org/gesetze/DSGVO/4.html|Art. 4]] Nr. 7 DSGVO, wer über Zwecke und Mittel der Verarbeitung entscheidet. Dass müssen für juristische Personen wie eine Hochschule notwendigerweise natürliche Personen tun, die dazu befugt sein müssen aber diese Befugnis dürfte bei dem genannten Personenkreis für ihre Forschungen unproblematisch vorliegen. - Zu einer anderen Auffassung, die die Forschenden persönlich als (Mit-)Verantwortliche sieht, siehe [[https://www.faz.net/aktuell/wissen/forschung-politik/wissenschaft-wer-schuetzt-die-forschungsdaten-16399822.html|FAZ vom 14.9.2019:Wer schützt die Forschungsdaten?]].)) - Zusätzlich zu 1. sind auch Studierende beteiligt, die jedoch unter Aufsicht und Anleitung durch Beschäftigte tätig werden --> Hochschule ist Verantwortlicher - Beteiligt sind Studierende und Gegenstand und Mittel/Methoden der Forschung sind durch Hochschule festgelegt und Betreuung durch Beschäftigte der Hochschule erfolgt --> Hochschule ist Verantwortlicher - Beteiligt sind Studierende aber Gegenstand und Mittel/Methoden der Forschung der Forschung sind frei oder keine Betreuung durch Beschäftigte der Hochschule --> Studierende sind Verantwortliche aber möglicherweise daneben/zusätzlich auch die Hochschule ([[Gemeinsam Verantwortliche]]) - Beteiligt sind Beschäftigte im weiteren Sinne mehrerer Hochschulen --> Hochschulen sind [[gemeinsam Verantwortlicher|gemeinsam Verantwortliche]] ===== Praktisches Handeln ===== Da maßgebliche Fragen noch offen sind, müssen praktische Handlungsempfehlungen notwendigerweise fragmentarisch sein: Wichtig ist zunächst, die Weite des Begriffs der [[:personenbezogene_daten|personenbezogenen Daten]] zu erkennen: Es kommt auf die Personen**beziehbarkeit** an. Es ist also nicht erforderlich, dass der Name einer Person erfasst wird. Auch die IP-Adresse oder MAC-Adresse stellen schon ein personenbezogenes Datum dar. Erst recht gilt das beispielsweise für Daten zum Nutzerverhalten von Personen. Weiterhin muss konsequent und korrekt zwischen [[:anonymitaet|anonymen]] und [[:pseudonymitaet|pseudonymen]] Daten unterschieden werden. In der Regel liegen nämlich pseudonyme Daten vor und die gelten seit Inkrafttreten der [[:dsgvo|DSGVO]] als personenbezogene Daten. Unter Beachtung der wissenschaftlichen Ziele sollte stets geprüft werden, ob eine Anonymisierung oder zumindest Pseudonymisierung der personenbezogenen Daten möglich ist und wenn ja, wann (je früher desto besser). Wenn mit personenbezogenen Daten umgegangen werden soll, sollte es **vor** der Erhebung der Daten Überlegungen geben: - Welche (Kategorien von) Daten sollen erhoben werden? - Handelt es sich dabei um [[:besondere_kategorien_personenbezogener_daten|besondere Kategorien personenbezogener Daten]] gemäß [[https://dejure.org/gesetze/DSGVO/9.html|Art. 9]] Abs. 1 [[:dsgvo|DSGVO]]? - Welche Gefahren gehen von diesen Daten für die [[:betroffene Person|betroffenen Personen]] aus? - Abhängig von den beiden vorherigen Punkten ([[:Risikobasierter Ansatz]]): - Bedarf es einer [[:datenschutz-folgenabschaetzung|Datenschutz-Folgenabschätzung]] gemäß [[https://dejure.org/gesetze/DSGVO/35.html|Art. 35]] [[:dsgvo|DSGVO]] weil es ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen gibt? - Welche [[:technische und organisatorische Maßnahmen|Technischen und Organisatorischen Maßnahmen]] sind zum Schutz der erhobenen Daten zu ergreifen? Das Ergebnis sollte in einem [[Datenschutzkonzept]] von angemessener Kürze dokumentiert und umgesetzt werden. Zumindest wenn umfangreiche oder sensible personenbezogene Daten verarbeitet werden, ohne dass sie sofort nach der Erhebung hinreichend [[Anonymität|anonymisiert]] werden, ist ein Eintrag im [[Verzeichnis von Verarbeitungstätigkeiten]] erforderlich. Erst recht gilt das, wenn [[Besondere Kategorien personenbezogener Daten]] gemäß [[https://dejure.org/gesetze/DSGVO/9.html|Art. 9]] verarbeitet werden, soweit das überhaupt nach Art. 9 Abs. 2 DSGVO zulässig ist. Die betroffenen Personen müssen über die Erhebung der personenbezogenen Daten informiert werden. Es wird also eine [[Datenschutzerklärung]] benötigt. Die [[Rechtmäßigkeit der Verarbeitung]] wird sich bei Forschungseinrichtungen in Deutschland wird regelmäßig aus der [[:Verarbeitung für die Wahrnehmung einer Aufgabe|Wahrnehmung einer Aufgabe]] gemäß [[https://dejure.org/gesetze/DSGVO/6.html|Art. 6]] Abs. 1 UA l lit. e DSGVO in Verbindung mit dem jeweiligen Landesrecht - für öffentliche Hochschulen in Thüringen beispielsweise [[https://landesrecht.thueringen.de/jportal/?quelle=jlink&query=HSchulG+TH+%C2%A7+5&psml=bsthueprod.psml&max=true|§ 5]] Abs. 1 Satz 2 ThürHG ergeben. Wenn der Anwendungsbereich der Aufgabennormen nicht greift (zum Beispiel gilt § 5 ThürHG nicht für private Forschung) beziehungsweise allgemeiner keine anwendbaren Erlaubnistatbestände vorliegen oder wenn die Datenschutzeingriffe besonders tiefgreifend sind(in der Regel [[besondere Kategorien personenbezogener Daten]] wie [[:Gesundheitsdaten]]) muss auf die [[Einwilligung]] gemäß Art. 6 Abs. 1 UA 1 lit. a DSGVO zurückgegriffen werden - mit allen schwierigen Konsequenzen (Siehe insoweit den Artikel zur [[:Einwilligung]]. Das bedeutet aber nicht, dass beispielsweise schon bei **jeder** Erhebung personenbezogener Daten mittels eines Fragebogens eine Einwilligung nötig wäre. Das tatsächliche Tun des Ausfüllens eines Fragebogens kann durchaus freiwillig sein, während die sich daraus ergebende Verarbeitung zur [[:Verarbeitung für die Wahrnehmung einer Aufgabe|Wahrnehmung einer Aufgabe]] erfolgt. ===== Aufbewahrung von Forschungsdaten ===== Bei der Aufbewahrung der Forschungsdaten ist zunächst darauf hinzuweisen, dass anonym(isiert)e Daten keine personenbezogenen Daten (mehr) sind und damit unbefristet aufbewahrt werden können. Bei personenbezogenen Daten einschließlich pseudonymer Daten besteht dagegen grundsätzlich eine Pflicht zu [[Löschen]], wenn der Zweck der Speicherung weggefallen ist. Zweck wird zunächst unproblematisch die eigentliche Forschungstätigkeit sein. Fraglich ist, ob unter Beachtung von [[https://dejure.org/gesetze/DSGVO/5.html|Art. 5]] Abs. 1 Buchstabe 2 Halbsatz 2 DSGVO auch die **Dokumentation** bzw. **Nachprüfbarkeit** und eine mögliche aber noch ungewisse **Wiederaufnahme der Forschung**((Bei einer sicheren oder zumindest konkret beabsichtigten/geplanten Wiederaufnahme der Forschung besteht der ursprüngliche Zweck ohnehin fort.)) legitime Zwecke sind, die zur weiteren Speicherung berechtigen. Bei einer notwendigen Abwägung wird auch zu berücksichtigen sein, ob die Daten pseudonymisiert sind und welche Risiken für die betroffenen Personen von Ihnen ausgehen können. Wenn die Inhaberschaft für die Forschungdaten bei einer Einrichtung mit einem Archiv liegt, sollte keine eigenmächtige Löschung der Daten vorgenommen werden. Vielmehr sollte mit Abschluss des Forschungsprojektes das Archiv gemäß den in der Organisation gültigen Regeln eingebunden werden, so dass eine ordnungsgemäße dauerhafte Speicherung oder Löschung durchgeführt werden kann, denn auch und gerade aus Archivrecht können sich Rechte oder gar Pflichten zur dauerhaften Speicherung von Forschungsdaten ergeben. Schon die vorübergehende aber erst recht die dauerhafte Speicherung von personenbezogenen Daten in einem ungeordneten Kontext (willkürlich ausgewählte Verzeichnisse/Laufwerke, fehlende Auffindbarkeit) ist zu unterlassen. ===== Sonderthemen ===== * Landesrecht Thüringen: [[:thuerdsg:28_thuerdsg]] * [[:Übermittlung von Forschungsdaten]] * [[:datenschutzerklaerung-beispiel|Beispiel für eine Datenschutzerklärung auf Basis einer Datenerhebung mittels Umfrage zu Forschungszwecken]] ===== Weblinks ===== * [[https://www.uni-erfurt.de/universitaet/datenschutz/in-der-forschung/forschung|Universität Erfurt: Datenschutz bei Forschungsprojekten]] {{tag>Artikel}}