====== Übermittlung von Forschungsdaten ====== Die **Übermittlung von Forschungsdaten** ist eine besondere Form der Verarbeitung, indem kurz formuliert ein Transfer von Forschungsdaten von einer Stelle zu einer anderen Stelle stattfindet und ist Teil des [[:Datenschutz in der Forschung|Datenschutzes in der Forschung]]. Die DSGVO sieht für die Übermittlung von Forschungsdaten keine Sonderregeln vor, insbesondere auch soweit Übermittlungen in [[:Drittland|Drittländer]] stattfinden sollen. ===== - Begriffe ===== Der Begriff der [[:Übermittlung]] ist in der DSGVO nicht legaldefiniert sondern als eine Form im Begriff [[:Verarbeitung]] gem. Art. 4 Nr. 2 DSGVO aufgegangen. Die frühere Legaldefinition gemäß [[https://dejure.org/gesetze/BDSG_a.F./3.html|§ 3]] Abs. 4 Nr. 3 [[:BDSG]] a.F. lautete "Übermitteln [[...]] das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft". Da es keine Gründe für ein Abweichung von dieser Definition gibt, wird in diesem Artikel diese Definition zu Grunde gelegt. Abzugrenzen ist der Begriff der Übermittlung von der [[:Weiterverarbeitung von Forschungsdaten]], wenn Daten die ursprünglich nicht für Forschungszwecke erhoben wurden, nunmehr (auch) Forschungszwecken dienen sollen. Zum [[:datenschutz_in_der_forschung#begriff_der_forschung|Begriff der Forschung]] siehe ebenda. Wichtig ist, dass es sich stets um [[:personenbezogene Daten]] handeln muss, da bei anderen Daten, zum Beispiel anonymen Daten oder Daten bei denen von vorneherein kein Personenbezug vorlag wie astronomischen Daten, es sich nicht um datenschutzrechtlich relevante Daten handelt. ===== - Rechtliche Grundlagen ===== Die DSGVO sieht für die Übermittlung keine Sonderregeln vor anders als bei der [[:Weiterverarbeitung für Forschungszwecke|Weiterverarbeitung]] von Daten für Forschungszwecke, die [[https://dejure.org/gesetze/DSGVO/5.html|Art. 5]] Abs. 1 lit. b DSGVO mit Verweis auf [[https://dejure.org/gesetze/DSGVO/89.html|Art. 89]] DSGVO recht großzügig gestattet. 9 deutsche [[:Liste der Landesdatenschutzgesetze|Landesdatenschutzgesetze]] sehen im Folgenden erläuterte Sonderregeln vor. Zum Überblick siehe [[:thuerdsg:28_thuerdsg#Parallelvorschriften|]] und speziell zu Thüringen [[:thuerdsg:28_thuerdsg#uebermittlung_absatz_2|Übermittlung (Absatz 2)]] bei [[:thuerdsg:28_thuerdsg|§ 28 ThürDSG]]. ===== - Aktives Übermitteln (Versenden) von Forschungsdaten ===== ==== - DSGVO ==== Da es in der DSGVO keine Sonderregeln gibt, gelten **insoweit** die allgemeinen Regeln, wenn eine Stelle Forschungsdaten an eine andere Stelle übermittelt: Es handelt sich um eine [[:Verarbeitung]] von [[:personenbezogene Daten|personenbezogenen Daten]]. Die [[:Grundsätze für die Verarbeitung personenbezogener Daten]] gemäß [[https://dejure.org/gesetze/DSGVO/5.html|Art. 5]] DSGVO sind zu beachten. Insbesondere ist die [[Rechtmäßigkeit der Verarbeitung]] der Verarbeitung sicherzustellen, wofür es eines Erlaubnistatbestandes bedarf. Bei Forschungseinrichtungen in Deutschland wird regelmäßig die [[:Wahrnehmung einer Aufgabe]] gemäß [[https://dejure.org/gesetze/DSGVO/6.html|Art. 6]] Abs. 1 UA l lit. e DSGVO in Verbindung mit dem jeweiligen Landesrecht - für öffentliche Hochschulen in Thüringen beispielsweise [[https://landesrecht.thueringen.de/jportal/?quelle=jlink&query=HSchulG+TH+%C2%A7+5&psml=bsthueprod.psml&max=true|§ 5]] Abs. 1 Satz 2 ThürHG - in Betracht kommen wenn die Übermittlung für Forschungszwecke notwendig ist, was beispielsweise bei Forschungskooperationen regelmäßig der Fall sein wird.. Wie im Artikel [[Datenschutz in der Forschung]] allgemein dargestellt, ergeben sich auch bei der Übermittlung von Forschungsdaten gegebenenfalls wichtige Pflichten für den [[:Verantwortlichen]] unter anderem aus den Stichworten [[:Datenschutzerklärung]], [[:VVT]], [[Technische und organisatorische Maßnahmen]] und spezifisch für Forschungsdaten [[:Anonymisierung]]/[[:Pseudonymisierung]]. ==== - Landesrecht ==== Kompliziert wird die Situation durch die deutschen Landesdatenschutzgesetze. 9 Bundesländer haben in ihren Landesdatenschutzgesetzen Regelungen für die Übermittlung von Forschungsdaten. Das betrifft aufgrund des Anwendungsbereiches der Landesdatenschutzgesetze zunächst öffentliche Stellen, also im Wesentlichen die öffentlichen Hochschulen der betroffenen Bundesländer. Ein Bundesland (Thüringen, [[http://landesrecht.thueringen.de/jportal/?quelle=jlink&query=DSG+TH+%C2%A7+28&psml=bsthueprod.psml&max=true|§ 28]] Abs. 2 ThürDSG, siehe auch [[:thuerdsg:28_thuerdsg#uebermittlung_absatz_2|die Erläuterung zu Absatz 2]].) verlangt bei Übermittlungen an Stellen für die weder das ThürDSG noch die DSGVO gelten, dass ein Vertrag mit dem Empfänger der Daten abzuschließen ist, der den Empfänger verpflichtet, die übermittelten personenbezogenen Daten * nur für Forschungszwecke zu verarbeiten, * wenn möglich zu [[:Anonymisierung|anonymisieren]]/[[:Pseudonymisierung|pseudonymisieren]], was aber wenn mit dem Forschungszweck vereinbar schon der Übermittler durchführen muss und * in der Regel nur mit Einwilligung der [[:betroffene Person|betroffenen Person]] zu veröffentlichen. Acht Bundesländer (Brandenburg, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Saarland, Sachsen, Sachsen-Anhalt, Schleswig-Holstein) haben im Vergleich zu Thüringen insoweit verschärfte Regeln, dass die Pflicht zum Abschluss eines Vertrages mit in etwa identischen Verpflichtungen des Empfängers wie in Thüringen schon greift, wenn die Forschungsdaten den Anwendungsbereich des jeweils eigenen Landesdatenschutzgesetzes verlassen, also auch schon bei Übermittlungen zum Beispiel an öffentliche Hochschulen in anderen Bundesländern oder an private Forschungseinrichtungen, die dem [[:BDSG]] unterliegen, das ebenso wie die Landesdatenschutzesetze von Baden-Württemberg, Bayern, Berlin, Bremen, Hessen, Nordrhein-Westfalen und Rheinland-Pfalz, **keine** zusätzlichen Regelungen für Übermittlungen vorsieht. Eine nochmalige Verschärfung haben dagegen Niedersachsen und das Saarland aufzuweisen, die bei solchen Übermittlungen zusätzlich zu dem Vertrag eine Unterrichtung des Landes(!)datenschutzbeauftragten verlangen. Zum Sinn dieser Regelungen heißt es in den Gesetzesbegründungen nahezu gleichlautend, dass durch die Verpflichtung des Empfängers die in Bezug genommenen "normierten Garantien [des Landesrechts] zum Schutz der Rechte der betroffenen Personen Anwendung finden". Es gibt in den Gesetzesbegründungen keine Aussagen dazu, warum diese "normierten Garantien" über die Rechte der DSGVO hinausgehend (zu Drittlandübermittlungen siehe im Folgenden) sinnvoll oder gar notwendig sein sollen und woraus sich insoweit die Öffnungsklausel in der DSGVO ergeben soll. Es sollte beachtet werden, dass bei (Bundesländer-)Grenzen überschreitender Zusammenarbeit in vielen Fällen faktisch nicht nur das eigene Landesrecht geprüft werden muss, sondern auch das Landesrecht aller beteiligten Partner, damit beispielsweise bei einem wechselseitigen Austausch von erhobenen Forschungsdaten auch alle tatsächlich zulässigerweise "liefern" können. ==== - Sonderfall Drittländer ==== Für die Übermittlung in [[:Drittland|Drittländer]] gelten die Regelungen der Artt. [[https://dejure.org/gesetze/DSGVO/44.html]] ff. DSGVO. In Ermangelung von Sonderregeln wird bei der Übermittlung von Forschungsdaten in Drittländer wie bei allen Übermittlungen [[personenbezogene Daten|personenbezogener Daten]] wird zu prüfen sein((Vgl. [[https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/Auswirkungen-Schrems-II-Urteil.html|Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“)]] und [[https://www.datenschutzzentrum.de/artikel/1175-Kurzpapier-Nr.-4-Datenuebermittlung-in-Drittlaender.html|Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: DSK Kurzpapier Nr. 4: Datenübermittlung in Drittländer]].)) (In Klammern jeweils die Erfolgsaussichten bei Forschungsdaten): - Angemessenheitsbeschluss gemäß [[https://dejure.org/gesetze/DSGVO/45.html|Art. 45]] DSGVO, (leicht zu prüfen für das jeweilige Land) - Vorliegen geeigneter Garantien gemäß [[https://dejure.org/gesetze/DSGVO/46.html|Art. 46]] DSGVO mit Sicherstellung durchsetzbarer Rechte und wirksamer Rechtsbehelfe betroffener Personen gem. Art. 46 Abs. 1, (nicht spezifisch für Forschungsdaten, zudem nach Schrems II sehr hohe Anforderungen, geeignete Garantien per Vertrag angesichts zwingender Vorschriften wie [[:Cloud Act]] problematisch) - Verbindliche interne Datenschutzvorschriften, Abs. 2 lit. b, Art. 47, (eventuell für grenzüberschreitende Forschungseinrichtungen) - Standarddatenschutzklauseln der Kommision oder eine Aufsichtsbehörde, Abs. 2 lit. c und d, - Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus, Art. 46 Abs. 2 lit. e und f, - einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3) - Ausnahmen für bestimmte Fälle gemäß [[https://dejure.org/gesetze/DSGVO/49.html|Art. 49]] Abs. 1 DS-GVO) - Einwilligung, UA 1 lit. a, (Analog zur allgemeinen [[:Einwilligung]] nach Art. 7 problematisch bezüglich informierter Freiwilligkeit, letzter Ausweg in vielen Fällen) - Erforderlichkeit zur Erfüllung eines Vertrages im Interesse der betroffenen Person, UA 1 lit. c, (im medizinischen Bereich evtl. denkbar) - Wichtige Gründe des öffentlichen Interesses, UA 1 lit. d, (Unklar, sollte näher erforscht werden, Wissenschaftsfreiheit im europäischen Primär- und Sekundärrecht sowie im nationalen Verfassungsrecht und einfachen Gesetzesrecht als wichtiges Gut anerkannt) - Schutz lebenswichtiger Interessen einer natürlichen Person, wenn die betroffene Person keine Einwilligung erteilen kann, UA 1 lit. f, (im medizinischen Bereich evtl. denkbar) - Übermittlung aus einem Register, UA 1 lit. g, (in Ausnahmefällen) - Wahrung (zwingender) berechtigter Interessen, UA 1. (Unklar, sollte näher erforscht werden, Wissenschaftsfreiheit im europäischen Primär- und Sekundärrecht sowie im nationalen Verfassungsrecht und einfachen Gesetzesrecht als wichtiges Gut anerkannt) ===== - Passives Übermitteln (Empfangen) von Forschungsdaten ===== Für das Empfangen von Forschungsdaten müssen diese in aller Regel gespeichert werden. Die Verarbeitungstätigkeit des Speicherns muss rechtmäßig sein. Da es insoweit keine landesrechtlichen Sonderregeln gibt, gelten die Ausführungen oben zum aktiven Übermitteln unter Beachtung der DSGVO analog. {{tag>Artikel}}