Datenschutz in der Forschung ist ein Spannungsfeld zwischen den Belangen des Datenschutzes auf der einen Seite und den Zielen der Forschung auf der anderen Seite. Deutlich wird das beispielsweise am datenschutzrechtlichen Grundsatz der Datenminimierung, der in aller Regel genau entgegengesetzt zum Anliegen in der Forschung ist, möglichst umfassende und möglichst genaue Daten zu haben.
Die DSGVO enthält keine Legaldefinition der (wissenschaftlichen) Forschung. Allerdings gibt Erwägungsgrund 159 Satz 2 Hinweise, wie der Begriff zu verstehen ist: „Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen.“
Allerdings darf der Begriff auch nicht ins Grenzenlose ausgeweitet werden. Es muss um die Gewinnung „neuartiger Erkenntnisse“(so Golla in Specht/Mantz, § 23 Rn.15) gehen, was sich von den nur neuen Erkenntnissen abgrenzt, wenn es darum geht, beispielsweise im Bereich der Marktforschung bekannte und wissenschaftlich gesicherte Methoden allein zur Informationsgewinnung im unternehmerischen Kontext anzuwenden. Möglicherweise kann auch der Begriff der „Origininären Forschung“1) beziehungsweise „Theoriefindung“ zur Begriffsschärfung beitragen.
Entsprechend der Weite des Forschungsbegriffs ist auch der Adressatenkreis für Datenschutz in der Forschung groß: Im Hochschulkontext geht es nicht nur um Professorinnen und Professoren und deren in der Forschung tätige wissenschaftliche Mitarbeiter sondern auch um technische Mitarbeiter sowie - nicht zu unterschätzen - um Forschung von Studierenden.
Ein Folgeproblem des Adressatenkreises ist die Frage nach dem Verantwortlichen der Datenverarbeitung. Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.2) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.3).
Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.
Um die vorstehenden Erwägungen anhand von Fallgruppen zu konkretisieren, dürfte (mit aller Vorsicht) folgendes ausgehend von den handelnden natürlichen Personen sinnvoll sein:
Da maßgebliche Fragen noch offen sind, müssen praktische Handlungsempfehlungen notwendigerweise fragmentarisch sein:
Wichtig ist zunächst, die Weite des Begriffs der personenbezogenen Daten zu erkennen: Es kommt auf die Personenbeziehbarkeit an. Es ist also nicht erforderlich, dass der Name einer Person erfasst wird. Auch die IP-Adresse oder MAC-Adresse stellen schon ein personenbezogenes Datum dar. Erst recht gilt das beispielsweise für Daten zum Nutzerverhalten von Personen.
Weiterhin muss konsequent und korrekt zwischen anonymen und pseudonymen Daten unterschieden werden. In der Regel liegen nämlich pseudonyme Daten vor und die gelten seit Inkrafttreten der DSGVO als personenbezogene Daten. Unter Beachtung der wissenschaftlichen Ziele sollte stets geprüft werden, ob eine Anonymisierung oder zumindest Pseudonymisierung der personenbezogenen Daten möglich ist und wenn ja, wann (je früher desto besser).
Wenn mit personenbezogenen Daten umgegangen werden soll, sollte es vor der Erhebung der Daten Überlegungen geben:
Das Ergebnis sollte in einem Datenschutzkonzept von angemessener Kürze dokumentiert und umgesetzt werden. Zumindest wenn umfangreiche oder sensible personenbezogene Daten verarbeitet werden, ohne dass sie sofort nach der Erhebung hinreichend anonymisiert werden, ist ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten erforderlich. Erst recht gilt das, wenn Besondere Kategorien personenbezogener Daten gemäß Art. 9 verarbeitet werden, soweit das überhaupt nach Art. 9 Abs. 2 DSGVO zulässig ist.
Die betroffenen Personen müssen über die Erhebung der personenbezogenen Daten informiert werden. Es wird also eine Datenschutzerklärung benötigt.
Die Rechtmäßigkeit der Verarbeitung wird sich bei Forschungseinrichtungen in Deutschland wird regelmäßig aus der Wahrnehmung einer Aufgabe gemäß Art. 6 Abs. 1 UA l lit. e DSGVO in Verbindung mit dem jeweiligen Landesrecht - für öffentliche Hochschulen in Thüringen beispielsweise § 5 Abs. 1 Satz 2 ThürHG ergeben. Wenn der Anwendungsbereich der Aufgabennormen nicht greift (zum Beispiel gilt § 5 ThürHG nicht für private Forschung) beziehungsweise allgemeiner keine anwendbaren Erlaubnistatbestände vorliegen oder wenn die Datenschutzeingriffe besonders tiefgreifend sind(in der Regel Besondere Kategorien personenbezogener Daten wie Gesundheitsdaten) muss auf die Einwilligung gemäß Art. 6 Abs. 1 UA 1 lit. a DSGVO zurückgegriffen werden - mit allen schwierigen Konsequenzen (Siehe insoweit den Artikel zur Einwilligung.
Das bedeutet aber nicht, dass beispielsweise schon bei jeder Erhebung personenbezogener Daten mittels eines Fragebogens eine Einwilligung nötig wäre. Das tatsächliche Tun des Ausfüllens eines Fragebogens kann durchaus freiwillig sein, während die sich daraus ergebende Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt.
Bei der Aufbewahrung der Forschungsdaten ist zunächst darauf hinzuweisen, dass anonym(isiert)e Daten keine personenbezogenen Daten (mehr) sind und damit unbefristet aufbewahrt werden können.
Bei personenbezogenen Daten einschließlich pseudonymer Daten besteht dagegen grundsätzlich eine Pflicht zu Löschen, wenn der Zweck der Speicherung weggefallen ist. Zweck wird zunächst unproblematisch die eigentliche Forschungstätigkeit sein. Fraglich ist, ob unter Beachtung von Art. 5 Abs. 1 Buchstabe 2 Halbsatz 2 DSGVO auch die Dokumentation bzw. Nachprüfbarkeit und eine mögliche aber noch ungewisse Wiederaufnahme der Forschung5) legitime Zwecke sind, die zur weiteren Speicherung berechtigen. Bei einer notwendigen Abwägung wird auch zu berücksichtigen sein, ob die Daten pseudonymisiert sind und welche Risiken für die betroffenen Personen von Ihnen ausgehen können.
Wenn die Inhaberschaft für die Forschungdaten bei einer Einrichtung mit einem Archiv liegt, sollte keine eigenmächtige Löschung der Daten vorgenommen werden. Vielmehr sollte mit Abschluss des Forschungsprojektes das Archiv gemäß den in der Organisation gültigen Regeln eingebunden werden, so dass eine ordnungsgemäße dauerhafte Speicherung oder Löschung durchgeführt werden kann, denn auch und gerade aus Archivrecht können sich Rechte oder gar Pflichten zur dauerhaften Speicherung von Forschungsdaten ergeben.
Schon die vorübergehende aber erst recht die dauerhafte Speicherung von personenbezogenen Daten in einem ungeordneten Kontext (willkürlich ausgewählte Verzeichnisse/Laufwerke, fehlende Auffindbarkeit) ist zu unterlassen.