Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Datenschutz in der Forschung

Datenschutz in der Forschung ist ein Spannungsfeld zwischen den Belangen des Datenschutzes auf der einen Seite und den Zielen der Forschung auf der anderen Seite. Deutlich wird das beispielsweise am datenschutzrechtlichen Grundsatz der Datenminimierung, der in aller Regel genau entgegengesetzt zum Anliegen in der Forschung ist, möglichst umfassende und möglichst genaue Daten zu haben.

Begriff der Forschung

Die DSGVO enthält keine Legaldefinition der (wissenschaftlichen) Forschung. Allerdings gibt Erwägungsgrund 159 Satz 2 Hinweise, wie der Begriff zu verstehen ist: „Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen.“

Allerdings darf der Begriff auch nicht ins Grenzenlose ausgeweitet werden. Es muss um die Gewinnung „neuartiger Erkenntnisse“(so Golla in Specht/Mantz, § 23 Rn.15) gehen, was sich von den nur neuen Erkenntnissen abgrenzt, wenn es darum geht, beispielsweise im Bereich der Marktforschung bekannte und wissenschaftlich gesicherte Methoden allein zur Informationsgewinnung im unternehmerischen Kontext anzuwenden. Möglicherweise kann auch der Begriff der „Origininären Forschung“1) beziehungsweise „Theoriefindung“ zur Begriffsschärfung beitragen.

Adressatenkreis

Entsprechend der Weite des Forschungsbegriffs ist auch der Adressatenkreis für Datenschutz in der Forschung groß: Im Hochschulkontext geht es nicht nur um Professorinnen und Professoren und deren in der Forschung tätige wissenschaftliche Mitarbeiter sondern auch um technische Mitarbeiter sowie - nicht zu unterschätzen - um Forschung von Studierenden.

Verantwortliche

Ein Folgeproblem des Adressatenkreises ist die Frage nach dem Verantwortlichen der Datenverarbeitung. Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.2) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.3).

Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.

Um die vorstehenden Erwägungen anhand von Fallgruppen zu konkretisieren, dürfte (mit aller Vorsicht) folgendes ausgehend von den handelnden natürlichen Personen sinnvoll sein:

  1. Beteiligt sind ausschließlich Beschäftigte im weiteren Sinne(inklusive Hochschullehrer) einer Hochschule –> Hochschule ist Verantwortlicher 4)
  2. Zusätzlich zu 1. sind auch Studierende beteiligt, die jedoch unter Aufsicht und Anleitung durch Beschäftigte tätig werden –> Hochschule ist Verantwortlicher
  3. Beteiligt sind Studierende und Gegenstand und Mittel/Methoden der Forschung sind durch Hochschule festgelegt und Betreuung durch Beschäftigte der Hochschule erfolgt –> Hochschule ist Verantwortlicher
  4. Beteiligt sind Studierende aber Gegenstand und Mittel/Methoden der Forschung der Forschung sind frei oder keine Betreuung durch Beschäftigte der Hochschule –> Studierende sind Verantwortliche aber möglicherweise daneben/zusätzlich auch die Hochschule (Gemeinsam Verantwortliche)
  5. Beteiligt sind Beschäftigte im weiteren Sinne mehrerer Hochschulen –> Hochschulen sind gemeinsam Verantwortliche

Praktisches Handeln

Da maßgebliche Fragen noch offen sind, müssen praktische Handlungsempfehlungen notwendigerweise fragmentarisch sein:

Wichtig ist zunächst, die Weite des Begriffs der personenbezogenen Daten zu erkennen: Es kommt auf die Personenbeziehbarkeit an. Es ist also nicht erforderlich, dass der Name einer Person erfasst wird. Auch die IP-Adresse oder MAC-Adresse stellen schon ein personenbezogenes Datum dar. Erst recht gilt das beispielsweise für Daten zum Nutzerverhalten von Personen.

Weiterhin muss konsequent und korrekt zwischen anonymen und pseudonymen Daten unterschieden werden. In der Regel liegen nämlich pseudonyme Daten vor und die gelten seit Inkrafttreten der DSGVO als personenbezogene Daten. Unter Beachtung der wissenschaftlichen Ziele sollte stets geprüft werden, ob eine Anonymisierung oder zumindest Pseudonymisierung der personenbezogenen Daten möglich ist und wenn ja, wann (je früher desto besser).

Wenn mit personenbezogenen Daten umgegangen werden soll, sollte es vor der Erhebung der Daten Überlegungen geben:

  1. Welche (Kategorien von) Daten sollen erhoben werden?
  2. Handelt es sich dabei um besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO?
  3. Welche Gefahren gehen von diesen Daten für die betroffenen Personen aus?
  4. Abhängig von den beiden vorherigen Punkten (Risikobasierter Ansatz):
    1. Bedarf es einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO weil es ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen gibt?
    2. Welche Technischen und Organisatorischen Maßnahmen sind zum Schutz der erhobenen Daten zu ergreifen?

Das Ergebnis sollte in einem Datenschutzkonzept von angemessener Kürze dokumentiert und umgesetzt werden. Zumindest wenn umfangreiche oder sensible personenbezogene Daten verarbeitet werden, ohne dass sie sofort nach der Erhebung hinreichend anonymisiert werden, ist ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten erforderlich. Erst recht gilt das, wenn Besondere Kategorien personenbezogener Daten gemäß Art. 9 verarbeitet werden, soweit das überhaupt nach Art. 9 Abs. 2 DSGVO zulässig ist.

Die betroffenen Personen müssen über die Erhebung der personenbezogenen Daten informiert werden. Es wird also eine Datenschutzerklärung benötigt.

Die Rechtmäßigkeit der Verarbeitung wird sich bei Forschungseinrichtungen in Deutschland wird regelmäßig aus der Wahrnehmung einer Aufgabe gemäß Art. 6 Abs. 1 UA l lit. e DSGVO in Verbindung mit dem jeweiligen Landesrecht - für öffentliche Hochschulen in Thüringen beispielsweise § 5 Abs. 1 Satz 2 ThürHG ergeben. Wenn der Anwendungsbereich der Aufgabennormen nicht greift (zum Beispiel gilt § 5 ThürHG nicht für private Forschung) beziehungsweise allgemeiner keine anwendbaren Erlaubnistatbestände vorliegen oder wenn die Datenschutzeingriffe besonders tiefgreifend sind(in der Regel Besondere Kategorien personenbezogener Daten wie Gesundheitsdaten) muss auf die Einwilligung gemäß Art. 6 Abs. 1 UA 1 lit. a DSGVO zurückgegriffen werden - mit allen schwierigen Konsequenzen (Siehe insoweit den Artikel zur Einwilligung.

Das bedeutet aber nicht, dass beispielsweise schon bei jeder Erhebung personenbezogener Daten mittels eines Fragebogens eine Einwilligung nötig wäre. Das tatsächliche Tun des Ausfüllens eines Fragebogens kann durchaus freiwillig sein, während die sich daraus ergebende Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt.

Aufbewahrung von Forschungsdaten

Bei der Aufbewahrung der Forschungsdaten ist zunächst darauf hinzuweisen, dass anonym(isiert)e Daten keine personenbezogenen Daten (mehr) sind und damit unbefristet aufbewahrt werden können.

Bei personenbezogenen Daten einschließlich pseudonymer Daten besteht dagegen grundsätzlich eine Pflicht zu Löschen, wenn der Zweck der Speicherung weggefallen ist. Zweck wird zunächst unproblematisch die eigentliche Forschungstätigkeit sein. Fraglich ist, ob unter Beachtung von Art. 5 Abs. 1 Buchstabe 2 Halbsatz 2 DSGVO auch die Dokumentation bzw. Nachprüfbarkeit und eine mögliche aber noch ungewisse Wiederaufnahme der Forschung5) legitime Zwecke sind, die zur weiteren Speicherung berechtigen. Bei einer notwendigen Abwägung wird auch zu berücksichtigen sein, ob die Daten pseudonymisiert sind und welche Risiken für die betroffenen Personen von Ihnen ausgehen können.

Wenn die Inhaberschaft für die Forschungdaten bei einer Einrichtung mit einem Archiv liegt, sollte keine eigenmächtige Löschung der Daten vorgenommen werden. Vielmehr sollte mit Abschluss des Forschungsprojektes das Archiv gemäß den in der Organisation gültigen Regeln eingebunden werden, so dass eine ordnungsgemäße dauerhafte Speicherung oder Löschung durchgeführt werden kann, denn auch und gerade aus Archivrecht können sich Rechte oder gar Pflichten zur dauerhaften Speicherung von Forschungsdaten ergeben.

Schon die vorübergehende aber erst recht die dauerhafte Speicherung von personenbezogenen Daten in einem ungeordneten Kontext (willkürlich ausgewählte Verzeichnisse/Laufwerke, fehlende Auffindbarkeit) ist zu unterlassen.

Sonderthemen

1)
Siehe in der Wikipedia Originäre Forschung
2)
Golla in Specht/Mantz, § 23 Rn. 32 schreibt zu § 27 Abs. 1 S. 2 „Forscher oder seiner Institution als Verantwortlichen.“ Das ist genau das Problem.
3)
Zur Einführung in die Thematik Inhaberschaft bei Forschungsdaten siehe Forschungsprojekt DataJus. Die Seite bei archive.org
4)
Anmerkung: Natürlich können sich insbesondere Hochschullehrer aber auch andere Beschäftigte auf die Freiheit von Forschung und Lehre gemäß Art. 5 Abs. 3 GG berufen. Das muss und sollte aber kein Widerspruch zur Hochschule als Verantwortlicher sein: Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO, wer über Zwecke und Mittel der Verarbeitung entscheidet. Dass müssen für juristische Personen wie eine Hochschule notwendigerweise natürliche Personen tun, die dazu befugt sein müssen aber diese Befugnis dürfte bei dem genannten Personenkreis für ihre Forschungen unproblematisch vorliegen. - Zu einer anderen Auffassung, die die Forschenden persönlich als (Mit-)Verantwortliche sieht, siehe FAZ vom 14.9.2019:Wer schützt die Forschungsdaten?.
5)
Bei einer sicheren oder zumindest konkret beabsichtigten/geplanten Wiederaufnahme der Forschung besteht der ursprüngliche Zweck ohnehin fort.
Drucken/exportieren
QR-Code
QR-Code Datenschutz in der Forschung (erstellt für aktuelle Seite)