Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
<font inherit/inherit;;#e74c3c;;inherit>Der folgende Text ist ein Entwurf und noch nicht als Artikel Bestandteil dieses Wiki!</font>
Datenschutz in der Forschung
Datenschutz in der Forschung ist ein Spannungsfeld zwischen den Belangen des Datenschutzes auf der einen Seite und den Zielen der Forschung auf der anderen Seite. Deutlich wird das beispielsweise am datenschutzrechtlichen Grundsatz der Datenminimierung, der in aller Regel genau entgegengesetzt zum Anliegen in der Forschung ist, möglichst umfassende und möglichst genaue Daten zu haben.
Begriff der Forschung
Die DSGVO enthält keine Legaldefinition der (wissenschaftlichen) Forschung. Allerdings gibt Erwägungsgrund 159 Satz 2 Hinweise, wie der Begriff zu verstehen ist: „Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen.“
Allerdings darf der Begriff auch nicht ins Grenzenlose ausgeweitet werden. Es muss um die Gewinnung „neuartiger Erkenntnisse“(so Golla in Specht/Mantz, § 23 Rn.15) gehen, was sich von den nur neuen Erkenntnissen abgrenzt, wenn es darum geht, beispielsweise im Bereich der Marktforschung bekannte und wissenschaftlich gesicherte Methoden allein zur Informationsgewinnung im unternehmerischen Kontext anzuwenden. Möglicherweise kann auch der Begriff der „Origininären Forschung“1) beziehungsweise „Theoriefindung“ zur Begriffsschärfung beitragen.
Adressatenkreis
Entsprechend der Weite des Forschungsbegriffs ist auch der Adressatenkreis für Datenschutz in der Forschung groß: Im Hochschulkontext geht es nicht nur um Professorinnen und Professoren und deren in der Forschung tätige wissenschaftliche Mitarbeiter sondern auch um technische Mitarbeiter sowie nicht zu unterschätzen um Forschung von Studierenden.
Verantwortliche
Ein Folgeproblem des Adressatenkreises ist die Frage nach dem Verantwortlichen der Datenverarbeitung. Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.2) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.
Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.
Praktisches Handeln
Da maßgebliche Fragen noch offen sind, müssen praktische Handlungsempfehlungen notwendigerweise fragmentarisch sein:
Wichtig ist zunächst, die Weite des Begriffs der personenbezogenen Daten zu erkennen.
Weiterhin muss konsequent und korrekt zwischen anonymen und pseudonymen Daten unterschieden werden. In der Regel liegen nämlich pseudonyme Daten vor und die gelten seit Inkrafttreten der DSGVO als personenbezogene Daten. Unter Beachtung der wissenschaftlichen Ziele sollte stets geprüft werden, ob eine Anonymisierung oder zumindest Pseudonymisierung der personenbezogenen Daten möglich ist und wenn ja, wann (je früher desto besser).
Wenn mit personenbezogenen Daten umgegangen werden soll, sollte es vor der Erhebung der Daten Überlegungen geben:
- Welche (Kategorien von) Daten sollen erhoben werden?
- Welche Gefahren gehen von diesen Daten für die betroffenen Personen aus?
- Abhängig von den beiden vorherigen Punkten (Risikobasierter Ansatz):
- Bedarf es einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO weil es ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen gibt?
- Welche Technischen und Organisatorischen Maßnahmen sind zum Schutz der erhobenen Daten zu ergreifen?
Das Ergebnis sollte in einem Datenschutzkonzept von angemessener Kürze dokumentiert und umgesetzt werden.
Die betroffenen Personen müssen über die Erhebung der personenbezogenen Daten informiert werden. Es wird also eine Datenschutzerklärung benötigt.
Die Rechtmäßigkeit der Verarbeitung wird sich zumindest bei Erhebung der Daten bei der betroffenen Person (zum Beispiel durch Umfragen) aus einer Einwilligung ergeben - mit allen schwierigen Konsequenzen.