Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


<font inherit/inherit;;#e74c3c;;inherit>Der folgende Text ist ein Entwurf und noch nicht als Artikel Bestandteil dieses Wiki!</font>

Datenschutz in der Forschung

Datenschutz in der Forschung ist ein Spannungsfeld zwischen den Belangen des Datenschutzes auf der einen Seite und den Zielen der Forschung auf der anderen Seite. Deutlich wird das beispielsweise am datenschutzrechtlichen Grundsatz der Datenminimierung, der in aller Regel genau entgegengesetzt zum Anliegen in der Forschung ist, möglichst umfassende und möglichst genaue Daten zu haben.

Begriff der Forschung

Die DSGVO enthält keine Legaldefinition der (wissenschaftlichen) Forschung. Allerdings gibt Erwägungsgrund 159 Satz 2 Hinweise, wie der Begriff zu verstehen ist: „Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen.“

Allerdings darf der Begriff auch nicht ins Grenzenlose ausgeweitet werden. Es muss um die Gewinnung „neuartiger Erkenntnisse“(so Golla in Specht/Mantz, § 23 Rn.15) gehen, was sich von den nur neuen Erkenntnissen abgrenzt, wenn es darum geht, beispielsweise im Bereich der Marktforschung bekannte und wissenschaftlich gesicherte Methoden allein zur Informationsgewinnung im unternehmerischen Kontext anzuwenden. Möglicherweise kann auch der Begriff der „Origininären Forschung“1) beziehungsweise „Theoriefindung“ zur Begriffsschärfung beitragen.

Adressatenkreis

Entsprechend der Weite des Forschungsbegriffs ist auch der Adressatenkreis für Datenschutz in der Forschung groß: Im Hochschulkontext geht es nicht nur um Professorinnen und Professoren und deren in der Forschung tätige wissenschaftliche Mitarbeiter sondern auch um technische Mitarbeiter sowie nicht zu unterschätzen um Forschung von Studierenden.

Verantwortliche

Ein Folgeproblem des Adressatenkreises ist die Frage nach dem Verantwortlichen der Datenverarbeitung. Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.2) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.3).

Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.

Praktisches Handeln

Da maßgebliche Fragen noch offen sind, müssen praktische Handlungsempfehlungen notwendigerweise fragmentarisch sein:

Wichtig ist zunächst, die Weite des Begriffs der personenbezogenen Daten zu erkennen.

Weiterhin muss konsequent und korrekt zwischen anonymen und pseudonymen Daten unterschieden werden. In der Regel liegen nämlich pseudonyme Daten vor und die gelten seit Inkrafttreten der DSGVO als personenbezogene Daten. Unter Beachtung der wissenschaftlichen Ziele sollte stets geprüft werden, ob eine Anonymisierung oder zumindest Pseudonymisierung der personenbezogenen Daten möglich ist und wenn ja, wann (je früher desto besser).

Wenn mit personenbezogenen Daten umgegangen werden soll, sollte es vor der Erhebung der Daten Überlegungen geben:

  1. Welche (Kategorien von) Daten sollen erhoben werden?
  2. Handelt es sich dabei um besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO?
  3. Welche Gefahren gehen von diesen Daten für die betroffenen Personen aus?
  4. Abhängig von den beiden vorherigen Punkten (Risikobasierter Ansatz):
    1. Bedarf es einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO weil es ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen gibt?
    2. Welche Technischen und Organisatorischen Maßnahmen sind zum Schutz der erhobenen Daten zu ergreifen?

Das Ergebnis sollte in einem Datenschutzkonzept von angemessener Kürze dokumentiert und umgesetzt werden.

Die betroffenen Personen müssen über die Erhebung der personenbezogenen Daten informiert werden. Es wird also eine Datenschutzerklärung benötigt.

Die Rechtmäßigkeit der Verarbeitung wird sich zumindest bei Erhebung der Daten bei der betroffenen Person (zum Beispiel durch Umfragen) aus einer Einwilligung ergeben - mit allen schwierigen Konsequenzen.

Aufbewahrung von Forschungsdaten

Bei der Aufbewahrung der Forschungsdaten ist zunächst darauf hinzuweisen, dass anonym(isiert)e Daten keine personenbezogenen Daten (mehr) sind und damit unbefristet aufbewahrt werden können.

Bei personenbezogenen Daten einschließlich pseudonymer Daten besteht dagegen grundsätzlich eine Pflicht zu Löschen, wenn der Zweck der Speicherung weggefallen ist. Zweck wird zunächst unproblematisch die eigentliche Forschungstätigkeit sein. Fraglich ist, ob unter Beachtung von Art. 5 Abs. 1 Buchstabe 2 Halbsatz 2 DSGVO auch die Dokumentation bzw. Nachprüfbarkeit und eine mögliche aber noch ungewisse Wiederaufnahme der Forschung4) legitime Zwecke sind, die zur weiteren Speicherung berechtigen. Bei einer notwendigen Abwägung wird auch zu berücksichtigen sein, ob die Daten pseudonymisiert sind und welche Risiken für die betroffenen Personen von Ihnen ausgehen können.

Wenn die Inhaberschaft für die Forschungdaten bei einer Einrichtung mit einem Archiv liegt, sollte keine eigenmächtige Löschung der Daten vorgenommen werden. Vielmehr sollte mit Abschluss des Forschungsprojektes das Archiv gemäß den in der Organisation gültigen Regeln eingebunden werden, so dass eine ordnungsgemäße dauerhafte Speicherung oder Löschung durchgeführt werden kann.

Schon die vorübergehende aber erst recht die dauerhafte Speicherung von personenbezogenen Daten in einem ungeordneten Kontext (willkürlich ausgewählte Verzeichnisse/Laufwerke, fehlende Auffindbarkeit) ist zu unterlassen.

1)
Siehe in der Wikipedia Originäre Forschung
2)
Golla in Specht/Mantz, § 23 Rn. 32 schreibt zu § 27 Abs. 1 S. 2 „Forscher oder seiner Institution als Verantwortlichen.“ Das ist genau das Problem.
3)
Zur Einführung in die Thematik Inhaberschaft bei Forschungsdaten siehe Forschungsprojekt DataJus. Die Seite bei archive.org
4)
Bei einer sicheren oder zumindest konkret beabsichtigten/geplanten Wiederaufnahme der Forschung besteht der ursprüngliche Zweck ohnehin fort.
Drucken/exportieren
QR-Code
QR-Code Datenschutz in der Forschung (erstellt für aktuelle Seite)