Inhaltsverzeichnis
(Zur Übersicht: ThürDSG)
§ 28 Thüringer Datenschutzgesetz
1. Wortlaut
§ 28 Verarbeitung personenbezogener Daten durch Forschungseinrichtungen
(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.
(2) Die Übermittlung personenbezogener Daten an Empfänger, auf die dieses Gesetz oder die Verordnung (EU) 2016/679 keine Anwendung findet, ist nur zulässig, wenn diese sich vertraglich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten und die Bestimmungen der Absätze 3 und 4 einzuhalten.
(3) Die personenbezogenen Daten sind, sobald dies nach dem Forschungszweck möglich ist, dergestalt zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (anonymisieren). Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.
(4) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.
(5) Das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch nach der Verordnung (EU) 2016/679 und diesem Gesetz besteht nicht, soweit und solange die Verwirklichung des wissenschaftlichen oder historischen Forschungsinteresses dadurch unmöglich gemacht oder erheblich beeinträchtigt wird.
2. Gesetzesbegründung
Zu § 28
Verarbeitung personenbezogener Daten durch Forschungseinrichtungen (Artikel 6, 9 und 89 der Verordnung (EU) 2016/679)
§ 28 regelt die Verarbeitung personenbezogener Daten durch öffentliche Forschungseinrichtungen und übernimmt weitestgehend die bisherigen Regelungen.
Erfasst sind davon sowohl wissenschaftliche als auch historische Forschungsvorhaben. Von der Regelung unberührt bleibt Artikel 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679. Die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen und historischen Zwecken ist unabhängig davon, ob es sich bei der verarbeitenden Stelle um eine Forschungseinrichtung handelt, zulässiger Verarbeitungszweck.
Zu Absatz 1:
Eine Verarbeitung zu anderen Zwecken wird für die zur wissenschaftlichen oder historischen Forschung erhobenen Daten ausgeschlossen. Dies soll sicherstellen, dass personenbezogene Daten im Rahmen der Forschungsverwendung verbleiben. Eine Zweckbindung auf konkrete Forschungsvorhaben ist von dem Verbot jedoch nicht erfasst. Eine Datenverarbeitung zu anderen wissenschaftlichen oder historischen Forschungsvorhaben ist damit nicht ausgeschlossen.
Absatz 1 ist gerechtfertigt durch Artikel 6 Abs. 1 Buchst. e in Verbindung mit Abs. 3 der Verordnung (EU) 2016/679.
Zu Absatz 2: Durch Absatz 2 wird die Übermittlung personenbezogener Daten an Stellen, die nicht dem Anwendungsbereich dieses Gesetzes oder der Verordnung (EU) 2016/679 unterfallen, an bestimmte formelle Voraussetzungen geknüpft. Der Datenempfänger muss eine besondere Verpflichtungserklärung abgeben, mit der er erklärt, ebenfalls die Regelung der Zweckbindung nach Absatz 1 zu beachten, die Daten zu anonymisieren und die Bestimmungen über die Veröffentlichung zu beachten.
Zu Absatz 3:
Nach Absatz 3 hat eine Anonymisierung personenbezogener Daten zu erfolgen, sobald dies nach dem Forschungszweck möglich ist. Die Regelungsbefugnis folgt aus Artikel 89 Abs. 1 der Verordnung (EU) 2016/679, wonach die Verarbeitung personenbezogener Daten zu Forschungszwecken geeigneten Garantien zum Schutz der betroffenen Person unterliegt. Die Definition des Begriffs „anonymisieren“ entspricht der Definition in § 3 Abs. 9 ThürDSG a.F.
Auch schon vor der möglichen Anonymisierung sind personenbezogene Daten getrennt zu speichern, um sie einer Einzelperson nicht zuordnen zu können. Gemeint ist die Trennung von Sachdaten und Identifikationsmerkmalen.
Einzelangaben dürfen zur Erreichung des Forschungszwecks nur zusammengeführt werden, wenn dies erforderlich ist.
Zu Absatz 4:
Nach Absatz 4 ist eine Veröffentlichung personenbezogener Daten zulässig, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung der Forschungsergebnisse über Personen der Zeitgeschichte unerlässlich ist. Die vollständige und korrekte Darstellung muss unverzichtbar sein.
Da es sich bei der Veröffentlichung um eine Form der Verarbeitung handelt (vgl. Artikel 4 Nr. 2 der Verordnung (EU) 2016/679), stellt Absatz 4 eine Einschränkung der Verarbeitung dar, die gerechtfertigt wird durch Artikel 6 Abs. 1 Buchst. e und Artikel 6 Abs. 3 der Verordnung (EU) 2016/679.
Zu Absatz 5:
Absatz 5 schränkt die Rechte der betroffenen Person ein, soweit und solange die Verwirklichung des Forschungsinteresses durch Umsetzung der Betroffenenrechte unmöglich gemacht oder nachträglich beeinträchtigt wird.
(Quelle: Thüringer Landtag Drucksache 6/4943, S. 115f.)
3. Parallelvorschriften
3.1 Übersicht
Land | Regelung zur Forschung | Zweckbindung(Abs. 1) | Übermittlung(Abs. 2)1) | Anonymisierung (Abs. 3) | Veröffentlichung (Abs. 4) | Einschr. v. Betroffenenrechten (Abs. 5) | Erleichtungen bei Art. 9 DSGVO (§ 27 Abs. 1 BDSG) | Sonstiges | Fundstelle Gesetzesbegründung |
---|---|---|---|---|---|---|---|---|---|
Baden-Württemberg | § 13 LDSG BW | Nein | Nein | Ja (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 4) | Ja , Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung. (Abs. 1) | ||
Bayern | Art. 25 BayDSG | Ja (Abs. 1) | Nein | Ja (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 4) | Nein | Gesetzentwurf der Staatsregierung | |
Berlin | § 17 BlnDSG | Ja, für übermittelte Daten. (Abs. 1 S. 1) | Nein | Ja (Abs. 2 S. 1) | Ja (Abs. 3) | Ja (Abs. 4) | Ja, Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung mit deutlichem Überwiegen. (Abs. 1 S. 1) Zusätzliche TOM (Abs. 2 S. 2) | ||
Brandenburg | § 25 BbgDSG | Nein | Ja, greift schon bei Übermittlung an Empfänger für die das BbgDSG nicht gilt. (Abs. 4) Evtl. anders bei Art. 9 Daten (Abs. 1 S. 1)? | Ja (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 5) | Ja (Abs. 1) | Gesetzentwurf der Landesregierung S. 22 (zu damals noch § 24) Beschlussempfehlung und Bericht des Ausschusses für Inneres und Kommunales Keine inhaltlichen Ergänzungen, S. 61 (Zählung des PDF-Dokuments) |
|
Bremen | § 13 BremDSGVOAG | Nein | Nein | Ja, nur Art. 9 Daten (Abs. 2 S. 2) | Ja (Abs. 4) | Ja (Abs. 3) | Ja (Abs. 1) Zusätzliche TOM (Abs. 2 S. 1) | ||
Hamburg | § 11 HmbDSG | Ja, bei Weiterübermittlung an den Verantwortlichen übermittelter (Art. 9?) Daten. (Abs. 1 S. 2) | Ja, greift schon bei Übermittlung an Empfänger für die das HmbDSG nicht gilt. (Abs. 4) | Ja. Zusätzliche TOM entsprechend § 22 Abs. 2 BDSG. (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 5) | Ja, Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung mit deutlichem Überwiegen. (Abs. 1 S. 1) | Gesetzentwurf des Senats S. 23 f. | |
Hessen | § 24 HDSIG | Nein | Nein | Ja, nur Art. 9 Daten (Abs. 3) | Ja (Abs. 4) | Ja (Abs. 2) | Ja aber zusätzlich Datenschutzkonzept nötig. (Abs. 1) | ||
Mecklenburg-Vorpommern | § 9 DSG M-V | Ja, im Falle einer Übermittlung (Abs. 1 S. 2) | Ja, greift schon bei Übermittlung an Empfänger für die das DSG M-V nicht gilt. (Abs. 4) | Ja (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 5) | Ja, Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung mit deutlichem Überwiegen. (Abs. 1 S. 1) | Gesetzentwurf der Landesregierung S. 43 f. | |
Niedersachsen | § 13 NDSG | Nein | Ja, greift schon bei Übermittlung an Empfänger für die das NDSG nicht gilt. Dazu Unterichtung des Landesdatenschutzbeauftragten. (Abs. 4) | Ja (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 5) | Ja , Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung(dokumentationspflichtig). Pflicht DSB zu unterrichten. (Abs. 1) | Gesetzentwurf der Landesregierung S. 50 ff. | |
Nordrhein-Westfalen | § 17 DSG NRW | Nein | Nein | Ja (Abs. 2 und 3) | Ja (Abs. 4) | Ja (Abs. 5) | Ja , Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung. (Abs. 1) | Besondere Betonung des Auskunftsrechts gem. Art 15 DSGVO(Abs. 2 S. 1) | |
Rheinland-Pfalz | § 22 LDSG RP | Ja. (Abs. 2) Nur für Art. 9 Daten durch Verweis auf Abs. 1? | Nein | Ja (Abs. 4) | Ja (Abs. 5) | Nein | Ja (Abs. 1) | Schriftformerfordernis für Einwilligung in Verarbeitung von genetischen oder biometrischen Daten oder Gesundheitsdaten. (Abs. 3) | |
Saarland | § 23 SDSG | Nein | Ja, greift schon bei Übermittlung an Empfänger für die das SDSG nicht gilt. Dazu Unterichtung des Landesdatenschutzbeauftragten. (Abs. 2) | Ja (Abs. 1 S. 2) | Ja (Abs. 3) | Ja (Abs. 4) | Ja, Gleichbehandlung von „normalen“ personenbezogenen Daten und Art. 9 Daten–>Immer Interessenabwägung mit deutlichem Überwiegen. (Abs. 1 S. 1) | Gesetzentwurf der Regierung des Saarlandes S. 52 f. | |
Sachsen | § 12 SächsDSDG | Nein | Ja, greift schon bei Übermittlung an Empfänger für die das SächsDSG nicht gilt. (Abs. 3) | Nicht ausdrücklich aber bei Art. 9 Daten nach Pseudonymisierung ggf. ja (Abs. 2) | Ja (Abs. 4) | Ja (Abs. 5) | Ja (Abs. 1) | Gesetzentwurf der Staatsregierung S. 63 f. | |
Sachsen-Anhalt | § 27 DSAG LSA | Nein | Ja, greift schon bei Übermittlung an Empfänger für die das DSG LSA nicht gilt. (Abs. 3) | Ja (Abs. 1) | Ja (Abs. 2) | Ja (Abs. 5) | Ja (Abs. 4) | Gesetzentwurf Landesregierung S. 91 ff. | |
Schleswig-Holstein | § 13 LDSG SH | Nein | Ja, greift schon bei Übermittlung an Empfänger für die das DSG SH nicht gilt. (Abs. 3) | Ja, evtl. nur Art. 9 Daten durch Verweis auf § 12? (Abs. 2) | JA (Abs. 4) | Ja (Abs. 5) | Ja (Abs. 1) | ||
Thüringen | § 28 ThürDSG | Ja (Abs. 1) | Ja (Abs. 2) | Ja (Abs. 3) | Ja (Abs. 4) | Ja (Abs. 5) | Nein | § 25 Thüringer Datenschutzgesetz mit dem Wortlaut nach weitgehender Aufhebung der DSGVO bei Verarbeitungen für wissenschaftliche Zwecke„ in Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit“ | Gesetzentwurf Landesregierung mit Begründung S. 115 f. |
(Bund) | § 27 BDSG | Nein | Nein | Ja, nur Art. 9 Daten (Abs. 3) | Ja (Abs. 4) | Ja (Abs. 2) | Ja (Abs. 1) | ||
(Österreich) | § 7 DSG | Ja, indirekt (Abs. 1 Nr. 2) | Nein | Ja (Abs. 5) | Nein | Nein | Sehr differenzierte Regelungen inkl Genehmigung durch Datenschutzbehörde (Abs. 3 S. 2, 3) | Nur begrenzte Vergleichbarkeit der einzelnen Regelungen; insbesondere die Unterscheidung nach Forschungen, die „keine personenbezogenen Ergebnisse zum Ziel haben“(Abs. 1) und anderen Forschungen (Abs. 2 und 3) |
Es gibt keine zwei Bundesländer mit identischen Regelungen für den gesamten Forschungsdatenschutz. Die einzige Teilregelung bei der Einigkeit besteht, ist die bedenkliche (s.u.) Einschränkung der Veröffentlichung von Forschungsergebnissen. Bemerkenswert ist, dass nur wenige Länder Regelungen zur Zweckbindung vorsehen aber die Mehrheit der Länder Empfängern selbst innerhalb Deutschland vertraglich Zweckbindungen vorschreiben wollen.
3.2 § 22 LDSG RP
§ 22 Abs. 1 LDSG RP gestattet anders als § 28 ThürDSG ausdrücklich Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO auch ohne die Zustimmung der betroffenen Person zu verarbeiten, wenn im Rahmen einer Interessenabwägung das Forschungsinteresse das „Interesse der betroffenen Person an dem Ausschluss der Erhebung“ deutlich überwiegt und der Forschungszweck nicht anders erreicht werden kann. Für diese Regelung wurde auf die Öffnungsklausel in Art. 9 Abs. 2 lit. j DSGVO zurückgegriffen.2)
4. Erläuterung
§ 28 ThürDSG sieht einige Sonderregeln für wissenschaftliche und historische Forschung öffentlicher Hochschulen in Thüringen im Rahmen des allgemeinen Datenschutzes in der Forschung vor.
Die maßgebliche Regelung in der DSGVO ist Art. 89. Dessen Absatz 2 gestattet den Mitgliedsstaaten für Forschungszwecke Ausnahmen von den Artikeln 15, 16, 18 und 21, also einigen Betroffenenrechten zu regeln.
4.1 Anwendungsbereich
§ 28 ThürDSG ist anwendbar für „wissenschaftliche und historische Forschung“.
4.1.1 Begriff der Forschung
Der Begriff Forschung ist im ThürDSG und in der DSGVO nicht näher definiert. Maßgeblich sollte jedoch in einer weiten Auslegung die Erlangung „neuartiger Erkenntnisse“ sein. Siehe auch unten aber auch im Kontext: Datenschutz in der Forschung. Für den Begriff der Forschung spielt es dagegen keine Rolle, ob und wie die Forschung institutionalisiert ist.
4.1.2 Adressatenkreis und Verantwortlicher
Allerdings ist das ThürDSG gemäß § 2 Abs. 1 ThürDSG nur auf öffentliche Stellen anwendbar. Folglich ist auch § 28 nur auf Verantwortliche anwendbar, die auch öffentliche Stellen sind, also vor allem die öffentlichen Hochschulen aber grundsätzlich kommt auch jede andere öffentliche Stelle in Betracht. Für nicht-öffentliche Stellen gilt dagegen grundsätzlich das BDSG.
Schwierig wird im Einzelfall die Abgrenzung wenn nicht ausschließlich eine öffentliche Hochschule beziehungsweise deren Beschäftigte die Forschung betreiben.
Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.3) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.4).
Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.
Um die vorstehenden Erwägungen anhand von Fallgruppen zu konkretisieren, dürfte (mit aller Vorsicht) folgendes ausgehend von den handelnden natürlichen Personen sinnvoll sein:
- Beteiligt sind ausschließlich Beschäftigte im weiteren Sinne(inklusive Hochschullehrer) einer Hochschule –> Hochschule ist Verantwortlicher 5)
- Zusätzlich zu 1. sind auch Studierende beteiligt, die jedoch unter Aufsicht und Anleitung durch Beschäftigte tätig werden –> Hochschule ist Verantwortlicher
- Beteiligt sind Studierende und Gegenstand und Mittel/Methoden der Forschung sind durch Hochschule festgelegt und Betreuung durch Beschäftigte der Hochschule erfolgt –> Hochschule ist Verantwortlicher
- Beteiligt sind Studierende aber Gegenstand und Mittel/Methoden der Forschung der Forschung sind frei oder keine Betreuung durch Beschäftigte der Hochschule –> Studierende sind Verantwortliche aber möglicherweise daneben/zusätzlich auch die Hochschule (Gemeinsam Verantwortliche)
- Beteiligt sind Beschäftigte im weiteren Sinne mehrerer Hochschulen –> Hochschulen sind gemeinsam Verantwortliche
Abweichend zu den Punkten 3-5 wird auch die Auffassung vertreten, dass „wissenschaftliche Untersuchungen im Rahmen von Qualifikationsmaßnahmen (zB Bachelor-, Master-, Examensarbeiten)“(Kugelmann/Smolle § 22, Rn. 10) der Hochschule zuzurechnen seien. Diese Auffassung ist jedoch mit den Regeln zur Verantwortlichkeit nur vereinbar, wenn die Hochschule tatsächlich über Zweck und Mittel entscheidet.
4.2 Zweckbindung (Absatz 1)
4.2.1 Erhobene oder gespeicherte Daten
Absatz 1 bezieht sich seinem Wortlaut nach nur auf solche personenbezogene Daten, die für Zwecke der wissenschaftlichen oder historischen Forschung (siehe dazu im Folgenden) erhoben oder gespeichert sind.
Erheben ist nach der Definition des § 3 Abs. 3 BDSG a.F. „das Beschaffen von Daten über den Betroffenen“. In der DSGVO ist der Begriff nicht legaldefiniert sondern wird jetzt als Teil der Verarbeitung gemäß Art. 4 Nr. 2 DSGVO definiert. Für die einzelne Tätigkeit erscheint die frühere Definition jedoch nach wie vor sinnvoll. Es geht also darum, dass Daten geschaffen werden, die (zumindest in der Form) vorher nicht existiert haben. Das kann im Kontext Forschung beispielsweise durch Messen, Zählen, Wiegen oder auch das Ausfüllen von Fragebögen geschehen.
Speichern ist nach der Definition des § 3 Abs. 4 Nr. 1 BDSG a.F. „das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung“. Zur Definition seit Geltung der DSGVO gilt das oben zum Erheben festgestellte. Es genügt also, dass Forschungsdaten gespeichert sind.
Allerdings damit Daten gespeichert werden können, müssen Sie existieren - entweder durch Erhebung (siehe oben) oder indem anderweitig (und insbesondere zu anderen Zwecken) erhobene Daten übermittelt (Transfer von einer Stelle zu einer anderen) und/oder weiterverarbeitet (Änderung des Zwecks) werden. Dieser Aspekt wird durch Absatz 1 nicht geregelt. Auch Absatz 2 befasst sich nicht mit dieser Konstellation sondern mit rechtmäßig als Forschungsdaten gespeicherten Daten, die an eine andere Stelle übermittelt werden.
4.2.2 Zweck
Der Zweck der Verarbeitung ist im Kontext der DSGVO eigentlich sehr konkret zu fassen. Das wäre bei Forschungen das Erkenntnisziel der Untersuchung, für die die Daten erhoben werden. Das ist hier aber ausweislich der Gesetzesbegründung nicht gewollt.
Der Zweck im Sinne des § 28 Abs. 1 ThürDSG muss daher weiter interpretiert werden im Sinne von jeglicher wissenschaftlicher (oder historischer) Forschung.6) Damit ist dann aber auch eine Grenze für Zweckänderungen (oder besser Zweckerweiterungen) gesetzt.
4.2.3 Keine Verarbeitung nach § 17 ThürDSG
Gesperrt ist damit in jedem Falle eine Verarbeitung nach § 17 ThürDSG, da § 28 ThürDSG im Verhältnis zu § 17 lex specialis ist.
4.2.4 Übermittlung zur Verfolgung von Straftaten und Ordnungswidrigkeiten
Die für eine Herausgabe der Daten zur Verfolgung von Straftaten und Ordnungswidrigkeiten erforderliche Zweckänderung bleibt in der Regel zulässig(Vgl. zur Parallelvorschrift Art. 25 Abs. 1 BayDSG Wilde et al, Art. 25 BayDSG, Rn. 10.)) obwohl § 17 Abs. 2 Nr. 2 ThürDSG nicht mehr anwendbar ist (siehe zuvor), da insoweit Vorschriften des Bundesrechts vorgehen. Zu Details siehe § 17 Thüringer Datenschutzgesetz. Fraglich könnte allenfalls eine nicht angeforderte Übermittlung aus eigenem Antrieb sein.
4.2.5 Zweckänderung nach Art. 6 Abs. 4 DSGVO
Eine Verarbeitung nach Art. 6 Abs. 4 DSGVO ist dagegen weiter möglich, da insoweit die DSGVO als höherangiges Recht keine Öffnungsklausel für nationales Recht hat.7)
4.3 Übermittlung (Absatz 2)
Die Regelung betrifft faktisch Übermittlungen in ein Drittland in dem die DSGVO nicht gilt. Eine mögliche Konstellation, in der zwar die DSGVO nicht gilt aber das ThürDSG ist nicht ersichtlich, so dass die Benennung des ThürDSG überflüssig ist. Das erklärt sich möglicherweise aus einem Redaktionsversehen da 8 Bundesländer (Siehe oben Parallelvorschriften) recht ähnliche Regeln für die Übermittlung von Forschungsdaten an Stellen vorsehen, für die das jeweilige Landesdatenschutzgesetz nicht gilt, ohne dass es die deutschlandweit einmalige thüringer Ergänzung um den Geltungsbereich der DSGVO gibt.
Für Übermittlungen in Drittländer sehen die Art. 44ff. DSGVO umfangreiche und differenzierte Regelungen vor. Nicht vorgesehen ist dagegen eine Öffnungsklausel, die es nationalen Gesetzgebern gestatten würde, von den DSGVO-Regeln abzuweichen. Die Norm kann daher allenfalls so verstanden werden, dass der Verantwortlichen zusätzlich zu den Regelungen der DSGVO verpflichtet wird, den Empfänger der Daten in der beschriebenen Weise vertraglich zu binden.
4.4 Anonymisierung (Absatz 3)
Absatz 3 verlangt eine nachträgliche Anonymisierung (Satz 1) und so lange das nicht möglich ist, eine Pseudonymisierung. Zur Abgrenzung beider Begriffe siehe vor allem die beiden Artikel. Auch an dieser Stelle ist aber darauf hinzuweisen, dass die Legaldefinition des Gesetzes für Anonymisierung („Die personenbezogenen Daten sind […] dergestalt zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“) sehr ernst zu nehmen ist und die hohen Hürden erfolgreicher Anonymisierung verdeutlicht.
Nicht im Gesetz ausdrücklich geregelt ist, dass ein Studiendesign so angelegt sein sollte, dass erst gar keine personenbezogenen Daten erhoben werden sondern von vorneherein anonyme Daten, wenn das mit dem Forschungszweck vereinbar ist.
Wenn aber die Erhebung personenbezogener Daten erforderlich ist, dann müssen alle datenschutzrechtlichen Pflichten durch den Verantwortlichen eingehalten werden, soweit nicht Absatz 4 Erleichterungen vorsieht, was im Wesentlichen Betroffenenrechte betrifft. Keine Erleichtungen gibt es insbesondere bei der Pflicht, die Sicherheit der Verarbeitung zu beachten und gegebenenfalls ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
4.5 Veröffentlichung (Absatz 4)
Absatz 4 schränkt die Möglichkeit zur Veröffentlichung personenbezogener Daten ein auf die Fälle ein, in denen die betroffene Person eingewilligt hat oder es für die Darstellung von Forschungsergebnissen der Zeitgeschichte unerlässlich ist.
4.5.1 Europarechtliche Zulässigkeit
Der Gesetzesbegründung ist zu folgen, dass dies durch Art. 6 Abs. 3 DSGVO datenschutzrechtlich gedeckt ist.
4.5.2 Einwilligung
Die Einwilligung muss den Anforderungen des Art. 7 DSGVO genügen und folglich insbesondere freiwillig und informiert sein.
4.5.3 Zeitgeschichte
Der Begriff der Zeitgeschichte wird grundsätzlich den Wertungen des KUG folgend zu interpretieren sein. Zu beachten ist aber auch, dass Art. 6 Abs. 3 S. 2 VerfTH verlangt: „Den Belangen historischer Forschung und geschichtlicher Aufarbeitung ist angemessen Rechnung zu tragen.“ Zeitgeschichtliche Forschung und deren Veröffentlichung, die für „Aufarbeitung“ zwingend notwendig ist, besitzt also im Freistaat Thüringen gewissermaßen Verfassungsrang und muss bei Abwägungsentscheidungen entsprechend berücksichtigt werden.
4.5.4 Einschränkung der Forschungsfreiheit
Angesichts der grundsätzlichen Problemen bei der Einwilligung, den Hürden für die Einordnung als zeitgeschichtliches Ereignis und der Schwierigkeit in vielen Fällen personenbezogene Daten zu anonymisieren (so dass eben keine personenbezogene Daten mehr vorliegen) stellt sich die Frage, ob die Beschränkungen der Veröffentlichung personenbezogener Daten eine Verletzung der Forschungsfreiheit gemäß Art. 5 Abs. 3 GG und Art. 27 Abs. 1 VerfTH darstellt. Die Freiheit der Forschung umfasst auch die Publikationsfreiheit und ein Popularisierungsrecht.8)
Zu diskutieren wäre - auch unter Beachtung der Abs. 4 entgegenlaufenden Wertung des § 25 ThürDSG - eine teleologische Reduktion des Abs. 4. In Betracht kommen hier Beschränkungen auf Besondere Kategorien personenbezogener Daten und/oder personenbezogene Daten, die eine relativ einfache Identifizierung der betroffenen Person ermöglichen, wenn also keine oder eine schwache Pseudonymisierung vorliegt und/oder keine Anwendung auf öffentlich bekannte personenbezogene Daten.9)
4.6 Einschränkung von Betroffenenrechten (Absatz 5)
Absatz 5 schränkt unter voller Ausschöpfung der Öffnungsklausel des Art. 89 Abs. 2 DSGVO folgende Betroffenenrechte ein:
- Auskunftsrecht, Art. 15 DSGVO,
- Recht auf Berichtigung, Art. 16 DSGVO,
- Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO und
Das ist jedoch nur zulässig, wenn es im Einzelfall für die Erreichung des Forschungszweckes erforderlich ist.