Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


(Zur Übersicht: ThürDSG)

§ 28 Thüringer Datenschutzgesetz

Wortlaut

§ 28 Verarbeitung personenbezogener Daten durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.

(2) Die Übermittlung personenbezogener Daten an Empfänger, auf die dieses Gesetz oder die Verordnung (EU) 2016/679 keine Anwendung findet, ist nur zulässig, wenn diese sich vertraglich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten und die Bestimmungen der Absätze 3 und 4 einzuhalten.

(3) Die personenbezogenen Daten sind, sobald dies nach dem Forschungszweck möglich ist, dergestalt zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (anonymisieren). Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(4) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

(5) Das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch nach der Verordnung (EU) 2016/679 und diesem Gesetz besteht nicht, soweit und solange die Verwirklichung des wissenschaftlichen oder historischen Forschungsinteresses dadurch unmöglich gemacht oder erheblich beeinträchtigt wird.

Amtliche Gesetzesbegründung

Zu § 28

Verarbeitung personenbezogener Daten durch Forschungseinrichtungen (Artikel 6, 9 und 89 der Verordnung (EU) 2016/679)


§ 28 regelt die Verarbeitung personenbezogener Daten durch öffentliche Forschungseinrichtungen und übernimmt weitestgehend die bisherigen Regelungen.
Erfasst sind davon sowohl wissenschaftliche als auch historische Forschungsvorhaben. Von der Regelung unberührt bleibt Artikel 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679. Die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen und historischen Zwecken ist unabhängig davon, ob es sich bei der verarbeitenden Stelle um eine Forschungseinrichtung handelt, zulässiger Verarbeitungszweck.

Zu Absatz 1:
Eine Verarbeitung zu anderen Zwecken wird für die zur wissenschaftlichen oder historischen Forschung erhobenen Daten ausgeschlossen. Dies soll sicherstellen, dass personenbezogene Daten im Rahmen der Forschungsverwendung verbleiben. Eine Zweckbindung auf konkrete Forschungsvorhaben ist von dem Verbot jedoch nicht erfasst. Eine Datenverarbeitung zu anderen wissenschaftlichen oder historischen Forschungsvorhaben ist damit nicht ausgeschlossen.
Absatz 1 ist gerechtfertigt durch Artikel 6 Abs. 1 Buchst. e in Verbindung mit Abs. 3 der Verordnung (EU) 2016/679.

Zu Absatz 2: Durch Absatz 2 wird die Übermittlung personenbezogener Daten an Stellen, die nicht dem Anwendungsbereich dieses Gesetzes oder der Verordnung (EU) 2016/679 unterfallen, an bestimmte formelle Voraussetzungen geknüpft. Der Datenempfänger muss eine besondere Verpflichtungserklärung abgeben, mit der er erklärt, ebenfalls die Regelung der Zweckbindung nach Absatz 1 zu beachten, die Daten zu anonymisieren und die Bestimmungen über die Veröffentlichung zu beachten.

Zu Absatz 3:
Nach Absatz 3 hat eine Anonymisierung personenbezogener Daten zu erfolgen, sobald dies nach dem Forschungszweck möglich ist. Die Regelungsbefugnis folgt aus Artikel 89 Abs. 1 der Verordnung (EU) 2016/679, wonach die Verarbeitung personenbezogener Daten zu Forschungszwecken geeigneten Garantien zum Schutz der betroffenen Person unterliegt. Die Definition des Begriffs „anonymisieren“ entspricht der Definition in § 3 Abs. 9 ThürDSG a.F.
Auch schon vor der möglichen Anonymisierung sind personenbezogene Daten getrennt zu speichern, um sie einer Einzelperson nicht zuordnen zu können. Gemeint ist die Trennung von Sachdaten und Identifikationsmerkmalen.
Einzelangaben dürfen zur Erreichung des Forschungszwecks nur zusammengeführt werden, wenn dies erforderlich ist.

Zu Absatz 4:
Nach Absatz 4 ist eine Veröffentlichung personenbezogener Daten zulässig, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung der Forschungsergebnisse über Personen der Zeitgeschichte unerlässlich ist. Die vollständige und korrekte Darstellung muss unverzichtbar sein.
Da es sich bei der Veröffentlichung um eine Form der Verarbeitung handelt (vgl. Artikel 4 Nr. 2 der Verordnung (EU) 2016/679), stellt Absatz 4 eine Einschränkung der Verarbeitung dar, die gerechtfertigt wird durch Artikel 6 Abs. 1 Buchst. e und Artikel 6 Abs. 3 der Verordnung (EU) 2016/679.

Zu Absatz 5:
Absatz 5 schränkt die Rechte der betroffenen Person ein, soweit und solange die Verwirklichung des Forschungsinteresses durch Umsetzung der Betroffenenrechte unmöglich gemacht oder nachträglich beeinträchtigt wird.

(Quelle: Thüringer Landtag Drucksache 6/4943, S. 115f.)

Parallelvorschriften

Ähnliche Vorschriften finden sich in § 27 BDSG, Art. 25 BayDSG und § 22 LDSG RP.

§ 22 LDSG RP

§ 22 Abs. 1 LDSG RP gestattet anders als § 28 ThürDSG ausdrücklich Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO auch ohne die Zustimmung der betroffenen Person zu verarbeiten, wenn im Rahmen einer Interessenabwägung das Forschungsinteresse das „Interesse der betroffenen Person an dem Ausschluss der Erhebung“ deutlich überwiegt und der Forschungszweck nicht anders erreicht werden kann. Für diese Regelung wurde auf die Öffnungsklausel in Art. 9 Abs. 2 lit. j DSGVO zurückgegriffen.1)

Erläuterung

§ 28 ThürDSG sieht Sonderregeln für wissenschaftliche und historische Forschung vor.

Anwendungsbereich

§ 28 ThürDSG ist anwendbar für „wissenschaftliche und historische Forschung“.

Begriff der Forschung

Der Begriff Forschung ist im ThürDSG und in der DSGVO nicht näher definiert. Maßgeblich sollte jedoch in einer weiten Auslegung die Erlangung „neuartiger Erkenntnisse“ sein. Siehe auch unten aber auch im Kontext: Datenschutz in der Forschung. Für den Begriff der Forschung spielt es dagegen keine Rolle, ob und wie die Forschung institutionalisiert ist.

Adressatenkreis und Verantwortlicher

Allerdings ist das ThürDSG gemäß § 2 Abs. 1 ThürDSG nur auf öffentliche Stellen anwendbar. Folglich ist auch § 28 nur auf Verantwortliche anwendbar, die auch öffentliche Stellen sind, also vor allem die öffentlichen Hochschulen aber grundsätzlich kommt auch jede andere öffentliche Stelle in Betracht. Für nicht-öffentliche Stellen gilt dagegen grundsätzlich das BDSG.

Schwierig wird im Einzelfall die Abgrenzung wenn nicht ausschließlich eine öffentliche Hochschule beziehungsweise deren Beschäftigte die Forschung betreiben.

Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.2) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.3).

Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.

Um die vorstehenden Erwägungen anhand von Fallgruppen zu konkretisieren, dürfte (mit aller Vorsicht) folgendes ausgehend von den handelnden natürlichen Personen sinnvoll sein:

  1. Beteiligt sind ausschließlich Beschäftigte im weiteren Sinne(inklusive Hochschullehrer) einer Hochschule –> Hochschule ist Verantwortlicher 4)
  2. Zusätzlich zu 1. sind auch Studierende beteiligt, die jedoch unter Aufsicht und Anleitung durch Beschäftigte tätig werden –> Hochschule ist Verantwortlicher
  3. Beteiligt sind Studierende und Gegenstand und Mittel/Methoden der Forschung sind durch Hochschule festgelegt und Betreuung durch Beschäftigte der Hochschule erfolgt –> Hochschule ist Verantwortlicher
  4. Beteiligt sind Studierende aber Gegenstand und Mittel/Methoden der Forschung der Forschung sind frei oder keine Betreuung durch Beschäftigte der Hochschule –> Studierende sind Verantwortliche aber möglicherweise daneben/zusätzlich auch die Hochschule (Gemeinsam Verantwortliche)
  5. Beteiligt sind Beschäftigte im weiteren Sinne mehrerer Hochschulen –> Hochschulen sind gemeinsam Verantwortliche

Abweichend zu den Punkten 3-5 wird auch die Auffassung vertreten, dass „wissenschaftliche Untersuchungen im Rahmen von Qualifikationsmaßnahmen (zB Bachelor-, Master-, Examensarbeiten)“(Kugelmann/Smolle § 22, Rn. 10) der Hochschule zuzurechnen seien. Diese Auffassung ist jedoch mit den Regeln zur Verantwortlichkeit nur vereinbar, wenn die Hochschule tatsächlich über Zweck und Mittel entscheidet.

Zweckbindung (Absatz 1)

Der Zweck der Verarbeitung ist im Kontext der DSGVO eigentlich sehr konkret zu fassen. Das wäre bei Forschungen das Erkenntnisziel der Untersuchung, für die die Daten erhoben werden. Das ist hier aber ausweislich der Gesetzesbegründung nicht gewollt.

Der Zweck im Sinne des § 28 Abs. 1 ThürDSG muss daher weiter interpretiert werden im Sinne von jeglicher wissenschaftlicher (oder historischer) Forschung.5) Damit ist dann aber auch eine Grenze für Zweckänderungen (oder besser Zweckerweiterungen) gesetzt.

Gesperrt ist damit in jedem Falle eine Verarbeitung nach § 17 ThürDSG. Dagegen bleibt eine Herausgabe der Daten zur Verfolgung von Straftaten und Ordnungswidrigkeiten zulässig.6)

Eine Verarbeitung nach Art. 6 Abs. 4 DSGVO ist dagegen weiter möglich, da insoweit die DSGVO als höherangiges Recht keine Öffnungsklausel für nationales Recht hat.7)

Übermittlung (Absatz 2)

Anonymisierung (Absatz 3)

Veröffentlichung (Absatz 4)

Einschränkung von Betroffenenrechten (Absatz 5)

1)
Vgl. Kugelmann/Smolle, § 22 Rn. 12ff.
2)
Golla in Specht/Mantz, § 23 Rn. 32 schreibt zu § 27 Abs. 1 S. 2 „Forscher oder seiner Institution als Verantwortlichen.“ Das ist genau das Problem.
3)
Zur Einführung in die Thematik Inhaberschaft bei Forschungsdaten siehe Forschungsprojekt DataJus. Die Seite bei archive.org
4)
Anmerkung: Natürlich können sich insbesondere Hochschullehrer aber auch andere Beschäftigte auf die Freiheit von Forschung und Lehre gemäß Art. 5 Abs. 3 GG berufen. Das muss und sollte aber kein Widerspruch zur Hochschule als Verantwortlicher sein: Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO, wer über Zwecke und Mittel der Verarbeitung entscheidet. Dass müssen für juristische Personen wie eine Hochschule notwendigerweise natürliche Personen tun, die dazu befugt sein müssen aber diese Befugnis dürfte bei dem genannten Personenkreis für ihre Forschungen unproblematisch vorliegen. - Zu einer anderen Auffassung, die die Forschenden persönlich als (Mit-)Verantwortliche sieht, siehe FAZ vom 14.9.2019:Wer schützt die Forschungsdaten?.
5)
Für ein weites Verständnis des Forschungszwecks zur Parallelvorschrift § 22 LDSG RP Kugelmann/Smolla, § 22 Rn. 16f.
6)
Vgl. zur Parallelvorschrift Art. 25 Abs. 1 BayDSG Wilde et al, Art. 25 BayDSG, Rn. 10.
7)
**Andere Auffassung: Wilde et al, Art. 25 BayDSG, Rn. 9 gehen davon aus, dass die Parallelvorschrift Art. 25 Abs. 1 BayDSG als lex specialis Vorrang auch vor Art. 6 DSGVO besäße.
Drucken/exportieren
QR-Code
QR-Code § 28 Thüringer Datenschutzgesetz (erstellt für aktuelle Seite)