Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


(Zur Übersicht: ThürDSG)

§ 28 Thüringer Datenschutzgesetz

1. Wortlaut

§ 28 Verarbeitung personenbezogener Daten durch Forschungseinrichtungen

(1) Für Zwecke der wissenschaftlichen oder historischen Forschung erhobene oder gespeicherte personenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.

(2) Die Übermittlung personenbezogener Daten an Empfänger, auf die dieses Gesetz oder die Verordnung (EU) 2016/679 keine Anwendung findet, ist nur zulässig, wenn diese sich vertraglich verpflichten, die übermittelten Daten nicht für andere Zwecke zu verarbeiten und die Bestimmungen der Absätze 3 und 4 einzuhalten.

(3) Die personenbezogenen Daten sind, sobald dies nach dem Forschungszweck möglich ist, dergestalt zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (anonymisieren). Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden, soweit der Forschungszweck dies erfordert.

(4) Die wissenschaftliche oder historische Forschung betreibenden Stellen dürfen personenbezogene Daten nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder soweit dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

(5) Das Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch nach der Verordnung (EU) 2016/679 und diesem Gesetz besteht nicht, soweit und solange die Verwirklichung des wissenschaftlichen oder historischen Forschungsinteresses dadurch unmöglich gemacht oder erheblich beeinträchtigt wird.

2. Gesetzesbegründung

Zu § 28

Verarbeitung personenbezogener Daten durch Forschungseinrichtungen (Artikel 6, 9 und 89 der Verordnung (EU) 2016/679)


§ 28 regelt die Verarbeitung personenbezogener Daten durch öffentliche Forschungseinrichtungen und übernimmt weitestgehend die bisherigen Regelungen.
Erfasst sind davon sowohl wissenschaftliche als auch historische Forschungsvorhaben. Von der Regelung unberührt bleibt Artikel 5 Abs. 1 Buchst. b der Verordnung (EU) 2016/679. Die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen und historischen Zwecken ist unabhängig davon, ob es sich bei der verarbeitenden Stelle um eine Forschungseinrichtung handelt, zulässiger Verarbeitungszweck.

Zu Absatz 1:
Eine Verarbeitung zu anderen Zwecken wird für die zur wissenschaftlichen oder historischen Forschung erhobenen Daten ausgeschlossen. Dies soll sicherstellen, dass personenbezogene Daten im Rahmen der Forschungsverwendung verbleiben. Eine Zweckbindung auf konkrete Forschungsvorhaben ist von dem Verbot jedoch nicht erfasst. Eine Datenverarbeitung zu anderen wissenschaftlichen oder historischen Forschungsvorhaben ist damit nicht ausgeschlossen.
Absatz 1 ist gerechtfertigt durch Artikel 6 Abs. 1 Buchst. e in Verbindung mit Abs. 3 der Verordnung (EU) 2016/679.

Zu Absatz 2: Durch Absatz 2 wird die Übermittlung personenbezogener Daten an Stellen, die nicht dem Anwendungsbereich dieses Gesetzes oder der Verordnung (EU) 2016/679 unterfallen, an bestimmte formelle Voraussetzungen geknüpft. Der Datenempfänger muss eine besondere Verpflichtungserklärung abgeben, mit der er erklärt, ebenfalls die Regelung der Zweckbindung nach Absatz 1 zu beachten, die Daten zu anonymisieren und die Bestimmungen über die Veröffentlichung zu beachten.

Zu Absatz 3:
Nach Absatz 3 hat eine Anonymisierung personenbezogener Daten zu erfolgen, sobald dies nach dem Forschungszweck möglich ist. Die Regelungsbefugnis folgt aus Artikel 89 Abs. 1 der Verordnung (EU) 2016/679, wonach die Verarbeitung personenbezogener Daten zu Forschungszwecken geeigneten Garantien zum Schutz der betroffenen Person unterliegt. Die Definition des Begriffs „anonymisieren“ entspricht der Definition in § 3 Abs. 9 ThürDSG a.F.
Auch schon vor der möglichen Anonymisierung sind personenbezogene Daten getrennt zu speichern, um sie einer Einzelperson nicht zuordnen zu können. Gemeint ist die Trennung von Sachdaten und Identifikationsmerkmalen.
Einzelangaben dürfen zur Erreichung des Forschungszwecks nur zusammengeführt werden, wenn dies erforderlich ist.

Zu Absatz 4:
Nach Absatz 4 ist eine Veröffentlichung personenbezogener Daten zulässig, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung der Forschungsergebnisse über Personen der Zeitgeschichte unerlässlich ist. Die vollständige und korrekte Darstellung muss unverzichtbar sein.
Da es sich bei der Veröffentlichung um eine Form der Verarbeitung handelt (vgl. Artikel 4 Nr. 2 der Verordnung (EU) 2016/679), stellt Absatz 4 eine Einschränkung der Verarbeitung dar, die gerechtfertigt wird durch Artikel 6 Abs. 1 Buchst. e und Artikel 6 Abs. 3 der Verordnung (EU) 2016/679.

Zu Absatz 5:
Absatz 5 schränkt die Rechte der betroffenen Person ein, soweit und solange die Verwirklichung des Forschungsinteresses durch Umsetzung der Betroffenenrechte unmöglich gemacht oder nachträglich beeinträchtigt wird.

(Quelle: Thüringer Landtag Drucksache 6/4943, S. 115f.)

3. Parallelvorschriften

Ähnliche Vorschriften finden sich in § 27 BDSG, Art. 25 BayDSG und § 22 LDSG RP.

3.1 § 22 LDSG RP

§ 22 Abs. 1 LDSG RP gestattet anders als § 28 ThürDSG ausdrücklich Besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO auch ohne die Zustimmung der betroffenen Person zu verarbeiten, wenn im Rahmen einer Interessenabwägung das Forschungsinteresse das „Interesse der betroffenen Person an dem Ausschluss der Erhebung“ deutlich überwiegt und der Forschungszweck nicht anders erreicht werden kann. Für diese Regelung wurde auf die Öffnungsklausel in Art. 9 Abs. 2 lit. j DSGVO zurückgegriffen.1)

4. Erläuterung

§ 28 ThürDSG sieht Sonderregeln für wissenschaftliche und historische Forschung vor. Die maßgebliche Regelung in der DSGVO ist Art. 89. Dessen Absatz 2 gestattet den Mitgliedsstaaten für Forschungszwecke Ausnahmen von den Artikeln 15, 16, 18 und 21, also einigen Betroffenenrechten zu regeln.

4.1 Anwendungsbereich

§ 28 ThürDSG ist anwendbar für „wissenschaftliche und historische Forschung“.

4.1.1 Begriff der Forschung

Der Begriff Forschung ist im ThürDSG und in der DSGVO nicht näher definiert. Maßgeblich sollte jedoch in einer weiten Auslegung die Erlangung „neuartiger Erkenntnisse“ sein. Siehe auch unten aber auch im Kontext: Datenschutz in der Forschung. Für den Begriff der Forschung spielt es dagegen keine Rolle, ob und wie die Forschung institutionalisiert ist.

4.1.2 Adressatenkreis und Verantwortlicher

Allerdings ist das ThürDSG gemäß § 2 Abs. 1 ThürDSG nur auf öffentliche Stellen anwendbar. Folglich ist auch § 28 nur auf Verantwortliche anwendbar, die auch öffentliche Stellen sind, also vor allem die öffentlichen Hochschulen aber grundsätzlich kommt auch jede andere öffentliche Stelle in Betracht. Für nicht-öffentliche Stellen gilt dagegen grundsätzlich das BDSG.

Schwierig wird im Einzelfall die Abgrenzung wenn nicht ausschließlich eine öffentliche Hochschule beziehungsweise deren Beschäftigte die Forschung betreiben.

Hier kommt zunächst die Einrichtung in Betracht, üblicherweise die Hochschule als Körperschaft öffentlichen Rechts. Es kann aber auch die forschende Person selbst sein. Schließlich kommt noch eine Kombination aus beiden in Frage, beispielsweise als Gemeinsam Verantwortliche.2) Maßgeblich wird sein, wer bildlich formuliert „die Fäden in der Hand hält“. Rechtlich könnte auch danach gefragt werden, wer die Inhaber der Forschungsdaten ist.3).

Wenn mehrere Stellen und Personen kooperieren, kann die Situation theoretisch noch wesentlich komplexer werden.

Um die vorstehenden Erwägungen anhand von Fallgruppen zu konkretisieren, dürfte (mit aller Vorsicht) folgendes ausgehend von den handelnden natürlichen Personen sinnvoll sein:

  1. Beteiligt sind ausschließlich Beschäftigte im weiteren Sinne(inklusive Hochschullehrer) einer Hochschule –> Hochschule ist Verantwortlicher 4)
  2. Zusätzlich zu 1. sind auch Studierende beteiligt, die jedoch unter Aufsicht und Anleitung durch Beschäftigte tätig werden –> Hochschule ist Verantwortlicher
  3. Beteiligt sind Studierende und Gegenstand und Mittel/Methoden der Forschung sind durch Hochschule festgelegt und Betreuung durch Beschäftigte der Hochschule erfolgt –> Hochschule ist Verantwortlicher
  4. Beteiligt sind Studierende aber Gegenstand und Mittel/Methoden der Forschung der Forschung sind frei oder keine Betreuung durch Beschäftigte der Hochschule –> Studierende sind Verantwortliche aber möglicherweise daneben/zusätzlich auch die Hochschule (Gemeinsam Verantwortliche)
  5. Beteiligt sind Beschäftigte im weiteren Sinne mehrerer Hochschulen –> Hochschulen sind gemeinsam Verantwortliche

Abweichend zu den Punkten 3-5 wird auch die Auffassung vertreten, dass „wissenschaftliche Untersuchungen im Rahmen von Qualifikationsmaßnahmen (zB Bachelor-, Master-, Examensarbeiten)“(Kugelmann/Smolle § 22, Rn. 10) der Hochschule zuzurechnen seien. Diese Auffassung ist jedoch mit den Regeln zur Verantwortlichkeit nur vereinbar, wenn die Hochschule tatsächlich über Zweck und Mittel entscheidet.

4.2 Zweckbindung (Absatz 1)

4.2.1 Zweck

Der Zweck der Verarbeitung ist im Kontext der DSGVO eigentlich sehr konkret zu fassen. Das wäre bei Forschungen das Erkenntnisziel der Untersuchung, für die die Daten erhoben werden. Das ist hier aber ausweislich der Gesetzesbegründung nicht gewollt.

Der Zweck im Sinne des § 28 Abs. 1 ThürDSG muss daher weiter interpretiert werden im Sinne von jeglicher wissenschaftlicher (oder historischer) Forschung.5) Damit ist dann aber auch eine Grenze für Zweckänderungen (oder besser Zweckerweiterungen) gesetzt.

4.2.2 Keine Verarbeitung nach § 17 ThürDSG

Gesperrt ist damit in jedem Falle eine Verarbeitung nach § 17 ThürDSG, da § 28 ThürDSG im Verhältnis zu § 17 lex specialis ist.

4.2.3 Übermittlung zur Verfolgung von Straftaten und Ordnungswidrigkeiten

Die für eine Herausgabe der Daten zur Verfolgung von Straftaten und Ordnungswidrigkeiten erforderliche Zweckänderung bleibt in der Regel zulässig(Vgl. zur Parallelvorschrift Art. 25 Abs. 1 BayDSG Wilde et al, Art. 25 BayDSG, Rn. 10.)) obwohl § 17 Abs. 2 Nr. 2 ThürDSG nicht mehr anwendbar ist (siehe zuvor), da insoweit Vorschriften des Bundesrechts vorgehen. Zu Details siehe § 17 Thüringer Datenschutzgesetz. Fraglich könnte allenfalls eine nicht angeforderte Übermittlung aus eigenem Antrieb sein.

4.2.4 Zweckänderung nach Art. 6 Abs. 4 DSGVO

Eine Verarbeitung nach Art. 6 Abs. 4 DSGVO ist dagegen weiter möglich, da insoweit die DSGVO als höherangiges Recht keine Öffnungsklausel für nationales Recht hat.6)

4.3 Übermittlung (Absatz 2)

Die Regelung betrifft faktisch Übermittlungen in ein Drittland in dem die DSGVO nicht gilt. Eine mögliche Konstellation, in der zwar die DSGVO nicht gilt aber das ThürDSG ist nicht ersichtlich, so dass die Benennung des ThürDSG überflüssig ist.

Für Übermittlungen in Drittländer sehen die Art. 44ff. DSGVO umfangreiche und differenzierte Regelungen vor. Nicht vorgesehen ist dagegen eine Öffnungsklausel, die es nationalen Gesetzgebern gestatten würde, von den DSGVO-Regeln abzuweichen. Die Norm kann daher allenfalls so verstanden werden, dass der Verantwortlichen zusätzlich zu den Regelungen der DSGVO verpflichtet wird, den Empfänger der Daten in der beschriebenen Weise vertraglich zu binden.

4.4 Anonymisierung (Absatz 3)

Absatz 3 verlangt eine nachträgliche Anonymisierung (Satz 1) und so lange das nicht möglich ist, eine Pseudonymisierung. Zur Abgrenzung beider Begriffe siehe vor allem die beiden Artikel. Auch an dieser Stelle ist aber darauf hinzuweisen, dass die Legaldefinition des Gesetzes für Anonymisierung („Die personenbezogenen Daten sind […] dergestalt zu verändern, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“) sehr ernst zu nehmen ist und die hohen Hürden erfolgreicher Anonymisierung verdeutlicht.

Nicht im Gesetz ausdrücklich geregelt ist, dass ein Studiendesign so angelegt sein sollte, dass erst gar keine personenbezogenen Daten erhoben werden sondern von vorneherein anonyme Daten, wenn das mit dem Forschungszweck vereinbar ist.

Wenn aber die Erhebung personenbezogener Daten erforderlich ist, dann müssen alle datenschutzrechtlichen Pflichten durch den Verantwortlichen eingehalten werden, soweit nicht Absatz 4 Erleichterungen vorsieht, was im Wesentlichen Betroffenenrechte betrifft. Keine Erleichtungen gibt es insbesondere bei der Pflicht, die Sicherheit der Verarbeitung zu beachten und gegebenenfalls ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

4.5 Veröffentlichung (Absatz 4)

Absatz 4 schränkt die Möglichkeit zur Veröffentlichung personenbezogener Daten ein auf die Fälle ein, in denen die betroffene Person eingewilligt hat oder es für die Darstellung von Forschungsergebnissen der Zeitgeschichte unerlässlich ist.

4.5.1 Europarechtliche Zulässigkeit

Der Gesetzesbegründung ist zu folgen, dass dies durch Art. 6 Abs. 3 DSGVO datenschutzrechtlich gedeckt ist.

4.5.2 Einwilligung

Die Einwilligung muss den Anforderungen des Art. 7 DSGVO genügen und folglich insbesondere freiwillig und informiert sein.

4.5.3 Zeitgeschichte

Der Begriff der Zeitgeschichte wird grundsätzlich den Wertungen des KUG folgend zu interpretieren sein. Zu beachten ist aber auch, dass Art. 6 Abs. 3 S. 2 VerfTH verlangt: „Den Belangen historischer Forschung und geschichtlicher Aufarbeitung ist angemessen Rechnung zu tragen.“ Zeitgeschichtliche Forschung und deren Veröffentlichung, die für „Aufarbeitung“ zwingend notwendig ist, besitzt also im Freistaat Thüringen gewissermaßen Verfassungsrang und muss bei Abwägungsentscheidungen entsprechend berücksichtigt werden.

4.5.4 Einschränkung der Forschungsfreiheit

Angesichts der grundsätzlichen Problemen bei der Einwilligung, den Hürden für die Einordnung als zeitgeschichtliches Ereignis und der Schwierigkeit in vielen Fällen personenbezogene Daten zu anonymisieren (so dass eben keine personenbezogene Daten mehr vorliegen) stellt sich die Frage, ob die Beschränkungen der Veröffentlichung personenbezogener Daten eine Verletzung der Forschungsfreiheit gemäß Art. 5 Abs. 3 GG und Art. 27 Abs. 1 VerfTH darstellt. Die Freiheit der Forschung umfasst auch die Publikationsfreiheit und ein Popularisierungsrecht.7)

4.6 Einschränkung von Betroffenenrechten (Absatz 5)

Absatz 5 schränkt unter voller Ausschöpfung der Öffnungsklausel des Art. 89 Abs. 2 [DSGVO]] folgende Betroffenenrechte ein:

Das ist jedoch nur zulässig, wenn es im Einzelfall für die Erreichung des Forschungszweckes erforderlich ist.

1)
Vgl. Kugelmann/Smolle, § 22 Rn. 12ff.
2)
Golla in Specht/Mantz, § 23 Rn. 32 schreibt zu § 27 Abs. 1 S. 2 „Forscher oder seiner Institution als Verantwortlichen.“ Das ist genau das Problem.
3)
Zur Einführung in die Thematik Inhaberschaft bei Forschungsdaten siehe Forschungsprojekt DataJus. Die Seite bei archive.org
4)
Anmerkung: Natürlich können sich insbesondere Hochschullehrer aber auch andere Beschäftigte auf die Freiheit von Forschung und Lehre gemäß Art. 5 Abs. 3 GG berufen. Das muss und sollte aber kein Widerspruch zur Hochschule als Verantwortlicher sein: Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO, wer über Zwecke und Mittel der Verarbeitung entscheidet. Dass müssen für juristische Personen wie eine Hochschule notwendigerweise natürliche Personen tun, die dazu befugt sein müssen aber diese Befugnis dürfte bei dem genannten Personenkreis für ihre Forschungen unproblematisch vorliegen. - Zu einer anderen Auffassung, die die Forschenden persönlich als (Mit-)Verantwortliche sieht, siehe FAZ vom 14.9.2019:Wer schützt die Forschungsdaten?.
5)
Für ein weites Verständnis des Forschungszwecks zur Parallelvorschrift § 22 LDSG RP Kugelmann/Smolla, § 22 Rn. 16f.
6)
Andere Auffassung: Wilde et al, Art. 25 BayDSG, Rn. 9 gehen davon aus, dass die Parallelvorschrift Art. 25 Abs. 1 BayDSG als lex specialis Vorrang auch vor Art. 6 DSGVO besäße. Kugelmann/Smolla § 22 Rn. 18 lässt eine Weiterverarbeitung zu den Zwecken des Art. 89 DSGVO i.V.m. Art. 6 Abs.4 DSGVO ausdrücklich zu. Allerdings weicht die zugrundeliegende Vorschrift, § 22 Abs. 2 LDSG RP auch im Wortlaut ab, weil danach eine Verarbeitung „für weitere, mit dem ursprünglichen Zweck vereinbare Zwecke der Forschung“ zugelassen wird.
Drucken/exportieren
QR-Code
QR-Code § 28 Thüringer Datenschutzgesetz (erstellt für aktuelle Seite)