Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


Übermittlung von Forschungsdaten

Die Übermittlung von Forschungsdaten ist eine besondere Form der Verarbeitung, indem ein kurz formuliert Transfer von Forschungsdaten von einer Stelle zu einer anderen Stelle stattfindet und ist Teil des Datenschutzes in der Forschung. Die DSGVO sieht für die Übermittlung von Forschungsdaten keine Sonderregeln vor, insbesondere auch soweit Übermittlungen in Drittländer stattfinden sollen.

1. Begriffe

Der Begriff der Übermittlung ist in der DSGVO nicht legaldefiniert sondern als eine Form im Begriff Verarbeitung gem. Art. 4 Nr. 2 DSGVO aufgegangen. Die frühere Legaldefinition gemäß § 3 Abs. 4 Nr. 3 BDSG a.F. lautete „Übermitteln Willkommen das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft“. Da es keine Gründe für ein Abweichung von dieser Definition gibt, wird in diesem Artikel diese Definition zu Grunde gelegt.

Abzugrenzen ist der Begriff der Übermittlung von der Weiterverarbeitung von Forschungsdaten, wenn Daten die ursprünglich nicht für Forschungszwecke erhoben wurden, nunmehr (auch) Forschungszwecken dienen sollen.

Zum Begriff der Forschung siehe ebenda. Wichtig ist, dass es sich stets um Personenbezogene Daten handeln muss, da bei anderen Daten, zum Beispiel anonymen Daten oder Daten bei denen von vorneherein kein Personenbezug vorlag wie astronomischen Daten, es sich nicht um datenschutzrechtlich relevante Daten handelt.

2. Rechtliche Grundlagen

Die DSGVO sieht für die Übermittlung keine Sonderregeln vor anders als bei der Weiterverarbeitung von Daten für Forschungszwecke, die Art. 5 Abs. 1 lit. b DSGVO mit Verweis auf Art. 89 DSGVO recht großzügig gestattet.

9 deutsche Landesdatenschutzgesetze sehen im Folgenden erläuterte Sonderregeln vor. Zum Überblick siehe Parallelvorschriften und speziell zu Thüringen Übermittlung (Absatz 2) bei § 28 ThürDSG.

3. Aktives Übermitteln (Versenden) von Forschungsdaten

3.1 DSGVO

Da es in der DSGVO keine Sonderregeln gibt, gelten insoweit die allgemeinen Regeln, wenn eine Stelle Forschungsdaten an eine andere Stelle übermittelt: Es handelt sich um eine Verarbeitung von personenbezogenen Daten. Die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO sind zu beachten. Insbesondere ist die Rechtmäßigkeit der Verarbeitung der Verarbeitung sicherzustellen, wofür es eines Erlaubnistatbestandes bedarf. Bei Forschungseinrichtungen in Deutschland wird regelmäßig die Wahrnehmung einer Aufgabe gemäß Art. 6 Abs. 1 UA l lit. e DSGVO in Verbindung mit dem jeweiligen Landesrecht - für öffentliche Hochschulen in Thüringen beispielsweise § 5 Abs. 1 Satz 2 ThürHG - in Betracht kommen wenn die Übermittlung für Forschungszwecke notwendig ist, was beispielsweise bei Forschungskooperationen regelmäßig der Fall sein wird.. Wie im Artikel Datenschutz in der Forschung allgemein dargestellt, ergeben sich auch bei der Übermittlung von Forschungsdaten gegebenenfalls wichtige Pflichten für den Verantwortlichen unter anderem aus den Stichworten Datenschutzerklärung, VVT, Technische und organisatorische Maßnahmen und spezifisch für Forschungsdaten Anonymisierung/Pseudonymisierung.

3.2 Landesrecht

Kompliziert wird die Situation durch die deutschen Landesdatenschutzgesetze. 9 Bundesländer haben in ihren Landesdatenschutzgesetzen Regelungen für die Übermittlung von Forschungsdaten. Das betrifft aufgrund des Anwendungsbereiches der Landesdatenschutzgesetze zunächst öffentliche Stellen, also im Wesentlichen die öffentlichen Hochschulen der betroffenen Bundesländer.

Ein Bundesland (Thüringen, § 28 Abs. 2 ThürDSG, siehe auch die Erläuterung zu Absatz 2.) verlangt bei Übermittlungen an Stellen für die weder das ThürDSG noch die DSGVO gelten, dass ein Vertrag mit dem Empfänger der Daten abzuschließen ist, der den Empfänger verpflichtet, die übermittelten personenbezogenen Daten

  • nur für Forschungszwecke zu verarbeiten,
  • wenn möglich zu anonymisieren/pseudonymisieren, was aber wenn mit dem Forschungszweck vereinbar schon der Übermittler durchführen muss und
  • in der Regel nur mit Einwilligung der betroffenen Person zu veröffentlichen.

Acht Bundesländer (Brandenburg, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Saarland, Sachsen, Sachsen-Anhalt, Schleswig-Holstein) haben im Vergleich zu Thüringen insoweit verschärfte Regeln, dass die Pflicht zum Abschluss eines Vertrages mit in etwa identischen Verpflichtungen des Empfängers wie in Thüringen schon greift, wenn die Forschungsdaten den Anwendungsbereich des jeweils eigenen Landesdatenschutzgesetzes verlassen, also auch schon bei Übermittlungen zum Beispiel an öffentliche Hochschulen in anderen Bundesländern oder an private Forschungseinrichtungen, die dem BDSG unterliegen, das ebenso wie die Landesdatenschutzesetze von Baden-Württemberg, Bayern, Berlin, Bremen, Hessen, Nordrhein-Westfalen und Rheinland-Pfalz, keine zusätzlichen Regelungen für Übermittlungen vorsieht. Eine nochmalige Verschärfung haben dagegen Niedersachsen und das Saarland aufzuweisen, die bei solchen Übermittlungen zusätzlich zu dem Vertrag eine Unterrichtung des Landes(!)datenschutzbeauftragten verlangen.

Zum Sinn dieser Regelungen heißt es in den Gesetzesbegründungen nahezu gleichlautend, dass durch die Verpflichtung des Empfängers die in Bezug genommenen „normierten Garantien [des Landesrechts] zum Schutz der Rechte der betroffenen Personen Anwendung finden“. Es gibt in den Gesetzesbegründungen keine Aussagen dazu, warum diese „normierten Garantien“ über die Rechte der DSGVO hinausgehend (zu Drittlandübermittlungen siehe im Folgenden) sinnvoll oder gar notwendig sein sollen und woraus sich insoweit die Öffnungsklausel in der DSGVO ergeben soll.

3.3 Sonderfall Drittländer

Für die Übermittlung in Drittländer gelten die Regelungen der Artt. https://dejure.org/gesetze/DSGVO/44.html ff. DSGVO.

In Ermangelung von Sonderregeln wird bei der Übermittlung von Forschungsdaten in Drittländer wie bei allen Übermittlungen personenbezogener Daten wird zu prüfen sein1) (In Klammern jeweils die Erfolgsaussichten bei Forschungsdaten):

  1. Angemessenheitsbeschluss gemäß Art. 45 DSGVO, (leicht zu prüfen für das jeweilige Land)
  2. Vorliegen geeigneter Garantien gemäß Art. 46 DSGVO mit Sicherstellung durchsetzbarer Rechte und wirksamer Rechtsbehelfe betroffener Personen gem. Art. 46 Abs. 1, (nicht spezifisch für Forschungsdaten, zudem nach Schrems II sehr hohe Anforderungen, geeignete Garantien per Vertrag angesichts zwingender Vorschriften wie CLOUD Act problematisch)
    1. Verbindliche interne Datenschutzvorschriften, Abs. 2 lit. b, Art. 47, (eventuell für grenzüberschreitende Forschungseinrichtungen)
    2. Standarddatenschutzklauseln der Kommision oder eine Aufsichtsbehörde, Abs. 2 lit. c und d,
    3. Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus, Art. 46 Abs. 2 lit. e und f,
    4. einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3)
  3. Ausnahmen für bestimmte Fälle gemäß Art. 49 Abs. 1 DS-GVO)
    1. Einwilligung, UA 1 lit. a, (Analog zur allgemeinen Einwilligung nach Art. 7 problematisch bezüglich informierter Freiwilligkeit, letzter Ausweg in vielen Fällen)
    2. Erforderlichkeit zur Erfüllung eines Vertrages im Interesse der betroffenen Person, UA 1 lit. c, (im medizinischen Bereich evtl. denkbar)
    3. Wichtige Gründe des öffentlichen Interesses, UA 1 lit. d, (Unklar, sollte näher erforscht werden, Wissenschaftsfreiheit im europäischen Primär- und Sekundärrecht sowie im nationalen Verfassungsrecht und einfachen Gesetzesrecht als wichtiges Gut anerkannt)
    4. Schutz lebenswichtiger Interessen einer natürlichen Person, wenn die betroffene Person keine Einwilligung erteilen kann, UA 1 lit. f, (im medizinischen Bereich evtl. denkbar)
    5. Übermittlung aus einem Register, UA 1 lit. g, (in Ausnahmefällen)
    6. Wahrung (zwingender) berechtigter Interessen, UA 1. (Unklar, sollte näher erforscht werden, Wissenschaftsfreiheit im europäischen Primär- und Sekundärrecht sowie im nationalen Verfassungsrecht und einfachen Gesetzesrecht als wichtiges Gut anerkannt)

4. Passives Übermitteln (Empfangen) von Forschungsdaten

Für das Empfangen von Forschungsdaten müssen diese in aller Regel gespeichert werden. Die Verarbeitungstätigkeit des Speicherns muss rechtmäßig sein. Da es insoweit keine landesrechtlichen Sonderregeln gibt, gelten die Ausführungen oben zum aktiven Übermitteln unter Beachtung der DSGVO analog.

Drucken/exportieren
QR-Code
QR-Code Übermittlung von Forschungsdaten (erstellt für aktuelle Seite)