Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


8. DFN Konferenz "Datenschutz"

Keynote: Die Daten der anderen - Forschung unter der DSGVO

(Dr. Stefan Brink)

Allgemeines

  • DSGVO sehr abstrakte, allgemeingehaltene Regelung
  • Ausgleich widerstreitender Interessen im Wege der praktischen Konkordanz, auch Menschenwürde, Meinungsfreiheit etc.
  • Vorwurf: „Datenschutz hinterlässt eine Spur der Verwüstung und drückt andere Werte nieder“ stimmt nicht
  • Datenschutz: Grundwert der informationellen Selbstbestimmung
  • Wert der informationellen Selbstbestimmung weltweit in der Minderheit
  • US-Vorwurf der wirtschaftlichen Bestimmung des Datenschutzes teilweise begründet
  • zur Forschung: Vorwurf „Datenschutz ein Forschungshemmnis“-ist falsch
  • hoher Stellenwert der Forschung, Art. 5 Abs. 3 S. 1 GG, Art. 13 GRCh, Art. 179 Abs. 1 AEUV
  • Was ist Forschung:
    • EuGH hat Forschung bisher Begriff nicht definiert,
    • BVerfG: „geistige Tätigkeit mit dem Ziele in methodischer, systematischer und nachvollziehbarer Weise neue Erkenntnisse zu gewinnen“ … durch öffentliche und(!) private Stelle –> eher zu eng gefasste Definition
  • Forschungsfreiheit wird wie andere Grundrechte anderer begrenzt durch Grundrechte anderer: Der Teil der Forschung, der sich inhaltlich mit anderen Menschen befasst muss informationelle Selbstbestimmung beachten

Forschungsinteresse vs. Schutz personenbezogener Daten –> Ausgleich im Wege der praktischen Konkordanz

Schutz der pers. Daten Art. 7 GRCh, Art. 8 GRCh

Typische Schritte der Verarbeitung personenbezogener Daten

  • Beschaffung der Daten durch Direkterhebung, zweckändernde Verw, ggf. zweckändernde Übermittlung durch Dritte (z.B. aus Registern)
  • Vorhalten und Nutzung der Daten
  • Veröffentlichung der Forschungsergebnisse
  • Aufbewahren der Daten zum Zwecke der Erhaltung der Überprüfbarkeit der Forschungsergebnisse
  • evtl. Sekundärnutzung der Daten für weitere Forschungsvorhaben ggf. unter weiterer Übermittlung

Forschung in der DSGVO

Weiter Forschungsbegriff der DSGVO

  • EG 159: Die Verarbeitung pbez Daten zu wissenschaftlichen Forschungszwecken …
  • EG 26 keine Anwendung auf anonymisierte Daten;
    • möglichst ist zu anonymisieren;
    • Problem: Anonymisierung gelingt in vielen Fällen nicht (mehr) –> Zugriff des Datenschutzes bleibt erhalten
    • Selten echte Anonymisierung, weil:
      • Vielzahl von Daten nötig um Korrelationen erst zu ermitteln (fragwürdig)
  • Grundsatz der Datenminimierung Art. 5 I lit. c Datenminimierung soweit möglich
  • Wenn Anonymisierung nicht möglich nächst bestes Pseudonymisierung; Personenbezug im Sinne der DSGVO bleibt damit erhalten

Rechtsgrundlage nach Art. 6 DSGVO Einwilligung oder ein anderer gesetzlich geregelter Grund

  • Einwilligung setzt voraus
    • ausreichende Information zu Mittel und Zweck (Problem beim Zweck: Der Forscher forscht ja gerade erst an diesen Informationen)
    • eindeutig das Einverständnis mit der DV zum Ausdruck bringende Handlung des Betroffenen
    • Freiwilligkeit (Problem: Gerade im medizinischen Kontext mit Schwerkranken sehr bedenklich)
    • Der Betroffene ist aus außerdem über die Folgen eines Widerrufs der Einwilligung zu informieren
    • ggf. sind die besonderen Anforderungen des Art. 9 DSGVO zu beachten
  • Probleme der Einwilligung
    • Einwilligung ist widerruflich (Art. 7 III DSGVO) Kann nachträgliche Überprüfbarkeit der Forschungsergebnisse beeinträchtigen (aber ggf. Art. 17 Abs. 3 lit. d DSGVO)
    • UU kann es einen (verfälschenden) Einfluss auf das Forschungsergebnis haben, wenn nur die Daten informierter und einwilligungsbereiter Personen zur Verfügung stehen
    • Vereinbarung großer Datenmengen mit Einwilligung erfordert aufwändiges Datenmanagement
    • Einwilligung ist jeweils von allen Betroffenen einzuholen
    • Exkurs: Versuch der Arbeitsgerichtsbarkeit Widerruf an berechtigtes Interesse zu knüpfen –> seit DSGVO definitiv ausgeschlossen; Einwilligung im Arbeitsverhältnis im Regelfall unwirksam
    • Bitte um Einwilligung kann Forschungsbedingungen verändern (zB indem bestimmte Personengruppen von der Forschung ausgeschlossen werden)
    • Schlussfolgerung: Einwilligung für Forschung problematisch
  • DSGVO trifft aber auch weitrechende Entscheidungen für die Forschungsfreiheit
    • Einschränkung der Zweckbindung Art. 5 Abs. 1 lit. b DSGVO
    • Ausnahme von der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO
    • Ausnahmen bei Art. 9 DSGVO durch Art. 9 Abs. 2 lit. j
    • Ausnahmen bei Informationspflichten Art. 14 Abs. 5 lit b
    • Ausnaamen vom Recht auf Löschung nach Art. 17 Abs. 3 lit. d
    • Möglichkeit der Beschränkung der Rechte aus Art. 15, 16, 18, 21 nach ???
    • nach Art. 21 Abs. 6 bleibt Widerspruch wirkungslos bei Aufgabe …
  • generelle Privilegierung Art. 89 Abs. 1 unterliegt aber
    • geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (generelles Konzept der Uni sinnvoll??)
      • Sicherstellung von TOM,
      • Grundsatz der Datenminimierung
      • Pseudonymisierung

Fazit: unausgewogene Regulierung der DSGVO durch Bevorzugung der Forschungsfreiheit gegenüber dem Datenschutz

Fragen

  • zweckändernde Nutzung von Studierendendaten? Art. 6 Abs. 4 „schwer verständliche“ Regelung: Jede Unklarheit geht zu Lasten der Betroffenen. Grundsätzlich großer Spielraum für eine solche Nutzung aber Möglichkeit zur Abwehr durch die einzelne Betroffene Person. Aufsichtsbehörden konzentrieren sich auf die klaren Fälle, Eingreifen in Grauzonen schwierig bis unmöglich
  • Alternativen sollten für Freiwilligkeit aufgezeigt werden aber müssen nicht ausnahmslos sein; „Friss oder Stirb“ Problem der Privatautonomie: Spaltung der DPA, Süddeutschland akzeptiert eher Entscheidung der Betroffenen, Norddeutschland eher nicht
  • Pseudonymisierung: Wer bekommt die Zuordnungstabelle? Berechtigungskonzept - Wer braucht die Tabelle berechtigterweise? (digitale Tresore??)
  • Wer ist der Verantwortliche? Art. 4 Nr. 7 wer Mittel und Zwecke festlegt, idR der Projektleiter(??), gemeinsame Wahrnehmung der Verantwortung (Art. 26) möglich; Problem: „Art. 26 ist keine Hilfe sondern eine zusätzliche Last“; Verständigung über datenschutzrechtliche Verantwortlichkeit möglich und sinnvoll
  • Dokumentation bei Forschungsprojekten nötig und sinnvoll (auch VVT)
  • Auch Art. 6 Abs. 1 lit e kann taugliche Rechtsgrundlage für die Erhebung von Forschungsdaten sein aber Fairness und Transparenz sind besonders zu beachten
  • Art 6 I f kann Rechtsgrundlage für Unternehmenskommunikation und Öffentlichkeitsarbeit privater wie öffentlicher Stellen sein.

Abgrenzung zwischen Auftragsverarbeitung, Joint Controllership und Übermittlung an einen Alleinverantwortlichen

(Dr. Jens Eckhardt)

1. Unterschiede und Differenzierung

Rollen der DSGVO

  • Verantwortlicher (Art. 4 Nr. 7 DSGVO)
    • getrennte Verantwortlichkeit („allein“)
    • gemeinsame Verantwortlichkeit (Joint Controllership) („gemeinsam“)
  • Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
  • Betroffene Person (Art. 4 Nr. 1 DSGVO)

Joint Controllership

  • konstitutiv: gemeinsame Entscheidung über Zweck und Mittel
  • nicht erforderlich: gleichmäßige Verteilung
  • Rechtsgrundlage für die Verarbeitung
    • nicht(!): Art. 26 DSGVO (aber dennoch umstritten)
    • Rechtsgrundlagen wie bei jeder anderen Offenlegung
      • „Herausforderung“ Art. 9 / § 203 StGB
  • Rechtsfolgen
    • Ausgestaltung nach Maßgabe des Art. 26 DSGVO
      • Vereinbarung über die Joint Controllership
      • Mitteilung der wesentlichen Inhalte an betroffene Personen
    • grundsätzlich gesamtschuldnerische Haftung im Außenverhältnis (aber im Hinblick auf Fashion-ID nur bedingt??)
    • zivilrechtliche Auswirkungen: GbR? (gemeinsamer Zweck gem. § 703 BGB? - nicht ohne weiteres aber möglich!!!)

Verantwortlicher bei Auftragsverbeitung

  • konstitutiv: Vereinbarung nach Maßgabe des Art. 28 DSGVO
    • Auftraggeber: Festlegung von Zweck und Mittel
    • Vereinbarung nach Maßgabe des Art. 28 DSGVO
    • Weisungsgebundenheit des Auftragnehmers
      • DSK (Kurzpapier 13): bzgl. Zweck und Mittel, nicht unbedingt bzgl technisch-organisatorischer Fragen
    • „Exzess“ des Auftragnehmers: Verantwortlichkeit des AN (Art. 28 Abs. 10)
  • Rechtsgrundlage für die Offenlegung personenbez. Daten
    • Artt. 28, 29 (umstritten
    • Argumentationsansatz (ua): keine Offenlegung wegen Weisungsgebundenheit
    • andernfalls: „Herausforderung“ durch art. 9 DSGVO
  • Rechtsfolgen
    • grundsätzlich gesamtschuldnerische Haftung im Außenverhältnis mit Exkulpationsmöglichkeit für Auftragsverarbeiter (!!)

Maßstab der Einordnung

  • Art. 4 Nr. 7 DSGVO, EG ??
  • EuGH-Rechtsprechung: Konkretisierung (anhand DS-RL 95/46/EG): Facebook-Fanpage, Zeugen Jehovas, Fashion ID
  • Konkretisierung in Fashion ID
    • Entscheidung in Bezug auf Mittel
      • Verursachungsbeitrag genügt aber durch Vorhersehbarkeit keine dt. Kausalität sondern eher Adäquanztheorie
      • Entscheidung über Zweck
        • Eigeninteresse an Verarbeitung über reine Vergütung hinaus –> Abgrenzung zur Auftragsverarbeitung
      • Anknüpfungspunkt für diese Bewertung: Verarbeitungsvorgang
        • Unterscheidung nach Verarbeitungsschritten und -phasen (Erheben, Übermitteln, Nutzen, Löschen)
          • Anerkennung von vor- und nachgelagerten Verarbeitungen ohne Joint Controlling
        • zB Erhebung und „Übermittlung“ vs. Verarbeitung durch Facebook
      • Keine Veraussetzung: „Zugang“ aller zu den personenbezogenen DAten
      • nicht erforderlich: gleiche Entscheidungsmacht/Gleichrangigkeit
      • Art. 29-Gruppe WP 169 vom 16.2.2010: insoweit überholt

2. Anforderungen

Auftragsverarbeitung

  • Voraussetzung: Weisungsgebundenheit
  • Voraussetzung: Vereinbarung
  • Auswahl an Themen
    • Beurteilungen der Anforderungen nach Art. 32 DSGVO
    • Kontrollrecht vor Ort
    • Einbindung von IT-Dienstleistern = weitere Auftragsverarbeitung mit Genehmigungspflicht
    • Vorgabe Vertragsinhalt aus AG-AN-Verhältnis für AN-UAN-Verhältnis
    • Haftungs- und Freistellungsregelungen
    • Konsequenzen einer nicht ausreichenden Gestaltung
  • Unterschiedliche Auslegung durch Aufsichtsbehörden (Stichwort: Steuerberater)
  • Sonderthema: Melde- und Benachrichtigungspflicht nach Art. 33, 34 DSGVO
  • Muster des LDA Bayern

Joint Controllership

  • Vereinbarung nach Maßgabe des Art. 26 DSGVO
    • Beschreibung des Ist-Zustands
    • Keine Möglichkeit zur Modifikation oder Abbedingung des gesetzlichen Pflichten
    • Themen
      • Rechte der betroffenen Person gegen jeden Verantwortlichen (Art. 26 Abs. 3)
        • Bedeutung im Lichte der EuGH-Entscheidung „Fashion ID“
        • Zurverfügungstellen des wesentlichen Inhalts
        • Wie? Was ist das?
      • Unterschiedliche Auslegung durch Aufsichtsbehörden
      • Checkliste des Bitkom für eine Vereinbarung zur Controllership
    • Muster des LfDI BW einer Vereinbarung und der Information der betroffenen Person

3. (gemeinsame) Haftung (und Bestrafung)

Haftung Art. 82Sanktion Art 83
Verantwortlichervollumfänglich für sein Tun/Unterlassen, Art. 82 Abs. 1vollumfänglich.
Alleinverantwortlicher an Alleinverantwortlicherjeder vollumfänglich für sein Tun/Unterlassenjeder vollumfänglich…
JCgesamtschuldnerische Haftung mit Exkulpationsmgl. und Innenregress; Art. 82 Abs. 4, 3, 5jeder als Verantwortlicher soweit er mitscheidet
AVgesamtschuldnerische Haftung mit Exkulpationsmgl. und Innenregress; Art. 82 Abs. 4, 3, 5als Verantwortlicher oder als Auftragsverarbeiter
  • Behördliches Vorgehen: Auswahlermessen bei Adressaten und Maßnahmen bei JC aber Verhältnismäßigkei und Effektivität, Druck mittelbar ausüben ist zulässig. BVerfG, Urt. v. 11.9.2019 ULD ./. WAK-Facebook-Fanpage, Pressemitteilung des ULD vom 5.12.2019


Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
Drucken/exportieren
QR-Code
QR-Code 8. DFN Konferenz "Datenschutz" (erstellt für aktuelle Seite)