Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:user:martin_neldner:8._dfn-konferenz_datenschutz [2019/12/05 14:40] – [Keynote: Die Daten der anderen - Forschung unter der DSGVO] Admin | wiki:user:martin_neldner:8._dfn-konferenz_datenschutz [2022/11/30 15:42] (aktuell) – [8. DFN Konferenz "Datenschutz"] Admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== 8. DFN Konferenz " | ====== 8. DFN Konferenz " | ||
+ | [[https:// | ||
===== Keynote: Die Daten der anderen - Forschung unter der DSGVO ===== | ===== Keynote: Die Daten der anderen - Forschung unter der DSGVO ===== | ||
+ | |||
+ | (Dr. Stefan Brink) | ||
+ | |||
+ | ==== Allgemeines ==== | ||
* DSGVO sehr abstrakte, allgemeingehaltene Regelung | * DSGVO sehr abstrakte, allgemeingehaltene Regelung | ||
Zeile 11: | Zeile 15: | ||
* zur Forschung: Vorwurf " | * zur Forschung: Vorwurf " | ||
* hoher Stellenwert der Forschung, Art. 5 Abs. 3 S. 1 GG, Art. 13 GRCh, Art. 179 Abs. 1 AEUV | * hoher Stellenwert der Forschung, Art. 5 Abs. 3 S. 1 GG, Art. 13 GRCh, Art. 179 Abs. 1 AEUV | ||
- | * Was ist Forschung: | + | * Was ist Forschung: |
- | * EuGH hat Forschung bisher Begriff nicht definiert, | + | * EuGH hat Forschung bisher Begriff nicht definiert, |
- | * BVerfG: " | + | * BVerfG: " |
* Forschungsfreiheit wird wie andere Grundrechte anderer begrenzt durch Grundrechte anderer: Der Teil der Forschung, der sich inhaltlich mit anderen Menschen befasst muss informationelle Selbstbestimmung beachten | * Forschungsfreiheit wird wie andere Grundrechte anderer begrenzt durch Grundrechte anderer: Der Teil der Forschung, der sich inhaltlich mit anderen Menschen befasst muss informationelle Selbstbestimmung beachten | ||
- | Forschungsinteresse vs. Schutz personenbezogener Daten --> Ausgleich im Wege der praktischen Konkordanz | + | Forschungsinteresse vs. Schutz personenbezogener Daten –> Ausgleich im Wege der praktischen Konkordanz |
- | Schutz der pers. Daten | + | Schutz der pers. Daten Art. 7 GRCh, Art. 8 GRCh |
- | Art. 7 GRCh, Art. 8 GRCh | + | |
+ | ==== Typische Schritte der Verarbeitung personenbezogener Daten ==== | ||
- | typische Schritte der Verarbeitung pbez Daten | ||
* Beschaffung der Daten durch Direkterhebung, | * Beschaffung der Daten durch Direkterhebung, | ||
* Vorhalten und Nutzung der Daten | * Vorhalten und Nutzung der Daten | ||
Zeile 27: | Zeile 31: | ||
* Aufbewahren der Daten zum Zwecke der Erhaltung der Überprüfbarkeit der Forschungsergebnisse | * Aufbewahren der Daten zum Zwecke der Erhaltung der Überprüfbarkeit der Forschungsergebnisse | ||
* evtl. Sekundärnutzung der Daten für weitere Forschungsvorhaben ggf. unter weiterer Übermittlung | * evtl. Sekundärnutzung der Daten für weitere Forschungsvorhaben ggf. unter weiterer Übermittlung | ||
+ | |||
+ | ==== Forschung in der DSGVO ==== | ||
Weiter Forschungsbegriff der DSGVO | Weiter Forschungsbegriff der DSGVO | ||
- | | + | |
- | * EG 26 keine Anwendung auf anonymisierte Daten; | + | |
- | * möglichst ist zu anonymisieren; | + | * EG 26 keine Anwendung auf anonymisierte Daten; |
- | * Problem: Anonymisierung gelingt in vielen Fällen nicht (mehr) | + | * möglichst ist zu anonymisieren; |
- | * Selten echte Anonymisierung, | + | * Problem: Anonymisierung gelingt in vielen Fällen nicht (mehr) |
- | * Vielzahl von Daten nötig um Korrelationen erst zu ermitteln (fragwürdig) | + | * Selten echte Anonymisierung, |
+ | * Vielzahl von Daten nötig um Korrelationen erst zu ermitteln (fragwürdig) | ||
* Grundsatz der Datenminimierung Art. 5 I lit. c Datenminimierung soweit möglich | * Grundsatz der Datenminimierung Art. 5 I lit. c Datenminimierung soweit möglich | ||
* Wenn Anonymisierung nicht möglich nächst bestes Pseudonymisierung; | * Wenn Anonymisierung nicht möglich nächst bestes Pseudonymisierung; | ||
Rechtsgrundlage nach Art. 6 DSGVO Einwilligung oder ein anderer gesetzlich geregelter Grund | Rechtsgrundlage nach Art. 6 DSGVO Einwilligung oder ein anderer gesetzlich geregelter Grund | ||
+ | |||
* Einwilligung setzt voraus | * Einwilligung setzt voraus | ||
- | | + | |
- | * eindeutig das Einverständnis mit der DV zum Ausdruck bringende Handlung des Betroffenen | + | * eindeutig das Einverständnis mit der DV zum Ausdruck bringende Handlung des Betroffenen |
- | * Freiwilligkeit (Problem: Gerade im medizinischen Kontext mit Schwerkranken sehr bedenklich) | + | * Freiwilligkeit (Problem: Gerade im medizinischen Kontext mit Schwerkranken sehr bedenklich) |
- | * Der Betroffene ist aus außerdem über die Folgen eines Widerrufs der Einwilligung zu informieren | + | * Der Betroffene ist aus außerdem über die Folgen eines Widerrufs der Einwilligung zu informieren |
- | * ggf. sind die besonderen Anforderungen des Art. 9 DSGVO zu beachten | + | * ggf. sind die besonderen Anforderungen des Art. 9 DSGVO zu beachten |
* Probleme der Einwilligung | * Probleme der Einwilligung | ||
- | | + | |
- | * UU kann es einen (verfälschenden) Einfluss auf das Forschungsergebnis haben, wenn nur die Daten informierter und einwilligungsbereiter Personen zur Verfügung stehen | + | * UU kann es einen (verfälschenden) Einfluss auf das Forschungsergebnis haben, wenn nur die Daten informierter und einwilligungsbereiter Personen zur Verfügung stehen |
- | * Vereinbarung großer Datenmengen mit Einwilligung erfordert aufwändiges Datenmanagement | + | * Vereinbarung großer Datenmengen mit Einwilligung erfordert aufwändiges Datenmanagement |
- | * Einwilligung ist jeweils von allen Betroffenen einzuholen | + | * Einwilligung ist jeweils von allen Betroffenen einzuholen |
- | * Exkurs: Versuch der Arbeitsgerichtsbarkeit Widerruf an berechtigtes Interesse zu knüpfen | + | * Exkurs: Versuch der Arbeitsgerichtsbarkeit Widerruf an berechtigtes Interesse zu knüpfen |
- | * Bitte um Einwilligung kann Forschungsbedingungen verändern (zB indem bestimmte Personengruppen von der Forschung ausgeschlossen werden) | + | * Bitte um Einwilligung kann Forschungsbedingungen verändern (zB indem bestimmte Personengruppen von der Forschung ausgeschlossen werden) |
- | * Schlussfolgerung: | + | * Schlussfolgerung: |
* DSGVO trifft aber auch weitrechende Entscheidungen für die Forschungsfreiheit | * DSGVO trifft aber auch weitrechende Entscheidungen für die Forschungsfreiheit | ||
- | | + | |
- | * Ausnahme von der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO | + | * Ausnahme von der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO |
- | * Ausnahmen bei Art. 9 DSGVO durch Art. 9 Abs. 2 lit. j | + | * Ausnahmen bei Art. 9 DSGVO durch Art. 9 Abs. 2 lit. j |
- | * Ausnahmen bei Informationspflichten Art. 14 Abs. 5 lit b | + | * Ausnahmen bei Informationspflichten Art. 14 Abs. 5 lit b |
- | * Ausnaamen vom Recht auf Löschung nach Art. 17 Abs. 3 lit. d | + | * Ausnaamen vom Recht auf Löschung nach Art. 17 Abs. 3 lit. d |
- | * Möglichkeit der Beschränkung der Rechte aus Art. 15, 16, 18, 21 nach ??? | + | * Möglichkeit der Beschränkung der Rechte aus Art. 15, 16, 18, 21 nach ??? |
- | * nach Art. 21 Abs. 6 bleibt Widerspruch wirkungslos bei Aufgabe | + | * nach Art. 21 Abs. 6 bleibt Widerspruch wirkungslos bei Aufgabe |
- | * generelle Privilegierung Art. 89 Abs. 1 unterliegt aber | + | * generelle Privilegierung Art. 89 Abs. 1 unterliegt aber |
- | * geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (generelles Konzept der Uni sinnvoll?? | + | * geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (generelles Konzept der Uni sinnvoll?? |
- | * Sicherstellung von TOM, | + | * Sicherstellung von TOM, |
- | * Grundsatz der Datenminimierung | + | * Grundsatz der Datenminimierung |
- | * Pseudonymisierung | + | * Pseudonymisierung |
Fazit: unausgewogene Regulierung der DSGVO durch Bevorzugung der Forschungsfreiheit gegenüber dem Datenschutz | Fazit: unausgewogene Regulierung der DSGVO durch Bevorzugung der Forschungsfreiheit gegenüber dem Datenschutz | ||
- | Fragen: | + | ==== Fragen |
- | zweckändernde Nutzung von Studierendendaten? | + | |
+ | | ||
+ | |||
+ | * Alternativen sollten für Freiwilligkeit aufgezeigt werden aber müssen nicht ausnahmslos sein; "Friss oder Stirb" Problem der Privatautonomie: | ||
+ | |||
+ | * Pseudonymisierung: | ||
+ | |||
+ | * Wer ist der Verantwortliche? | ||
+ | |||
+ | * Dokumentation bei Forschungsprojekten nötig und sinnvoll (auch VVT) | ||
+ | |||
+ | * Auch Art. 6 Abs. 1 lit e kann taugliche Rechtsgrundlage für die Erhebung von Forschungsdaten sein aber Fairness und Transparenz sind besonders zu beachten | ||
+ | |||
+ | * Art 6 I f kann Rechtsgrundlage für Unternehmenskommunikation und Öffentlichkeitsarbeit privater wie öffentlicher Stellen sein. | ||
+ | |||
+ | ===== Abgrenzung zwischen Auftragsverarbeitung, | ||
+ | |||
+ | (Dr. Jens Eckhardt) | ||
+ | |||
+ | ==== 1. Unterschiede und Differenzierung ==== | ||
+ | |||
+ | === Rollen der DSGVO === | ||
+ | |||
+ | * Verantwortlicher (Art. 4 Nr. 7 DSGVO) | ||
+ | * getrennte Verantwortlichkeit (" | ||
+ | * gemeinsame Verantwortlichkeit (Joint Controllership) (" | ||
+ | * Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) | ||
+ | * Betroffene Person (Art. 4 Nr. 1 DSGVO) | ||
+ | |||
+ | === Joint Controllership === | ||
+ | |||
+ | * konstitutiv: | ||
+ | * nicht erforderlich: | ||
+ | * Rechtsgrundlage für die Verarbeitung | ||
+ | * nicht(!): Art. 26 DSGVO (aber dennoch umstritten) | ||
+ | * Rechtsgrundlagen wie bei jeder anderen Offenlegung | ||
+ | * " | ||
+ | * Rechtsfolgen | ||
+ | * Ausgestaltung nach Maßgabe des Art. 26 DSGVO | ||
+ | * Vereinbarung über die Joint Controllership | ||
+ | * Mitteilung der wesentlichen Inhalte an betroffene Personen | ||
+ | * grundsätzlich gesamtschuldnerische Haftung im Außenverhältnis (aber im Hinblick auf Fashion-ID nur bedingt?? | ||
+ | * zivilrechtliche Auswirkungen: | ||
+ | |||
+ | === Verantwortlicher bei Auftragsverbeitung === | ||
+ | |||
+ | * konstitutiv: | ||
+ | * Auftraggeber: | ||
+ | * Vereinbarung nach Maßgabe des Art. 28 DSGVO | ||
+ | * Weisungsgebundenheit des Auftragnehmers | ||
+ | * DSK (Kurzpapier 13): bzgl. Zweck und Mittel, nicht unbedingt bzgl technisch-organisatorischer Fragen | ||
+ | * " | ||
+ | * Rechtsgrundlage für die Offenlegung personenbez. Daten | ||
+ | * Artt. 28, 29 (umstritten | ||
+ | * Argumentationsansatz (ua): keine Offenlegung wegen Weisungsgebundenheit | ||
+ | * andernfalls: | ||
+ | * Rechtsfolgen | ||
+ | * grundsätzlich gesamtschuldnerische Haftung im Außenverhältnis mit Exkulpationsmöglichkeit für Auftragsverarbeiter (!!) | ||
+ | |||
+ | === Maßstab der Einordnung === | ||
+ | |||
+ | * Art. 4 Nr. 7 DSGVO, EG ?? | ||
+ | * EuGH-Rechtsprechung: | ||
+ | * Konkretisierung in Fashion ID | ||
+ | * Entscheidung in Bezug auf Mittel | ||
+ | * Verursachungsbeitrag genügt aber durch Vorhersehbarkeit keine dt. Kausalität sondern eher Adäquanztheorie | ||
+ | * Entscheidung über Zweck | ||
+ | * Eigeninteresse an Verarbeitung über reine Vergütung hinaus –> Abgrenzung zur Auftragsverarbeitung | ||
+ | * Anknüpfungspunkt für diese Bewertung: Verarbeitungsvorgang | ||
+ | * Unterscheidung nach Verarbeitungsschritten und -phasen (Erheben, Übermitteln, | ||
+ | * Anerkennung von vor- und nachgelagerten Verarbeitungen ohne Joint Controlling | ||
+ | * zB Erhebung und " | ||
+ | * Keine Veraussetzung: | ||
+ | * nicht erforderlich: | ||
+ | * Art. 29-Gruppe WP 169 vom 16.2.2010: insoweit überholt | ||
+ | |||
+ | |||
+ | |||
+ | ==== 2. Anforderungen ==== | ||
- | Alternativen sollten | + | Auftragsverarbeitung |
+ | * Voraussetzung: | ||
+ | * Voraussetzung: | ||
+ | * Auswahl an Themen | ||
+ | * Beurteilungen der Anforderungen nach Art. 32 DSGVO | ||
+ | * Kontrollrecht vor Ort | ||
+ | * Einbindung von IT-Dienstleistern = weitere Auftragsverarbeitung mit Genehmigungspflicht | ||
+ | * Vorgabe Vertragsinhalt aus AG-AN-Verhältnis | ||
+ | * Haftungs- und Freistellungsregelungen | ||
+ | * Konsequenzen einer nicht ausreichenden Gestaltung | ||
+ | * Unterschiedliche Auslegung durch Aufsichtsbehörden (Stichwort: Steuerberater) | ||
+ | * Sonderthema: | ||
+ | * Muster des LDA Bayern | ||
- | Pseudonymisierung: | + | Joint Controllership |
+ | * Vereinbarung nach Maßgabe des Art. 26 DSGVO | ||
+ | * Beschreibung des Ist-Zustands | ||
+ | * Keine Möglichkeit zur Modifikation oder Abbedingung des gesetzlichen Pflichten | ||
+ | * Themen | ||
+ | * Rechte der betroffenen Person gegen jeden Verantwortlichen | ||
+ | * Bedeutung im Lichte der EuGH-Entscheidung " | ||
+ | * Zurverfügungstellen des wesentlichen Inhalts | ||
+ | * Wie? Was ist das? | ||
+ | * Unterschiedliche Auslegung durch Aufsichtsbehörden | ||
+ | * Checkliste des Bitkom für eine Vereinbarung zur Controllership | ||
+ | * Muster des LfDI BW einer Vereinbarung und der Information der betroffenen Person | ||
- | Wer ist der Verantwortliche? | + | ==== 3. (gemeinsame) Haftung |
- | Dokumentation bei Forschungsprojekten nötig | + | | |Haftung Art. 82|Sanktion Art 83| |
+ | |Verantwortlicher|vollumfänglich für sein Tun/ | ||
+ | |Alleinverantwortlicher an Alleinverantwortlicher|jeder vollumfänglich für sein Tun/ | ||
+ | |JC|gesamtschuldnerische Haftung mit Exkulpationsmgl. | ||
+ | |AV|gesamtschuldnerische Haftung mit Exkulpationsmgl. und Innenregress; | ||
- | Auch Art. 6 Abs. 1 lit e kann taugliche Rechtsgrundlage für die Erhebung von Forschungsdaten sein aber Fairness | + | * Behördliches Vorgehen: Auswahlermessen bei Adressaten und Maßnahmen bei JC aber Verhältnismäßigkei |
- | Art 6 I f kann Rechtsgrundlage für Unternehmenskommunikation und Öffentlichkeitsarbeit privater wie öffentlicher Stellen sein. | + | \\ |