Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


8. DFN Konferenz "Datenschutz"

Keynote: Die Daten der anderen - Forschung unter der DSGVO

Allgemeines

  • DSGVO sehr abstrakte, allgemeingehaltene Regelung
  • Ausgleich widerstreitender Interessen im Wege der praktischen Konkordanz, auch Menschenwürde, Meinungsfreiheit etc.
  • Vorwurf: „Datenschutz hinterlässt eine Spur der Verwüstung und drückt andere Werte nieder“ stimmt nicht
  • Datenschutz: Grundwert der informationellen Selbstbestimmung
  • Wert der informationellen Selbstbestimmung weltweit in der Minderheit
  • US-Vorwurf der wirtschaftlichen Bestimmung des Datenschutzes teilweise begründet
  • zur Forschung: Vorwurf „Datenschutz ein Forschungshemmnis“-ist falsch
  • hoher Stellenwert der Forschung, Art. 5 Abs. 3 S. 1 GG, Art. 13 GRCh, Art. 179 Abs. 1 AEUV
  • Was ist Forschung:
    • EuGH hat Forschung bisher Begriff nicht definiert,
    • BVerfG: „geistige Tätigkeit mit dem Ziele in methodischer, systematischer und nachvollziehbarer Weise neue Erkenntnisse zu gewinnen“ … durch öffentliche und(!) private Stelle –> eher zu eng gefasste Definition
  • Forschungsfreiheit wird wie andere Grundrechte anderer begrenzt durch Grundrechte anderer: Der Teil der Forschung, der sich inhaltlich mit anderen Menschen befasst muss informationelle Selbstbestimmung beachten

Forschungsinteresse vs. Schutz personenbezogener Daten –> Ausgleich im Wege der praktischen Konkordanz

Schutz der pers. Daten Art. 7 GRCh, Art. 8 GRCh

Typische Schritte der Verarbeitung personenbezogener Daten

  • Beschaffung der Daten durch Direkterhebung, zweckändernde Verw, ggf. zweckändernde Übermittlung durch Dritte (z.B. aus Registern)
  • Vorhalten und Nutzung der Daten
  • Veröffentlichung der Forschungsergebnisse
  • Aufbewahren der Daten zum Zwecke der Erhaltung der Überprüfbarkeit der Forschungsergebnisse
  • evtl. Sekundärnutzung der Daten für weitere Forschungsvorhaben ggf. unter weiterer Übermittlung

Forschung in der DSGVO

Weiter Forschungsbegriff der DSGVO

  • EG 159: Die Verarbeitung pbez Daten zu wissenschaftlichen Forschungszwecken …
  • EG 26 keine Anwendung auf anonymisierte Daten;
    • möglichst ist zu anonymisieren;
    • Problem: Anonymisierung gelingt in vielen Fällen nicht (mehr) –> Zugriff des Datenschutzes bleibt erhalten
    • Selten echte Anonymisierung, weil:
      • Vielzahl von Daten nötig um Korrelationen erst zu ermitteln (fragwürdig)
  • Grundsatz der Datenminimierung Art. 5 I lit. c Datenminimierung soweit möglich
  • Wenn Anonymisierung nicht möglich nächst bestes Pseudonymisierung; Personenbezug im Sinne der DSGVO bleibt damit erhalten

Rechtsgrundlage nach Art. 6 DSGVO Einwilligung oder ein anderer gesetzlich geregelter Grund

  • Einwilligung setzt voraus
    • ausreichende Information zu Mittel und Zweck (Problem beim Zweck: Der Forscher forscht ja gerade erst an diesen Informationen)
    • eindeutig das Einverständnis mit der DV zum Ausdruck bringende Handlung des Betroffenen
    • Freiwilligkeit (Problem: Gerade im medizinischen Kontext mit Schwerkranken sehr bedenklich)
    • Der Betroffene ist aus außerdem über die Folgen eines Widerrufs der Einwilligung zu informieren
    • ggf. sind die besonderen Anforderungen des Art. 9 DSGVO zu beachten
  • Probleme der Einwilligung
    • Einwilligung ist widerruflich (Art. 7 III DSGVO) Kann nachträgliche Überprüfbarkeit der Forschungsergebnisse beeinträchtigen (aber ggf. Art. 17 Abs. 3 lit. d DSGVO)
    • UU kann es einen (verfälschenden) Einfluss auf das Forschungsergebnis haben, wenn nur die Daten informierter und einwilligungsbereiter Personen zur Verfügung stehen
    • Vereinbarung großer Datenmengen mit Einwilligung erfordert aufwändiges Datenmanagement
    • Einwilligung ist jeweils von allen Betroffenen einzuholen
    • Exkurs: Versuch der Arbeitsgerichtsbarkeit Widerruf an berechtigtes Interesse zu knüpfen –> seit DSGVO definitiv ausgeschlossen; Einwilligung im Arbeitsverhältnis im Regelfall unwirksam
    • Bitte um Einwilligung kann Forschungsbedingungen verändern (zB indem bestimmte Personengruppen von der Forschung ausgeschlossen werden)
    • Schlussfolgerung: Einwilligung für Forschung problematisch
  • DSGVO trifft aber auch weitrechende Entscheidungen für die Forschungsfreiheit
    • Einschränkung der Zweckbindung Art. 5 Abs. 1 lit. b DSGVO
    • Ausnahme von der Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO
    • Ausnahmen bei Art. 9 DSGVO durch Art. 9 Abs. 2 lit. j
    • Ausnahmen bei Informationspflichten Art. 14 Abs. 5 lit b
    • Ausnaamen vom Recht auf Löschung nach Art. 17 Abs. 3 lit. d
    • Möglichkeit der Beschränkung der Rechte aus Art. 15, 16, 18, 21 nach ???
    • nach Art. 21 Abs. 6 bleibt Widerspruch wirkungslos bei Aufgabe …
  • generelle Privilegierung Art. 89 Abs. 1 unterliegt aber
    • geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person (generelles Konzept der Uni sinnvoll??)
      • Sicherstellung von TOM,
      • Grundsatz der Datenminimierung
      • Pseudonymisierung

Fazit: unausgewogene Regulierung der DSGVO durch Bevorzugung der Forschungsfreiheit gegenüber dem Datenschutz

Fragen

zweckändernde Nutzung von Studierendendaten? Art. 6 Abs. 4 „schwer verständliche“ Regelung: Jede Unklarheit geht zu Lasten der Betroffenen. Grundsätzlich großer Spielraum für eine solche Nutzung aber Möglichkeit zur Abwehr durch die einzelne Betroffene Person. Aufsichtsbehörden konzentrieren sich auf die klaren Fälle, Eingreifen in Grauzonen schwierig bis unmöglich

Alternativen sollten für Freiwilligkeit aufgezeigt werden aber müssen nicht ausnahmslos sein; „Friss oder Stirb“ Problem der Privatautonomie: Spaltung der DPA, Süddeutschland akzeptiert eher Entscheidung der Betroffenen, Norddeutschland eher nicht

Pseudonymisierung: Wer bekommt die Zuordnungstabelle? Berechtigungskonzept - Wer braucht die Tabelle berechtigterweise? (digitale Tresore??)

Wer ist der Verantwortliche? Art. 4 Nr. 7 wer Mittel und Zwecke festlegt, idR der Projektleiter(??), gemeinsame Wahrnehmung der Verantwortung (Art. 26) möglich; Problem: „Art. 26 ist keine Hilfe sondern eine zusätzliche Last“; Verständigung über datenschutzrechtliche Verantwortlichkeit möglich und sinnvoll

Dokumentation bei Forschungsprojekten nötig und sinnvoll (auch VVT)

Auch Art. 6 Abs. 1 lit e kann taugliche Rechtsgrundlage für die Erhebung von Forschungsdaten sein aber Fairness und Transparenz sind besonders zu beachten

Art 6 I f kann Rechtsgrundlage für Unternehmenskommunikation und Öffentlichkeitsarbeit privater wie öffentlicher Stellen sein.

Abgrenzung zwischen Auftragsverarbeitung, Joint Controllership und Übermittlung an einen Alleinverantwortlichen

1. Unterschiede und Differenzierung

Rollen der DSGVO

  • Verantwortlicher (Art. 4 Nr. 7 DSGVO)
    • getrennte Verantwortlichkeit („allein“)
    • gemeinsame Verantwortlichkeit (Joint Controllership) („gemeinsam“)
  • Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)
  • Betroffene Person (Art. 4 Nr. 1 DSGVO)

2. Anforderungen

3. (gemeinsame) Haftung (und Bestrafung)

Drucken/exportieren
QR-Code
QR-Code 8. DFN Konferenz "Datenschutz" (erstellt für aktuelle Seite)