Da­ten­schutz bei For­schungs­vor­ha­ben

Information für For­schen­de

Ab dem 25.5.2018 gilt die EU-Datenschutzgrundverordnung (DSGVO), die auch für die Forschung eine Reihe Änderungen im Datenschutzrecht bewirkt. Neben der DSGVO ist für die Forschung in Hessen das Hessische Gesetz zum Datenschutz und zur Informationsfreiheit (HDSIG) vom 26.4.2018 zu beachten. Die nachfolgende Übersicht fasst die wichtigsten Veränderungen, die sich für Forschungsprojekte aus den beiden Gesetzesänderungen ergeben, zusammen.  Änderungen gegenüber der bisherigen Rechtslage werden durch Fettdruck kenntlich gemacht.

Für die Forschung enthält die DSGVO viele Ausnahmen und Bevorzugungen. Zum Ausgleich für diese Innovationsoffenheit fordert sie von den Forschenden, für die von der personenbezogenen Datenerfassung betroffenen Personen bestimmte Garantien für die Wahrung ihrer Grundrechte vorzusehen. Diese Garantien (Art. 89 Abs. 1 DSGVO und § 24 Abs. 3 in Verbindung mit § 20 HDSIG) umfassen u. a. technisch-organisatorische Maßnahmen zur

  • Umsetzung des Grundsatzes der Datenminimierung,
  • Pseudonymisierung der personenbezogenen Daten, sofern Forschungszwecke auf diese Weise noch erreicht werden können,
  • Weiterverarbeitung der Daten in anonymer Form, soweit dies möglich ist (Anonyme Daten sind nicht personenbezogen – für sie gilt das Datenschutzrecht nicht).

    Die Datenverarbeitung ist entweder nach einer Einwilligung oder nach einer gesetzlichen Erlaubnis zulässig:

    2.1 Einwilligung

    Eine Einwilligung der betroffenen Person muss freiwillig, bestimmt, informiert, unmissverständlich und nachweisbar sein. Die Einwilligung muss so bestimmt wie möglich sein. Sie muss insbesondere die Datenkategorien, den Verarbeitungszweck, die Weiterverwendung und den Zeitpunkt der Datenlöschung umfassen. Eine geringere Bestimmtheit ist nur zulässig, wenn es wissenschaftlich zwingend ist, dass die Verarbeitungsform noch nicht vollständig festgelegt werden kann. Soll eine Einwilligung für die Verarbeitung besonderer Kategorien von Daten dienen, müssen diese Datenarten präzis angegeben sein. Besondere Kategorien von Daten sind nach Art. 9 Abs. 1 DSGVO personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die betroffene Person muss vor Abgabe der Einwilligung davon in Kenntnis gesetzt werden, dass sie ihre Einwilligung jederzeit widerrufen kann. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Bis zum Alter von 16 Jahren ist die Einwilligung der Erziehungsberechtigten einzuholen.

    2.2 Gesetzliche Erlaubnis

    Ohne Einwilligung ist die Datenverarbeitung zulässig, wenn eine gesetzliche Regelung sie erlaubt.

    Nach § 24 Abs. 1 HDSIG ist die Verarbeitung besonderer Kategorien von personenbezogener Daten zulässig, wenn sie für die Forschung erforderlich ist und die Forschungsinteressen die schutzwürdigen Interessen der betroffenen Person überwiegen. Ob dies der Fall ist, muss im Einzelfall abgewogen werden, wobei der Bedeutung des Forschungszwecks für die Allgemeinheit, die Tiefe des Eingriffs in die Grundrechte der betroffenen Person und die ihr gebotenen Garantien eine Rolle spielen.

    Für normale Daten ist die Datenverarbeitung nach § 3 HDSIG erlaubt. Danach ist die Datenverarbeitung zulässig, wenn sie notwendig ist, um Aufgaben der öffentlichen Stelle zu erfüllen
    oder um öffentliche Interessen zu verfolgen. Da nach dem HHG eine Hauptaufgabe der Universität die Forschung ist, dürfen ihre Mitglieder zu Forschungszwecken personenbezogene Daten verarbeiten. Auch in diesem Fall muss die Universität die Garantien bieten, die für den Forschungszweck möglich sind.

    2.3 Durchführung der Datenverarbeitung  

    Diese Garantien, die, soweit dies für den Forschungszweck möglich ist, geboten werden müssen, sind in § 20 Abs. 2 Satz 2 HDSIG in einem 10-Maßnahmen-Katalog aufgelistet. Die wichtigsten Maßnahmen sind oben genannt (1.)

    Nach Art. 5 Abs. 2 DSGVO und § 24 Abs. 2 HDSIG ist zu dokumentieren, dass und wie der Forschende die Datenschutzreglungen einhält (nicht nur Verfahrensverzeichnis nach Art. 30 DSGVO zu erstellen).

    Wer eine Verarbeitung von personenbezogenen Daten durch einen anderen durchführen lässt (z.B. Datenerhebung, Datenverarbeitung, Datenaufbewahrung, Dropbox, Cloud Computing), muss die Vorgaben zur Auftragsverarbeitung einhalten. Hierfür ist vor allem ein Auftragsvertrag abzuschließen, der die Vorgaben nach Art. 28 Abs. 3 DSGVO enthält.

    Nach Art. 35 DSGVO hat jeder Forschende eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies wird in der Regel u.a. angenommen, wenn der Forschende besondere Kategorien von personenbezogenen Daten umfangreich oder umfangreiche Persönlichkeitsprofile verarbeitet.

    Betroffene Personen haben im Wesentlichen die gleichen Rechte wie bisher. Diese sind allerdings ausführlicher und klarer in Art. 12 ff. DSGVO gefasst:

    Vor jeder Datenverarbeitung ist die betroffene Person ausführlich über die Inhalte nach Art. 13 und 14 DSGVO zu informieren. Bei der Verarbeitung von Videodaten ist außerdem die Informationspflicht nach § 4 Abs. 2 HDSIG zu beachten.Die Rechte der betroffenen Person auf Auskunft, Berichtigung, Einschränkung und Widerspruch sind jedoch nach § 24 Abs. 2 HDSIG eingeschränkt, um die Forschung zu fördern. Das Gleiche gilt nach Art. 17 Abs. 3 lit. d DSGVO für das Recht auf Löschung. Alle diese Rechte der betroffenen Person sind unter der Voraussetzung ausgeschlossen, dass ihre Erfüllung es voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt, den Forschungszweck zu verwirklichen.

    Im Folgenden werden ausgewählte Probleme der Zulässigkeit der Datenverarbeitung angesprochen:

    4.1 Veröffentlichung von Forschungsergebnissen

    Die Veröffentlichung von personenbezogenen Daten ist nach § 24 Abs. 4 HDSIG nur zulässig, wenn die betroffene Person hierfür eine besondere Einwilligung gegeben hat oder die Veröffentlichung eine Person der Zeitgeschichte betrifft und die Veröffentlichung für die Darstellung der Forschungsergebnisse erforderlich ist. 

    4.2 Forschungsdatenmanagement

    Für die langfristige Aufbewahrung personenbezogener Daten nach Abschluss des Forschungsprojekts sind die Daten zuvor zu anonymisieren oder zu pseudonymisieren. In personenbezogener Form dürfen sie nur aufbewahrt werden, wenn nur in dieser Form die anerkannten Funktionen des Forschungsdatenmanagements erfüllt werden können. Die Überprüfbarkeit der Daten gehört dann nach den Regeln der guten wissenschaftlichen Praxis zur Forschung (DFG: 10 Jahre).

    Ob eine Nachnutzung personenbezogener Daten unter Änderung des Forschungszwecks zulässig ist, hängt von der Einschätzung ihrer Vereinbarkeit mit dem ursprünglichen Zweck im Einzelfall ab. Die zweckändernde Weiterverarbeitung ist nach Art. 6 Abs. 4 DSGVO in einer Abwägung zu beurteilen: Wichtig sind dabei die Garantien, die gegeben werden: Sind die Daten anonymisiert, besteht ohnehin kein Datenschutzproblem. Sind die Daten pseudonymisiert und besteht eine gute Sicherung der Aufdeckungsregel, ist im Regelfall von einer geringen Belastung der betroffenen Person und einem Überwiegen des Forschungszwecks auszugehen.

    4.3 Datenübermittlung ins Ausland

    Die Datenübermittlung in einen Staat außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums ist nach Art. 44 ff. DSGVO nur zulässig, wenn ausreichende Garantien bestehen, dass die personenbezogenen Daten dort so behandelt werden und die betroffenen Person dort vergleichbare Rechte hat wie in der Europäischen Union. Das gilt auch für die Nutzung amerikanischer Plattformen (z.B. Facebook-Gruppe).