Forschungsdatenschutz

Inhalt:

1. Einführung
2. Personenbezogene Daten
3. Verantwortlicher
4. Einwilligung als Rechtsgrundlage
5. Gesetzliche Erlaubnis als Rechtsgrundlage
6. Spezifische gesetzliche Erleichterungen
7. Spezifische gesetzliche Verpflichtungen
8. Technische und organisatorische Maßnahmen, Datenschutz-Folgenabschätzung
9. Forschungskollaborationen, Datenübermittlungen
10. Drittlandübermittlungen
11. Sonstige Pflichten des Verantwortlichen

 

 

1.            Einführung

Forschung zu ermöglichen ist neben Durchführung von Lehre eine Hauptaufgabe von Hochschulen. Forschung ist gleichzeitig Dienstaufgabe (§ 35 Abs. 3 HG NRW) und Grundrecht der Wissenschaftlerinnen und Wissenschaftler (Wissenschaftsfreiheit, Art. 5 Abs. 3 Grundgesetz).

Forschung beinhaltet in der Regel das Gewinnen, Strukturieren, Auswerten von Primärdaten, aus denen dann Schlussfolgerungen gezogen werden.

Diese Primärdaten sind je nach Wissenschaftsdisziplin z.B. Messergebnisse aus Laborversuchen (z.B. Physik, Chemie) oder Erkenntnisse aus Quellenuntersuchung (z.B. Archäologie, Geschichte). Oft sind die Primärdaten aber auch Informationen von oder über lebende (oder kürzlich verstorbene) Personen, die durch etwa Fragebogen (auch online-Fragebogen), Interviews, Videoaufzeichnungen oder medizinische Behandlung gewonnen werden. Nachfolgend geht es nur um den zweiten Fall: Informationen über Menschen.

Werden Informationen über identifizierte oder identifizierbare Personen verwendet, so greift das Datenschutzrecht ein. Schutzgegenstand sind – anders als der Begriff vermuten lässt – nicht „die Daten“ über Personen, sondern die Personen, deren Daten genutzt werden. Der Datenschutz soll sicherstellen, dass die Menschen kontrollieren oder zumindest nachvollziehen können, wer was über einen selbst weiß. Diese Rechtsposition ist ebenfalls ein Grundrecht, das in Deutschland den etwas sperrigen Namen „Recht auf informationelle Selbstbestimmung“ trägt. Das Datenschutzrecht regelt die Umsetzung des Grundrechts im Alltag.

Es ist sofort erkennbar, dass die grundrechtlich geschützten Interessen der Forscher mit den grundrechtlich geschützten Interessen derjenigen, die Gegenstand von Forschung sind (meist Forschungsprobanden) kollidieren können. Mit den Regelungen zum Forschungsdatenschutz schafft der Gesetzgeber hierfür einen Interessenausgleich.

Das für uns einschlägige Datenschutzrecht ist geregelt in der DSGVO und in den Gesetzen der EU-Mitgliedsstaaten. Leider ist es nicht so, dass der Forschungsdatenschutz an einer Stelle abschließend geregelt ist. Das macht das Thema komplex, weshalb es an dieser Stelle nur um die Grundsätze gehen kann.

Der folgende Inhalt erläutert die Themen, die für Forschungsdatenschutz wichtig sind:

  • Den Einstieg in das Datenschutzrecht bilden personenbezogene Daten. Es werden einige wichtige Probleme aus dem Forschungsbereich, einschl. der Abgrenzung von anonymen und pseudonymen Daten, dargestellt.
  • Es ist zu klären, wer in Forschungsvorhaben die datenschutzrechtliche Verantwortung trägt.
  • Jegliche Datenverarbeitung bedarf einer Rechtsgrundlage. Die wichtigste Rechtsgrundlage ist die Einwilligung der Forschungsteilnehmer. Es kommen aber auch gesetzliche Erlaubnisse in Betracht, bei denen es einer Einwilligung nicht bedarf.
  • Das Datenschutzrecht enthält forschungsspezifische Erleichterungen, aber auch forschungsspezifische Pflichten. Insbesondere sind die in Forschungsvorhaben zu ergreifenden technischen und organisatorischen Maßnahmen verbindlich aufgelistet.
  • Die Regeln für die Zusammenarbeit mit Externen betreffend die Datenverarbeitung sollten bekannt sein. Dies betriff vor allem Fälle der Forschungskooperation (im Sinne einer wissenschaftlichen Zusammenarbeit auf Augenhöhe) und der Einbindung weisungsgebundener Dienstleister (Auftragsverarbeiter).
  • Eine wichtige Sonderkonstellation bei der Zusammenarbeit mit Externen betrifft die Übermittlung personenbezogener Daten in Länder, in denen nicht die DSGVO gilt, (Drittlandübermittlung).
  • Schlussendlich geht es leider nicht ohne einen Hinweis auf die nicht forschungsspezifischen, sonstigen Datenschutzpflichten. Diese sind ebenfalls zu beachten, aber so allgemein, dass die wichtigsten nur genannt, aber hier nicht vertieft werden können.

Wenn Ihnen die genannten Punkte nicht mehr unbekannt sind, können Sie die Relevanz des Datenschutzes in Ihren eigenen Forschungsprojekten einschätzen und zudem erkennen, ob Besonderheiten vorliegen, zu denen Sie sich gezielt beraten lassen sollten.

2.            Personenbezogene Daten - insb. Pseudonymisierung

Die Verarbeitung personenbezogener Daten zu Forschungszwecken unterliegt dem Datenschutzrecht. Personenbezogene Daten sind alle Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen. Die Angaben müssen sich auf eine lebende, natürliche Person beziehen.

Dem Datenschutzrecht unterliegt daher nicht die Verarbeitung von Daten über verstorbene Personen (siehe hierzu aber den kurzen Exkurs bei der Einwilligung) oder über juristische Personen. Es gilt auch nicht bei anonymen Daten.

Das Gesetz statuiert für die Forschung den Vorrang der Nutzung anonymer Daten (siehe auch unten Nr. 7). Ist aus wissenschaftlichen Gründen die Nutzung anonymer Daten nicht möglich, sollen pseudonyme Daten verwendet werden. Erst wenn auch das nicht geht, ist die Nutzung von personenbezogenen Daten erlaubt. (siehe den sprachlich verunglückten Art. 89 Abs. 1 Satz 4 DSGVO, sowie klarer § 17 Abs. 3 DSG NRW). Letztlich handelt es sich dabei um eine abgeleitete Ausprägung des Grundsatzes der Datensparsamkeit.

2.1            Pseudonyme Daten

In der Praxis, insb. in der Forschungspraxis, sind pseudonyme Daten von großer Relevanz. Auch datenschutzrechtlich sind sie bedeutsam. Dies ist aber eine komplexe und rechtlich umstrittene Materie, weshalb es an dieser Stelle etwas theortisch und begriffsklauberisch wird.

  • In Art. 4 Nr. 5 DSGVO wird etwas sperrig der Vorgang der Pseudonyminiserung definiert. Bei der Pseudonymisierung werden personenbezogen Daten so verändert, dass sie nur noch mit Zusatzinformationen einer spezifischen betroffenen Person zugeordnet werden können; wobei sicherzustellen ist, dass diese Zusatzinformationen gesondert und sicher aufbewahrt werden.
  • Faktisch werden bei der Pseudonymisierung die identifizierenden Teile (in der Regel die Klarnamen, Adressdaten etc.) von personenbezogenen Datensätzen durch einen "nichtsprechenden" Code ersetzt. Dieser ersetzende Code heißt auch Pseudonym.
  • Die Daten, die nach einer Pseudonymisierung statt der Identifikatoren nun das Pseudonym beinhalten, werden pseudonyme Daten genannt.
  • Die Zuordnung des Pseudonyms zum Klarnamen wird in einer gesonderten, unter Verschluss gehaltenen Tabelle (sog. Zuordnungstabelle, Zuordnungsliste, Schlüsseltabelle etc.) festgehalten. Dies ist in der obigen DSGVO-Definition mit dem Begriff Zusatzinformation gemeint. Nur wer diese Liste als Zusatzinformation zur Verfügung hat, kann über das Pseudonym die identifizierenden Angaben wiederherstellen. Die Zuordnungsliste stellt also den Pesonenbezug her.
  • Die Person oder Stelle, welche - organisatorisch abgetrennt von anderen an der Verarbeitung beteiligten - die Zuordnungsliste verwaltet, wird auch als Trust Center, Gate Keeper, Key Holder etc. bezeichnet. Das können Personen in der eigenen Organisation sein, denen der Umgang mit der Zuordnungsliste vom Verantwortlichen durch Dienstanweisung verpflichtend vorgegeben wird, oder vertraglich eingebundene (Auftragsverarbeitung!) Externe, oft Rechtsanwälte oder Notare, die auch einer besonderen gesetzlichen Verschwiegenheitspflicht unterliegen. Achtung: auch Beschäftigte des öffentlichen Dienstes können einer gleichstarken gesetzlichen Verschwiegenheitspflicjht unterliegen.
  • Hinweis: Manche bezeichnen die personenbenbezogenen Originaldaten, aus denen pseudonyme Daten erstellt wurden, auch als "pseudonymisierte Daten". Hier gibt es aber keine einheitliche Konvention und gänzlich schlüssig erscheint dies auch nicht.
  • Hinweis: Gelegentlich liest man von "pseudoanonymen Daten"; gemeint sind damit pseudonyme Daten. Dieser Begriff erscheint einigermaßen unglücklich, weil die Abgrenzung von personenbezogenen, pseudonymen und anonymen Daten schwierig und kleinteilig genug ist. Hier ohne Not und ohne Anhalt im Gesetz einen neuen, undefinierten Begriff einzuführen, der zudem aus bereits belegte Begriffen gebildet wird, ist verwirrend und wenig sachdienlich. Oft ist in der Praxis der Begriff ein Indiz dafür, dass die Verwender*innen sich mit der Pseudonymsierung inhaltlich noch nicht befasst haben.


Da es sich nur dann um eine Pseudonymisierung i. S. d. Art. 4 Nr. 5 DSGVO handelt, wenn die die pseudonymen Daten ohne die Zuordnungsliste keiner spezifischen betroffenen Person mehr zugeordnet werden können, muss für jedes Vorhaben konkret geprüft werden, ob diese Bedingung erfüllt ist.

Hier sind drei Problembereiche zu beachten:

  • Zum einen ist die Reidentifizierung über den Zugriff auf die Zuordnungsliste denkbar. Wer auf die Zuordnungsliste zugreifen kann, kann immer Reidentifizieren und hat es immer mit pesonenbezogenen Daten zu tun. Hierbei ist durch die Rechtsprechung geklärt, dass die (theoretische) Möglichkeit einer Beschlagnahme der Zuordnungsliste durch die Staatsanwaltschaft für den Personenbezug ausreicht. Hingegen ist ungeklärt, aber zu naheliegend, dass im Umkehrschluss eine beschlagnahmefest aufbewahrte Zuordnungsliste (z.B. bei einem Berufsgeheimnisträger (Arzt, Rechtsanwalt, Priester, auch Amtsträger! etc.)) eben nicht zum Personenbezug führt.
  • Zum anderen darf natürlich das Pseudonym selbst keine Hinweise auf die Identität geben. Daher scheiden Namensbestandteile (insb. Initialien) oder Teile des Geburtsdatums (z. B. Geburtsjahr) als Bestandteile des Pseudonyms in der Regel aus. Denn diese Informationen sind oft auch Dritten bekannt, die dann aufgrund des Pseudonyms die betroffene Person ermitteln können.
  • Schließlich ist zu bedenken, dass bei umfangreichen und detaillierten Datensätzen („big data“) eine Reidentifikation bereits aufgrund der Einzeldatensätze mit vertretbarem Aufwand auch ohne Zuordnungsliste möglich ist. Hier ist an statistische Auswertung, Zusatzinformationen zum Datensatz (etwa Populationsbeschreibung) oder an öffentlich zugängliche Vergleichsdatenbanken (z.B. von Verwandten in öffentlichen Ahnendatenbanken gespeicherte Geninformationen) zu denken. Auch Fotos/Filme bleiben oft personenbezogen, Biomaterial und sequenzierte Humangenome in der Regel immer.


Inwieweit Datenschutzrecht für pseudonymen Daten gilt, ist umstritten. Dazu gleich.

2.2          Anonyme Daten

Personenbezogene Forschungsdaten zu anonymisieren ist möglich, aber aus den oben genannten Gründen oft anspruchsvoll.

So reicht es in der Regel nicht, lediglich die offensichtlichen Identifikatoren zu entfernen. Gerade große, detaillierte Datensätze müssen vergröbert und/oder reduziert werden, bis eine Rückverfolgung durch statistische Auswertung oder Abgleich eben nicht mehr möglich ist. Zu beachten ist, dass der Datensatz aus wissenschaftlichen Gründen ausführlich mit Metadaten zur Studienpopulation (Ort, Alter, Geschlecht, Beschäftigung etc.) beschrieben ist, was eine Reidentifikation erleichtern kann. Bei Biomaterial und sequenzierten Genomen ist davon auszugehen, dass eine Anonymisierung nicht möglich ist.

2.3          Absoluter vs. relativer Personenbezug

Bei der Definition der personenbezogenen Daten ist maßgeblich, ob die betroffene Person identifiziert oder identifizierbar ist. Auf wen und worauf ist denn nun abzustellen, wenn es um die Reidentifizierung geht? Welche Kosequenzen oder gar Vorteile hat die Pseudonymisierung?

Nun wird es rechtlich spannend und zugleich kompliziert.

Das Ergebnis vorweg: Die Frage ist rechtlich umstritten. Es zeichnet sich aber deutlich ab, dass die Reindentifizierungsmöglichkeit bei der Person oder Stelle zu prüfen ist, die Zugriff auf die fraglichen Daten (erhalten) hat (sog. relativer Personenbezug).

Ausgangslage:

Die Definition des Personenbezugs wird ergänzt durch Erwägungsgrund 26 DSGVO. Dessen Sätze 3 und 4 lauten:
"Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind."

Es geht also darum,

  • welches Zusatzwissen zu berücksichtigen ist (was) und
  • bei wem das Zusatzwissen vorliegen bzw. verfügbar muss (wer).


Zur Frage nach dem Was

Die Frage nach der Art des Zusatzwissens (was) wird unter Juristen oft unnötig kompliziert geführt. Letztlich geht es darum, wie lebensnah es ist, dass eine Zuordnung von Daten zu einer spezifischen Person möglich ist. Es handelt sich um ein Bewertungsmerkmal, bei dem der Reidentifikationsaufwand (z. B. Kosten, Zeit) einzuschätzen ist.

Kurz zu dem juristischen Streit:
Auch in der Datenschutzrichtlinie, der Vorgänerin der DSGVO, gab es den ErwG 26 und zwar fast wortleich. Danach kam es auf die Mittel an, die "vernünftigerweise" zur Reidentifikation eingesetzt werden können. In einem wichtigen Urteil ("Breyer") hat der EuGH geäußert, dass der Einsatz illegaler Mittel nicht vernünftig sei und illegale Mittel daher bei der Prüfung nicht zu berücksichtigen seien. Hierauf reiten viele Datenschützer heute immer noch herum.
In ErwG 26 DSGVO ist aber der Begriff "vernünftigerweise" ersetzt worden. Nunmehrr müssen alle Mittel berücksichtig werden, die "nach allgemeinem Ermessen wahrscheinlich" genutzt werden. Das können auch illegale Mittel sein (z. B. schlecht gesicherte Zuordnungstabellen, die leicht, aber illegal "stiebitzt" werden können (= Dienstahl). Diese Änderung im Wortlaut ist den meisten bislang entgangen; sie hat aber wichtige praktische Auswirkungen, weil sie den Bewertungsmaßstab ändert.

Zur Frage nach dem Wer

Bei der zweiten Frage (wer) geht es darum, bei wem die Reidentifikationsmöglichkeit zu prüfen ist.

In der Praxis ist dies von Bedeutung, wenn es um die datenschutzrechtliche Bewertung bei der Nutzung pseudonymer Daten geht. Klar: Wer Zugriff auf die Zuordnungsliste hat oder weisungsbefugt gegenüber dem Trust Center ist, für den sind pseudonyme Datensätze personenbezogen. Denn es ist lebensnah, dass eine Nutzung möglich ist und im Zweifel auch erfolgt. Aber wie sieht es mit einem externen Empfänger eines pseudonymen Datensatzes aus, der keinen Zugriff auf die Zuordnungsliste hat?

Grob gesprochen gibt es hier zwei Lager (die vielen Facetten werden ausgeblendet).

  • Die einen sind der Ansicht, dass Personenbezug vorliegt, wenn irgendjemand (ErwG 26: "oder eine andere Person") eine betroffene Person reidentifizieren kann; sog. absoluter Personenbezug. In der reinsten Konsequenz müsste sich ein Empfänger pseudonymer Daten das Zusatzwissen beliebiger Dritter (das Weltwissen) zurechnen lassen. Im Ergebnis wäre dann fast immer die Reidentifikationsmöglichkeit zu bejahen(, weil es theoretisch immer irgendwo einen Geheimdienst auf der Welt gibt, der die Identität herstellen könnte). Ein Empfänger wäre dann datenschutzrechtlich voll Verantwortlich (falls er nicht ausnahmsweise Auftragsverarbeiter ist).
  • Die anderen sind der Ansicht, dass es nur auf die Reidentifikationsmöglichkeiten des konkreten Danetempfängers ankomme; daher könne es sein, dass für einen Empfänger ein Datensatz personenbezogen ist, für einen anderen nicht - sog. relativer Personenbezug. Wenn ein Datenempfänger also weder eine rechtliche, noch lebensnah eine tatsächliche Möglichkeit zur Reidentifizierung hat, dann ist ein pseudonymer Datensatz für ihn anonym und er unterliegt nicht dem Datenschutzrecht.


Die Frage ist hochumstritten.

  • In Deutschland folgt die überwiegende Meinung tratitionell dem relativen Personenbezug, die europäische Datenschutzaufsicht folgt dem absoluten Begriff.
  • Der EuGH hat sich 2016 in seinem Breyer-Urteil dazu geäußert, allerdings unklar: Ausdrücklich komme es auf das Zusatzwissen eines Dritten an (hat er damit einen "beliebigen", also irgendeinen Dritten gemeint?). Sodann analysiert er nur das der konkret beklagten Stelle möglicherweise zugängliche Zusatzwissen. Letztenendes finden sich beide Lager durch das Urteil bestätigt, was natürlich nicht zur Klärung beiträgt. Tatsächlich ist aber anzunehmen (und Robin L. Mühlenbeck bestätigt das in seiner ausfürhlichen Arbeit "Anonyme und pseudonyme Daten"), dass der EuGH den relativen Personenbezug unausgesprochen zugrundelegt.
  • 2023 hat das EuG (SRB gegen EDSB) geurteilt, dass es auf das Zusatzwissen nur des Empfängers ankomme.
  • Ebenfalls hat nun auch der EuGH (Gesamtverband Autoteile-Handel e. V.) ausdrücklich auf die Reidentifikationsmöglichkeiten desjenigen abgestellt, der Zugang zu den pseudonymen Daten hat.


Eine schöne Zusammenfassung der Urteile findet sich im Infobrief Recht 1/24 des DFN.

Abgesehen davon, dass insgesamt überzeugende für den relativen Personenbezug sprechen (siehe statt aller Robin L. Mühlenbeck), hat sich nun die zur verbindlichen DSGVO-Auslegung berufene Stelle - der EuGH - sehr klar zum relativen Personenbezug positioniert. Damit dürfte der Streit langsam an Bedeutung verlieren.

2.4          Konsequenz für die Forschung

Für Forschungsprojekte bedeutet das:

Für die Forschungsleitung, die über Zweck und Mittel der Datenverarbeitung entscheidet und i. d. R. tatsächlich auf die Zurordnungsliste zugreifen kann/darf, sind auch die von ihr pseudonymsisierten Forschungsdaten personenbezogen. Innerhalb der eigenen Forschungsorganisation ist die Pseudonymisierung aber eine wirkungsvolle technische Datenschutzmaßnahme, insb. wenn als Trust Center eine Person/Stelle gefunden wurde, die organisatorisch möglichst weit von der wissenschaftlichen Auswertung der pseudoynmen Daten entfernt ist.

Für externe Empfänger pseudonymer Datensätze, die weder Zugriff auf die Zuordnungsliste haben, noch sonstwie wahrscheinlicherweise Betroffene reidentifitieren können, sind die Daten anonym. Weil es hierbei auf den Einzelfall ankommt und gerade bei medizinischen Daten eine Reidentifikation häufiger moglich ist, als auf den ersten Blick erkennbar, sollte man hier nicht zu leichtfertig prüfen. Aber in Forschungsvorhaben gut aufgesetztem Datenschutzmanagement können hier deutliche datenschutzrechtliche Erleicherterungen für die Empfänger bewirkt werden. Falls es zu einem Ausschluss des Personenbezugs nicht reicht, stellt die Pseudonymisierung aber auch hier eine relevante technische Datenschutzmaßnahme dar, die z. B. bei der Bewertung des Risikos einer Drittlandübermittlung ausschlaggebend sein kann.

Dennoch sollten pseudonyme Datensätze sicht sorglos behandelt oder gar unbedacht veröffentlicht werden. Denn die zunehmende Potenz der IT-Technik und die zunehmende Verfügbarleit von Vergleichsdatenbanken lassen es realistisch erscheinen, dass viele heute noch pseudonyme Datensätze in Zukunft den betroffenen Personen zugeordnet werden können. So wird in gut organisierten Forschungsdatenbanken vor jeder Datenweitergabe geprüft, wie wahrscheinlich die Reidentifikationsmöglichkeit für den konkret generierten Datenbankextrakt ist.

 

Auf weitere Details zum Personenbezug und verwandtan Abgrenzungsfragen bei Anonymisierung und Pseudonymisierung kann an dieser Stelle nicht eingegangen werden.

2.5          Sonderfall: Selbstgenerierte Pseudonyme

Text folgt.

 

3.            Verantwortlicher

Es ist zu klären, wer für die Datenverarbeitung Verantwortlicher im Sinne der DSGVO ist. Nach Art. 4 Nr. 7 DSGVO ist dies diejenige Person, die über Zweck und Mittel der Datenverarbeitung entscheidet. Wer dies bei Forschungsvorhaben ist, ist rechtlich umstritten.

  • Manche argumentieren, Verantwortlicher müsse die Organisation (bzw. deren Leiter) sein, welcher der Forscher angehört – etwa die Hochschule. Dieses Argument hat vor allem für sich, dass die Einrichtung oft einen wesentlichen Teil der Infrastruktur (z.B. Informationstechnologie) stellt und zudem interne Verantwortlichkeiten der Datenschutzorganisation einfach zu klären sind.
  • Andere argumentieren, dass die Entscheidung über Zweck und Mittel personenbezogener Daten in Forschungsvorhaben typischerweise eine inhaltliche Forschungsfrage sei. Genau hier sei der Hochschule als Trägerinstitution wegen des Grundrechts der Forschungsfreiheit eine Einflussnahme aber gerade verboten. Die Hochschule könne hier nicht entscheiden und folglich schon aus Rechtgründen nicht Verantwortlicher sein - Verantwortlicher sei immer der leitende Forscher.


Leider ist dieser Streit noch nicht entschieden und es gilt für Sie das, was von Ihrer Hochschule vertreten wird. Die Universität zu Köln vertritt derzeit die zweite Ansicht. Die Auswirkungen des Streits in der Praxis sind aber letztlich gering, wenn man davon ausgeht, dass auch dort, wo die Hochschule sich selbst als Verantwortlicher sieht, die interne Verantwortung für die Umsetzung der DSGVO im Wege der internen Weisung/Delegation auf die Fachverantwortlichen, also auf die leitenden Forscher, übertragen wird.

4.            Einwilligung als Rechtsgrundlage

Jede Datenverarbeitung ist verboten, außer, eine Rechtsgrundlage erlaubt sie (Verbot mit Erlaubnisvorbehalt).

Die Verarbeitung zu Forschungszwecken erfolgt üblicherweise auf rechtlicher Grundlage einer Einwilligung jedes Forschungsteilnehmers (geregelt in Art. 4 Nr. 11 und Art. 7 DSGVO). Es ist auch forschungsethisch geboten, dass dies der Regelfall ist, denn so kommt der freie Teilnahmewille der Probanden zum Ausdruck und er bleibt respektiertes Subjekt und wird nicht zum Forschungsgegenstand degradiert. Forschung ohne Einwilligung darf nur in besonderen Situationen erfolgen.

  • Voraussetzung der Einwilligung ist eine den gesetzlichen Anforderungen genügende Teilnehmerinformation. Die DSGVO sagt, dass vor der Einwilligung über den Verantwortlichen und den Verarbeitungszweck informiert werden muss (ErwGr. 42 DSGVO), während eine detaillierte Information mit gesetzlich geregelten Angaben erst spätestens vor der ersten Datenerhebung erfolgen muss (Art. 13 DSGVO). Einzig praktikabel im Forschungszusammenhang ist es, die vollständige gesetzliche Information bereits vor der Einwilligung zu erteilen. Bei medizinischer Forschung ist in der Regel (durch die ICH/GCP-Leitlinie) eine noch umfangreichere Information vorgeschrieben, als nach der DSGVO.
  • Der Zweck der Verarbeitung ist vom Verantwortlichen normalerweise sehr eng und konkret zu beschreiben. Für die Forschung gilt hier eine gesetzliche Ausnahme, die auch einen weit gefassten Verarbeitungszweck erlaubt, weil auch künftige, derzeit noch unbekannte Forschungsfragen ermöglicht werden sollen (ErwGr. 33, Art. 5 Abs. 1 Buchst. b DSGVO). Ist das geplant, muss der weite Forschungszweck aber trotzdem verständlich beschrieben sein und ggf. sind transparenzwahrende Kompensationsmaßnahmen nötig. Mehr dazu von den Aufsichtsbehörden hier.
  • Die Einwilligung selbst erfolgt i.d.R. schriftlich. Elektronische Einwilligungen sind auch möglich (z.B. bei online-Befragungen). In jedem Fall muss es sich um eine eindeutige bestätigende Handlung handeln, weshalb opt-out-Lösungen unzulässig sind. Bei anderen Einwilligungsformen (insb. mündlich) kommt es auf den Einzelfall an.
  • Vorsicht ist geboten bei der Einwilligung von Kindern und Jugendlichen. Hier kommt es darauf an, ob sie einwilligungsfähig sind oder nicht. Einwilligungsfähigkeit ist ein Ausdruck von persönlicher Reife und zwar "die natürliche Eigenschaft, Bedeutung und Tragweite der Einwilligung bewerten und den eigenen Willen hiernach ausrichten zu können." Eine feste Altersgrenze gibt es nicht (Ausnahme: gewerbliche Internetdienste, hier gilt nach der DSGVO ein Mindestalter von 16 Jahren), sondern die Einwilligungsfähigkeit ist individuell zu ermitteln. Die wenige existierende Rechtsprechung orientiert sich mehr oder weniger an der Pubertät: bei 16- und 17Jährigen kann meist von Einwilligungsfähigkeit ausgegangen werden, bei jüngeren in der Regel nicht (obwohl dies im Einzelfall nicht ausgeschlossen sein muss. Ist ein Jugendlicher Einwilligungsfähig, kommt es nur auf seine Einwilligung an, nicht auf die der Eltern. Oft ist es aber strategisch angezeigt, auch die Eltern über die geplante Forschung zu informieren. 
  • Bei nichteinwilligungsfähigen Menschen (das können Kinder, Jugendliche oder Erwachsene sein) muss der gesetzliche Vertreter einwilligen. Bei Kindern sind dies die Erziehungsberechtigten (i.d.R. Vater und(!) Mutter), bei Erwachsenen meist der gerichtlich bestellte Betreuer.
  • Exkurs: Sollen Daten von Verstorbenen verarbeitet werden, die keine Personen der Zeitgeschichte waren, bedarf es wegen des "postmortalen Personlichkeitsschutzes" (es gibt kein echtes Datenschutzrecht für Tote) der Einwilligung der Erben oder - soweit die ärztliche Schweigepflicht betroffen ist - der engsten Angehörigen.
  • Die Erklärung muss von der betroffenen Person (bzw. ihrem gesetzlichen Vertreter) abgegeben werden. Bei elektronischen Einwilligung ist daher meist das double opt-in-Verfahren angebracht (an die angegebene Email-Adresse wird zunächst ein Link gemailt, der genutzt werden muss, um zu verifizieren, dass die einwilligende Person auch Inhaberin der Emailadresse ist). Telefonische Einwilligungen sind in der Regel nur zulässig, wenn der Verantwortliche die betroffene Person kennt und anhand der Stimme identifizieren kann.
  • Die Einwilligung muss freiwillig erklärt werden, also frei von Täuschung, Drohung oder Zwang. Problematisch ist wegen des Abhängigkeitsverhältnisses meist auch die Einwilligung von Beschäftigten und Studierenden der eigenen Einrichtung sowie von Patienten. Hier muss im konkreten Fall besonders streng geprüft werden, dass die Einwilligung freiwillig abgegeben werden kann.
  • Wenn Die Datenverarbeitung in einem Forschungsvorhaben verschiedene Bestandteile hat, die forschungsmethodisch nicht zwingend untrennbar sind, so muss es den Teilnehmern ermöglicht werden, jeden Bestandteil an- oder abzuwählen (Kopplungsverbot). Beispiele sind ergänzende Langzeitbefragungen der Teilnehmer, Zusatzuntersuchungen, ergänzende Befragungen von Angehörigen, andere Formen der Begleitforschung, die Nutzung der Daten derzeit unbekannte Fragestellungen in der Zukunft, die Nutzung der Kontaktdaten zur Einladung zu künftigen Forschungsprojekten (Probanden-Pool).

5.            Gesetzliche Erlaubnis als Rechtsgrundlage

Die Verarbeitung personenbezogener Daten zu Forschungszwecken ist auch ohne Einwilligung der Teilnehmer zulässig, wenn ein Gesetz dies erlaubt. Solche gesetzlichen Erlaubnisse existieren. Üblicherweise ist deren Voraussetzung, dass die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Es ist auch möglich, sensible Daten (z.B. Gesundheitsdaten) ohne Einwilligung für Forschung zu verarbeiten; hierfür kommen verschiedene Rechtsgrundlagen in Frage, die dann jeweils zu prüfen sind. Für medizinische Forschung gelten in jedem Fall besondere Regeln, auf die hier nicht eingegangen werden kann.

In der Praxis sind die gesetzlichen Erlaubnisse für die Forschungsdatenverarbeitung nachrangig, weil diese meist auf Einwilligung beruht.

6.            Spezifische gesetzliche Erleichterungen

Es existieren in der DSGVO weitere spezifische Erleichterungen für Forschung, die für andere Verarbeitungszwecke nicht gelten. Damit soll der besonderen, ebenfalls grundrechtlich unterlegten Bedeutung wissenschaftlicher Forschung Rechnung getragen werden. So ist es zulässig, vorhandene personenbezogene Daten, die für einen anderen Zweck erhoben wurden, auch für Forschungszwecke zu nutzen (Zweckänderung); hierüber müssen die betroffenen aber i.d.R. informiert werden. Auch ist die Speicherung von Daten über die Löschfrist hinaus zulässig, falls die Forschung anderenfalls gefährdet wäre. Zudem können unter ganz strengen Voraussetzungen die Betroffenenrechte der Forschungsteilnehmer durch nationales Recht eingeschränkt werden; auf Details kann hier aber nicht eingegangen werden.

7.            Spezifische gesetzliche Verpflichtungen

Die personenbezogenen Daten sind zu anonymisieren, sobald es der Forschungszweck erlaubt. Ist das aus wissenschaftlichen Gründen nicht möglich, sind die Daten wirksam zu pseudonymisieren. Nur wenn auch dies aus wissenschaftlichen Gründen nicht möglich ist (z.B. Videoaufnahmen von Gesichtsreaktionen), dürfen die Daten personenbezogen verarbeitet werden.

Hier ist also eine klare Rangfolge vorgegeben, die während der gesamten Verarbeitungszeit (einschließlich Aufbewahrung) zu beachten ist. So beträgt die Aufbewahrungsfrist für Primärdaten gemäß den Regeln der guten wissenschaftlichen Praxis 10 Jahre. In Einzelfällen können gesetzliche Aufbewahrungspflichten hinzutreten; i.d.R. bei medizinischer Forschung. Es ist also bei der Planung und im Verlauf des Vorhabens zu prüfen, ob und wann auf Personenbezug verzichtet werden kann, etwa nach der Erhebungsphase, nach oder in der Auswertungsphase und spätestens nach der Aufbewahrungsphase. Sobald es wissenschaftlich möglich ist, muss anonymisiert oder pseudonymisiert werden.

Personenbezogene Daten dürfen nur veröffentlicht werden, wenn

  • die betroffene Person hierin eingewilligt hat
  • oder
    • die Veröffentlichung für die Darstellung von Forschungsergebnissen erforderlich ist und
    • das öffentliche Interesse die schutzwürdigen Belange der betroffenen Person erheblich überwiegt.

8.             Technische und organisatorische Maßnahmen, Datenschutz-Folgenabschätzung

Wie bei jeder Verarbeitung müssen auch in Forschungsvorhaben auf Grundlage einer Risikobewertung technische und organisatorische Maßnahmen (auch „TOMs“ genannt) zur Sicherstellung des Datenschutzes zu ermittelt, umgesetzt und dokumentiert werden. Je sensibler die personenbezogenen Daten sind, desto höher ist das notwendige Schutzniveau. Technische Maßnahmen müssen dabei dem Stand der Technik entsprechen. Hier kommt es vor allem auf Vertraulichkeit und Integrität der Daten an. Wichtig ist, dass im Forschungsprojekt nur dann mit personenbezogenen Klardaten gearbeitet werden soll, wenn dies absolut nötig ist. Die wichtigsten Projektentscheidungen und –prozesse zum Datenschutz sind zu dokumentieren, etwa in Form von Datenflussdiagrammen oder SOPs (Standard Operating Procedures = Vorgehensweisungen).

Der NRW-Gesetzgeber hat eine Liste konkreter Maßnahmen erstellt, die zu beachten ist, wenn sensible personenbezogene Daten verarbeitet werden oder wenn personenbezogene Daten (auch nicht-sensible) zu Forschungszwecken verarbeitet werden (§ 15 DSG NRW). Im Grunde handelt es sich nicht um neue Anforderungen, sondern um eine Zusammenstellung üblicher Schutzmaßnahmen, die sich bereits aus verschiedenen Stellen der DSGVO ergeben. Es ist eigentlich eine Selbstverständlichkeit, dass besondere Verarbeitungspriviliegien durch Schutzmaßnahmen für die Betroffenen flankiert werden. Gefordert werden

  1. technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt,
  2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
  3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
  4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
  5. die Anonymisierung und wenn sie nicht möglich ist die Pseudonymisierung personenbezogener Daten,
  6. die Verschlüsselung personenbezogener Daten,
  7. die Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen,
  8. die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung oder
  9. spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben des DSG NRW sowie der DSGVO sicherstellen.

Zeigt sich bei der Risikoabschätzung zur Ermittlung der TOMs, dass bei der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte der Forschungsteilnehmer besteht (z.B. bei umfangreicher Verarbeitung sensibler Daten), so ist außerdem eine strukturierte Sicherheitsprüfung, die sogenannten Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

9.            Forschungskollaborationen, Datenübermittlungen

Datenaustausch mit anderen Forschern und Dienstleistern ist in der Forschung nicht ungewöhnlich. Teilweise erfolgt der Austausch bereits im Forschungsvorhaben mit Kooperationspartnern und Dienstleistern, teilweise erfolgt im Nachhinein, wenn die eigenen Forschungsdaten anderen Forschern zur Verfügung gestellt werden. Über die Datenweitergabe und die Kooperationen sind die Forschungsteilnehmer vor deren Einwilligung zu informieren.

Die Zusammenarbeit mit anderen Forschern oder der Einbindung von Dienstleistern im Forschungsvorhaben ist mit diesen zudem vertraglich zu regeln.

  • Dienstleister werden i.d.R. als sogenannte Auftragsverarbeiter weisungsgebunden tätig. Dies ist ohne zusätzliche Rechtsgrundlage zulässig, wenn die Auftragsverarbeitung (schriftlich) vereinbart wird, der Inhalt der Vereinbarung den gesetzlichen Anforderungen entspricht und die Forschungsteilnehmer über die Einbindung informiert waren. Typische Fälle betreffen online-Befragungswerkzeuge, externe Labore, Data-Management-Dienste, Transkriptionsdienste etc.
  • Legen kooperierende Forscher das Forschungskonzept einschließlich der Zwecke und Mittel der Datenverarbeitung gemeinsam fest, so handelt es sich um datenschutzrechtlich gemeinsam Verantwortliche. In dem Fall muss (schriftlich) vereinbart werden, wer welche Aufgaben aus der DSGVO übernimmt.
  • Werden die Daten später mit anderen Forschern geteilt, so sollten die Daten möglichst anonym, damit die Weitergabe keinen rechtlichen Restriktionen unterliegt. Soll die Weitergabe personenbezogen erfolgen, muss dies von der Einwilligung der Teilnehmer gedeckt sein. Vorsicht: dies betrifft sehr oft auch pseudonyme Daten. Auch hier muss die Nutzungsbefugnis und die vertrauliche Behandlung der Daten vertraglich gesichert werden – dies erfolgt meist durch Data Transfer Agreements (DTA).

10.            Drittlandübermittlungen

Besondere Regeln gelten, wenn der Transfer personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EU + Island, Lichtenstein, Norwegen) soll. Dann verlassen die Daten den Geltungsbereich der DSGVO und gehen in sogenannte „Drittländer“. Einzelheiten zur Drittlandübermittlung finden Sie hier.

11.          Sonstige Pflichten des Verantwortlichen

Darüber hinaus gilt für die Verarbeitung personenbezogener Daten in Forschungsvorhaben dasselbe, wie für andere Verarbeitungen auch. Unter anderem:

  • So ist für die Verarbeitung ein Verarbeitungsverzeichnis zu erstellen.
  • Die üblichen Betroffenenrechte sind zu beachten und zu gewährleisten. Dies sind die Rechte auf Auskunft (einschließlich Datenkopie), Datenberichtigung, Datenlöschung, Einschränkung der Datenverarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung, Widerruf der Einwilligung, Beschwerde bei einer Aufsichtsbehörde.
  • Zwar können Betroffenenrechte bei Forschungsvorhaben eingeschränkt sein, aber das betrifft wegen der strengen Voraussetzungen nur wenige Konstellationen.
  • Im Fall einer Datenschutzpanne muss binnen 72 Stunden die zuständige Aufsichtsbehörde darüber informiert werden. Im Fall eines voraussichtlich hohen Risikos für die Rechte der Forschungsteilnehmer müssen diese ebenfalls und zwar unverzüglich informiert werden. Kontaktieren Sie bei einer Datenschutzpanne im Zweifel sofort Ihren Vorgesetzten und /oder Ihren Datenschutzbeauftragten!