Skip to main content

Forschung

Zählt die Forschungsfreiheit nicht zu den bürgerlichen Grundrechten? Ist nicht das Ermöglichen der Forschung neben der Durchführung von Lehre eine der Hauptaufgaben der Hochschulen? Und was hat die Forschung mit Datenschutz zu tun? In diesem Abschnitt stellen wir die typischen Probleme im Bereich Datenschutz in der Forschung im Ansatz dar und wie diese gemieden werden können.

Forschung und der Datenschutz

Mit der Forschung und dem Datenschutz ist das so eine Sache. Sobald personenbezogene Daten im Rahmen einer Forschung verarbeitet werden, kollidieren zwei Grundrechte miteinander. Zum einen, das grundrechtlich geschützte Interesse der Forscher (Forschungsfreiheit Art. 13 Satz.1 GRCh, Art. 5 Satz 1 GG) und zum anderen das Grundecht auf informationelle Selbstbestimmung (Art. 8 GRCh) des Betroffenen (Umfrageteilnehmer), dessen Umsetzung durch das Datenschutzrecht geregelt wird. Beide Grundrechte stehen auf einer Stufe zueinander, keines tritt bei einer Kollision zurück. Daher wurde ein Ausgleichskonzept erschaffen, dass die Einschränkungen des Grundrechts auf Datenschutz erlaubt. Das Ausgleichskonzept sieht vor, das die DSGVO die Verarbeitung von personenbezogenen Daten im Rahmen der wissenschaftlichen Forschung an einigen Stellen privilegiert. Allerdings kommt die Privilegierung nicht umsonst. Der Verantwortliche hat im Gegenzug bestimmte Garantien (Art. 89 Absatz 1 DSGVO) bei der Verarbeitung einzuhalten.

Neben ethischen Standards, die von Fachgremien, Einrichtungen und Förderorganisationen empfohlen werden, ist genauso der Datenschutz einzuhalten. Auch hier gilt: Werden überhaupt personenbezogene Daten verarbeiten und an wer ist überhaupt verantwortlich?

Personenbezogene Daten können gerade im forschenden Bereich unterschiedlich ausgestaltet sein:

  • Audio- und Videoformate die zum Beispiel bei Interviews entstehen
  • Körperflüssigkeiten, Gewebe etc.
  • Pseudonymisierte Daten: Pseudonyme Daten sind ebenfalls personenbezogene Daten, auch wenn dem Nutzer/Verwender der pseudonymisierten Daten der Schlüssel für die Zuordnung der Daten zu der Person nicht zur Verfügung steht
  • Statistikdaten, Biochemische Daten usw.

Rechtlich unproblematisch ist die Forschung, wenn mit anonymisierten Daten gearbeitet wird, dann müssen die Vorgaben der DSGO nicht berücksichtigt werden. Welche Form der Anonymität allerdings vorliegen muss, ist in der Rechtsprechung noch nicht klar positioniert wurden.

Eine absolute Anonymität liegt vor, wenn die Zuordnung einer Einzelangabe zu einer bestimmten Person unmöglich ist. Wenn man allerdings berücksichtigt, dass sich Daten immer leichter miteinander verknüpfen lassen, da immer größer werdenden Speicherkapazitäten der Rechner zur Leistungssteigerung dieser führen, kann man vermuten, dass eine absolute Anonymität im Grunde genommen nicht möglich ist.

Auch in der DSGVO lässt sich der Grad der Anonymisierung nicht herauslesen. Letztlich der Erwägungsgrund lässt allenfalls ein wenig Interpretationsspielraum, dass eine faktische Anonymität als ausreichend erachtet werden kann: Eine Anonymisierung liegt vor, wenn die Daten in der Form verändert werden, das keinerlei Bezug mehr zu den individuellen Personen hergestellt werden kann, auch nicht durch das zusätzliche hinzuziehen von Informationen (siehe Erwägungsgrund 26 Satz 5 und 6 DSGVO).

Dennoch ist mit dem Umgang der Anonymität Vorsicht zu walten und es muss immer der Einzelfall betrachtet werden: Zum Beispiel ist aus Sicht einer Krankenkasse die Versichertennummer, die bei jedem Versicherten hinterlegt ist, ein personenbezogenes Datum. Aus Sicht einer anderen Stelle, die keinerlei Informationen vorliegen hat, wem die Nummer zugeordnet ist, ist dieses Datum anonym. Genauso verhält es sich mit der vermeintlichen Anonymität bei Gruppenbefragungen und möglichen Fragen zur Person: Viele Evaluationsbögen oder Abfragen erheben teilnehmerbezogene Merkmale (z.B. Geschlecht, Alter, Nationalität etc.). Je mehr teilnehmerbezogene Merkmale erhoben werden, desto höher ist die Wahrscheinlichkeit, dass die Teilnehmer repersonalisiert werden können. Diese Repersonaliserung ist natürlich bei kleinen Gruppen noch einfacher. Beispiel: Von Studierenden an einer Hochschule wird unter anderem das Alter erfragt. Einer der Teilnehmer gibt 95 Jahre an. Die Kombination Student/95 Jahre dürfte bei den Befragten eher selten sein.

Tipp:

  • Arbeiten sie möglichst nicht mit Freitextfeldern, sondern bilden bei Antwortmöglichkeiten Kategorien. Denn gerade, wenn Informationen mit Alleinstellungsmerkmalen verarbeitet werden, kann der Datenschutz eine große Rolle spielen
  • Vorsichtig bei Audio- und Videoaufnahmen von Menschen zu Forschungsvorhaben. Hier kann keine ausreichende Anonymisierung erreicht werden, ohne die Daten für die wissenschaftliche Auswertung nutzlos zu machen. Menschen sind, auch wenn die Bildqualität stark vermindert wurde, teilweise an ihren Gang und/oder charakteristische Stimmen identifizierbar.
  • Bei Langzeitstudien, in denen eine Reidetifizierung zur Zweckerreichung nützlich ist, …
  • Vorsicht walten lassen, bei der Ausgestaltung von Fragen etc. im Rahmen einer kleinen Teilnehmergruppe

Wenn die Durchführung eines Forschungsvorhabens mit anonymen Daten nicht möglich ist und die Vorgaben der DSGVO anzuwenden sind, besteht die Möglichkeit, für die Verarbeitung der personenbezogenen Daten im Rahmen der Forschung die Privilegierungen in Anspruch zu nehmen. Allerdings muss das Vorhaben unter den Forschungsbegriff fallen. Die Forschung hat sich nicht zwingend nur auf bestimmte akademische Einrichtungen, Auftraggeber, Forschungszeile oder Rechtsformen zu beschränken. Vielmehr kommt es darauf an, dass die Forschung das Ziel hat, in methodischer, systematischer und nachprüfbarer Weise neue Erkenntnisse zu gewinnen. Der Begriff der Forschung ist, wer einen Blick in den Erwägungsgrund 159 der DSGVO wirft, weit zu verstehen. Eine Ausweitung ins Grenzenlose ist bei dem Forschungsbegriff aber nicht möglich. Sofern die Forschung aufgrund von wissenschaftlichen Faktoren betrieben wird, fällt er nicht unter den weiten Begriff des wissenschaftlichen Forschungszweckes. Der Begriff des Forschungsvorhabens im Sinne der DSGVO umfasst nicht die (universitäre) Lehre. Sollen personenbezogene Daten auch in der Lehre verwendet werden, so bedarf es einer Einwilligung (oder, sofern geregelt) einer gesetzlichen Rechtsgrundlage.

Eine, im Bereich Forschung und Datenschutz, nicht ganz unerhebliche Frage, ist die Frage nach der Verantwortlichkeit der Datenverarbeitung. Ist es die Hochschule, die als Körperschaft des öffentlichen Rechts als Verantwortliche zu sehen ist oder doch der einzelne Wissenschaftler? Ist es überhaupt möglich, beides strikt voneinander zu trennen? Stichwort: Gemeinsame Verantwortliche. Gerade wenn mehrere Stellen kooperieren, wird es kompliziert. Die Darstellung einzelner Fallgruppen soll (unter Vorbehalt) eine erste Hilfestellung bieten:

  • Sind ausschließlich Beschäftigte einer Hochschule beteiligt, dürfte die Hochschule der Verantwortliche nach der DSGVO sein
  • Sind ausschließlich Beschäftigte einer Hochschule und auch Studierende beteiligt, ist auch hier die Hochschule als Verantwortlicher zu sehen
  • Sind Studierende am Forschungsprojekt maßgebend und der Gegenstand und die Mittel/Methoden der Forschung sind durch die Hochschule festgelegt und es erfolgt eine Betreuung durch Beschäftigte der Hochschule, so ist auch hier die Hochschule Verantwortlicher nach der DSGVO
  • Sind Studierende am Forschungsprojekt maßgebend und der Gegenstand und die Mittel/Methoden der Forschung sind frei und/oder keine Betreuung durch Beschäftigte der Hochschule, so ist anzunehmen, dass die Studierenden Verantwortliche im Sinne der DSGVO sind
  • Sind mehrerer Hochschulen an einem Projekt/Vorhaben beteiligt, so kann ebenfalls von einer gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO ausgegangen werden
  • Im Rahmen einer Dissertation ist in unseren Augen die promovierende Person allein Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Maßgeblich ist hier der § 70 Absatz 1 HmbHG mit heranzuziehen, der ausdrücklich klarstellt, dass die Promotion dem Nachweis der Befähigung zu vertiefter selbständiger wissenschaftlicher Arbeit dient. Allerdings gibt es in diesem Bereich auch andere Stimmen.

Die einzelnen Fallgruppen zeigen, dass jedes Forschungsvorhaben einzeln betrachtet werden muss. Auch bei dem oben dargestellten Fall des Studierenden, der allein das Forschungsprojekt durchführt und keine Betreuung durch Beschäftigte der Hochschule hat, kann dennoch eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO vorliegen. Ebenfalls kann eine gemeinsame Verantwortlichkeit vorliegen, wenn Forschende ihre Forschungsdaten in Repositorien ablegen und ggf. für Sekundäranalysen zur Verfügung stellt.

Wenn die Verarbeitung von personenbezogenen Daten zu wissenschaftlichen Forschungszwecken erfolgt, wird sie explizit gesetzlich privilegiert. Folgende Erleichterungen sieht das Forschungsprivileg vor:

Ausnahme von dem Grundsatz der Zweckbestimmtheit und Zweckbindung

Der Zweckbindungsgrundsatz fordert, dass der Zweck der Datenverarbeitung schon bei der ersten Erhebung möglichst genau bestimmt wird, etwa in einer Einwilligungserklärung oder im entsprechenden Forschungskonzept. Zusätzlich ist die weitere Verarbeitung dieser Daten auch nur an einen bestimmten Zweck gebunden, das heißt, eine Zweckänderung wäre möglich, aber nur durch eine weitere Erlaubnis. Da Forschungsziele und auch die Fragen oft im Vorfeld nicht abschließend geklärt werden können, gibt es im Art. 5 Absatz 1 lit. b Halbsatz 2 DSGVO eine entsprechende Lockerung. Eine Weiterverarbeitung von Daten, die ursprünglich für andere Zwecke erhoben wurden, ist für wissenschaftliche oder historische Forschungszwecke nicht als unvereinbar mit dem ursprünglichen Zweck anzusehen.

Ausnahme von der Speicherbegrenzung

Der Art. 5 Absatz 1 lit. e Halbsatz 2 DSGVO normiert bei einer Datenverarbeitung für Forschungszwecke die Speicherbegrenzung. Sie ermöglicht eine längere Speicherung von personenbezogenen Daten, wenn zu dem ursprünglich verfolgten Zweck ihrer Verarbeitung ein Forschungszweck hinzutritt, der eine längere Speicherung erfordert. Hinweis: Auf jeden Fall ist das für die wissenschaftliche Forschung geltende Gebot zu beachten, personenbezogene Daten nach Möglichkeit zu anonymisieren oder zu pseudonymisieren.

Beschränkung bestimmter Betroffenenrechte

Über die Datenverarbeitung muss informiert werden, das sagt die entsprechende Regelung in Art. 13 DSGVO. Sofern die Daten allerdings nicht bei der betroffenen Person erhoben werden, sondern durch eine Recherche in öffentlich verfügbaren Quellen oder durch Befragung Dritter, legt Art. 14 DSGVO den Umfang der Informationspflicht fest. Der Art. 14 Absatz 5 lit. b Halbsatz 2 DSGVO setzt allerdings eine Ausnahme für wissenschaftliche Forschungszwecke fest. Der Forschende ist von der aufwendigen Pflicht, die von der Datenverarbeitung betroffenen Personen proaktiv zu informieren, ausgeschlossen. Diese Ausnahme greift aber nur bei Daten, die nicht direkt beim Betroffenen erhoben wurden. Diese Erleichterung kommt insbesondere bei massenhaften quantitativen Auswertungen von öffentlich zugänglichen personenbezogenen Daten infrage. Des Weiteren hat die DSGVO und auch das HmbDSG in § 11 weitere Ausnahmen im Bereich der sogenannten Einflussrechte der Betroffenen (Art. 15-21 DSGVO) zum Schutz der Wissenschaftsfreiheit normiert. Betroffenenrechte sind einzuschränken, wenn sich bei der Durchsetzung dieser die Durchführung der Forschung nicht verwirklichen ließe. Auf weitere Details kann hier nicht eingegangen werden. Allerdings darf ein wichtiger Punkt an dieser Stelle nicht außer Acht gelassen werden: Bei all den Einschränkungen der Betroffenenrechte bedarf es einer Abwägung zwischen dem Recht auf informationelle Selbstbestimmung des Betroffenen und dem Forschungszweck. Die vorgenommenen Abwägungen sind zu dokumentieren!


Wie zu Beginn erwähnt, kommt die Privilegierung nicht umsonst. Die forschende Person muss, um die Privilegierungen zu nutzen, einen Ausgleich schaffen, indem sie bei der Verarbeitung der personenbezogenen Daten durch sogenannte geeignete Garantien der Schutz der Betroffenenrechte gewährleisten.

Geeignete Garantien

Dabei handelt es sich in erster Linie um technische und organisatorische Maßnahmen, um die Zwecke des Datenschutzes sicherzustellen. Beispielsweise durch getrennte Speicherung von Identifikatoren und Daten, personenbezogene Daten zu anonymisieren, sobald der Forschungszweck dies erlaubt. Auch die Festlegung von Speicherfristen kann eine geeignetes Mittel sein um die Betroffenenrechte zu gewährleisten.

Beispiele: Eine Geheimhaltungsvereinbarung (in Form einer vertraglichen Verpflichtung auf Einhaltung des Datenschutzes) kann eine organisatorische Maßnahme darstellen. Die Übermittlung von Daten in verschlüsselter Form kann zum Beispiel als technische Maßnahme infrage kommen. Des Weiteren kann eine Regelung von Zugriffsrechten ebenfalls die datenschutzkonforme Verwendung von personenbezogenen Daten sicherstellen. Diese Regelungen können beispielsweise im Rahmen der Nutzungsverträge mit den Forschenden festgelegt und dokumentiert werden.

Anonymisierungsgebot

Es gilt für die Forschungsdaten eine explizite Anonymisierungspflicht, „sobald der Forschungs- oder Statistikzweck dies zulässt…“ (Anonymisierungsgebot für die Forschung Art. 89 Absatz 1 Satz 4 DSGVO umgesetzt durch den § 11 Absatz 2 HmbDSG). Ist aufgrund des Forschungsvorhabens an eine Anonymisierung nicht zu denken, sind die personenbezogenen Daten zu pseudonymisieren. Das Gebot der Anonymisierung spiegelt ein wenig die Prinzipien der Datenminimierung und der Speicherbegrenzung wider, die bei einem Forschungsvorhaben privilegiert wurden.

Achtung

Es muss berücksichtigt werden, dass die Anonymisierung auch eine Verarbeitungstätigkeit ist, die einer Rechtsgrundlage bedarf.

Rechtsgrundlage

Auch bei der Verarbeitung personenbezogener Daten im Rahmen einer wissenschaftlichen Forschung gilt: Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt entweder eine Einwilligung oder eine gesetzliche Grundlage in Betracht.

Die Einwilligung in die Verarbeitung personenbezogener Daten ist nur dann wirksam, wenn die betroffene Person vorher über Umfang und Tragweite des Eingriffs informiert wurde. Auch wenn eine Einwilligung mündlich oder durch schlüssiges Verhalten gegeben werden kann, sollte die Einwilligung schriftlich eingeholt oder aber z.B. bei Online-Fragebögen/Anmeldemasken das Verfahren technisch so gestalten werden, dass die Teilnehmenden den Fragebogen erst und nur dann erreichen, wenn sie zuvor in die Datenverarbeitung eingewilligt haben. Nur so kann der sogenannten Rechenschaftspflicht nachgekommen werden. Normalerweise ist der Zweck der Verarbeitung sehr eng gefasst. Allerdings gilt für die Datenverarbeitung zu Forschungszwecken eine Erleichterung, die auch einen weit gefassten Verarbeitungszweck erlaubt, s.o. Art. 5 Absatz 1 lit. b Halbsatz 2 DSGVO.

Bestimmte Forschungsziele können nur mit der Verarbeitung von personenbezogenen Daten erreicht werden. Daher hat der Gesetzgeber bestimmte gesetzliche Rechtsgrundlagen normiert, die eine Verarbeitung von personenbezogenen Daten auch ohne Einwilligung ermöglichen. Ein Beispiel ist der § 75 SGB X, der gestattet die Übermittlung von Sozialdaten an die Forschung, wenn sie für ein bestimmtes Forschungsvorhaben im Sozialleistungsbereich oder in der wissenschaftlichen Arbeitsmarkt- und Berufsforschung erforderlich sind. Weitere Bereichsspezifische Gesetze mit Vorschriften zum Datenschutz in der Forschung sind u. a. das Bundeskrebsregistergesetz, die Landeskrankenhausgesetze oder die Landesarchivgesetze.

Eine gesetzliche Rechtsgrundlage für die Hochschulen kann der Art. 6 Absatz 1 lit. e DSGVO in Verbindung mit § 3 HmbDSG darstellen. Nach § 3 HmbDSG ist die Datenverarbeitung zulässig, wenn sie notwendig ist, um Aufgaben der öffentlichen Stelle zu erfüllen oder um öffentliche Interessen zu verfolgen. Da nach dem HmbHG eine Hauptaufgabe der Hochschulen die Forschung ist, dürfen ihre Mitglieder zu Forschungszwecken personenbezogene Daten verarbeiten. Auch in diesem Fall müssen die Hochschulen die Garantien bieten, die für den Forschungszweck möglich sind, s.o.

Eine weitere gesetzliche Rechtsgrundlage kann der § 11 Absatz 1 Satz 2 HmbDSG darstellen. Danach dürfen personenbezogene Daten verarbeitet werden, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise erreicht werden kann oder erheblich beeinträchtigt würde. In diesem Fall muss immer eine Betrachtung des Einzelfalls vorgenommen werden, bei der das wissenschaftliche Interesse das Interesse des Betroffenen im Ergebnis erheblich überwiegen muss. Durch das Wort „erheblich“ im HmbDSG macht der Gesetzgeber deutlich, dass an dieser Stelle strenge Anforderungen an die Datenverarbeitung zu setzen sind. Eine präzise Abwägung zwischen dem Forschungsinteresse und den schutzwürdigen Belangen des Betroffenen ist zwingend notwendig und zu dokumentieren.

Das überwiegende wissenschaftliche Interesse muss gegebenenfalls gerichtlich nachprüfbar sein. Gerichte wiederum gewichten das wissenschaftliche Interesse im Zweifel anders als Forschende. Somit wäre es rechtsicherer, dass die Datenverarbeitung des Forschungsvorhabens nicht auf § 11 Absatz 1 Satz 2 HmbDSG zu stützen, sondern den Weg über Art. 6 Absatz 1 lit. e DSGVO in Verbindung mit dem § 3 HmbDSG zu gehen oder die Einwilligung zu nehmen.

Datenschutzinformation

Werden personenbezogene Daten im Rahmen eines Forschungsvorhabens bei der betroffenen Person in Form einer Erhebung verarbeitet, ist diese Person im Zeitpunkt der Erhebung nach Art. 13 DSGVO zu informieren. Wenn die Daten nicht bei dem Betroffenen sondern durch Dritte erhoben werden (siehe Art. 14 DSGVO) müssen die betroffenen Personen innerhalb einer angemessenen Frist, spätestens aber innerhalb eines Monats nach Erhalt der Daten, informiert werden. Für wissenschaftliche Zwecke kann unter Umständen von der Information nach Art. 14 DSGVO abgesehen werden, siehe Art. 14 Absatz 5 lit. b Halbsatz 2 DSGVO (nicht aber von der nach Art. 13 DSGVO). Das ist bei Forschungsvorhaben förderlich, wenn man sich großer Datenmengen aus den sozialen Netzwerken bedient. Soll von der Information nach Art. 14 DSGVO abgesehen werden, müssen die entsprechenden Erwägungen dokumentiert werden. Bevor Sie von einer Information nach Art. 14 DSGVO absehen, kontaktieren Sie bitte den Datenschutzbeauftragten.

Weiterleitung von personenbezogenen Daten

Um forschen zu können, nutzen Einrichtungen häufig Technik und Knowhow von außen. In dieser Situation kommt es zwangsläufig zu einer Weiterleitung von Daten.

In der Forschung erfolgt häufig ein Austausch von personenbezogenen Daten. Entweder mit Forschungspartnern und Dienstleistern oder aber im Anschluss der Forschung, wenn die eignen Forschungsdaten anderen Forschern zur Verfügung gestellt werden. Folgende Punkte sind zu berücksichtigen:

  • Über die Datenweitergabe und Kooperationen sind die Betroffenen rechtzeitig zu informieren
  • Beauftragte Unternehmen, die als Dienstleister tätig sind, werden in der Regel als sogenannte Auftragsverarbeiter weisungsgebunden tätig. Die Auftragsverarbeitung ist schriftlich zu vereinbaren. Auch über die Einbindung eines Dienstleisters sind die Betroffenen zu informieren

Beispiele für eine typische Auftragsverarbeitung: online-Befragungswerkzeuge, externe Labore, Data-Management-Dienste, Transkriptionsdienste etc.

  • Um eine gemeinsame Verantwortung kann es sich handeln, wenn kooperierende Forscher gemeinsam das Forschungskonzept einschließlich der Zwecke und Mittel der Datenverarbeitung festlegen

Besondere Regeln gelten, wenn der Transfer personenbezogener Daten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums erfolgen soll. Dann verlassen die Daten den Geltungsbereich der DSGVO und gehen in sogenannte „Drittländer“. Das ist nach Art. 44ff. DSGVO nur zulässig, wenn ausreichende Garantien bestehen, dass die personenbezogenen Daten dort so behandelt werden und die betroffenen Person dort vergleichbare Rechte hat wie in der Europäischen Union.

Die Veröffentlichung von Daten führt dazu, dass Informationen einem potenziell unbegrenzten Personenkreis zugänglich gemacht werden. Da das einen besonders intensiven Eingriff in die Rechte des betroffenen darstellen, sind die im Rahmen der Forschungsarbeit gewonnen Ergebnisse zu anonymisieren.

Löschung

Wie bei jeder Verarbeitung kommt auch im Forschungsbereich der Zeitpunkt, an dem die verwendeten Daten nicht länger gespeichert werden dürfen. Das kann sich nach Erlaubnistatbestand und Projekt ganz unterschiedliche Gründe haben:

  • Die Zweckerreichung ist eingetreten
  • Die in der Einwilligung angegebenen Speicherdauer ist erreicht
  • Die Einwilligung wurde in die Datenverarbeitung evtl. widerrufen

Allerdings sollte nur mit Bedacht gelöscht werden. Es kann sein, dass Daten aus gesetzlichen Gründen länger aufbewahrt werden müssen.  Werden die Daten von mehreren Forschungseinrichtungen genutzt und möglicherweise verteilt verarbeitet, muss sichergestellt werden, dass alle Kopien der Daten entsprechend vernichtet werden.

Stand: 06.08.2020
Author: Jörn Luckfiel