Zählt die Forschungsfreiheit nicht zu den bürgerlichen Grundrechten? Ist nicht das Ermöglichen der Forschung neben der Durchführung von Lehre eine der Hauptaufgaben der Hochschulen? Und was hat die Forschung mit Datenschutz zu tun? In diesem Abschnitt stellen wir die typischen Probleme im Bereich Datenschutz in der Forschung im Ansatz dar und wie diese gemieden werden können.
Mit der Forschung und dem Datenschutz ist das so eine Sache. Sobald personenbezogene Daten im Rahmen einer Forschung verarbeitet werden, kollidieren zwei Grundrechte miteinander. Zum einen, das grundrechtlich geschützte Interesse der Forscher (Forschungsfreiheit Art. 13 Satz.1 GRCh, Art. 5 Satz 1 GG) und zum anderen das Grundecht auf informationelle Selbstbestimmung (Art. 8 GRCh) des Betroffenen (Umfrageteilnehmer), dessen Umsetzung durch das Datenschutzrecht geregelt wird. Beide Grundrechte stehen auf einer Stufe zueinander, keines tritt bei einer Kollision zurück. Daher wurde ein Ausgleichskonzept erschaffen, dass die Einschränkungen des Grundrechts auf Datenschutz erlaubt. Das Ausgleichskonzept sieht vor, das die DSGVO die Verarbeitung von personenbezogenen Daten im Rahmen der wissenschaftlichen Forschung an einigen Stellen privilegiert. Allerdings kommt die Privilegierung nicht umsonst. Der Verantwortliche hat im Gegenzug bestimmte Garantien (Art. 89 Absatz 1 DSGVO) bei der Verarbeitung einzuhalten.
Neben ethischen Standards, die von Fachgremien, Einrichtungen und Förderorganisationen empfohlen werden, ist genauso der Datenschutz einzuhalten. Auch hier gilt: Werden überhaupt personenbezogene Daten verarbeiten und an wer ist überhaupt verantwortlich?
Personenbezogene Daten können gerade im forschenden Bereich unterschiedlich ausgestaltet sein:
Rechtlich unproblematisch ist die Forschung, wenn mit anonymisierten Daten gearbeitet wird, dann müssen die Vorgaben der DSGO nicht berücksichtigt werden. Welche Form der Anonymität allerdings vorliegen muss, ist in der Rechtsprechung noch nicht klar positioniert wurden.
Eine absolute Anonymität liegt vor, wenn die Zuordnung einer Einzelangabe zu einer bestimmten Person unmöglich ist. Wenn man allerdings berücksichtigt, dass sich Daten immer leichter miteinander verknüpfen lassen, da immer größer werdenden Speicherkapazitäten der Rechner zur Leistungssteigerung dieser führen, kann man vermuten, dass eine absolute Anonymität im Grunde genommen nicht möglich ist.
Auch in der DSGVO lässt sich der Grad der Anforderung an eine Anonymisierung nicht herauslesen. Letztlich der Erwägungsgrund erlaubt allenfalls ein wenig Interpretationsspielraum, dass eine faktische Anonymität als ausreichend erachtet werden kann: Eine Anonymisierung liegt vor, wenn die Daten in der Form verändert werden, das keinerlei Bezug mehr zu den individuellen Personen hergestellt werden kann, auch nicht durch das zusätzliche hinzuziehen von Informationen (siehe Erwägungsgrund 26 Satz 5 und 6 DSGVO).
Dennoch ist mit dem Umgang der Anonymität Vorsicht zu walten und es muss immer der Einzelfall betrachtet werden: Zum Beispiel ist aus Sicht einer Krankenkasse die Versichertennummer, die bei jedem Versicherten hinterlegt ist, ein personenbezogenes Datum. Aus Sicht einer anderen Stelle, die keinerlei Informationen vorliegen hat, wem die Nummer zugeordnet ist, ist dieses Datum anonym. Genauso verhält es sich mit der vermeintlichen Anonymität bei Gruppenbefragungen und möglichen Fragen zur Person: Viele Evaluationsbögen oder Abfragen erheben teilnehmerbezogene Merkmale (z.B. Geschlecht, Alter, Nationalität etc.). Je mehr teilnehmerbezogene Merkmale erhoben werden, desto höher ist die Wahrscheinlichkeit, dass die Teilnehmer repersonalisiert werden können. Diese Repersonaliserung ist natürlich bei kleinen Gruppen noch einfacher. Beispiel: Von Studierenden an einer Hochschule wird unter anderem das Alter erfragt. Einer der Teilnehmer gibt 95 Jahre an. Die Kombination Student/95 Jahre dürfte bei den Befragten eher selten sein.
Wenn die Durchführung eines Forschungsvorhabens mit anonymen Daten nicht möglich ist und die Vorgaben der DSGVO anzuwenden sind, besteht die Möglichkeit, für die Verarbeitung der personenbezogenen Daten im Rahmen der Forschung die Privilegierungen in Anspruch zu nehmen. Allerdings muss das Vorhaben unter den Forschungsbegriff fallen. Die Forschung hat sich nicht zwingend nur auf bestimmte akademische Einrichtungen, Auftraggeber, Forschungszeile oder Rechtsformen zu beschränken. Vielmehr kommt es darauf an, dass die Forschung das Ziel hat, in methodischer, systematischer und nachprüfbarer Weise neue Erkenntnisse zu gewinnen. Der Begriff der Forschung ist, wer einen Blick in den Erwägungsgrund 159 der DSGVO wirft, weit zu verstehen. Eine Ausweitung ins Grenzenlose ist bei dem Forschungsbegriff aber nicht möglich. Sofern die Forschung aufgrund von wissenschaftlichen Faktoren betrieben wird, fällt er nicht unter den weiten Begriff des wissenschaftlichen Forschungszweckes. Der Begriff des Forschungsvorhabens im Sinne der DSGVO umfasst nicht die (universitäre) Lehre. Sollen personenbezogene Daten auch in der Lehre verwendet werden, so bedarf es einer Einwilligung (oder, sofern geregelt) einer gesetzlichen Rechtsgrundlage.
Eine, im Bereich Forschung und Datenschutz, nicht ganz unerhebliche Frage, ist die Frage nach der Verantwortlichkeit der Datenverarbeitung. Ist es die Hochschule, die als Körperschaft des öffentlichen Rechts als Verantwortliche zu sehen ist oder doch der einzelne Wissenschaftler? Ist es überhaupt möglich, beides strikt voneinander zu trennen? Stichwort: Gemeinsame Verantwortliche. Gerade wenn mehrere Stellen kooperieren, wird es kompliziert. Die Darstellung einzelner Fallgruppen soll (unter Vorbehalt) eine erste Hilfestellung bieten:
Die einzelnen Fallgruppen zeigen, dass jedes Forschungsvorhaben einzeln betrachtet werden muss. Auch bei dem oben dargestellten Fall des Studierenden, der allein das Forschungsprojekt durchführt und keine Betreuung durch Beschäftigte der Hochschule hat, kann dennoch eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO vorliegen. Ebenfalls kann eine gemeinsame Verantwortlichkeit vorliegen, wenn Forschende ihre Forschungsdaten in Repositorien ablegen und ggf. für Sekundäranalysen zur Verfügung stellt.
Wenn die Verarbeitung von personenbezogenen Daten zu wissenschaftlichen Forschungszwecken erfolgt, wird sie explizit gesetzlich privilegiert. Folgende Erleichterungen sieht das Forschungsprivileg vor:
Der Zweckbindungsgrundsatz fordert, dass der Zweck der Datenverarbeitung schon bei der ersten Erhebung möglichst genau bestimmt wird, etwa in einer Einwilligungserklärung oder im entsprechenden Forschungskonzept. Zusätzlich ist die weitere Verarbeitung dieser Daten auch nur an einen bestimmten Zweck gebunden, das heißt, eine Zweckänderung wäre möglich, aber nur durch eine weitere Erlaubnis. Da Forschungsziele und auch die Fragen oft im Vorfeld nicht abschließend geklärt werden können, gibt es im Art. 5 Absatz 1 lit. b Halbsatz 2 DSGVO eine entsprechende Lockerung. Eine Weiterverarbeitung von Daten, die ursprünglich für andere Zwecke erhoben wurden, ist für wissenschaftliche oder historische Forschungszwecke nicht als unvereinbar mit dem ursprünglichen Zweck anzusehen.
Der Art. 5 Absatz 1 lit. e Halbsatz 2 DSGVO normiert bei einer Datenverarbeitung für Forschungszwecke die Speicherbegrenzung. Sie ermöglicht eine längere Speicherung von personenbezogenen Daten, wenn zu dem ursprünglich verfolgten Zweck ihrer Verarbeitung ein Forschungszweck hinzutritt, der eine längere Speicherung erfordert. Hinweis: Auf jeden Fall ist das für die wissenschaftliche Forschung geltende Gebot zu beachten, personenbezogene Daten nach Möglichkeit zu anonymisieren oder zu pseudonymisieren.
Über die Datenverarbeitung muss informiert werden, das sagt die entsprechende Regelung in Art. 13 DSGVO. Sofern die Daten allerdings nicht bei der betroffenen Person erhoben werden, sondern durch eine Recherche in öffentlich verfügbaren Quellen oder durch Befragung Dritter, legt Art. 14 DSGVO den Umfang der Informationspflicht fest. Der Art. 14 Absatz 5 lit. b Halbsatz 2 DSGVO setzt allerdings eine Ausnahme für wissenschaftliche Forschungszwecke fest. Der Forschende ist von der aufwendigen Pflicht, die von der Datenverarbeitung betroffenen Personen proaktiv zu informieren, ausgeschlossen. Diese Ausnahme greift aber nur bei Daten, die nicht direkt beim Betroffenen erhoben wurden. Diese Erleichterung kommt insbesondere bei massenhaften quantitativen Auswertungen von öffentlich zugänglichen personenbezogenen Daten infrage. Des Weiteren hat die DSGVO und auch das HmbDSG in § 11 weitere Ausnahmen im Bereich der sogenannten Einflussrechte der Betroffenen (Art. 15-21 DSGVO) zum Schutz der Wissenschaftsfreiheit normiert. Betroffenenrechte sind einzuschränken, wenn sich bei der Durchsetzung dieser die Durchführung der Forschung nicht verwirklichen ließe. Auf weitere Details kann hier nicht eingegangen werden. Allerdings darf ein wichtiger Punkt an dieser Stelle nicht außer Acht gelassen werden: Bei all den Einschränkungen der Betroffenenrechte bedarf es einer Abwägung zwischen dem Recht auf informationelle Selbstbestimmung des Betroffenen und dem Forschungszweck. Die vorgenommenen Abwägungen sind zu dokumentieren!
Wie zu Beginn erwähnt, kommt die Privilegierung nicht umsonst. Die forschende Person muss, um die Privilegierungen zu nutzen, einen Ausgleich schaffen, indem sie bei der Verarbeitung der personenbezogenen Daten durch sogenannte geeignete Garantien der Schutz der Betroffenenrechte gewährleisten.
Dabei handelt es sich in erster Linie um technische und organisatorische Maßnahmen, um die Zwecke des Datenschutzes sicherzustellen. Beispielsweise durch getrennte Speicherung von Identifikatoren und Daten, personenbezogene Daten zu anonymisieren, sobald der Forschungszweck dies erlaubt. Auch die Festlegung von Speicherfristen kann ein geeignetes Mittel sein um die Betroffenenrechte zu gewährleisten.
Beispiele: Eine Geheimhaltungsvereinbarung (in Form einer vertraglichen Verpflichtung auf Einhaltung des Datenschutzes) kann eine organisatorische Maßnahme darstellen. Die Übermittlung von Daten in verschlüsselter Form kann zum Beispiel als technische Maßnahme infrage kommen. Des Weiteren kann eine Regelung von Zugriffsrechten ebenfalls die datenschutzkonforme Verwendung von personenbezogenen Daten sicherstellen. Diese Regelungen können beispielsweise im Rahmen der Nutzungsverträge mit den Forschenden festgelegt und dokumentiert werden.
Es gilt für die Forschungsdaten eine explizite Anonymisierungspflicht, „sobald der Forschungs- oder Statistikzweck dies zulässt…“ (Anonymisierungsgebot für die Forschung Art. 89 Absatz 1 Satz 4 DSGVO umgesetzt durch den § 11 Absatz 2 HmbDSG). Ist aufgrund des Forschungsvorhabens an eine Anonymisierung nicht zu denken, sind die personenbezogenen Daten zu pseudonymisieren. Das Gebot der Anonymisierung spiegelt ein wenig die Prinzipien der Datenminimierung und der Speicherbegrenzung wider, die bei einem Forschungsvorhaben privilegiert wurden.
Es muss berücksichtigt werden, dass die Anonymisierung auch eine Verarbeitungstätigkeit ist, die einer Rechtsgrundlage bedarf.
Um Umfragen möglichst einfach durchzuführen, kommen häufig webbasierte Umfrage-Tools infrage. Bei der Nutzung solcher Tools werden häufig mehrfach Personenbezogene Daten verarbeitet.
Bei dem Aufruf einer Fragebogenseiten wird die IP-Adresse der Teilnehmer*innen übermittelt. Hierbei handelt es sich bei der IP-Adresse um ein personenbezogenes Datum.
Sofern sich die Hochschule zur Umfrage der Dienstleistung eines Dritten bedient, ist sicherzustellen, dass dieser keinen Zugriff auf die personenbezogenen Daten hat. Bitte achten Sie darauf, möglichst wenig Personenbezogene Daten zu erheben (Grundsatz der Datensparsamkeit). Schließen Sie mit dem Umfragedienstleister unbedingt einen Auftragsverarbeitungsvertrag ab, indem unter anderem vereinbart wird, dass der Auftragsverarbeiter die personenbezogenen Daten nicht für eigene Zwecke nutzen darf. Hat der Auftragsverarbeiter auch noch seinen Sitz oder seine Server außerhalb der EU, handelt es sich bei der technisch notwendigen Verarbeitung der IP-Adressen um eine Übermittlung in ein Drittland. Die Übermittlung dieser Daten unterliegt natürlich zusätzlichen und strengen Anforderungen.
Daher empfehlen wir ausdrücklich, nutzen Sie am besten (Umfrage-)Tools, die Ihnen bereits von dem Rechenzentrum Ihrer Hochschule zur Verfügung gestellt werden.
Auch bei der Verarbeitung personenbezogener Daten im Rahmen einer wissenschaftlichen Forschung gilt: Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt entweder eine Einwilligung oder eine gesetzliche Grundlage in Betracht.
Die Einwilligung in die Verarbeitung personenbezogener Daten ist nur dann wirksam, wenn die betroffene Person vorher über Umfang und Tragweite des Eingriffs informiert wurde. Auch wenn eine Einwilligung mündlich oder durch schlüssiges Verhalten gegeben werden kann, sollte die Einwilligung schriftlich eingeholt oder aber z.B. bei Online-Fragebögen/Anmeldemasken das Verfahren technisch so gestalten werden, dass die Teilnehmenden den Fragebogen erst und nur dann erreichen, wenn sie zuvor in die Datenverarbeitung eingewilligt haben. Nur so kann der Rechenschaftspflicht nachgekommen werden. Normalerweise ist der Zweck der Verarbeitung sehr eng gefasst. Allerdings gilt für die Datenverarbeitung zu Forschungszwecken eine Erleichterung, die auch einen weit gefassten Verarbeitungszweck erlaubt, s.o. Art. 5 Absatz 1 lit. b Halbsatz 2 DSGVO.
Bestimmte Forschungsziele können nur mit der Verarbeitung von personenbezogenen Daten erreicht werden. Daher hat der Gesetzgeber bestimmte gesetzliche Rechtsgrundlagen normiert, die eine Verarbeitung von personenbezogenen Daten auch ohne Einwilligung ermöglichen. Ein Beispiel ist der § 75 SGB X, der gestattet die Übermittlung von Sozialdaten an die Forschung, wenn sie für ein bestimmtes Forschungsvorhaben im Sozialleistungsbereich oder in der wissenschaftlichen Arbeitsmarkt- und Berufsforschung erforderlich sind. Weitere Bereichsspezifische Gesetze mit Vorschriften zum Datenschutz in der Forschung sind u. a. das Bundeskrebsregistergesetz, die Landeskrankenhausgesetze oder die Landesarchivgesetze.
Eine gesetzliche Rechtsgrundlage für die Hochschulen kann der Art. 6 Absatz 1 lit. e DSGVO in Verbindung mit § 3 HmbDSG darstellen. Nach § 3 HmbDSG ist die Datenverarbeitung zulässig, wenn sie notwendig ist, um Aufgaben der öffentlichen Stelle zu erfüllen oder um öffentliche Interessen zu verfolgen. Da nach dem HmbHG eine Hauptaufgabe der Hochschulen die Forschung ist, dürfen ihre Mitglieder zu Forschungszwecken personenbezogene Daten verarbeiten. Auch in diesem Fall müssen die Hochschulen die Garantien bieten, die für den Forschungszweck möglich sind, s.o.
Eine weitere gesetzliche Rechtsgrundlage kann der § 11 Absatz 1 Satz 2 HmbDSG darstellen. Danach dürfen personenbezogene Daten verarbeitet werden, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise erreicht werden kann oder erheblich beeinträchtigt würde. In diesem Fall muss immer eine Betrachtung des Einzelfalls vorgenommen werden, bei der das wissenschaftliche Interesse das Interesse des Betroffenen im Ergebnis erheblich überwiegen muss. Durch das Wort „erheblich“ im HmbDSG macht der Gesetzgeber deutlich, dass an dieser Stelle strenge Anforderungen an die Datenverarbeitung zu setzen sind. Eine präzise Abwägung zwischen dem Forschungsinteresse und den schutzwürdigen Belangen des Betroffenen ist zwingend notwendig und zu dokumentieren.
Sofern bei einem Forschungsvorhaben die Verarbeitung von personenbezogenen Daten auf eine gesetzliche Rechtsgrundlage gestützt wird, ist üblicherweise die Voraussetzung, dass die Verarbeitung zu diesen Zwecken erforderlich ist und schutzwürdige Belange der betroffenen Person nicht überwiegen. Im Streitfall muss das überwiegende wissenschaftliche Interesse gegebenenfalls gerichtlich nachprüfbar sein. Gerichte wiederum gewichten das wissenschaftliche Interesse im Zweifel anders als Forschende. Es wäre somit rechtsicherer, die Datenverarbeitung des Forschungsvorhabens nicht auf § 11 Absatz 1 Satz 2 HmbDSG zu stützen, sondern den Weg über Art. 6 Absatz 1 lit. e DSGVO in Verbindung mit dem § 3 HmbDSG zu gehen.
Das Verarbeiten von personenbezogenen Daten auf Grundlage einer Einwilligung ist aus forschungsethischer Sicht allerdings die beste Lösung. Nur so kommt der freie Teilnahmewille des Probanden zum Ausdruck und der Proband*in wird nicht zum Forschungsgegenstand degradiert und bleibt ein respektiertes Subjekt.
Bestimmte Ethik- oder Verhaltenskodizes des konkreten Wissenschaftszweiges rmüssen bitte zusätzlich berücksichtigt werden.
Werden personenbezogene Daten im Rahmen eines Forschungsvorhabens bei der betroffenen Person in Form einer Erhebung verarbeitet, ist diese Person im Zeitpunkt der Erhebung nach Art. 13 DSGVO zu informieren. Wenn die Daten nicht bei dem Betroffenen, sondern durch Dritte erhoben werden (siehe Art. 14 DSGVO) müssen die betroffenen Personen innerhalb einer angemessenen Frist, spätestens aber innerhalb eines Monats nach Erhalt der Daten, informiert werden. Für wissenschaftliche Zwecke kann unter Umständen von der Information nach Art. 14 DSGVO abgesehen werden, siehe Art. 14 Absatz 5 lit. b Halbsatz 2 DSGVO (nicht aber von der nach Art. 13 DSGVO). Das ist bei Forschungsvorhaben förderlich, wenn man sich großer Datenmengen aus den sozialen Netzwerken bedient. Soll von der Information nach Art. 14 DSGVO abgesehen werden, müssen die entsprechenden Erwägungen dokumentiert werden. Bevor Sie von einer Information nach Art. 14 DSGVO absehen, kontaktieren Sie bitte den Datenschutzbeauftragten.
Um forschen zu können, nutzen Einrichtungen häufig Technik und Knowhow von außen. In dieser Situation kommt es zwangsläufig zu einer Weiterleitung von Daten.
In der Forschung erfolgt häufig ein Austausch von personenbezogenen Daten. Entweder mit Forschungspartnern und Dienstleistern oder aber im Anschluss der Forschung, wenn die eignen Forschungsdaten anderen Forschern zur Verfügung gestellt werden. Folgende Punkte sind zu berücksichtigen:
Beispiele für eine typische Auftragsverarbeitung: online-Befragungswerkzeuge, externe Labore, Data-Management-Dienste, Transkriptionsdienste etc.
Besondere Regeln gelten, wenn der Transfer personenbezogener Daten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums erfolgen soll. Dann verlassen die Daten den Geltungsbereich der DSGVO und gehen in sogenannte „Drittländer“. Das ist nach Art. 44ff. DSGVO nur zulässig, wenn ausreichende Garantien bestehen, dass die personenbezogenen Daten dort so behandelt werden und die betroffene Person dort vergleichbare Rechte hat wie in der Europäischen Union.
Die Veröffentlichung von Daten führt dazu, dass Informationen einem potenziell unbegrenzten Personenkreis zugänglich gemacht werden. Da das einen besonders intensiven Eingriff in die Rechte des betroffenen darstellen, sind die im Rahmen der Forschungsarbeit gewonnen Ergebnisse zu anonymisieren.
Wie bei jeder Verarbeitung kommt auch im Forschungsbereich der Zeitpunkt, an dem die verwendeten Daten nicht länger gespeichert werden dürfen. Das kann sich nach Erlaubnistatbestand und Projekt ganz unterschiedliche Gründe haben:
Allerdings sollte nur mit Bedacht gelöscht werden. Es kann sein, dass Daten aus gesetzlichen Gründen länger aufbewahrt werden müssen. Werden die Daten von mehreren Forschungseinrichtungen genutzt und möglicherweise verteilt verarbeitet, muss sichergestellt werden, dass alle Kopien der Daten entsprechend vernichtet werden.