Navigation

Kontakt

Datenschutzbeauftragter

Ass. iur. Patrick Rüscher

Raum: V04 1-136

Tel: 0441 798-4196

Postanschrift

Carl von Ossietzky Universität Oldenburg
Der Datenschutzbeauftragte
Ammerländer Heerstraße 114-118
26129 Oldenburg

Lageplan

Datenschutz bei Forschungsvorhaben

Version des Dokuments: 1.2

Stand: 08.01.2019

Der nachfolgende Leitfaden soll Forschenden eine Orientierung ermöglichen, was aufgrund Datenschutz-Grundverordung (DSGVO) und Nds. Datenschutzgesetz (NDSG) bei der Verarbeitung personenbezogender Daten zu beachten ist.

Keinesfalls ersetzt dieser Leitfaden eine Beratung durch den Datenschutzbeauftragten oder eine sonstige qualifizierte Person.

Anregungen und Kritik richten Sie bitte an dsuni@oul.de.

1. Was sind Personenbezogene Daten?

Datenschutz wird immer und nur dort relevant, wo personenbezogene Daten verarbeitet werden. Anonymisierte (nicht: pseudonymisierte) Daten dürfen aus datenschutzrechtlicher Sicht ohne jede Einschränkung verarbeitet werden. Wann aber liegen personenbezogene Daten vor?

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als

"alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann".

Derzeit ist umstritten, ob Personenbezug auch dann besteht, wenn die betroffene Person nur mit einem Aufwand zu ermitteln wäre, der in keinem Verhältnis zur Bedeutung des Datums steht (früher sog. "faktische Anonymität"). Der Wortlaut der DSGVO differenziert allerdings nicht bzgl. des erforderlichen Aufwandes, sondern lässt es ausreichen, wenn die betroffene Person (gleich mit welchem Aufwand) identifiziert werden kann. Rechtlich sicherer erscheint es daher, vorerst auch in vorbenannten Fällen von einem Personenbezug auszugehen.

Personenbezogene Daten sind daher insbesondere:

- Pseudonymisierte Daten. Und zwar auch dann, wenn Ihnen der Pseudonymisierungsschlüssel nicht bekannt ist, weil diesen ein Dritter verwahrt oder der/die Proband/in das Pseudonym selbst erstellt.

- In Audio (Tonband, MP3, .wav, etc.) aufgenommene Interviews. Die Stimme ist ähnlich wie der Fingerabdruck eines Menschen einzigartig. Ein verlässliches Verfahren, das eine Stimme derart verfremdet, dass diese nicht mehr identifiziert werden kann, existiert derzeit nicht.

- Körperflüssigkeiten (Speichel, Blut, Liquor) und Gewebe (Haare, Haut, Knochen) wegen der dort enthaltenen Genome

- Informationen bei sehr kleinen Teilnehmergruppen (<=5)

- Informationen, wenn sie zusammen mit einem oder mehreren Alleinstellungsmerkmalen erhoben werden. Beispiel: Von Studenten an der Universität wird u.a. das Alter erfragt. Einer der Probanden gibt 102 Jahre an. Die Kombination Student - 102 Jahre dürfte bei den Befragten eher selten sein.

- Big Data. Je mehr Daten erhoben werden, desto kleiner ist der Kreis der Personen, auf den diese Informationen in Kombination zutreffen. Dieser Kreis kann sich bei großen Datenmengen auf eine einzige Person verengen, so dass auch in diesen Fällen – trotz vermeintlich anonymer Erhebung – personenbezogene Daten vorliegen.

2. Datenvermeidung Teil 1: Müssen Sie überhaupt mit personenbezogenen Daten arbeiten oder reichen anonymisierte Daten aus?

Gem. Art. 5 Abs. 1 lit. c. DSGVO müssen personenbezogene Daten

„dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung”);“.

Die Verarbeitung personenbezogener Daten ist daher auf das erforderliche Minimum zu reduzieren. Die minimalste Verarbeitung personenbezogener Daten ist logischerweise diejenige, die überhaupt nicht stattfindet. In einem ersten Schritt sollten Sie daher prüfen, ob Ihr Forschungsprojekt ohne Abstriche auch mit anonymen Daten realisierbar ist. Zitat aus dem Webauftritt der Landesbeauftragten für den Datenschutz Niedersachsen:

„Viele Forschungsprojekte kommen ohne jeden Abstrich an der wissenschaftlichen Zielsetzung ohne personenbezogene Daten aus. Die Verarbeitung personenbezogener Daten ist nur zulässig, solange und soweit anonymisierte Daten für den Zweck des Vorhabens nicht ausreichen. Deshalb sollte immer geprüft werden, ob ein Forschungsprojekt nicht anonym durchgeführt werden kann.“

(https://www.lfd.niedersachsen.de/fortbildung_informationsmaterial/empfehlungen_recht/einwilligung/einwilligung-in-ein-medizinisches-forschungsprojekt-56135.html)

3. Datenvermeidung Teil 2: Welche personenbezogenen Daten brauchen Sie?

Ist zur Erreichung Ihres Forschungszieles die Verarbeitung personenbezogener Daten erforderlich, ist im zweiten Schritt zu prüfen, welche Daten konkret abgefragt werden sollen. Auch hier gilt der Grundsatz der Datenvermeidung, d.h. Sie dürfen nur diejenigen Daten erheben, die zur Erreichung Ihres Forschungsziels erforderlich sind. Während der Konzeptionsphase sollten Sie sich also bereits damit auseinandersetzen, welche Datenfelder sie konkret verarbeiten wollen.

4. Speicherfristen: Wie lange brauchen Sie personenbezogene Daten?

Die nächste wichtige Frage, die Sie sich stellen sollten ist, wie lange die Verarbeitung personenbezogener Daten für Ihr Forschungsprojekt notwendig ist. Grundsätzlich gilt, dass personenbezogene Daten so früh wie möglich gelöscht bzw. anonymisiert werden müssen. Bezüglich der einzelnen Daten kann sich hierbei durchaus eine jeweils unterschiedliche Speicherdauer ergeben.

Beispiel: Sie planen, Ihre Probanden über mehrere Termine zu interviewen. Die Interviews zeichnen Sie in MP3 auf (Stimme = personenbezogenes Datum) und transkribieren Sie anschließend. Jeder Proband erhält ein Pseudonym zugeteilt, damit Sie die einzelnen Interviews für jede Person zusammenführen können. Die Aufzeichnungen sind grds. bereits nach der Transkription und Verifizierung zu löschen. Die Kodierliste hingegen grds. erst, sobald die Interviews abgeschlossen sind und Sie die Einzelinterviews zusammengeführt haben.

5. Datenschutz-Folgenabschätzung und Datenschutzkonzept

Bestimmte Verarbeitungstätigkeiten bergen ein besonders hohes Risiko für die Rechte und Freiheiten der betroffenen Personen. In diesen Fällen ist die Universität  zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unter Hinzuziehung des Datenschutzbeauftragten verpflichtet. Ggf. ist es zudem erforderlich, ein Datenschutzkonzept zu erstellen. Weiterführende Informationen finden Sie auf der Homepage der LfD Niedersachsen unter:

https://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/liste_von_verarbeitungsvorgaengen_nach_art_35_abs_4_dsgvo/liste-von-verarbeitungsvorgaengen-nach-art-35-abs-4-ds-gvo-164661.html

Falls Sie sich nicht sicher sind, ob Sie für Ihr Vorhaben eine Datenschutz-Folgenabschätzung oder ein Datenschutzkonzept benötigen, kontaktieren Sie bitte den Datenschutzbeauftragten. Fragen zur Erforderlichkeit einer Datenschutz-Folgenabschätzung beantwortet Ihnen alternativ auch gerne der Datenschutzmanager.

Eine Mustervorlage für ein Datenschutzkonzept finden Sie unter:

Eine Vorlage für die Dokumentation eines Datenschutzkonzeptes finden Sie hier.

6. Die Rechtsgrundlage der Verarbeitung

Die Verarbeitung personenbezogener Daten ist grds. verboten, sofern sie nicht ausnahmsweise durch eine Rechtsgrundlage erlaubt ist. Im Bereich der Forschung stehen Ihnen zwei Rechtsgrundlagen zur Verfügung:

- die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a. DSGVO) sowie

- das überwiegende wissenschaftliche Interesse (Art. 6 Abs. 1 lit. e. i.V.m. § 13 NDSG)

6.1. Die Einwilligung (Art. 6 Abs. 1 lit. a. DSGVO)

Die Einwilligung ist eine der beiden Rechtsgrundlagen, auf die Sie die Verarbeitung personenbezogener Daten stützen können. Ähnlich wie die Einwilligung in eine ärztliche Heilbehandlung ist auch die Einwilligung in die Verarbeitung personenbezogener Daten nur dann wirksam, wenn die betroffene Person vorher über Umfang und Tragweite des Eingriffs (hier statt in die körperliche Unversehrtheit in das Recht auf informationelle Selbstbestimmung) informiert wurde. Eine wesentliche Neuerung aufgrund Art. 5 Abs. 2 DSGVO (sog. Rechenschaftspflicht) ist, dass der Verantwortliche die Einwilligung der betroffenen Person nachweisen können muss. Wenngleich eine Einwilligung auch mündlich oder durch schlüssiges Verhalten gegeben werden kann, sollten Sie daher entweder die Einwilligung schriftlich einholen (s.u.) oder aber z.B. bei Online-Fragebögen/Anmeldemasken das Verfahren technisch so gestalten, dass die Probanden den Fragebogen erst und nur dann erreichen, wenn sie zuvor in die Datenverarbeitung eingewilligt haben.

Eine Mustervorlage für eine dsgvo-konforme Einwilligungserklärung finden Sie hier.

Weitere Informationen zur Einwilligung finden Sie in der GDD-Praxishilfe DS-GVO XIII, die Sie unter folgendem Link kostenlos beziehen können:

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_13.pdf

Sonderfall: Datenerhebung an Schulen

Die Datenerhebung an niedersächsischen Schulen bedarf neben der Einwilligung der von der Erhebung betroffenen Schüler oder Lehrkräfte der Genehmigung durch die zuständige Landesschulbehörde nach Maßgabe des Erlasses des Kultusministeriums. Bei Fragen zum Verfahren hierzu können Sie sich direkt an die Landesschulbehörden in Lüneburg, Hannover, Braunschweig oder Osnabrück wenden.

6.2. Das überwiegende wissenschaftliche Interesse (Art. 6 Abs. 1 lit. e. i.V.m. § 13 NDSG)

Nach § 13 Abs. 1 S. 1 NDSG dürfen Öffentliche Stellen

„personenbezogene Daten einschließlich Daten im Sinne des Artikels 9 Abs. 1 der Datenschutz-Grundverordnung für ein bestimmtes wissenschaftliches oder historisches Forschungsvorhaben verarbeiten oder an andere Stellen zu diesem Zweck übermitteln, wenn die Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der betroffenen Person der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der betroffenen Person überwiegt.“

Im Kern bedeutet dies eine Abwägung des wissenschaftlichen Interesses gegen das Interesse der betroffenen Person an der Nichtverarbeitung Ihrer personenbezogenen Daten. Fehlt das schutzwürdige Interesse an der Nichtverarbeitung oder überwiegt das wissenschaftliche Interesse, ist die Verarbeitung personenbezogener Daten erlaubt. Das Ergebnis dieser Abwägung und die Begründung sind zu dokumentieren (§ 13 Abs. 1 S. 2 NDSG). Zudem ist der Datenschutzbeauftragte zu informieren (§ 13 Abs. 1 S. 3 NDSG).

Bitte beachten Sie, dass das überwiegende wissenschaftliche Interesse gerichtlich nachprüfbar sein dürfte und Gerichte ggf. anders gewichten könnten als die/der Forschende. Nach Auffassung des Verfassers ist es daher rechtssicherer (und nebenbei höflicher) die betroffenen Personen um eine Einwilligung zu bitten.

Weitere Informationen zu § 13 NDSG finden Sie auf dem Internetauftritt der LfD Niedersachsen unter:

https://www.lfd.niedersachsen.de/themen/forschung/datenschutz-und-forschung-56093.html

7. Das Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO

Die Universität Oldenburg ist als Verantwortliche gem. Art. 30 Abs. 1 DSGVO verpflichtet, Verzeichnisse über alle ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen. In ihnen werden die Verarbeitungstätigkeit und die getroffenen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten näher beschrieben. Diese Verpflichtung besteht auch in Bezug auf wissenschaftliche Tätigkeiten. Die Verzeichnisse werden vom Leiter des jeweiligen Forschungsprojektes (sog. Prozesseigner) erstellt und an den Referenten für Datenschutzmanagement weitergeleitet. Der Referent für Datenschutzmanagement berät in allen Fragen zum Verzeichnis von Verarbeitungstätigkeiten. Weitere Informationen und eine Mustervorlage finden Sie unter:

https://uol.de/dism/dsm/grundlagen/verfahrensbeschreibung

8. Informationspflichten, Art. 13 und 14 DSGVO

Werden personenbezogene Daten bei der betroffenen Person erhoben, ist diese im Zeitpunkt der Erhebung gem. Art. 13 DSGVO zu informieren. Werden die Daten hingegen bei Dritten erhoben (z.B. Einwohnermeldeamt, Krankenkassen, Krankenhäuser, etc.), müssen die betroffenen Personen gem. Art. 14 DSGVO innerhalb angemessener Frist, spätestens aber innerhalb eines Monats nach Erhalt der Daten informiert werden. Für wissenschaftliche Zwecke kann u.U. von der Information nach Art. 14 DSGVO abgesehen werden (nicht aber von der nach Art. 13 DSGVO). Soll von der Information nach Art. 14 DSGVO abgesehen werden, müssen die entsprechenden Erwägungen dokumentiert werden. Bevor Sie von einer Information nach Art. 14 DSGVO absehen, kontaktieren Sie bitte den Datenschutzbeauftragten.

Mustervorlagen für die Information nach Art. 13 und Art. 14 DSGVO finden Sie unter:

https://uol.de/datenschutz/dokumente

9. Der Ernstfall: Meldung von Datenpannen

Die Universität ist als Verantwortliche verpflichtet, Datenpannen unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die LfD Niedersachsen zu melden.

Datenpannen können z.B. sein:

- Versendung einer Mail mit größeren Empfängerkreis im „An:“- oder „CC“-Feld, ohne dass es erforderlich war, dass die anderen Empfänger sehen können, wer die Mail außer ihnen empfangen hat.

- Verlust eine Laptops oder USB-Sticks mit personenbezogenen Daten.

- Unbeabsichtigtes Schreddern von Dokumenten mit personenbezogenen Daten.

- Bei einem (unverschuldeten) Brand verbrennen Datenträger und/oder Dokumente, die personenbezogene Daten enthalten.

Falls Sie eine Datenpanne bemerken, nehmen Sie bitte unverzüglich Kontakt zu den Referenten für Datenschutzmanagement auf, deren Kontaktdaten Sie unter

https://uol.de/dism

einsehen können. Diese sind für Meldungen an die LfD zuständig.

10. Während und nach dem Forschungsprojekt: Vertrauen ist gut, Kontrolle ist besser

Während und nach Ihrem Forschungsprojekt müssen Sie dafür Sorge tragen, dass die von Ihnen im Verzeichnis von Verarbeitungstätigkeiten beschriebenen Maßnahmen, insb. die Einhaltung von Löschfristen, auch tatsächlich umgesetzt werden. Die besten Maßnahmen helfen nichts, wenn sie nur auf dem Papier existieren.

11. Zu guter Letzt

Zu guter Letzt wünsche ich Ihnen viel Erfolg mit Ihrem Forschungsvorhaben!

Ihr Datenschutzbeauftragter

Wekbxxbmsi8/astjz++erbb (dsuni@uol.xtxedeq3) (Stand: 22.06.2020)