Datenschutz in Forschungsvorhaben
Die Verarbeitung von personenbezogenen Daten zu Forschungszwecken unterliegt ebenfalls den Regelungen der DSGVO, genießt dort eine teils privilegierte Position (siehe § 17 BlnDSG). Generell gelten jedoch auch hier die Grundsätze des Datenschutzes – siehe FAQ „Darf ich personenbezogene Daten verarbeiten“.
Forschenden stehen für die Verarbeitung personenbezogener Daten mehrere grundlegende Strategien zur Verfügung:
Strategie 1: Für den jeweiligen Forschungszweck besteht eine gesetzliche Grundlage zur Verarbeitung der personenbezogenen Daten wie z.B. im Gesetz über die Statistik im Land Berlin.
Strategie 2: Einholen einer informierten Einwilligung bei den Betroffenen zur Verarbeitung der personenbezogenen Daten.
Es gelten die Grundsätze des Datenschutzes uneingeschränkt.
Strategie 3: Einholen einer informierten Einwilligung und anschließender Anonymisierung zum frühestmöglichen Zeitpunkt zur Verarbeitung der personenbezogenen Daten.
Es gelten die Grundsätze des Datenschutzes bis zu Anonymisierung uneingeschränkt. Das bedeutet im Besonderen, dass alle nicht anonymisierten Daten zu löschen sind, sobald der Forschungszweck erfüllt ist. Dies ist regelmäßig der Fall, nachdem die nicht anonymisierten Daten ausgewertet sind. Die eingeholte Einwilligung sollte darüber hinaus noch eine Zeit lang aufbewahrt werden, um der Nachweispflicht der DSGVO gerecht zu werden und um die Betroffenenrechte zu gewährleisten.
Strategie 4: Verarbeitung ohne Einwilligung und anschließender frühestmöglicher Anonymisierung (§17 (1) BlnDSG) zur Verarbeitung der personenbezogenen Daten unter Erfüllung der Tatbestände
a) Erfüllung einer Aufgabe zu im öffentlichen Interesse liegenden wissenschaftlichen oder historischen Forschungszwecken oder für statistische Zwecke,
b) wenn das öffentliche Interesse an der Durchführung des Vorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt
c) und der Zweck nicht auf andere Weise erreicht werden kann.
Bis eine Anonymisierung erfolgt sind die personenbezogenen Daten zu pseudonymisieren und dürfen nur zusammengeführt werden, soweit der Forschungs- oder Statistikzweck dies erfordert (§17 (2) BlnDSG).
Die Tatbestände sind dabei kumulativ auszulegen. Außer der Pflicht zur Einholung der Einwilligung gelten die Grundsätze des Datenschutzes in vollem Umfang. Zu Ihrer Absicherung sollte der Datenschutzbeauftragte einbezogen werden.
Strategie 5: Anonymisierung der personenbezogenen Daten von Anfang an, unter Berücksichtigung unterschiedlicher Anonymisierungsstrategien und Gruppengrößen von Betroffenen.
Bei von Anfang an anonymisierten Daten gelten die Grundsätze des Datenschutzes nicht. Anonymisierte Daten gelten nicht als personenbezogene Daten im Sinne der DSGVO.
Besondere Kategorien von personenbezogenen Daten
Bei der Verarbeitung sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person zu treffen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
- Spezifische technische und organisatorische Maßnahmen zur Gewährleistung einer rechtmäßigen Verarbeitung
- Sensibilisierung der an Verarbeitungsvorgängen Beteiligten
- Beschränkung des Zugangs für dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen zu personenbezogenen Daten und
Anonymisierung
Die administrativ aufwendigen, datenschutzrechtlichen Anforderungen können umgangen werden, wenn die Daten bereits zum Zeitpunkt der Erhebung vollständig anonymisiert sind. Der Übergang zwischen personenbezogenem Datum und anonymisiertem Forschungsdatum ist stellenweise fließend und hängt maßgeblich von zwei Einflussfaktoren ab:
Gruppengröße und „Stärke“ der Anonymisierungsstrategie.
In kleinen (zu befragenden) Gruppen (kleiner 20 Personen) muss tendenziell mit „stärkeren bzw. mehreren komplementären“ Anonymisierungsstrategien gearbeitet werden. In Gruppen größer 50 Personen, ist eine „schwächere“ Anonymisierung eher unproblematisch. Der Einzelfall ist jedoch auch hier von Relevanz.
Eine Übersicht über unterschiedliche Anonymisierungsstrategien qualitativer und quantitativer Forschungsdaten sind hier zu finden.
Zweckbindung
Da es bei wissenschaftlichen Vorhaben nicht immer möglich ist, bereits zum Zeitpunkt der Erhebung den genauen Zweck der Verarbeitung zu benennen, kann der Zweck etwas weiter gefasst werden. Der Zweck soll aber nur so weit gefasst sein, wie unbedingt nötig. So sind pauschale Zweckangaben, man erhebe die Daten z. B. „zu Forschungszwecken“ nicht rechtens. Es sollte der betroffenen Person die Möglichkeit gegeben werden, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teilprojekte zu erteilen, für die die Daten tatsächlich erforderlich sind. (vgl. ErwGr. 33 DSGVO).
Bei großen Befragungsgruppen ist dies einfach umzusetzen. In kleineren Gruppen können Einzelangaben im Befragungsbogen jedoch eine Zuordnung möglich machen. Hier kann ggf. über Aggregation, Bildung von Gruppen bzw. Verzicht auf einzelne Fragen die Anonymisierung gewährleisten werden.
Weitere Informationen:
Da es angesichts der Vielzahl unterschiedlichster Forschungsvorhaben nicht möglich ist eine allgemeingültige Mustereinwilligung zu erstellen, finden Sie in den folgenden Links Hilfestellung, um rechtskonforme informierte Einwilligungen zu erstellen sowie zur Anonymisierung: