Evangelische Fachhochschule Berlin

Informationen zum Datenschutz / Datenschutzgesetz

Sie befinden sich hier:

Regelungen bei wissenschaftlicher Forschung

Regelungen bei der Verarbeitung von personenbezogenen Daten für Zwecke der wissenschaftlichen Forschung

I. Forschung

Die Charta der Grundrechte der Europäischen Union gewährleistet sowohl das Recht auf Schutz von personenbezogenen Daten sowie die Forschungsfreiheit. Zwischen Forschung mit personenbezogenen Daten und dem Schutz der betroffenen Personen besteht ein Grundkonflikt, den rechtliche Regulierung zum Ausgleich bringen muss. Dieser Ausgleich obliegt den datenschutzrechtlichen Vorschriften. Sie gewähren der Forschung zunächst vielfältige Privilegien gegenüber anderen Datenverarbeitungen. Zugleich legen sie der Forschung auf, den betroffenen Personen besondere Garantien für den Schutz ihrer Daten zu gewährleisten. Diese Garantien umfassen unter anderem die Anonymisierung oder Pseudonymisierung von Forschungsdaten.

II. Anwendbare Vorschriften

Die Datenschutz-Grundverordnung hat ein neues Datenschutzregime geschaffen. Als Verordnung der Europäischen Union gilt sie unmittelbar in allen Mitgliedstaaten und geht nationalen Regelungen vor. Mit Blick auf das verfassungsrechtlich garantierte Selbstbestimmungsrecht von Religionsgemeinschaften gilt die Datenschutz-Grundverordnung im Bereich der Kirchen nicht. Art. 91 DSGVO erlaubt den Kirchen die Beibehaltung eigenen Datenschutzrechts. Die Evangelische Kirche in Deutschland hat eigene Datenschutzvorschriften erlassen und diese an die DSGVO angepasst. Für die Evangelische Hochschule Berlin sind deswegen allein die Vorschriften des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) maßgeblich.

III. Datenschutzrechtlich Verantwortlicher

Die Datenschutzpflichten treffen den Verantwortlichen. Dies ist nach § 4 Nr. 9 DSG-EKD die natürliche oder juristische Person, kirchliche oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Für Forschungsprojekte wird vertreten, dass der Forschende Art und Umfang der Datenverarbeitung sowie den Zweck (das Forschungsprojekt) bestimmt und daher der Verantwortliche sei. Meines Erachtens trifft diese Auffassung aber nicht zu. Richtig ist vielmehr, dass die Hochschule der Verantwortliche ist, soweit der Forschende das Forschungsprojekt in seiner Funktion als Mitarbeiter der Hochschule durchführt. Aufgrund ihrer datenschutzrechtlichen Verantwortlichkeit hat die Hochschule die Fachbereiche und die Forschenden auf die Einhaltung der Datenschutzvorgaben zu verpflichten.

IV. Rechtsgrundlagen der Datenverarbeitung

Die Zulässigkeit der Verarbeitung personenbezogener Daten für Forschungszwecke ergibt sich für die EHB aus den Vorschriften des DSG-EKD. Danach ist die Verarbeitung personenbezogener Daten zulässig, wenn eine gesetzliche Regelung dies erlaubt oder wenn die betroffene Person eingewilligt hat. Dies gilt für alle Phasen der Datenverarbeitung (Datenerhebung, Durchführung der Datenverarbeitung, Sekundärnutzungen, Veröffentlichung des Forschungsergebnisses). Als Rechtsgrundlagen für die Verarbeitung personenbezogener Daten für Forschungszwecke kommen eine Einwilligung der betroffenen Person (§ 6 Nr. 2 DSG-EKD) und der gesetzliche Erlaubnistatbestand der Aufgabenerfüllung (§ 6 Nr. 3 DSG-EKD) in Betracht. Für besondere Kategorien von personenbezogenen Daten oder die Übermittlung von personenbezogenen Daten in Drittländer treten zusätzliche Anforderungen hinzu.

Die Einwilligung muss so bestimmt wie möglich sein. Sie muss insbesondere die Datenkategorien, den Verarbeitungszweck, die Weiterverwendung und den Zeitpunkt der Datenlöschung umfassen. Ein geringeres Maß an Bestimmtheit ist nur zulässig, wenn dies aus wissenschaftlichen Gründen zwingend ist (so genannter "broad consent"). Von einem Kind kann eine Einwilligung eingeholt werden, wenn es in der Lage ist, die Bedeutung seiner Erklärung zu erfassen. Hierfür gibt es keine feste Altersgrenze. Die Einsichtsfähigkeit kann in der Regel ab dem 16. Lebensjahr angenommen werden. Dabei muss die Einwilligungserklärung so formuliert sein, dass sie für ein Kind verständlich ist. Bis zum Alter von 16 Jahren muss die Einwilligung der Erziehungsberechtigten eingeholt werden.

Neben einer Einwilligung kommen gesetzliche Erlaubnistatbestände in Betracht. Das DSG-EKD enthält keinen besonderen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten für Forschungszwecke. Maßgeblich sind daher die allgemeinen Regelungen nach § 6 DSG-EKD. Nach § 6 Nr. 3 DSG-EKD ist eine Datenverarbeitung erlaubt, wenn sie zur Erfüllung der Aufgaben des Verantwortlichen erforderlich ist. Nach den Hochschulgesetzen ist die Forschung eine Hauptaufgabe der Hochschulen. Ihre Mitglieder dürfen daher personenbezogene Daten verarbeiten, soweit dies zur Durchführung der Forschung notwendig ist. Für die Weiterverarbeitung von personenbezogenen Daten für Forschungszwecke sind zudem die besonderen Vorschriften des § 50 DSG-EKD zu beachten.

Sollen besondere Kategorien personenbezogener Daten (das sind zum Beispiel Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung) erhoben werden, sind zusätzlich die Vorgaben des § 13 DSG EKD zu beachten. Die Verarbeitung dieser Daten bedarf einer besonderen gesetzlichen Erlaubnis oder einer ausdrücklichen Einwilligung der betroffenen Person.

In jedem Forschungsprojekt muss die Hochschule geeignete Garantien zur Einhaltung der Datenschutzvorschriften bieten. Dazu gehören:

  • technische und organisatorische Maßnahmen, um die Konformität mit dem DSG-EKD sicherzustellen
  • Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind (Protokollierung)
  • Sensibilisierung der an der Datenverarbeitung Beteiligten (Schulungen)
  • Beschränkung des Zugangs zu personenbezogenen Daten (Berechtigungskonzept)
  • Pseudonymisierung personenbezogener Daten
  • Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
  • Einbeziehung des Datenschutzbeauftragten
  • Einbeziehung einer Ethik-Kommission

Grundsätzlich sind die erhobenen und verarbeiteten Forschungsdaten zu löschen, wenn das Forschungsprojekt beendet ist. Unter Umständen kann die Löschung eine Nachprüfung der Forschungsergebnisse sowie eine Nutzung der erhobenen Daten für weitere Forschungsprojekte oder langfristige Studien unmöglich machen. Daher sieht § 5 Abs. 1 Nr. 5 DSG-EKD für Forschungsdaten eine Ausnahme von dem Grundsatz der Speicherbegrenzung vor. Danach dürfen personenbezogene Daten länger gespeichert werden, soweit sie für Forschungszwecke verarbeitet werden. Diese Speicherung darf aber nicht zu einer unbegrenzten Vorratsdatenspeicherung führen. Für eine langfristige Aufbewahrung nach Abschluss eines Forschungsprojekts sind die Forschungsdaten zuvor zu anonymisieren oder zu pseudonymisieren. In personenbezogener Form dürfen sie nur aufbewahrt werden, wenn nur dadurch die anerkannten Funktionen des Forschungsdatenmanagements erfüllt werden können. Die Überprüfbarkeit der Daten für zehn Jahre gehört nach den Regeln der guten wissenschaftlichen Praxis zur Forschung.

Jede Weiterverarbeitung von Daten für Forschungszwecke stellt mit Blick auf den ursprünglichen Verarbeitungszweck eine Zweckänderung dar. Nach § 5 Abs. 1 Nr. 2 DSG-EKD gilt eine Weiterverarbeitung für wissenschaftliche Forschungszwecke als vereinbar mit den ursprünglichen Zwecken. Damit ist eine Weiterverarbeitung von personenbezogenen Daten, die ursprünglich zu anderen Zwecken erhoben wurden, für Zwecke der wissenschaftlichen Forschung in der Regel möglich, ohne dass es einer gesonderten Rechtsgrundlage bedarf. Die Weiterverarbeitung hat nach § 50 Abs. 3 DSG-EKD grundsätzlich ohne Personenbezug, also anonym, zu erfolgen. Ausnahmsweise dürfen Forschungsdaten personenbezogen weiterverarbeitet werden, wenn der Forschungszweck sonst nicht erfüllt werden kann.

Die Veröffentlichung von Forschungsergebnissen hat in der Regel in anonymisierter Form zu erfolgen. Die Veröffentlichung von personenbezogenen Daten ist nach § 50 Abs. 4 DSG-EKD nur ausnahmsweise zulässig, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Veröffentlichung eine Person der Zeitgeschichte betrifft und für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

V. Pflichten des Verantwortlichen

Den Verantwortlichen treffen zahlreiche Pflichten. So ist der datenschutzrechtlich Verantwortliche verpflichtet zu dokumentieren, dass und wie er die Datenschutzregelungen einhält. Dies erfolgt regelmäßig in einem Datenschutzkonzept. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der Forschende gemäß § 34 DSG-EKD eine Abschätzung der Folgen der vorgesehenen Datenverarbeitungen für die betroffenen Personen durchführen. Lässt der Verantwortliche eine Verarbeitung von personenbezogenen Daten durch einen anderen durchführen, muss er die Vorgaben zur Auftragsverarbeitung nach § 30 DSG-EKD einhalten. Hierfür ist ein Auftragsvertrag abzuschließen, der die Vorgaben des § 30 DSG-EKD enthält. Im Fall einer Datenschutzverletzung muss binnen 72 Stunden die Datenschutzaufsicht informiert werden. Zudem ist für die Verarbeitung ein Verarbeitungsverzeichnis zu erstellen.

VI. Rechte der betroffenen Personen

Betroffene Personen haben grundsätzlich die in §§ 16 ff. DSG-EKD vorgesehenen Rechte. Diese sind jedoch zu Gunsten der Forschung durch Vorgaben des DSG-EKD teilweise eingeschränkt.

Nach oben

Kontakt

Jan-Christoph Thode, Volljurist
Prokurist | Justiziar

Telefon (030) 308 77 49 21
Fax: (030) 308 77 49 11
Mobil: +49 170 370 1188
E-Mail datenschutz@eh-berlin.de

datenschutz nord GmbH
Niederlassung Berlin-Mitte
Reinhardtstr. 46
10117 Berlin

Weitere Informationen erhalten Sie unter www.datenschutz-nord.de.