Colour / Pixabay / Pixabay-Lizenz

Daten­schutz­recht

Schutz von personenbezogenen Forschungsdaten

 

In vielen Disziplinen und Forschungsprojekten ist der Mensch Forschungsobjekt. Die dabei über einzelne Personen erhobenen Informationen – wie z.B. Gesundheitsdaten in medizinischer Forschung – bedürfen eines besonderen Schutzes. Dies gilt nicht nur aus rechtlicher, sondern auch aus forschungsethischer Sicht.

Auf welche Vorgänge ist Datenschutzrecht anwendbar?

Allerdings ist das Datenschutzrecht nicht auf jedwede Art von Forschungsdaten anwendbar, sondern allein auf solche Daten, die einen Bezug zu einer natürlichen Person aufweisen. Gemäß Art. 4 Nr. 1 DSGVO sind dies alle Informa­tionen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen.

Beispiele für Forschungsdaten mit Personenbezug:

  • Name von Probanden
  • E-Mail-Adresse
  • Anschrift oder Telefonnummer
  • Genetische oder biometrische Daten
  • Gesundheitsdaten
  • Matrikelnummer von Studierenden
  • Usernamen auf Onlineplattformen oder andere Online-Kennungen

Beispiele für Forschungsdaten ohne Personenbezug:

  • Messdaten aus den Naturwissenschaften (z.B. Astronomie, Geo- oder Materialwissenschaften)
  • Genom von Tieren oder Pflanzen

Ob eine Person durch bestimmte Daten identifizierbar ist, hängt nicht zuletzt davon ab, welche Hilfsmittel zur Verfügung stehen. Während eine IP-Adresse in den Händen eines Internetproviders personenbezogen ist, fehlen den meisten anderen Akteuren die entsprechenden Zuordnungsdaten, um eine Identifizierung vorzunehmen. Grundsätzlich ist das Merkmal aber weit auszulegen, eine Information ist selbst dann personenbezogen, wenn die Zuordnung mit einem gewissen Aufwand verbunden ist.

Vielfach ergibt sich der Personenbezug auch erst durch die Kombination der verschiedenen in einem Forschungsdatensatz enthaltenen Informationen. So reicht das Geschlecht einer Person für sich allein nicht aus, um eine Person zu identifizieren. In Verbindung mit weiteren Merkmalen wie dem Arbeitgeber oder dem Beruf kann dieses jedoch eine eindeutige Bestimmung ermöglichen. Nicht zuletzt kann die Kombination von Forschungsdaten mit der Vielzahl an frei im Internet verfügbaren Informationen Probandinnen und Probanden oder Interviewpartnerinnen und Interviewpartner identifizierbar machen.

Hingegen ist das Datenschutzrecht nicht auf Informationen anwendbar, die dergestalt anonymisiert wurden, dass sie nicht länger einer bestimmten Person zugeordnet werden können. Demgegenüber unterfallen Daten, die lediglich pseudonymisiert wurden, weiterhin den Regeln des Datenschutzes. Bei einer Pseudonymisierung werden identifizierbare Merkmale durch Kennziffern oder andere Schlüssel ersetzt. Dabei wird der Zuordnungsprozess aber so dokumentiert, dass die ursprünglichen Informationen wiederherstellbar bleiben.

Welche Gesetze gelten?

Seit 2018 ist das Datenschutzrecht durch die Datenschutz-Grundverordnung (DSGVO) europarechtlich geregelt. Als EU-Rechtsverordnung ist diese unmittelbar anzuwenden. Gegenüber dem nationalen Datenschutzrecht genießt die DSGVO dabei Anwendungsvorrang. Daher können im deutschen Bundes- bzw. Landesrecht datenschutzrechtliche Fragen nur noch punktuell geregelt werden.

Anwendbare Normen
P. Brettschneider / forschungsdaten.info / CC BY 4.0

Praktisch impliziert dies, dass zusätzlich zur DSGVO nationale Normen beachtet werden müssen. Dabei ist für Forschung, die an Einrichtung in Trägerschaft des Bundes, an privaten Unternehmen oder durch Privatpersonen durchgeführt wird, neben der DSGVO das Bundesdatenschutzgesetz (BDSG) zu berücksichtigen. Hingegen gilt an Landeseinrichtungen das jeweilige Landesdatenschutzgesetz. Letzteres betrifft insbesondere die überwiegende Zahl der Hochschulen in Deutschland.

Anonymisierung und gesetzliche Bestimmungen

Datenschutzrechtliche Bestimmungen einzuhalten und Persönlichkeitsrechte von Untersuchungspersonen zu wahren, ist eine zentrale Anforderung an die Archivierung und Nachnutzung von personenbezogenen Forschungsdaten. Um diesen Bestimmungen Rechnung zu tragen, müssen Forschungsdaten anonymisiert werden. Anonymisierung bezeichnet das Entfernen personenbezogener oder personenbeziehbarer Informationen aus den Forschungsdaten.[2] Das Bundesdatenschutzgesetz (BDSG) enthält besondere Bestimmungen zur Verwendung personenbezogener Daten zum Zwecke der Forschung. Danach dürfen personenbezogene Daten, die zu wissenschaftlichen Zwecken erhoben oder gespeichert wurden, nur im Rahmen dieser Zwecke verarbeitet oder genutzt werden (Abb. 1). Weiterhin gilt der Grundsatz der Erforderlichkeit sowie das Prinzip der Datenvermeidung und -sparsamkeit, d. h. es sind „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“.  In der Regel sind persönliche Daten, sobald es der Forschungszweck erlaubt, zu anonymisieren“. Bis zu diesem Zeitpunkt müssen Daten, die einer bestimmten Person zugeordnet sind oder werden können, gesondert aufbewahrt werden und dürfen nur soweit mit anderen Daten kombiniert werden, wie es der Forschungszweck erfordert.[3] Diese Bestimmungen sind im Bundesdatenschutzgesetz (neu) § 27 Abs. 1-4 geregelt. Besonderem Schutz unterliegen sensible Daten. Darunter fallen Angaben wie die ethnische Herkunft, politische Meinung, religiöse und philosophische Angehörigkeit, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Sensible personenbezogene Daten dürfen nur unter besonderen Bedingungen verwendet werden (DSGVO Artikel 9, BDSG neu § 27).

Teilen personenbezogener Daten: Vorkehrungen getroffen? Anonymisierung umgesetzt? Datenzugriff kontrolliert?
Abbildung 1: Checkpunkte zum Teilen personenbezogener Daten (erstellt mit LUCID-Chart)

Wie wird anonymisiert?

Bei der Anonymisierung wird zwischen qualitativen und quantitativen Daten unterschieden. Zwei Anleitungen hierzu werden vom Forschungsdatenzentrum Bildung (FDZ Bildung) am DIPF (Deutschen Instituts für Internationale Pädagogische Forschung) zur Verfügung gestellt. Zudem stellt das Projekt OpenAIRE mit Amnesia ein Tool zur Verfügung, welches Forschende bei der Anonymisierung ihrer Forschungsdaten unterstützt. Auch die Stiftung Datenschutz stellt auf ihrer Webseite Grundsatzregeln sowie einen Praxisleitfaden für die Anonymisierung personenbezogener Daten zur Verfügung.

Daten können anonymisiert werden durch:
Entfernen direkter Identifikation wie z. B. Name oder Adresse
Aggregation oder Reduzierung der Informationsgenauigkeit einer Variable z. B. Ersetzen des Geburtsdatums durch das Alter einer Gruppe
Verallgemeinern personenbeziehbarer Details in einem Text
Verwendung von Pseudonymen
Beschränken der oberen oder unteren Bereiche einer Variable um Ausreißer zu verbergen wie z. B. durch Top-Codierung von Gehalten.
Identität einer Person kann offen gelegt werden durch:
Direkte Identifikation durch z. B. Name, Adresse, Postleitzahl und Telefonnummer
Indirekte Kennzeichen, die, wenn sie mit anderen öffentlich zugänglichen Informationsquellen verbunden sind, eine Person identifizieren könnten z. B. durch Informationen über den Arbeitsplatz, den Beruf oder außergewöhnliche Werte von Eigenschaften wie Gehalt oder Alter.
Besondere Aufmerksamkeit kann erforderlich sein bei:
Relationalen Daten, in denen Beziehungen zwischen Variablen zusammenhängender Datensätze Identitäten offen legen könnten.
Georeferenzierten Daten, die zur Identifizierung räumlicher genutzter Referenzen wie Punktkoordinaten auch einen geo-räumlichen Wert haben.

Einholung einer Zustimmung

Forschende sind im Allgemeinen durch den Ethikkodex ihrer Fachrichtung (DGP und BGP, DGS und BGS, DVPW, BÄK) sowie auch gesetzlich dazu verpflichtet, Zustimmungen einzuholen. Dies gilt sowohl für die Versuchspersonen, als auch für die bei der Studie gesammelten Informationen. Wo es möglich ist, sollte die Zustimmung auch alle zukünftigen Nutzungen der Daten, wie die gemeinsame Nutzung, die Erhaltung und die langfristige Nutzung der Forschungsdaten berücksichtigen. Der RatSWD (Rat für Sozial-und Wirtschaftsdaten) bietet zum Thema Informierte Einwilligung Empfehlungen und Muster-Einwilligungserklärungen an. Weitere Hinweise und Downloads dazu finden sich auf der Webseite des DIPF.

Empfohlene Vorgehensweise
Die Teilnehmende darüber informieren, wie Forschungsdaten gespeichert, erhalten und langfristig verwendet werden sollen.
Teilnehmende darüber informieren, wie die Vertraulichkeit eingehalten wird, z.B.  durch eine Anonymisierung der Daten.
Teilnehmende über Widerrufsrecht und Recht auf Löschung informieren.
Eine schriftliche Zustimmung für die Datenübertragung, Datenverarbeitung und Datenarchivierung einholen.

Schutz vertraulicher Informationen in Repositorien

Durch die Nutzung von Datenzentren oder auch Archiven ist es möglich, den Zugriff auf vertrauliche und sensible Daten zu beschränken und zugleich eine Datenfreigabe für Forschungs- und Bildungszwecke zu ermöglichen. Die in Datenzentren und Archiven gehaltenen Daten sind im Allgemeinen nicht öffentlich zugänglich. Ihre Verwendung nach der Benutzerregistrierung ist auf bestimmte Zwecke beschränkt. Nutzerinnen und Nutzer unterzeichnen eine Endbenutzer-Lizenz, in der sie sich mit bestimmten Bedingungen einverstanden erklären, z. B. Daten nicht zu kommerziellen Zwecken zu nutzen oder potenziell identifizierbare Personen nicht zu identifizieren. Welche Art von Datenzugriff erlaubt ist, wird vorher mit der Urheberin und dem Urheber festgelegt.

Datenzentren können zusätzliche Zugangsregelungen für vertrauliche Daten verhängen. Dazu zählen:

  • Notwendigkeit einer speziellen Genehmigung vom Urheber für den Zugang zu den Daten
  • Belegung vertraulicher Daten mit einem Embargo für einen bestimmten Zeitraum
  • Bereitstellung des Zugangs nur für zugelassene Forscher
  • Bereitstellung von sicherem Datenzugriff, in dem eine Fernanalyse von vertraulichen Daten durchgeführt werden kann, jedoch die Daten nicht herunterladen werden können

Definitionen im Überblick

 „Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ § 3 Abs.6 BDSG (am 25. Mai 2018 außer Kraft getreten, inhaltlich immer noch richtig)

Einwilligung: „ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ Art. 4 Nr. 11 DSGVO

Personenbezogene Daten: „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderenMerkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann“ Art. 4 Nr. 1 DSGVO

„(…) Daten, die nach aktuellem oder sicher absehbaren zukünftigen Kenntnisstand des Verantwortlichen mit einer Person verknüpft werden können. Der Kenntnisstand Dritter wird dem Verantwortlichen zugerechnet, wenn Daten und Zusatzwissen rechtmäßig zusammengeführt werden können und ein Zusammenführen auch hinreichend wahrscheinlich zu erwarten ist. Dies erfordert das Wissen des Verantwortlichen um den Dritten und den (anzunehmenden) beiderseitigen Willen zur Zusammenführung. Die allein theoretische Möglichkeit der Zusammenführung genügt nicht“ (Gola, in: Gola/Heckmann, DS-GVO/BDSG, München: 3. Aufl. 2022, DS-GVO Art. 4, Rn. 22)

Pseudonymisierung: „die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenenPerson zugewiesen werden können.“ Art. 4 Nr. 5 DSGVO

Als besondere Kategorien personenbezogener Daten gelten:

  • „Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung“

§ 46 Nr. 14 BDSG

Daten, die im Vertrauen übergeben worden sind oder denen eine vertrauliche, d.h. geheime, Behandlung zugesagt wurde, zwischen zwei Parteien, die nicht öffentlich zugänglich sind (vgl. UK Data Archive).

References

  1. Unger, H., & Simon, D., Ethikkommissionen in den Sozialwissenschaften-historische Entwicklungen und internationale Kontroversen (No. 253). Working Paper Series des Rates für Sozial-und Wirtschaftsdaten, 2016
  2. Meyermann, A. & Porzelt, M., Hinweise zur Anonymisierung von qualitativen Daten. In: forschungsdaten bildung informiert, Nr. 1. Frankfurt am Main: Deutsches Institut für Internationale Pädagogische Forschung, 2014.
  3. Ludwig, J., & Enke, H. (Eds.), Leitfaden zum Forschungsdaten-Management. Handreichungen aus dem WissGrid-Projekt. Glückstadt: Verlag Werner Hülsbusch, 2013