Datenschutz

RatSWD-Empfehlung (Auszug):

Grundlegende Fragen bei der Datenverarbeitung

• Werden personenbezogene Daten verarbeitet?
  • Definition in Art. 4 Nr. 1 DSGVO. Kein Personenbezug bei wirksamer Anonymisierung.
  • Jede Verarbeitung bedarf einer Rechtfertigung nach Art. 6 Abs. 1 DSGVO: Einwilligung oder gesetzliche Erlaubnis.
• Handelt es sich um besondere personenbezogene Daten (Art. 9 DSGVO)?
  • Aufgezählt in Art. 9 Abs. 1 DSGVO und näher definiert in Art. 4 Nr. 13 ff. DSGVO.
  • Wenn ja, bedarf es neben Art. 6 Abs. 1 DSGVO einer zusätzlichen Rechtfertigung nach Art. 9 Abs. 2 DSGVO.
• Sind technisch-organisatorische Schutzmaßnahmen für die Datenverarbeitung getroffen?
  • Hierzu gehören Maßnahmen zum Schutz vor Vernichtung, Veränderung, Verlust und Offenlegung von Daten, die dem aktuellen Stand der Technik entsprechen.
  • Physische Sicherheitsvorkehrungen, technische Sicherungen virtueller Speicher, Schulung der Mitarbeiterinnen, schriftliche Vereinbarungen (Nutzungsverträge), Rechtemanagement.
• Ist eine Datenschutzfolgenabschätzung vorzunehmen?

Für jeden Verarbeitungsschritt ist zu prüfen:

• Für öffentliche Stellen: Ist die Datenverarbeitung zur Erfüllung einer Forschungsaufgabe erforderlich?
• Für nicht-öffentliche Stellen: Ist die Datenverarbeitung zur Wahrung eines Forschungsinteresses erforderlich, dem keine überwiegenden Interessen der Betroffenen entgegenstehen? ODER: Liegt eine wirksame (freiwillige) Einwilligung vor (Art. 4 Nr. 11 DSGVO)?
• Gibt es wichtige Interessen, die trotzdem gegen die Verarbeitung sprechen könnten?
• Könnte die Aufgabe auch mit weniger Daten erfüllt werden?
• Könnte sie mit anonymen/pseudonymen Daten erfüllt werden?

Weitere Überlegungen:

• Wie werden die Daten aufbewahrt? Es sind sichere Aufbewahrungslösungen zu wählen, die Verlust der Daten und unbe -fugten Zugriff möglichst ausschließen.
• Wer hat Zugang zu den Daten? (Forschungsteam, ggf. Hiwis, Sekretariat): Der Kreis der Zugangsberechtigten ist auf diejenigen zu beschränken, die notwendiger-
  weise mit diesen Daten arbeiten müssen.
• Wie lange werden die Daten aufbewahrt? Es sollte in jedem Fall eine maximale Speicherfrist festgelegt werden.
• Wurden die Betroffenen über die Datenverarbeitung informiert? Die Informationspflichten ergeben sich aus Art. 13 und Art. 14 DSGVO und sind im Einzelfall zu prüfen.
• Gibt es die Möglichkeit des Widerspruchs gegen die Datenverarbeitung (Löschung)? Diese Möglichkeit ist in jedem Fall einzuräumen.
• Werden die Daten an Dritte weitergeleitet? Wenn ja, an wen? Auch an Dritte außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums? Die Übermittlung ist als eigenständiger Verarbeitungsschritt auf ihre Rechtmäßigkeit zu prüfen. Die Übermittlung in Drittländer erfordert eine gesonderte Prüfung nach Art. 44 ff. DSGVO (vgl. DSK 2019)“

Auszug aus Rat für Sozial- und Wirtschaftsdaten. (2020). Handreichung Datenschutz: 2. vollständig überarbeitete Auflage. Überarbeitet von Prof. Dr. Matthias Bäcker und Dr. Sebastian Golla in Zusammenarbeit mit dem RatSWD (Output Series, 6. Berufungsperiode Nr. 8, S. 33 f.). Berlin. https://doi.org/10.17620/02671.50. Link

RatSWD-Empfehlung (Auszug):

• „Die Forschungsfrage sowie die Methodik eines Forschungsprojektes sind in einem
  Forschungsdesign festzuhalten, das seinem Inhalt und seinem Vorgehen nach wissenschaftlichen Ansprüchen genügt. Dabei sollte dargestellt werden, welche Arten von personenbezogenen Daten in welchem Umfang und mittels welcher technischen Ansätze erhoben, verarbeitet und gespeichert werden.
• Der oder die Datenschutzbeauftragte der eigenen Institution sollte frühzeitig in das Projekt eingebunden und im Laufe des Projektes über etwaige Änderungen des Forschungsdesigns oder Ähnliches unterrichtet werden.
• Die dargestellten Rechtsgrundlagen der Datenverarbeitung sollten für das Vorhaben geprüft werden. Dazu gehört auch die Prüfung der Möglichkeit einer Einwilligung, auch wenn diese keinen Vorrang vor anderen Varianten der Rechtfertigung hat. Es sollte dokumentiert werden, warum welche Rechtsgrundlage für die geplante Datenverarbeitung für einschlägig gehalten wird. Bei einer Interessenabwägung sollten die wesentlichen Kriterien festgehalten werden.
• Das erhobene Datenmaterial ist regelmäßig auf seine Qualität, Sicherung und Notwendigkeit zu überprüfen.
• Es sollten technische und organisatorische Maßnahmen zum Datenschutz getroffen werden. Hierzu zählen – ohne einen Anspruch auf Vollständigkeit – Vorkehrungen zur Datenminimierung, die Nutzung von Anonymisierungs- beziehungsweise Pseudonymisierungsmöglichkeiten, die Festlegung von Speicherfristen sowie deren Befolgung, die Löschung unbrauchbarer oder obsoleter Daten, die Implementierung von Rollenkonzepten sowie Secure Access-Lösungen. Es sind Sicherungsmechanismen vorzusehen, um die Abschöpfung oder Manipulation des Datenmaterials zu verhindern.
• Um die Betroffenenrechte erfüllen zu können, sind passende technische und organisatorische Rahmenbedingungen zu schaffen, etwa durch die Ordnung der Datensätze.
• Die Forschungsergebnisse sowie die zugrundeliegenden Datenstämme sind langfristig datenschutzfreundlich zu archivieren, soweit sie zur Nachvollziehbarkeit der Forschung oder weitere Vorhaben weiterhin benötigt werden.
• Forschungsergebnisse sind datenschutzfreundlich zu kommunizieren. Dabei sind besonders moderne technische Möglichkeiten zu beachten, aus scheinbar unverfänglichen Informationen Personenbezüge herzustellen.“

Auszug aus Rat für Sozial- und Wirtschaftsdaten. (2020). Handreichung Datenschutz: 2. vollständig überarbeitete Auflage. Überarbeitet von Prof. Dr. Matthias Bäcker und Dr. Sebastian Golla in Zusammenarbeit mit dem RatSWD (Output Series, 6. Berufungsperiode Nr. 8, S. 33 f.). Berlin. https://doi.org/10.17620/02671.50. Link

Bitte beachten Sie, dass seit 2018 die europäische Datenschutzgrundverordnung DSGVO die Grundlage für die Datenverarbeitung abgibt. Diese wird durch das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze ergänzt.

• Rat für Sozial- und Wirtschaftsdaten. (2020). Handreichung Datenschutz: 2. vollständig überarbeitete Auflage. Überarbeitet von Prof. Dr. Matthias Bäcker und Dr. Sebastian Golla in Zusammenarbeit mit dem RatSWD (Output Series, 6. Berufungsperiode Nr. 8). Berlin. doi: 10.17620/02671.50 Link

• Antony, G., Bialkem M., Pommerening, K. & Repp, R. (2017). Checkliste zur Erstellung eines Datenschutzkonzeptes. Version 1.0 vom 12.12.2017. Berlin. Technologie- und Methodenplattform für die vernetzte medizinische Forschung (TMF). Link
• Bundesbeauftragter für Datenschutz und Informationsfreiheit. (2020). Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterung (Info 1). Link
• Datenschutzkonferenz. (2017). Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (Kurzpapier Nr. 5). Link
• Datenschutzkonferenz. (2018). Risiko für die Rechte und Freiheiten natürlicher Personen (Kurzpapier Nr. 18). Link
• Liebig, S., Gebel, T., Grenzer, M., Kreusch, J., Schuster, H., Tscherwinka, R. & Witzel, A. (2014). Datenschutzrechtliche Anforderungen bei der Generierung und Archivierung qualitativer Interviewdaten. Erarbeitet und verfasst von der Arbeitsgruppe Datenschutz und qualitative Sozialforschung (RatSWD Working Paper 238/2014). Berlin. Rat für Sozial- und Wirtschaftsdaten (RatSWD). Link [Bitte bei diesem Workingpaper neue Vorgaben der DGSVO beachten]
• Meyermann, A. & Porzelt, M. (2019). Datenschutzrechtliche Anforderungen in der empirischen Bildungsforschung – eine Handreichung: Version: 2 (forschungsdaten bildung informiert Nr. 6). Link
• Vettermann, O. (2023). Entscheidungsbaum: Datenschutzkonformes internes Teilen von Forschungsdatensätzen. NFDI4Culture; FIZ Karlsruhe. Link
• Vettermann, O. (2023). Entscheidungsbaum: Video-Uploads auf Video-Plattformen. NFDI4Culture; FIZ Karlsruhe. Link
• Vettermann, O. (2023). Handreichung: Datenschutzrechtliche Aspekte zum Video-Upload auf Video-Plattformen. NFDI4Culture; FIZ Karlsruhe. Link