Wenn personenbezogene Daten in der wissenschaftlichen Forschung verarbeitet werden, dann geraten zwei Grundrechte miteinander in Konflikt: auf der einen Seite das Grundrecht auf Forschungsfreiheit aus Art. 13 der Charta der Grundrechte der Europäischen Union sowie Art. 5 Abs. 3 Satz 1 Grundgesetz und auf der anderen Seite das Grundrecht auf Datenschutz aus Art. 8 GRCh. In diesem Beitrag schauen wir, was im Umgang mit personenbezogenen Daten in der wissenschaftlichen Forschung aus datenschutzrechtlicher Sicht besonders zu beachten ist.
Der Inhalt im Überblick
Forschungsfreiheit und Datenschutz
In der digitalen Welt basiert die wissenschaftliche Forschung zunehmend auf der Verarbeitung von personenbezogenen Daten. Dank der zahlreichen Fortschritte in der Informationstechnik werden personenbezogene Daten zudem in vielen wissenschaftlichen Fachrichtungen unter Anwendung innovativer Methoden zu Forschungszwecken verwendet. Dabei werden sehr sensible Daten oft Gegenstand der Forschung, sodass die Forschungstätigkeit einen intensiven Eingriff in die Grundrechte und Grundfreiheiten der betroffenen Menschen mit sich bringt. In diesem Zusammenhang besteht ein Grundrechtekonflikt, der ausgeglichen werden muss.
Art. 1 der Datenschutz-Grundverordnung legt fest, dass die Verordnung Vorschriften zum Schutz natürlicher Personen bei der Datenverarbeitung und zum freien Verkehr solcher Daten enthält. Die Verordnung enthält dementsprechend ein ausgearbeitetes Konzept für den Umgang mit personenbezogenen Daten im Rahmen von wissenschaftlichen Forschungstätigkeiten. Im Folgenden wollen wir einen Blick auf die in diesem Zusammenhang relevantesten datenschutzrechtlichen Normen werfen.
Rechtmäßigkeit der Verarbeitung
Auch für die Verarbeitung von personenbezogenen Daten im Rahmen von wissenschaftlichen Forschungstätigkeiten gilt das fundamentale Verbotsprinzip mit Erlaubnisvorbehalt der DSGVO: eine Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, diese ist durch eine gesetzliche Bestimmung ausdrücklich erlaubt. Für die Verarbeitung von personenbezogenen Daten durch nichtöffentliche Stellen in der wissenschaftlichen Forschung kommen zwei Rechtsgrundlagen in Betracht: die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und die Wahrung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO.
Unbedenklich ist eine Datenverarbeitung im Rahmen von Forschungstätigkeiten, wenn der Personenbezug der Daten entfernt wurde, denn die DSGVO findet auf anonymisierte Daten keine Anwendung.
Eine Verarbeitung personenbezogener Daten zu Forschungszwecken ist auch zulässig, wenn diese auf eine Einwilligung des Betroffenen gestützt wird. Nach Art. 4 Nr. 11 DSGVO muss eine Einwilligung freiwillig, für den bestimmten Fall und in informierter Weise erteilt werden. Eine Besonderheit für die Einwilligung zur wissenschaftlichen Forschung ergibt sich allerdings aus Erwägungsgrund 33 DSGVO, der eine Ausnahme vom Bestimmtheitsgrundsatz enthält. Danach ist eine Einwilligung des Betroffenen zur wissenschaftlichen Forschung auch dann zulässig, wenn diese für bestimmte Bereiche wissenschaftlicher Forschung gegeben wird und dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Gemäß Beschluss der DSK bedeutet dies, dass der Grundsatz der Zweckbestimmtheit der Verarbeitung unter engen Voraussetzungen hier gelockert werden kann. Dadurch wird dem Umstand Rechnung getragen, dass bei Forschungstätigkeiten häufig das verfolgte Ziel und die aus der Forschung resultierenden Fragen im Anfangsstadium nicht festgelegt werden können.
Die Verarbeitung von sensiblen Daten nach § 27 BDSG
Für die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken ergibt sich eine Besonderheit aus § 27 BDSG. Anknüpfend an die Öffnungsklausel in Art. 9 Abs. 2 lit. j DSGVO hat der deutsche Gesetzgeber in § 27 BDSG eine Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten geschaffen. Danach ist die Datenverarbeitung besonderer Kategorien personenbezogener Daten abweichend von Art. 9 Abs. 1 DSGVO zulässig, wenn die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen.
Zu wissenschaftlichen Forschungszwecken
Voraussetzung für die Anwendung von § 27 BDSG ist es zunächst, dass die Datenverarbeitung zu wissenschaftlichen Forschungszwecken erfolgt. Gemäß Erwägungsgrund 159 DSGVO ist der Begriff der Forschung weit auszulegen. Darunter fallen beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung. Entscheidend für die Einstufung einer Tätigkeit als Forschung ist gemäß dem Bundesverfassungsgericht allerdings, dass diese auf methodische, systematische und nachprüfbare Weise auf den Gewinn von Erkenntnissen abzielt.
Erhebliches Überwiegen der Interessen des Verantwortlichen
Gemäß § 27 Abs. 1 S. 1 BDSG müssen die Interessen des Verantwortlichen an der Verarbeitung die Interessen der Betroffenen erheblich überwiegen. Dementsprechend muss eine Interessenabwägung im Einzelfall unter Berücksichtigung der Umstände der Datenverarbeitung vorgenommen werden. Als legitime Interessen des Verantwortlichen kommen die unternehmerische Freiheit nach Art. 16 Grundgesetz und die Forschungsfreiheit nach Art. 13 Grundgesetz in Betracht.
Da bei der Datenverarbeitung von besonderen Kategorien personenbezogener Daten die Voraussetzungen von Art. 6 und 9 DSGVO immer erfüllt sein müssen, muss auch bei der Datenverarbeitung von sensiblen Daten zu Forschungszwecken eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO gegeben sein.
Pflicht zur Ergreifung von angemessenen und spezifischen Maßnahmen
Gemäß § 27 Abs. 1 S. 2 BDSG muss der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorsehen. Nach § 22 Abs. 2 S.2 BDSG sind insbesondere folgende Maßnahmen zu treffen:
- technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt,
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
- Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
- Benennung einer oder eines Datenschutzbeauftragten,
- Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
- Pseudonymisierung personenbezogener Daten,
- Verschlüsselung personenbezogener Daten,
- Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Die Privilegierung nach Art. 5 Abs. 1 lit. b DSGVO
Nach Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden (sogenannter „Zweckbindungsgrundsatz“). Demgemäß ist das Unternehmen an die im Vorfeld festgelegten Zwecke gebunden und eine Verarbeitung zu anderen Zwecken ist grundsätzlich verboten.
Von diesem Prinzip sieht Art. 5 Abs. 1 lit. b DSGVO eine Ausnahme vor: eine Weiterverarbeitung gilt gemäß Art. 89 DSGVO nicht als unvereinbar mit den ursprünglichen Zwecken, wenn diese für wissenschaftliche Forschungszwecke erfolgt. Der Konflikt zwischen dem Grundrecht auf Datenschutz und dem Grundrecht auf Forschungsfreiheit wird damit durch eine Forschungsprivilegierung nach Art. 5 Abs. 1 lit. b DSGVO ausgeglichen.
Gemäß Art. 89 Abs. 1 DSGVO unterliegt die Datenverarbeitung zu wissenschaftlichen Forschungszwecken geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen. Art. 89 Abs. 1 S. 2 DSGVO legt fest, dass die Achtung des Grundsatzes der Datenminimierung mit diesen Garantien sichergestellt werden soll. Bei der Auswahl der Maßnahmen muss der Verantwortliche sich im Einzelfall am mit der Verarbeitung verbundenen Risiko orientieren. Der in § 22 Abs. 2 S. 2 BDSG enthaltene Maßnahmenkatalog ist in diesem Zusammenhang aufschlussreich.
Besondere Regeln bei der Forschung
Die Datenschutz-Grundverordnung enthält für die Verarbeitung von personenbezogenen Daten in der wissenschaftlichen Forschung mehrere Privilegierungen: der Zweckbestimmtheitsgrundsatz wird gelockert, eine Weiterverarbeitung für wissenschaftliche Forschungszwecke gilt unter bestimmten Voraussetzungen nicht als unvereinbar mit den ursprünglichen Zwecken der Verarbeitung und eine Verarbeitung von sensiblen Daten kann ohne Einwilligung des Betroffenen erfolgen, wenn die Interessen des Verantwortlichen an der Verarbeitung erheblich überwiegen. Zudem ist bei besonders riskanten Datenverarbeitungen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen. Angesichts der zahlreichen Pflichten, die den Verantwortlichen in diesem Zusammenhang treffen können, empfiehlt es sich, von Anfang an den Datenschutzbeauftragen miteinzubeziehen.