Umgang mit personenbezogenen Daten
Disclaimer: Keine Rechtsverbindlichen Informationen! Bitte wenden Sie sich bei spezifischen rechtlichen Fragen und für rechtsverbindliche Informationen immer an die Rechtsabteilung ihrer Institution und bei Fragen zum Datenschutz an einen Datenschutzbeauftragten ihrer Institution.
Was sind personenbezogene Daten?
Weitere Informationen zu Forschungsdatenmanagement und Recht
Was sind personenbezogene Daten?
Gemäß der Datenschutzgrundverordnung (DSGVO) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1 DSGVO).
Werden also beispielsweise 20 natürliche Person nach ihrem letzten Urlaubsland befragt, so sind diese Daten erst einmal nicht personenbezogen. Wird jedoch zusätzlich der Name erfasst, so zählt auch das Urlaubsland zu personenbezogenen Daten, da es einer bestimmten natürlichen Person nun direkt zugeordnet werden kann. Bei einer indirekten Identifikation gelten dieselben Regeln. Über die indirekten Identifikatoren sind Personen ebenfalls eindeutig identifizierbar, z.B. bei der Kombination von Beruf und Unternehmen, insofern dieser Beruf in dem Unternehmen einmalig vorhanden ist (z.B. bei Stellen mit leitender Funktion). Im Folgenden finden Sie eine Auflistung von Beispielen für indirekte Identifikatoren: Vornamen, Ortsangaben, Straßennamen, Bundesländer, Institutions-/Organisationszugehörigkeiten (z.B. Arbeitgeber, Schule), Berufsangaben, Titel und Bildungsabschlüsse, Alter, Zeitangaben/kalendarische Daten, Bilder und Stimmen.
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ (Art. 9 Nr. 1 DSGVO) gilt als Verarbeitung besonderer Kategorien personenbezogener Daten und bedarf besonderer Sicherheitsvorkehrungen, die Auswirkungen auf die Möglichkeiten der Veröffentlichung dieser Daten haben können. Beziehen Sie, wenn Sie unsicher sind, immer einen Datenschutzbeauftragten der JLU und falls notwendig die Ethikkommission (FB06 / FB11) mit ein.
Merke:
Daten sind personenbezogen, wenn sie direkt oder indirekt einer bestimmten natürlichen Person eindeutig zugeordnet werden können. Je nach Art der personenbezogenen Daten können diese aber einen unterschiedlichen Schutzbedarf haben, was Auswirkungen auf die Möglichkeiten der Veröffentlichung dieser Daten haben kann.
Was muss ich bei personenbezogenen Daten beachten?
Vor der Erhebung
Überlegen Sie zunächst, ob personenbezogene Daten für Ihr Forschungsvorhaben zwingend notwendig sind, oder ob Sie auch auf diese verzichten könnten. Planen Sie für die spätere Darstellung eine Aggregation Ihrer Daten, da Sie eine statistische Analyse vornehmen wollen, sollten Sie sich vor der Erhebung personenbezogener Daten bereits Gedanken machen, welche dieser Daten direkt einer natürlichen Person zugeordnet werden können, um diese getrennt zu speichern und später nach der Datenaggregation einfach löschen zu können. Erfordert der Forschungszweck die Erhebung personenbezogener Daten, müssen diese im Falle der Verarbeitung besonderer Kategorien personenbezogener Daten äußerst sensibel behandelt werden (siehe dazu Art. 9 DSGVO). Deshalb müssen beim Umgang mit diesen, das heißt bei Erhebung, Aufbereitung, Auswertung, Analyse, Publikation sowie Archivierung, besondere Regelungen beachtet werden. Sie können unter Umständen auch einer Publikation der Daten im Wege stehen. Grundsätzlich bedarf die Verarbeitung einer Rechtsgrundlage, damit diese rechtmäßig ist (siehe dazu Art. 6 DSGVO).
Maßgeblich für den Umgang mit personenbezogenen Daten innerhalb der EU ist die DSGVO, auf Bundesebene wird dieser zusätzlich durch das BDSG geregelt. Allgemeine weitere Informationen zu dem Thema, welche datenschutzrechtlichen Prinzipien bei Forschungsdesign und Projektplanung zu berücksichtigen sind, finden Sie hier. Für weitere eher auf die Sozial- und Wirtschaftswissenschaften bezogene Informationen siehe auch Handreichung Datenschutz des RatSWD.
Bei der Erhebung
Wenn personenbezogene Daten mit in Ihr Forschungsprojekt einfließen, gibt es gewisse Regelungen, die bei der Erhebung eingehalten werden müssen. Damit wird sichergestellt, dass Sie ihre erhobenen Daten auch rechtsgültig auswerten dürfen.
Besteht kein schutzwürdiges, öffentliches Interesse an der Forschung, welches die Interessen des Einzelnen gem. Bundesdatenschutzgesetz (§ 27 BDSG) überwiegen, so muss vor der Erhebung eine informierte Einwilligungserklärung (informed consent) des Betroffenen eingeholt werden. Im Rahmen dieser Einwilligung muss dieser fair, transparent und umfassend über die Erhebung und Verarbeitung seiner Daten informiert werden (Informationspflicht gem. Art. 13 DSGVO). Dazu gehören unter anderem Namen und Kontaktdaten des Verantwortlichen, der Zweck der Erhebung sowie die rechtliche Grundlage für die Datenverarbeitung, aber auch Informationen zum Speicherort, wer Zugriff auf die Daten hat und ggf. wo die Daten veröffentlicht werden. Darüber hinaus ist der Betroffene über die Speicherdauer der Daten, sein Widerrufsrecht und die Folgenlosigkeit einer Verweigerung oder eines Widerrufs der Einwilligung sowie sein Recht auf Auskunft über seine personenbezogenen Daten aufzuklären. Eine informierte Einwilligungserklärung hat den Vorteil, dass dem Befragten der Zweck der Erhebung genau aufgezeigt werden kann, hat bei einer engen Zweckbindung allerdings den Nachteil, dass diese Daten nur für genau diese Forschungsfrage und nur im Rahmen dieser Erhebung verwendet werden dürfen. Die Daten sind also nicht für andere nachnutzbar, auch wenn diese damit andere Forschungsfragen beantworten könnten. Außerdem sollte eine geplante Veröffentlichung explizit in der Einwilligungserklärung erläutert sein. Weitere Informationen zur informierten Einwilligungserklärung finden Sie beispielsweise beim VerbundFDB. Muster für informierte Einwilligungserklärungen auf Deutsch und auf Englisch finden Sie beim Qualiservice im Download-Bereich unter “Musterformulare für Einwilligungserklärungen”.
Sofern der konkrete Forschungszweck noch nicht exakt feststeht oder Sie bereits im Vorhinein wissen, dass die Daten auch für weitere Ihrer Forschungsfragen von Relevanz sein können, kann auch eine informierte Einwilligungserklärung mit einer weiten Zweckfestlegung (broad consent) erfolgen. Hier haben Sie zwei mögliche Vorgehen: Entweder Sie listen in dieser Einwilligung bereits Ihre möglichen weiteren Settings auf, für die die Daten verwendet werden oder Sie versuchen eine sehr allgemeine Einwilligung beispielsweise für Ihre Disziplin oder für alle weiteren Forschungsfragen einzuholen. Bedenken Sie aber, dass Letzteres vom Befragten trotz Widerrufsrecht wahrscheinlich nur sehr selten unterschrieben werden wird. Darüber hinaus ist rechtlich noch unklar, wie eine Einwilligung mit weiter Zweckfestlegung rechtssicher verfasst sein muss. Im Gutachten zu den rechtlichen Rahmenbedingungen des Forschungsdatenmanagements, das im Rahmen des DataJus-Projekts 2018 entstanden ist, wird z.B. empfohlen, einen „broad consent“ möglichst konkret zu fassen, d.h. mögliche weitere Forschungsfragen und Anschlussprojekte direkt und explizit aufzulisten.
Wenn es sich bei den personenbezogenen Daten um besondere Kategorien gem. Art. 9 DSGVO handelt, müssen diese gesondert und ausdrücklich in der Einwilligungserklärung aufgeführt werden. Dazu gehören bspw. ethnische und biometrische Daten sowie Angaben zur politischen Meinung.
Auch hat der Betroffene jederzeit das Recht, sich über seine personenbezogenen Daten zu erkundigen und auch die Löschung der Daten zu beantragen sowie Widerspruch gegen eine Verarbeitung einzulegen (Auskunftsrecht nach Art. 15 DSGVO). Insbesondere muss ihm im Rahmen des Auskunftsrechts der Name des Ansprechpartners, Empfänger der Daten, Speicherdauer, Verarbeitungszweck und Kategorien der personenbezogenen Daten zur Verfügung gestellt werden. Sollte ein Betroffener von seinem Widerrufsrecht Gebrauch machen, dürfen alle Auswertungen, die bis zum Zeitpunkt des Widerrufs gemacht wurden, weiterverwendet werden, es dürfen lediglich keine weiteren Auswertungen mit den Daten der betroffenen Person gemacht werden.
Für den Forschenden geht mit personenbezogenen Daten auch die Pflicht eines möglichst geringen Datenumfangs (= Prinzip der Datenminimierung und -sparsamkeit), einer möglichst kurzen Speicherungszeit sowie des bestmöglichen Schutzes der Daten vor Datenverlust und -missbrauch einher (nach Art. 5 DSGVO). Aufgrund der hohen Komplexität der datenschutzrechtlichen Aspekte beim Umgang mit personenbezogenen Daten ist es in jedem Fall sinnvoll, sich als Forschender rechtzeitig juristisch beraten zu lassen.
Bei der Auswertung
Verarbeiten Sie personenbezogene Daten, fordert die DSGVO das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (siehe dazu Art. 30 DSGVO sowie Erwägungsgrund 82 DSGVO). Weitere Informationen zu diesem Thema bietet der Hessische Beauftragte für Datenschutz und Informationsfreiheit hier. Wenn ein externer Anbieter z.B. mit der Durchführung einer Umfrage oder eines Interviews beauftragt wird, muss ein Auftragsverarbeitungsvertrag nach DSGVO aufgesetzt werden. Einen Mustervertrag findet man ebenfalls hier beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit.
Die „Ergebnisse der Verarbeitung zu statistischen Zwecken [sind] keine personenbezogenen Daten, sondern aggregierte Daten“. Diese können nicht auf einzelne natürliche Personen zurückgeführt werden (Erwägungsgrund 162 DSGVO), auch wenn bei der ursprünglichen Befragung personenbezogene Daten beliebigen Schutzbedarfs aufgenommen wurden.
Unabhängig davon, ob eine Aggregation vorgenommen werden kann oder diese geplant ist, hat bereits so früh wie möglich – z.B. bereits bei der Erstellung von Transkripten – eine Pseudonymisierung zu erfolgen. Wird beispielsweise jeder befragten Person eine Art „Identitätsnummer“ zugewiesen, können ihre Angaben mit dieser Nummer verknüpft werden, anstatt mit ihrem Klarnamen. Pseudonymisierung bedeutet somit, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen wie einer Schlüsselliste mit der Zuordnung Klarname<->Identifikationsnummer nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Damit geht einher, dass diese zusätzlichen Informationen gesondert aufbewahrt werden müssen und darüber hinaus technischen und organisatorischen Maßnahmen unterliegen müssen, damit Unbefugten eine Zuordnung nicht mehr möglich ist (nach Art. 4 Nr. 5 DSGVO). Eine Pseudonomyisierung schützt die Zuordnung also durch Datentrennung, erhält diese aber.
Wollen Sie Ihre personenbezogenen Daten archivieren und/oder im Sinne einer Publikation für die Öffentlichkeit zur Nachnutzung über ein Repositorium bereitstellen, gilt es, datenschutzrechtliche Bestimmungen einzuhalten und die Persönlichkeitsrechte der Untersuchungspersonen zu wahren. Die Offenheit des Zugangs der Daten hängt dabei vom Grad der Schutzbedürftigkeit dieser Daten ab.
Es gibt einerseits die Möglichkeit der Veröffentlichung über Datenzentren, an die Daten ggf. ohne Anonymisierung abgegeben werden können und die stattdessen Zugriffsbeschränkungen je nach Schutzbedarf einsetzen. Das ist deshalb sinnvoll, weil viele Datensätze durch eine Anonymisierung enorm an Wert verlieren können. Zu nennen sind hier beispielsweise Qualiservice und GESIS für sozialwissenschaftliche Forschungsdaten oder VerbundFDB, von denen die Übermittlung an Datenzentren von Forschungsdaten empirischer Bildungsforschung für Sie übernommen wird. Hier finden Sie außerdem eine Liste mit allen vom RatSWD akkreditierten Forschungsdatenzentren.
Wollen Sie Ihre Daten aber Open Access in einem Forschungsdatenrepositorium (z.B. dem institutionellen Forschungsdatenrepositorium der JLU Gießen JLUdata oder dem generischen Repositorium Zenodo) veröffentlichen, müssen Ihre Forschungsdaten anonymisiert werden. Anonymisierte Daten sind „Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Weiterhin heißt es: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind“ (Erwägungsgrund 26 DSGVO).
Sollten Sie personenbezogene Daten in JLUdata oder einem anderen Repositorium publizieren wollen, müssen diese Daten anonymisiert und die Nutzung nach Abschluss des Forschungsvorhabens in der Einwilligung nicht ausgeschlossen worden sein. Denn selbst anonyme Daten dürfen nicht veröffentlicht werden, wenn die Einwilligung eine Nachnutzung nach Projektende explizit ausschließt.
Bei den Techniken zur Anonymisierung wird zwischen qualitativen und quantitativen Daten unterschieden. VerbundFDB stellt sowohl für qualitative als auch für quantitative Daten Anleitungen zur Anonymisierung zur Verfügung, die Sie hier finden können. Außerdem bietet OpenAIRE mit dem Tool Amnesia ein Hilfsmittel, das Sie bei der Anonymisierung Ihrer Daten unterstützt. Die Stiftung Datenschutz hat Ende 2022 einen Praxisleitfaden für die Anonymisierung personenbezogener Daten veröffentlicht, den Sie hier finden können.
Bei der Archivierung
Gemäß Art. 5 Nr. 1e DSGVO ist es für Forschungszwecke erlaubt, personenbezogene Daten zu bestimmten Zwecken auch über den Zeitraum der Verarbeitung unter Beachtung von Sicherheitsstandards zum Schutz der Daten vor Missbrauch zu speichern.
Der im Projekt DataJus entwickelte Entscheidungsbaum zu datenschutzrechtlichen Fragestellungen, die sich für die Veröffentlichung von Forschungsdaten ergeben, kann Ihnen in einem ersten Schritt bei rechtlichen Fragen helfen. Einen ausführlicheren Überblick zum Datenschutz im Forschungsdatenmanagement bietet darüber hinaus der Beitrag von Watteler/Ebel (2019). Auch die Leuphana Universität Lüneburg bietet eine Übersicht zu Fragen über rechtliche Aspekte rund um Forschungsfragen, darunter auch Antworten zum Umgang mit personenbezogenen Daten.
Weitere Informationen zu Forschungsdatenmanagement und Recht
Falls Sie weitere Informationen zum Umgang mit rechtlich sensitiven Daten im Rahmen des Forschungsdatenmanagements suchen, bietet die kostenfreie ILIAS-Selbstlerneinheit zum Forschungsdatenmanagement einen guten ersten Überblick.