Datenschutz in der Forschung

„Alles neu macht die DSGVO“ möchte man meinen, und tatsächlich wurde mit der am 25.05.2018 in Geltung getretenen Datenschutzgrundverordnung (DSGVO) in vielen Bereichen die aus dem Jahr 1995 stammende Datenschutzrichtlinie (RL 95/46/EG) aktualisiert.

Damit einhergehend wurden auch die Regeln für die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke bzw. statistische Zwecke geändert. Der Forschungsbegriff ist nach dem Verständnis der DSGVO weit auszulegen: Demonstrativ genannt werden etwa Verarbeitungen für die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privatfinanzierte Forschung. Ein wichtiges Anwendungsgebiet ist dabei die Verknüpfung von Daten im medizinischen Bereich, zumal dadurch nach Ansicht des europäischen Gesetzgebers wertvolle Erkenntnisse über weit verbreitete Krankheiten, wie etwa Herz-Kreislauferkrankungen, Krebs oder Depression gewonnen werden können.

Auf nationaler Ebene wurden im Bereich der Forschung mit dem Datenschutz-Anpassungsgesetz 2018 bzw. dem Datenschutz-Anpassungsgesetz 2018 – Wissenschaft und Forschung (WFDSAG 2018) wesentliche Änderungen vorgenommen. So wurden grundlegende datenschutzrechtliche Bestimmungen in das Forschungsorganisationsgesetz (FOG) aufgenommen und einzelne forschungsrechtliche Bestimmungen in Sondergesetzen, etwa im Arzneimittelgesetz (AMG) oder im Medizinproduktegesetz (MPG) adaptiert.

Die hohen Strafdrohungen der DSGVO in Verbindung mit der Geltendmachung möglicher Schadenersatzforderungen durch betroffene Personen erfordert ein hohes Maß an Datenschutz-Compliance, die von der Forschungseinrichtung sichergestellt werden muss. Dabei stellen sich insbesondere folgende Fragen:

  • Welche gesetzlichen Grundlagen kommen zur Anwendung?
  • Welche Daten werden verarbeitet bzw. liegen besondere Datenkategorien (zB Gesundheitsdaten oder genetische Daten) vor?
  • Ist eine Privilegierung der Verarbeitung nach dem FOG oder sonstigen gesetzlichen Bestimmungen möglich?
  • Welche Genehmigungen, etwa der Datenschutzbehörde oder einer Ethikkommission sind erforderlich?
  • Wie bzw. unter welchen Voraussetzungen können Studienteilnehmer ihre Betroffenenrechte ausüben?
  • Wie kann eine Zusammenarbeit verschiedener unterschiedlicher wissenschaftlicher Akteure datenschutzkonform ausgestaltet werden? Sind die einzelnen Akteure als eigenständige oder gemeinsame Verantwortliche bzw. Auftragsverarbeiter zu erachten?
  • Welche datenschutzrechtlichen Vereinbarungen sind erforderlich?
  • Wie ist das Verzeichnis sämtlicher Verarbeitungstätigkeiten zu gestalten?
  • Ist die Bestellung eines Datenschutzbeauftragten erforderlich?
  • Ist für jegliche Verarbeitung personenbezogener Daten im Rahmen der wissenschaftlichen Forschung die Einwilligung der betroffenen Personen erforderlich?
  • Dürfen Daten, die im Rahmen eines anderen Forschungsprojekts erhoben und verarbeitet wurden, auch für das eigene Projekt verarbeitet werden?
  • Welche technischen und organisatorischen Maßnahmen müssen getroffen werden, um die Datensicherheit zu gewährleisten?
  • Wie können Daten auf datenschutzkonforme Weise anonymisiert oder pseudonymisiert werden?

Besonderheiten bestehen zudem, wenn wissenschaftliche Erkenntnisses unter Zuhilfenahme von Big Data gewonnen werden sollen, zumal auch hier die datenschutzrechtlichen Vorgaben lückenlos einzuhalten sind. Dies bedeutet in praxi die Findung des schmalen Grats zwischen der Sicherstellung valider und belastbarer Forschungsergebnisse einerseits und der Einhaltung der Grundsätze der Datenverarbeitung (insbesondere der Grundsatz der Datenminimierung, der Rechtmäßigkeit der Verarbeitung und Zweckbindung) andererseits.