Datenschutz bei Forschungsprojekten

Forschungsprojekte, in denen personenbezogene Daten verarbeitet werden, müssen auf die Einhaltung der Datenschutzvorschriften aus der DSGVO geprüft werden.

Die Checkliste hilft Ihnen dabei, die notwendigen Schritte zu tun. (für Download bitte im Intranet anmelden)

Informativ und unterstützend auch die Materialien auf der ZENDAS-Seite: Datenschutzgerechter Umgang mit Forschungsdaten (Zugang auf dem Campus oder Login über Shibboleth)

DFG Checkliste zu Forschungsdaten (allgemein), Dez. 2021

Ist mein Projekt überhaupt datenschutzrelevant?

Zu dieser Fragestellung gibt es ein externes, in Deutsch und Englisch verfügbares Tool, das über einen kommentierten Fragenkatolg eine Antwort versucht. Dies wird in den meisten Fällen, aber nicht in allen, hilfreich sein. Nutzen Sie deshalb gerne auch das Beratungsangebot der Datenschutzbeauftragten der Universität Erfurt.

Fragenkataloge:

Werden überhaupt personenbezogene Daten verarbeitet?

Einwilligung als Rechtsgrundlage?

Forschungspriviligierte Rechtsgrundlagen (z.b. Forschung als Aufgabe der Thüringer Hochschulen nach ThürHG)

Forschung

Forschung ist neben Lehre eine Hauptaufgabe von Hochschulen. Geregelt u.a. in § 5 (2), §8 und 64 ThürHG sowie Art.5 Abs. 3 Grundgesetz (Wissenschaftsfreiheit).

Für im Rahmen der Forschung erhobene Primärdaten mit Personenbezug gelten grundsätzlich dieselben Datenschutzregelungen. Um einen Interessensausgleich zwischen Forschungsinteresse und dem "Recht auf informelle Selbstbestimmung" zu schaffen, gibt es Regelungen zum "Forschungsdatenschutz" (Artikel 89 DSGVO, §27 BDSG, §16 (2) ThürDSG, §22 ThürDSG).

So können beispielsweise im Forschungsbereich "Gesundheit" personenbezogene Daten - Gesundheitsdaten gehören zu den Kategorien besonders schützenswerter Daten - erhoben werden, um auf dieser Basis wissenschaftliche Arbeiten durchführen zu können, z.B. für statistischen Auswertungen.

"Statt den Datenschutz als Bremse oder gar Feind zu betrachten, bietet sich eine Integration in Forschungsvorhaben an. ... Wie bereits erwähnt, werden künftig auch die Mittelgeber aufgrund eigener Verpflichtungen ein verstärktes Augenmerk darauf haben, wie es um Sicherheit und Datenschutz bestellt ist. " (Jan K. Köcher: Eu-Datenschutzgrundverordnung - und die Welt dreht sich weiter, In: DFN-Mitteilungen, Dez.2018)

Verantwortlichkeit

Auch für Forschungsprojekte gelten die Regelungen §6 und §9 DSGVO.

Ihre Aufgaben als (intern) Verantwortlicher sind daher:

  • Erfüllung der Informationspflichten gegenüber den Probanden (Datenschutzinformationen nach Art. 13/14 DSGVO, evtl. Einholen einer Einwilligung: informierte Einwilligung)
  • Führen des Verarbeitungsverzeichnisses (inkl. Offenlegung der technisch-organisatorischen Maßnahmen)
  • gegebenfalls der Abschluß einer Auftragsverarbeitung (z.B. im Falle einer Telefonumfrage, die durch eine externe Firma durchgeführt werden soll oder beim Einsatz Transkriptionsfirma für die Interviews)
  • Beachtung der Meldepflichten (zum Beispiel bei einer Datenpanne)
  • bei Projekt-Webauftritten außerhalb der Universität: eigene Datenschutzerklärung, Verträge zur Auftragsverarbeitung mit Hostern und/oder Webagenturen, Einhaltung der Regeln für eine Website der Uni Erfurt

Daten dürfen nur nach dem Prinzip der Datensparsamkeit erhoben werden (also nur die, die zur Erfüllung des Zwecks tatsächlich erforderlich sind). Erhobene Daten dürfen auch nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden. Das gilt auch für eine Nachnutzung oder Bereitstellung in einem Archiv oder Repository (bei Einholen der Einwilligung diesen Zweck entsprechend berücksichtigen und zur Auswahl(!) stellen).

Auf frühzeitige Anonymisierung ist zu achten, falls das nicht möglich ist, ist als Alternative die Pseudonymisierung (Anforderungen an datenschutzkonforme Pseudonymisierung, GDD 2018) der Daten in Betracht zu ziehen. Für vollständig anonymisierte Daten ist der Datenschutz nicht mehr anwendbar.

Außerdem müssen Sie geeignete technische und organisatorische Maßnahmen zur Datensicherheit treffen, um die erhobenen personenbezogenen Daten ausreichend zu schützen. Zu diesen Maßnahmen gehören z.B. Regelungen zur Verwendung von sicheren Programmen, Hardware, Verschlüsselungsmechanismen, Backups und Zugriffsbeschränkungen. Diese Maßnahmen dokumentieren Sie im Verarbeitungsverzeichnis. Eine Kopie des Verarbeitungsverzeichnisses senden Sie an die Datenschutzbeauftragten.

Kontaktieren Sie rechtzeitig vor Projektbeginn den Datenschutz der Universität Erfurt. Die Datenschutzbeauftragten beraten Sie gerne.

Self-Assessment/Ethik-Deklaration z.B. für EU-Projekte

Falls Sie bei EU-Projekten eine Ethik-Deklaration einreichen müssen, müssen Sie sich auch mit Datenschutzfragen auseinandersetzen.

Horizon 2020 Programme Guidance : How to complete your ethics self-assessment vom 4.2.2019

 

Datentracking in der Wissenschaft

Ein Informationspapier des Ausschusses für Wissenschaftliche Bibliotheken und Informationssysteme der Deutschen Forschungsgemeinschaft informiert zum Datentracking bei digitalen wissenschaftlichen Ressourcen durch die (großen) Wissenschaftsverlage.

"Dabei würden personalisierte Profile, Zugriffs- und Nutzungsmesswerte sowie Angaben zur Verweildauer bei Informationsquellen von Forschern etwa bei der Literaturrecherche getrackt, also festgehalten und gespeichert." - so berichtet auch Heise über dieses Papier.

Zum Einsatz kommen neben Cookies und Fingerprinting auch Programme, die Tippgeschwindigkeit und Mausbewegung auswerten können. Die dabei gewonnen - auch biometrischen Daten - können dann zu einem personalisierten Profil zusammengefasst werden. Damit findet eine "Ausforschung" der Forschenden statt.

Weiterführende Links

Mustereinwilligungserklärung und zugehörige Datenschutzerklärung für Forschungsprojekte (ZENDAS)

Erweiterte Einwilligung für Forschungsprojekte (DFNInfobrief Recht, 12_2021)

Online-Umfragen

Datenschutz bei Studienarbeiten: Checkliste

Train-the-TrainerKonzept zum Forschungsdatenmanagement: enthält u.a. Checklisten für Einwilligungserklärungen sowie Beispiele für Anonymisierung von Interviews

Einwilligung zur Sekundärnutzung (für Übergabe Forschungsdaten in ein Archiv oder Repository): Beispiel (dt. und engl.) von Qualiservice, Bremen sowie Informationen rund um die informierte Einwilligung inkl. Mustervorlagen

Eine gute und grundlegende Einführung in Datenschutz, DSGVO und Forschung mit Checklisten: Handreichung Datenschutz / Rat für Sozial- und Wirtschaftsdaten. 2. vollst. überarb. Aufl.  2020 (pdf)