Datenschutz bei Forschungsprojekten

Forschungsprojekte, in denen personenbezogene Daten verarbeitet werden, müssen auf die Einhaltung der Datenschutzvorschriften aus der DSGVO geprüft werden.

Die Checkliste hilft Ihnen dabei, die notwendigen Schritte zu tun.

Forschung

Forschung ist neben Lehre eine Hauptaufgabe von Hochschulen. Geregelt u.a. in §8 und 64 ThürHG sowie Art.5 Abs. 3 Grundgesetz (Wissenschaftsfreiheit).

Für im Rahmen der Forschung erhobene Primärdaten mit Personenbezug gelten grundsätzlich dieselben Datenschutzregelungen. Um einen Interessensausgleich zwischen Forschungsinteresse und dem "Recht auf informelle Selbstbestimmung" zu schaffen, gibt es Regelungen zum "Forschungsdatenschutz" (Artikel 89 DSGVO, §27 BDSG).

So können beispielsweise im Forschungsbereich "Gesundheit" personenbezogene Daten - Gesundheitsdaten gehören zu den Kategorien besonders schützenswerter Daten - erhoben werden, um auf dieser Basis wissenschaftliche Arbeiten durchführen zu können, z.B. für statistischen Auswertungen.

"Statt den Datenschutz als Bremse oder gar Feind zu betrachten, bietet sich eine Integration in Forschungsvorhaben an. ... Wie bereits erwähnt, werden künftig auch die Mittelgeber aufgrund eigener Verpflichtungen ein verstärktes Augenmerk darauf haben, wie es um Sicherheit und Datenschutz bestellt ist. " (Jan K. Köcher: Eu-Datenschutzgrundverordnung - und die Welt dreht sich weiter, In: DFN-Mitteilungen, Dez.2018)

Verantwortlichkeit

Auch für Forschungsprojekte gelten die Regelungen §6 und §9 DSGVO.

Ihre Aufgaben als (intern) Verantwortlicher sind daher:

  • Erfüllung der Informationspflichten gegenüber den Probanden (informierte Einwilligung)
  • Führen des Verarbeitungsverzeichnisses (inkl. Offenlegung der technisch-organisatorischen Maßnahmen)
  • gegebenfalls der Abschluß einer Auftragsverarbeitung (z.B. im Falle einer Telefonumfrage, die durch eine externe Firma durchgeführt werden soll oder beim Einsatz einer kostenlosen Umfrageplattform wie Unipark)
  • Beachtung der Meldepflichten (zum Beispiel bei einer Datenpanne)
  • bei Webauftritten außerhalb der Universität: eigene Datenschutzerklärung, Verträge zur Auftragsverarbeitung mit Hostern und/oder Webagenturen

Daten dürfen nur nach dem Prinzip der Datensparsamkeit erhoben werden (also nur die, die zur Erfüllung des Zwecks tatsächlich erforderlich sind). Erhobene Daten dürfen auch nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden.

Auf frühzeitige Anonymisierung ist zu achten, falls das nicht möglich ist, ist als Alternative die Pseudonymisierung (Anforderungen an datenschutzkonforme Pseudonymisierung, GDD 2018) der Daten in Betracht zu ziehen. Für vollständig anonymisierte Daten ist der Datenschutz nicht mehr anwendbar.

Außerdem müssen Sie geeignete technische und organisatorische Maßnahmen zur Datensicherheit treffen, um die erhobenen personenbezogenen Daten ausreichend zu schützen. Zu diesen Maßnahmen gehören z.B. Regelungen zur Verwendung von sicheren Programmen, Hardware, Verschlüsselungsmechanismen, Backups und Zugriffsbeschränkungen. Diese Maßnahmen dokumentieren Sie im Verarbeitungsverzeichnis. Eine Kopie des Verarbeitungsverzeichnisses senden Sie an die Datenschutzbeauftragten.

Self-Assessment/Ethik-Deklaration z.B. für EU-Projekte

Falls Sie bei EU-Projekten eine Ethik-Deklaration einreichen müssen, müssen Sie sich auch mit Datenschutzfragen auseinandersetzen.

Horizon 2020 Programme Guidance : How to complete your ethics self-assessment vom 4.2.2019

Die Datenschutzbeauftragten der Universität Erfurt beraten Sie gerne.

Weiterführende Links

Mustereinwilligungserklärung und zugehörige Datenschutzerklärung für Forschungsprojekte (ZENDAS)

Online-Umfragen

Datenschutz bei Studienarbeiten

Checkliste