Forschungsprojekte, in denen personenbezogene Daten verarbeitet werden, müssen auf die Einhaltung der Datenschutzvorschriften aus der DSGVO geprüft werden.
Die Checkliste hilft Ihnen dabei, die notwendigen Schritte zu tun.
Forschung ist neben Lehre eine Hauptaufgabe von Hochschulen. Geregelt u.a. in §8 und 64 ThürHG sowie Art.5 Abs. 3 Grundgesetz (Wissenschaftsfreiheit).
Für im Rahmen der Forschung erhobene Primärdaten mit Personenbezug gelten grundsätzlich dieselben Datenschutzregelungen. Um einen Interessensausgleich zwischen Forschungsinteresse und dem "Recht auf informelle Selbstbestimmung" zu schaffen, gibt es Regelungen zum "Forschungsdatenschutz" (Artikel 89 DSGVO, §27 BDSG).
So können beispielsweise im Forschungsbereich "Gesundheit" personenbezogene Daten - Gesundheitsdaten gehören zu den Kategorien besonders schützenswerter Daten - erhoben werden, um auf dieser Basis wissenschaftliche Arbeiten durchführen zu können, z.B. für statistischen Auswertungen.
"Statt den Datenschutz als Bremse oder gar Feind zu betrachten, bietet sich eine Integration in Forschungsvorhaben an. ... Wie bereits erwähnt, werden künftig auch die Mittelgeber aufgrund eigener Verpflichtungen ein verstärktes Augenmerk darauf haben, wie es um Sicherheit und Datenschutz bestellt ist. " (Jan K. Köcher: Eu-Datenschutzgrundverordnung - und die Welt dreht sich weiter, In: DFN-Mitteilungen, Dez.2018)
Auch für Forschungsprojekte gelten die Regelungen §6 und §9 DSGVO.
Ihre Aufgaben als (intern) Verantwortlicher sind daher:
Daten dürfen nur nach dem Prinzip der Datensparsamkeit erhoben werden (also nur die, die zur Erfüllung des Zwecks tatsächlich erforderlich sind). Erhobene Daten dürfen auch nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden.
Auf frühzeitige Anonymisierung ist zu achten, falls das nicht möglich ist, ist als Alternative die Pseudonymisierung (Anforderungen an datenschutzkonforme Pseudonymisierung, GDD 2018) der Daten in Betracht zu ziehen. Für vollständig anonymisierte Daten ist der Datenschutz nicht mehr anwendbar.
Außerdem müssen Sie geeignete technische und organisatorische Maßnahmen zur Datensicherheit treffen, um die erhobenen personenbezogenen Daten ausreichend zu schützen. Zu diesen Maßnahmen gehören z.B. Regelungen zur Verwendung von sicheren Programmen, Hardware, Verschlüsselungsmechanismen, Backups und Zugriffsbeschränkungen. Diese Maßnahmen dokumentieren Sie im Verarbeitungsverzeichnis. Eine Kopie des Verarbeitungsverzeichnisses senden Sie an die Datenschutzbeauftragten.
Falls Sie bei EU-Projekten eine Ethik-Deklaration einreichen müssen, müssen Sie sich auch mit Datenschutzfragen auseinandersetzen.
Horizon 2020 Programme Guidance : How to complete your ethics self-assessment vom 4.2.2019
Die Datenschutzbeauftragten der Universität Erfurt beraten Sie gerne.
Mustereinwilligungserklärung und zugehörige Datenschutzerklärung für Forschungsprojekte (ZENDAS)
Online-Umfragen
Datenschutz bei Studienarbeiten
Train-the-TrainerKonzept zum Forschungsdatenmanagement: enthält u.a. Checklisten für Einwilligungserklärungen sowie Beispiele für Anonymisierung von Interviews
Universität Erfurt (Campus)
Nordhäuser Str. 63
99089 Erfurt