© mintchipdesigns / www.pixabay.com
© Philipp Arnoldt
Servicezentrum Forschungsdatenmanagement
Umgang mit personenbezogenen Daten
Die wichtigsten Schritte beim Umgang mit personenbezogenen Daten
Vorbereitung
Festlegung der Rechtsgrundlage
Sie benötigen für die Arbeit mit personenbezogenen Daten immer eine Rechtsgrundlage. In der Regel ist dies die informierte Einwilligung, die Sie von den Betroffenen einholen. Andere Rechtsgrundlagen sind grundsätzlich möglich, sollten aber mit dem Team Datenschutz abgeklärt werden. Die Einwilligungserklärung muss per Gesetz bestimmte Informationen enthalten - sie sollte daher mit dem Team Datenschutz abgestimmt sein. Das Team Datenschutz stellt ein Muster für Einwilligungserklärungen bereit.
Auftragsdatenverarbeitung
Falls Sie die personenbezogenen Daten im Rahmen Ihres Projekts an Dienstleister (z.B. Transkriptionsdienstleister, Labore) übermitteln, ist mit diesen ein Auftragsverarbeitungsvertrag (AVV) zu schließen. Durch diesen wird der Dienstleister an die Einhaltung des Datenschutzes gebunden. Das Team Datenschutz stellt hierfür ein Muster bereit und unterstützt bei der konkreten Ausgestaltung.
Verbundforschung
Falls Sie die Daten in einem kooperativ durchgeführten Forschungsvorhaben (z.B. Verbundprojekt) verarbeiten, sind sie gemeinsam für die Einhaltung des Datenschutzes verantwortlich (joint control). In diesem Fall muss eine schriftliche Vereinbarung über die individuelle Verantwortlichkeit der kooperierenden Einrichtungen (z.B. für Information der Betroffenen, Gewährleistung der Betroffenenrechte etc.) schriftlich festgehalten werden. Eine Abstimmung der Formulierung mit dem Team Datenschutz sollte möglichst erfolgen.
Verarbeitung
Nach der Erhebung der personenbezogenen Daten sind diese unverzüglich zu anonymisieren. Sollte eine Anonymisierung dem Forschungszweck nach nicht möglich sein, ist zumindest eine Pseudonymisierung vorzunehmen. Die personenbezogenen Originaldaten sowie die Zuordnungstabelle werden separat von den pseudonymisierten Daten gespeichert und technisch-organisatorische Maßnahmen zu ihrem Schutz eingerichtet (z.B. Zugriffsrecht nur für Projektleitung). Andere Vorgehensweisen sind nur zulässig, wenn sie explizit Teil der Einwilligungserklärung sind (z.B. Pseudonymisierung erst zum Abschluss des Projekts) - entsprechende Fälle sollten gut begründet sein.
Archivierung und Veröffentlichung
Nach Abschluss des Projekts sind die den Ergebnissen zugrundeliegenden Forschungsdaten für mindestens 10 Jahre aufzubewahren und möglichst öffentlich zur Verfügung zu stellen. Dies erfolgt – wenn es die Nachvollziehbarkeit der Ergebnisse nicht beeinträchtigt – in anonymisierter Form entweder innerhalb der Institution oder in einem standortübergreifenden Repositorium. Falls keine vollständige Anonymisierung möglich ist, sind die Forschungsdaten zwingend durch eine Treuhandstelle zu verwahren – wenden Sie sich in diesem Fall an das Team Datenschutz. Anonymisierte Daten können problemlos über ein Forschungsdatenrepositorium veröffentlicht werden – bei Daten, die noch einen Personenbezug aufweisen, ist dies nur mit expliziter Einwilligung der Betroffenen möglich.
Materialien
Häufige Fragen
Handelt es sich um personenbezogene Daten, wenn ich in einer Befragung nur wenige demographische Daten wie Studiengang und Alter abfrage?
Ein Personenbezug liegt dann vor, wenn die Daten den Rückschluss auf eine individuelle Person erlauben. Die Frage, ob eine konkrete Person identifizierbar ist, kann dabei durchaus vom jeweiligen Forschungskontext abhängig sein: Wird eine Umfrage online durchgeführt und es kommen mehrere tausend Antworten, so können Fragen nach dem Alter und Geschlecht der Personen, die an der Umfrage teilgenommen haben, noch nicht dazu führen, dass eine Identifizierung ermöglicht wird. Wird die gleiche Umfrage hingegen für einen konkreten kleineren Personenkreis (z.B. die Mitarbeiter*innen eines Unternehmens oder die Mitglieder eines Vereins) durchgeführt, dann ist es durchaus möglich, dass die Informationen zu Alter und Geschlecht der Proband*innen die eindeutige Identifizierung der Person ermöglichen. Ohne den Forschungskontext zu kennen, kann daher nicht beurteilt werden, ob in einem bestimmten Datensatz ein Personenbezug vorliegt. Wenn in einer Studie mehrere demographischen Informationen abgefragt werden sollen, sollten Sie daher Kontakt mit dem Team Datenschutz aufnehmen, damit dieses Ihnen eine Einschätzung dazu gibt, ob die entstehenden Daten als anonym betrachtet werden können oder nicht.
Kann ich auch ohne Einwilligung der Betroffenen mit personenbezogenen Daten arbeiten?
Als weitere Rechtsgrundlage neben der Einwilligung kommt in der Forschung insbesondere die "Wahrnehmung hoheitlicher Aufgaben" in Frage. Demnach ist die „Verarbeitung auch ohne Einwilligung für die Erfüllung einer Aufgabe zu im öffentlichen Interesse liegenden wissenschaftlichen oder historischen Forschungszwecken oder für statistische Zwecke zulässig, wenn das öffentliche Interesse an der Durchführung des Vorhabens die schutzwürdigen Belange der betroffenen Person erheblich überwiegt und der Zweck nicht auf andere Weise erreicht werden kann“. Wenn diese Rechtsgrundlage zur Anwendung kommen soll, muss also nachgewiesen werden, dass das öffentliche Interesse die Belange der Betroffenen überwiegt. Hierfür muss eine komplexe und aufwendige Güterabwägung erfolgen. Aus praktischen Gründen ist daher in der Regel von dieser Rechtsgrundlage abzuraten.
Können auch Kinder eine informierte Einwilligung geben?
Es gibt im Gesetz keine feste Altersgrenze, ab der die Einwilligungsfähigkeit vorausgesetzt wird. Man kann aber in Analogie zu Art. 8 DSGV wohl davon ausgehen, dass Jugendliche ab einem Alter von 16 Jahre selbst in der Lage sind, informierte Einwilligungen zu geben. Bei jüngeren Kindern müssen in der Regel die gesetzlichen Vertreter*innen einwilligen. Es sind aber Einzelfallregelungen denkbar, in denen auf die Einsichtsfähigkeit der Kinder abgestellt werden. Hierzu berät das Team Datenschutz.
Was muss ich tun, wenn Betroffene ihre Einwilligung widerrufen?
Der Widerruf der Einwilligung ist erst ab diesem Zeitpunkt wirksam, das heißt, die bis zum Widerruf erfolgte Datenverarbeitung, z. B. eine vorherige Publikation, bleibt rechtmäßig. Mit Ausübung des Widerrufsrechts muss die Datenverarbeitung beendet werden und die Daten müssen gelöscht werden, soweit keine andere Rechtsgrundlage die weitere Verarbeitung der Daten gestattet.
Zählt die Einwilligung auch mündlich?
Grundsätzlich ja, aber Forschende müssen im Bedarfsfall nachweisen können, dass die Einwilligung der betroffenen Personen erfolgt ist. Die Einwilligung sollte daher möglichst schriftlich, d.h. durch ein automatisches Verfahren wie ein Opt-In oder klassisch in Textform mit Unterschrift eingeholt werden.
Muss ich personenbezogene Forschungsdaten immer anonymisieren?
Soweit es dem Forschungszweck nach möglich ist, sind personenbezogene Daten nach der Erhebung unverzüglich zu anonymisieren. Sollte eine vollständige Anonymisierung nicht möglich sein, ist zumindest eine Pseudonymisierung vorzunehmen. Die personenbezogenen Originaldaten sowie die Zuordnungstabelle werden separat von den pseudonymisierten Daten gespeichert und technisch-organisatorische Maßnahmen zu ihrem Schutz eingerichtet (z.B. Zugriffsrecht nur für Projektleitung). Andere Vorgehensweisen sind nur zulässig, wenn sie explizit Teil der Einwilligungserklärung sind (z.B. Pseudonymisierung erst zum Abschluss des Projekts) - entsprechende Fälle sollten gut begründet sein.
Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung?
Bei einer Anonymisierung wird der Personenbezug vollständig aus den Daten entfernt und die Originaldaten mit Personenbezug werden unwiderruflich gelöscht- Der Personenbezug ist damit nicht wiederherstellbar. Anonymisierte Daten sind damit keine personenbezogenen Daten mehr und unterliegen nicht mehr dem Datenschutz. Bei einer Pseudonymisierung werden diejenigen Daten, die zu einer Identifizierung führen – so z.B. der Name – im Datensatz durch ein Pseudonym – z.B. eine Identitätsnummer – ersetzt und dann eine Konkordanz zwischen dieser Nummer und dem Namen sicher getrennt von den anderen Daten gespeichert und technisch-organisatorische Maßnahmen zu ihrem Schutz eingerichtet (z.B. Zugriffsrecht nur für Projektleitung). Es besteht damit die Möglichkeit der Re-Identifizierung durch Nutzung der Zuordnungsregel. Pseudonymisierte Daten unterliegen den Regeln des Datenschutzes vollumfänglich.
Kann ich einmal erhobene personenbezogene Daten für weitere Forschungsprojekte wiederverwenden?
Eine Verwendung einmal erhobener personenbezogener Daten in weiteren Forschungsprojekten ist in der Regel nur möglich, wenn die Betroffenen ihre Einwilligung dazu gegeben haben. Der Zweck "Nutzung in weiteren Forschungsprojekten" ist dafür am besten separat zur Einwilligung in die Nutzung für das aktuelle Forschungsprojekt einzuholen, damit ggf. auch ein separater Widerruf möglich ist.
Gilt auch für Forschungsdaten mit Personenbezug die durch die Gute Wissenschaftliche Praxis geforderte Aufbewahrungsfrist von 10 Jahren?
Ja, die Aufbewahrungsfrist gilt für sämtliche Primärdaten, die die Grundlage wissenschaftlicher Erkenntnisse bilden. Wenn es die Nachvollziehbarkeit der Ergebnisse nicht beeinträchtigt, sind die Daten zu diesem Zweck zu anonymisieren. Wenn keine vollständige Anonymisierung möglich ist, sind die Forschungsdaten dennoch aufzubewahren – die Verwahrung erfolgt in diesem Fall aber zwingend bei einer Treuhandstelle. Wenden Sie sich hierzu an das Team Datenschutz der TU Berlin.
Kann ich personenbezogene Daten veröffentlichen?
Eine Veröffentlichung personenbezogener Daten – z.B. über Repositorien – ist möglich, wenn eine entsprechende Einwilligung der Betroffenen vorliegt. Ohne Einwilligung können die Daten nur in anonymisierter Form veröffentlicht werden.
