≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 03.04.2019

97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 3./4. April 2019 im Hambacher Schloss

Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs "bestimmte Bereiche wissenschaftlicher Forschung" im Erwägungsgrund 33 der DS-GVO

Der Begriff "bestimmte Bereiche wissenschaftlicher Forschung" wird in Erwägungsgrund 33 erwähnt, aber in der Datenschutz-Grundverordnung (DSGVO) nicht näher definiert. Er steht in einem engen inhaltlichen Zusammenhang mit der Zweckbestimmung, wie sie bei der Erteilung von Einwilligungen auszugestalten ist. Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung stets für den "bestimmten Fall", in informierter Weise und unmissverständlich abzugeben. Das Erfordernis des "bestimmten Falls" konkretisiert den Grundsatz der Zweckbindung im Sinne des Art. 5 Abs. 1 Buchst. b DSGVO, wonach personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke zu erheben sind.

In ihrem Arbeitspapier 259 rev 01, S. 33, weist die Artikel-29-Datenschutz-Gruppe überdies darauf hin, dass deswegen der Begriff "bestimmte Bereiche wissenschaftlicher Forschung" von dem weit zu verstehenden Begriff der wissenschaftlichen Forschung in Art. 89 DSGVO zu unterscheiden ist. Dort geht es um den Anwendungsbereich der wissenschaftlichen Forschung, nicht um die Zweckbindung im Rahmen einer konkreten Datenverarbeitung. Demgegenüber ist der Begriff "bestimmte Bereiche wissenschaftlicher Forschung" enger zu verstehen.

Daraus folgt: Nur wenn das konkrete Design des Forschungsvorhabens absehbar bis zum Zeitpunkt der Datenerhebung eine vollständige Zweckbestimmung schlechthin nicht zulässt (vgl. Erwägungsgrund 33, Satz 1), kann beispielsweise der Ansatz der breiten Einwilligung (broad consent) zum Tragen kommen. Bei der einer Datenerhebung zeitlich vorgelagerten Einwilligung können dann unter engen Voraussetzungen Abstriche hinsichtlich der Bestimmtheit des Zwecks hingenommen werden.

Auch der Erwägungsgrund 33 entbindet allerdings nicht von der Pflicht, im Kontext von Forschungsprojekten Mechanismen herauszuarbeiten, nach denen die Verwendung der erhobenen Daten für die betroffene Person nachvollziehbar eingegrenzt wird. Insbesondere wird es nicht als mit dem Erwägungsgrund 33 vereinbar erachtet, wenn die Verwendung der erhobenen Daten pauschal auf bestimmte Forschungsbereiche ausgeweitet wird. Das Gebot einer informierten Einwilligung erfordert zumindest, dass möglichst präzise das jeweilige Forschungsvorhaben und nachfolgend aufgeführte spezifische Sicherungsmaßnahmen von der Einwilligungserklärung erfasst werden.

In den Einzelfällen, in denen das Arbeiten mit breiten Einwilligungen als für das Erreichen des Forschungszwecks zwingend erforderlich erachtet wird, ist deshalb insbesondere mit den folgenden Korrektiven zu arbeiten. Sie dienen der Transparenz, Vertrauensbildung und Datensicherheit, um die abstraktere Fassung des Forschungszwecks zu kompensieren:

A. Zusätzliche Sicherungsmaßnahmen zur Gewährleistung von Transparenz

  • Verwendung einer für den Einwilligenden zugänglichen Nutzungsordnung oder eines einsehbaren Forschungsplanes, der die geplanten Arbeitsmethoden und die Fragen, die Gegenstand der Forschung sein sollen, beleuchtet
  • Ausarbeitung und Dokumentation im Hinblick auf das konkrete Forschungsprojekt, wieso in diesem Fall eine nähere Konkretisierung der Forschungszwecke nicht möglich ist
  • Einrichten einer Internetpräsenz, durch die die Studienteilnehmer über laufende und künftige Studien informiert werden

B. Zusätzliche Sicherungsmaßnahmen zur Vertrauensbildung

  • Positives Votum eines Ethikgremiums vor der Nutzung für weitere Forschungszwecke
  • Prüfung, ob das Arbeiten mit einem dynamic consent möglich ist bzw. Einräumung einer Widerspruchsmöglichkeit vor der Verwendung der Daten für neue Forschungsfragen

C. Zusätzliche Garantiemaßnahmen zur Datensicherheit

Verstärkter Einsatz von Garantien im Hinblick auf die erhobenen Daten durch technisch-organisatorische Maßnahmen wie:

  • Keine Datenweitergabe in Drittländer mit geringerem Datenschutzniveau
  • Gesonderte Zusagen zur Datenminimierung, Verschlüsselung, Anonymisierung oder Pseudonymisierung
  • Spezifische Vorschriften für die Begrenzung des Zugriffs auf die erhobenen Daten

Das Ergebnis der Prüfung einschließlich der zugrunde liegenden Beweggründe sowie die Sicherstellung der o. g. Sicherungsmaßnahmen sind zu dokumentieren und den zur Prüfung der ethischen und datenschutzrechtlichen Vereinbarkeit des Forschungsvorhabens zuständigen Stellen zusammen mit dem Forschungskonzept vorzulegen.