1. Zulässigkeit der Verarbeitung personenbezogener Daten
Die Datenverarbeitung bei Forschungsvorhaben ist entweder nach einer Einwilligung oder nach einer gesetzlichen Erlaubnis zulässig:
- Einwilligung:
Eine Einwilligung der betroffenen Person muss freiwillig, bestimmt, informiert, unmissverständlich und nachweisbar sein. Die Einwilligung muss so bestimmt wie möglich sein. Sie muss insbesondere die Datenkategorien, den Verarbeitungszweck, die Weiterverwendung und den Zeitpunkt der Datenlöschung umfassen.
Wenn die Einwilligung für die Verarbeitung besonderer Datenkategorien genutzt werden soll, müssen diese Arten von Daten angegeben werden.
Besondere Kategorien von Daten sind nach Art. 9 Abs. 1 EU-DSGVO personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Vor Erteilung der Einwilligung muss die betroffene Person darüber informiert werden, dass sie ihre Einwilligung jederzeit widerrufen kann. Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung. Bis zum Alter von 16 Jahren ist die Einwilligung der Erziehungsberechtigten einzuholen.
- Gesetzliche Erlaubnis
Die Verarbeitung personenbezogener Daten zu Forschungsvorhaben ist auch ohne Einwilligung der Teilnehmer zulässig, wenn ein Gesetz dies erlaubt.
Nach § 13 Abs. 1 NDSG sind die Verarbeitung normale Daten und die Verarbeitung besonderer Kategorien von personenbezogener Daten zulässig, wenn die Forschungsinteressen die schutzwürdigen Interessen der betroffenen Person überwiegen. Das Ergebnis der Abwägung und seine Begründung sind aufzuzeichnen.
Eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten benötigt man auch, wenn diese pseudonymisiert sind. Lediglich bei anonymisierten Daten greifen die strengen Vorschriften der EU-DSGVO nicht mehr.
2. Spezifische gesetzliche Verpflichtungen
Die personenbezogenen Daten müssen anonymisiert werden, sobald der Forschungszweck dies erlaubt. Ist dies aus wissenschaftlichen Gründen nicht möglich, müssen die Daten wirksam pseudonymisiert werden. Nur wenn auch dies aus wissenschaftlichen Gründen nicht möglich ist (z.B. Videoaufnahmen von Gesichtsreaktionen), dürfen die Daten personenbezogen verarbeitet werden.
3. Spezifische gesetzliche Erleichterungen
Es existieren in der EU-DSGVO weitere spezifische Erleichterungen für Forschung, die für andere Verarbeitungszwecke nicht gelten. Damit soll der besonderen, ebenfalls grundrechtlich unterlegten Bedeutung wissenschaftlicher Forschung Rechnung getragen werden. So ist es zulässig, vorhandene personenbezogene Daten, die für einen anderen Zweck erhoben wurden, auch für Forschungszwecke zu nutzen (Zweckänderung); hierüber müssen die betroffenen aber i.d.R. informiert werden. Auch ist die Speicherung von Daten über die Löschfrist hinaus zulässig, falls die Forschung anderenfalls gefährdet wäre. Zudem können unter ganz strengen Voraussetzungen die Betroffenenrechte der Forschungsteilnehmer durch nationales Recht eingeschränkt werden.
4. Durchführung der Datenverarbeitung
Es gilt für die Verarbeitung personenbezogener Daten in Forschungsvorhaben dasselbe, wie für andere Verarbeitungen auch. Unter anderem:
- So ist für die Verarbeitung ein Verarbeitungsverzeichnis zu erstellen.
- Die üblichen Betroffenenrechte sind zu beachten und zu gewährleisten. Dies sind die Rechte auf Auskunft (einschließlich Datenkopie), Datenberichtigung, Datenlöschung, Einschränkung der Datenverarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung, Widerruf der Einwilligung, Beschwerde bei einer Aufsichtsbehörde.
- Die Rechte der betroffenen Personen können in Forschungsprojekten eingeschränkt werden, diese Einschränkungen gelten jedoch unter strengen Voraussetzungen.
- Wer eine Verarbeitung von personenbezogenen Daten durch einen anderen durchführen lässt (z.B. Datenerhebung, Datenverarbeitung, Datenaufbewahrung, Dropbox, Cloud Computing), muss die Vorgaben zur Auftragsverarbeitung einhalten. Hierfür ist vor allem ein Auftragsvertrag abzuschließen, der die Vorgaben nach Art. 28 Abs. 3 EU-DSGVO enthält.
- Im Fall einer Datenschutzpanne muss binnen 72 Stunden die zuständige Aufsichtsbehörde darüber informiert werden. Im Fall eines voraussichtlich hohen Risikos für die Rechte der Forschungsteilnehmer müssen diese ebenfalls und zwar unverzüglich informiert werden.
5. Veröffentlichung von Forschungsergebnissen
Personenbezogene Daten dürfen nur veröffentlicht werden, wenn
- die betroffene Person hierin eingewilligt hat
oder
- die Veröffentlichung für die Darstellung von Forschungsergebnissen erforderlich ist.
6. Datenübermittlung ins Ausland
Die Datenübermittlung in einen Staat außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums ist nach Art. 44 EU-DSGVO nur zulässig, wenn ausreichende Garantien bestehen, dass die personenbezogenen Daten dort so behandelt werden und die betroffenen Person dort vergleichbare Rechte hat wie in der Europäischen Union. Das gilt auch für die Nutzung amerikanischer Plattformen (z.B. Facebook-Gruppe).
7. Rechte der betroffenen Person
Vor jeder Datenverarbeitung ist die betroffene Person ausführlich über die Inhalte nach Art. 13 und 14 EU-DSGVO zu informieren. Die Rechte der betroffenen Person auf Auskunft, Berichtigung, Einschränkung und Widerspruch sind jedoch nach § 13 Abs. 5 NDSG eingeschränkt, um die Forschung zu fördern. Das Gleiche gilt nach Art. 17 Abs. 3 lit. d EU-DSGVO für das Recht auf Löschung. Alle diese Rechte der betroffenen Person sind unter der Voraussetzung ausgeschlossen, dass ihre Erfüllung es voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt, den Forschungszweck zu verwirklichen.