Nachnutzung von Forschungsdaten (2) – Die Reihe erscheint in Zusammenarbeit mit dem Verbund Forschungsdaten Bildung.
DAS WORT HAT Prof. Dr. Jürgen W. Goebel, freiberuflich tätiger Rechtsanwalt in Bad Homburg und Honorarprofessor am Fachbereich Media der Hochschule Darmstadt. Der langjährige Berater des DIPF erläutert, welche Konsequenzen die unterschiedlichen Datenschutz-Bestimmungen für die Nachnutzung von Forschungsdaten in den Bildungswissenschaften haben. Die seit Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) nimmt er dabei besonders in den Blick.
1. Einführung
Bildungsforschung und Datenschutz sind eng miteinander verwoben. Denn Bildungsforschung lebt davon, mit personenbezogenen Daten zu arbeiten. Deshalb spielt das Thema Datenschutz seit jeher eine bedeutsame Rolle. Mit der seit dem 25. Mai 2018 geltenden neuen Datenschutzgrundverordnung und den daran orientierten neuen Datenschutzgesetzen des Bundes und der Länder hat sich daran nichts geändert. Die datenschutzrechtlichen Rahmenbedingungen für den Umgang der Forschenden mit personenbezogenen Daten wurden durch die neuen Gesetze jedoch geschärft und sind sicher auch durch die damit verbundene Diskussion mehr in das Bewusstsein aller am Forschungsprozess Beteiligten gedrungen. Ob sich dadurch jedoch grundsätzlich etwas an den datenschutzrechtlichen Rahmenbedingungen ändert und wenn ja, was, soll der nachfolgende Beitrag in der gebotenen Kürze erläutern.
2. Auswirkungen der DS-GVO
Grundsätzlich hat die neue datenschutzrechtliche Situation ab dem 25. Mai 2018 keine einschneidenden Änderungen mit sich gebracht. Sicherlich muss man sich an die neuen „Hausnummern“ gewöhnen, die sich jetzt in der DS-GVO, dem neuen Bundesdatenschutzgesetz (BDSG) und den neuen Landesdatenschutzgesetzen mit der (Bildungs-)Forschung beschäftigen. Dazu sei auf die weiteren Ausführungen im Abschnitt 3 verwiesen. Und sicherlich dürften bestimmte Prozeduren des Datenmanagements etwas aufwändiger als bisher sein (siehe dazu unten Abschnitt 4). Gewöhnungsbedürftig dürfte es allerdings in der praktischen Anwendung des neuen Datenschutzrechts sein, dass die forschende Stelle als Anwender des Datenschutzrechts bei jeder datenschutzrechtlich relevanten Frage zwei Gesetze konsultieren muss. Die DS-GVO ist das unmittelbar geltende grundlegende Regelwerk für jedweden Umgang mit personenbezogenen Daten, von der Festlegung der Begrifflichkeiten (etwa in Art. 4 DS-GVO), über die Regelungen zu den technisch-organisatorischen Maßnahmen (Art. 32 DS-GVO) bis hin zur Sondervorschrift des Art. 89 DS-GVO für die Verarbeitung der Daten zu wissenschaftlichen Forschungszwecken.
„Man muss bei der Lösung datenschutzrechtlicher Fragen jetzt immer zwei Gesetzeswerke auf dem Tisch haben, um eine konkrete datenschutzrechtliche Frage beantworten zu können.“
Da die DS-GVO für die Forschung aber lediglich allgemeine Vorgaben für die Verarbeitung personenbezogener Daten macht und ansonsten eine sogenannte Öffnungsklausel für den nationalen Gesetzgeber enthält, ist zusätzlich noch § 27 BDSG (für Bundeseinrichtungen oder privatrechtlich organisierte Forschungsstellen) bzw. die entsprechende Vorschrift aus dem Landesdatenschutzgesetz (etwa § 24 HDSIG) zu beachten (für forschende Stellen, die öffentliche Stellen eines Landes sind).
3. Geltung der DS-GVO in der Bildungsforschung
Die Frage nach der Geltung der DS-GVO und natürlich auch der nationalen Datenschutzgesetze des Bundes und der Länder für die Bildungsforschung lässt sich in einem Satz beantworten: Diese Regelwerke gelten immer, wenn durch die Bildungsforschung – gleichgültig ob quantitativ oder qualitativ – personenbezogene Daten verarbeitet werden. Das heißt im Umkehrschluss: Werden im Rahmen der Forschung anonyme Daten verarbeitet, kommt das gesamte Datenschutzrecht nicht zur Anwendung. Da pseudonyme Daten nach der Definition des Art. 4 Nr. 5 DS-GVO ebenfalls personenbezogen sind, unterliegen auch diese dem Anwendungsbereich des Datenschutzrechts.
Wer personenbezogene Daten verarbeitet, muss das Datenschutzrecht beachten. (Faktisch) Anonymisierte Daten fallen nicht unter das Datenschutzrecht.
Ein „Graubereich“ für die Anwendung/Nichtanwendung des Datenschutzrechts bleibt für die sogenannten faktisch anonymen Daten. Darunter versteht man solche Daten, die streng genommen nicht vollständig anonym sind, da sie, wenn man bereit ist, den dafür erforderlichen immensen Aufwand zu betreiben, wieder einer konkreten natürlichen Person zugeordnet werden können. Üblicherweise wird man dies wegen des damit verbundenen Kosten- und Zeitaufwands jedoch nicht tun. Faktisch anonyme Daten werden daher (jedenfalls zurzeit noch) als „echte“ anonyme Daten eingestuft (siehe dazu etwa die schwer verständliche Definition in § 2 Abs. 4 HDSIG). Mit den zunehmend verfeinerten Methoden der Re-Anonymisierung dürfte aber der Zeitpunkt nicht mehr fern sein, dass auch solche Daten als personenbezogen gelten müssen.
4. Auswirkungen auf das Datenmanagement
Das neue Datenschutzrecht hat, ebenso wie schon das alte Recht, erhebliche Auswirkungen auf das Datenmanagement. Es würde zu weit führen, diese hier im Einzelnen darzustellen. Stichwortartig seien aber genannt: Sicherung und langfristige Speicherung der Daten müssen gewährleistet sein; klare Aufbewahrungs- und Löschungsfristen müssen kommuniziert und eingehalten werden; die Nachnutzung muss sichergestellt werden (Einwilligung!); Festlegung der zulässigen Präsentation der Daten; Dokumentation der Nutzungsvorgänge; klare Vorgaben für die Pseudonymisierung und Anonymisierung von Daten; Sicherstellung einer Widerrufsverwaltung und ständige Beobachtung der technisch-organisatorischen Maßnahmen (TOM) bei der Verarbeitung der Daten. Auch hier ist bei vielen Punkten wieder die Konkordanz von Information, Einwilligung und Umgang mit den personenbezogenen Daten essentiell.
5. Datenschutz und Nachnutzung
Einmal erhobene Forschungsdaten sollen durch Nachnutzung auch für spätere Forschungsprojekte und Studien verwendbar sein, etwa durch die Aufbewahrung und Bereitstellung in Forschungsdatenzentren. Auch für die Nachnutzung von personenbezogenen Daten sind natürlich die datenschutzrechtlichen Rahmenbedingungen durch das europäische und das nationale Recht zu beachten (siehe oben Abschnitte 2 und 3).
Um Daten nachnutzen zu können, muss in der informierten Einwilligung über Nachnutzungsmöglichkeiten informiert worden sein.
Eine wesentliche Rolle spielt dabei die Information und Einwilligungserklärung, die bei der Ersterhebung der Daten zum Einsatz kommt. Nur wenn dort über die Langzeitarchivierung und die Nachnutzung der erhobenen Daten umfassend informiert wurde und die betroffenen Personen dann ihre Einwilligung dazu erteilt haben, ist eine solche Nachnutzung zulässig. Problematisch kann dabei allerdings sein, dass sich zum Zeitpunkt der erstmaligen Erhebung der Daten die späteren Verwendungszwecke noch nicht hinreichend beschreiben lassen. Nach dem im Datenschutzrecht geltenden Grundsatz der Zweckbindung ist aber eine völlig zweckungebundene Erhebung und Speicherung personenbezogener Daten unzulässig. Wie weit ein „broad consent“ bei der Ersterhebung aber dennoch sein darf, darüber wird zurzeit noch mit den Aufsichtsbehörden/ Datenschutzbeauftragten verhandelt.
Eventuelle Auflagen der Schulbehörde sollten möglichst minimiert werden.
Und noch ein Problem kann sich für die Nachnutzung von Daten ergeben. Häufig dürfen Datenerhebungen in Schulen und anderen Bildungseinrichtungen nur durchgeführt werden, wenn die Schulbehörde dazu zuvor eine Genehmigung erteilt hat. Solche Genehmigungen haben aber oft ihre Tücken, insbesondere dann, wenn sie etwa als Auflage enthalten, dass die Daten „nur für das Projekt XYZ verwendet werden dürfen“ oder gar „nach Abschluss der Studie XYZ gelöscht werden müssen“. In solchen Fällen wäre eine Nachnutzung nicht aus datenschutzrechtlichen wohl aber aus schulrechtlichen Gründen unzulässig. Jede Projektleitung sollte daher versuchen, solche Auflagen durch die nach Landesrecht zuständige Schulbehörde zu vermeiden. Das gelingt jedoch nicht immer.
6. Empfehlungen für die Bildungsforschung
Aus datenschutzrechtlicher Sicht lassen sich folgende Empfehlungen für Forschende formulieren:
(1) Datenschutz ist Persönlichkeitsschutz. Er dient aber nicht nur dem Schutz des informationellen Selbstbestimmungsrechts der von der Forschung betroffenen Personen, sondern dessen strikte Beachtung stellt für die Forschung und den Forschenden auch eine vertrauensbildende Maßnahme dar. Das fördert die Akzeptanz der Forschung.
(2) Jeder Forschende sollte sich mit dem neuen Datenschutzrecht vertraut machen und prüfen, ob für die jeweilige Studie/Erhebung die DS-GVO und das BDSG oder die DS-GVO und das jeweilige Landesdatenschutzgesetz Anwendung finden. Natürlich sind, wie bisher auch, schulrechtliche Vorgaben zu beachten.
(3) Auf die Festlegung und die Einhaltung der technisch-organisatorischen Maßnahmen (TOM) bei der Verarbeitung personenbezogener Daten ist besonderes Augenmerk zu richten. Prüfen Sie in jedem Fall, ob diese TOM noch dem neuesten Stand der Technik entsprechen, aktualisieren sie die TOM gegebenenfalls und dokumentieren Sie diese sorgfältig.
(4) Prüfen Sie genau, ob Sie statt mit personenbezogenen Daten auch mit anonymen Daten forschen können. Wenn das nicht der Fall ist, sollten die personenbezogenen Daten so früh als möglich in pseudonyme Daten umgewandelt werden. Prüfen Sie genau, ob Ihre faktisch anonymen Daten wirklich anonym sind (siehe § 2 Abs. 4 HDSIG).
(5) Forschungsdaten sollen häufig nachgenutzt werden können. Prüfen Sie genau, ob das nach der Einwilligungserklärung der betroffenen Personen zulässig ist. Wirken Sie darauf hin, dass auch Genehmigungen der Schulbehörden einer Nachnutzung nicht entgegenstehen.
(6) Und das A und O des Umgangs mit personenbezogenen Daten: Formulieren Sie die Information und die Einwilligungserklärung, die Sie Ihrem Projekt zugrunde legen, sorgfältig und im Hinblick auf alle angestrebten Verwendungszwecke der Daten.
(7) Und wenn Sie unsicher sind: Fragen Sie Ihren hausinternen Datenschutzbeauftragten, im Einzelfall auch einmal die Aufsichtsbehörde/den externen Datenschutzbeauftragten oder eine andere datenschutzrechtskundige Anlaufstelle wie zum Beispiel den Verbund Forschungsdaten Bildung. Damit kann vermieden werden, dass Daten eventuell nicht datenschutzkonform erhoben werden und die Auswertung, Publikation oder Weitergabe der Daten am Ende nicht zulässig sind.
7. Fazit
Die Beachtung der datenschutzrechtlichen und sonstigen rechtlichen Rahmenbedingungen ist für den Bildungsforscher von elementarer Bedeutung. Daran hat sich auch nach dem 25. Mai 2018, dem Inkrafttreten des neuen Datenschutzrechts, nichts geändert. Wer vorher dem Datenschutz bei der Vorbereitung und Durchführung einer Studie/eines Projekts die notwendige Beachtung gewidmet hat, wird auch nach diesem Zeitpunkt kaum Probleme haben. Werden die vorstehend genannten Punkte sorgfältig beachtet, muss kein Forscher befürchten, von der Aufsichtsbehörde/dem Datenschutzbeauftragten gerügt zu werden oder gar mit einem Bußgeld bedroht zu werden. Im Zweifel sollte man sich als Forscher an den internen Datenschutzbeauftragten oder einen externen datenschutzkundigen Berater wenden. Eine datenschutzkonforme pädagogische Forschung ist letztlich auch eine vertrauensbildende Maßnahme gegenüber den von der Forschung betroffenen Personen und fördert deren Akzeptanz.
Dieser Text steht unter der CC BY 4.0-Lizenz. Der Name des Urhebers soll bei einer Weiterverwendung wie folgt genannt werden: Prof. Dr. Jürgen W. Goebel. für Deutscher Bildungsserver.