Datenschutz

In vielen Disziplinen und Forschungsprojekten ist der Mensch Forschungsobjekt. Die dabei über einzelne Personen erhobenen Informationen – wie z.B. Gesundheitsdaten in medizinischer Forschung – bedürfen eines besonderen Schutzes. Dies gilt nicht nur aus rechtlicher, sondern auch aus forschungsethischer Sicht.

Auf welche Vorgänge ist Datenschutzrecht anwendbar?

Das Datenschutzrecht ist nicht auf jedwede Art von Forschungsdaten anwendbar, sondern nur auf Daten, die einen Bezug zu einer natürlichen Person aufweisen. Gemäß Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen.[1]

Beispiele für Forschungsdaten mit Personenbezug:

  • Name von Proband*innen
  • E-Mail-Adresse
  • Anschrift oder Telefonnummer
  • Genetische oder biometrische Daten
  • Gesundheitsdaten
  • Matrikelnummer von Studierenden
  • Usernamen auf Onlineplattformen oder andere Online-Kennungen

Beispiele für Forschungsdaten ohne Personenbezug:

  • Messdaten aus den Naturwissenschaften (z.B. Astronomie, Geo- oder Materialwissenschaften)
  • Genom von Tieren oder Pflanzen

Ob eine Person durch bestimmte Daten identifizierbar ist, hängt nicht zuletzt davon ab, welche Hilfsmittel zur Verfügung stehen. Während eine IP-Adresse in den Händen eines Internetproviders personenbezogen ist, fehlen den meisten anderen Akteur*innen die entsprechenden Zuordnungsdaten, um eine Identifizierung vorzunehmen. Grundsätzlich ist das Merkmal aber weit auszulegen, eine Information ist selbst dann personenbezogen, wenn die Zuordnung mit einem gewissen Aufwand verbunden ist.

Vielfach ergibt sich der Personenbezug auch erst durch die Kombination der verschiedenen in einem Forschungsdatensatz enthaltenen Informationen. So reicht das Geschlecht einer Person für sich allein nicht aus, um eine Person zu identifizieren. In Verbindung mit weiteren Merkmalen wie dem Arbeitgeber oder dem Beruf kann dieses jedoch eine eindeutige Bestimmung ermöglichen. Nicht zuletzt kann die Kombination von Forschungsdaten mit der Vielzahl an frei im Internet verfügbaren Informationen Proband*innen oder Interviewpartner*innen identifizierbar machen.

Hingegen ist das Datenschutzrecht nicht auf Informationen anwendbar, die dergestalt anonymisiert wurden, dass sie nicht länger einer bestimmten Person zugeordnet werden können. Demgegenüber unterfallen Daten, die lediglich pseudonymisiert wurden, weiterhin den Regeln des Datenschutzes. Bei einer Pseudonymisierung werden identifizierbare Merkmale durch Kennziffern oder andere Schlüssel ersetzt. Dabei wird der Zuordnungsprozess aber so dokumentiert, dass die ursprünglichen Informationen wiederherstellbar bleiben. Ob Daten anonymisiert oder pseudonymisiert sind ist mitunter schwer festzustellen. In der Rechtswissenschaften haben sich dabei zwei Ansätze herausgebildet: Der absolute Ansatz verlangt, dass die Re-Identifizierung völlig unmöglich sein muss. Das heißt, dass es niemanden möglich sein darf, die Pseudonymisierung aufzuheben, um von einer Anonymisierung sprechen zu können. Beim relativen Ansatz hingegen, hängt dies von einer relativen Betrachtung ab: Gibt es keine Möglichkeit für Empfänger*innen der Daten, die Pseudonymisierung rückgängig zu machen, sind die Daten in dieser Perspektive anonymisiert, während sie im Hinblick auf andere Empfänger*innen, die Möglichkeiten haben, die Pseudonymisierung aufzuheben (selbst wenn diese mit Aufwand verbunden sind) als pseudonymisiert gelten. Endgültige Klarheit gibt es in dieser Frage noch nicht, das Europäische Gericht hat aber festgestellt, dass Daten als anonymisiert gelten, wenn der Schlüssel zur Re-Identifikation und die Daten von zwei verschiedenen Rechtsträgern gehalten werden und es keine rechtliche Möglichkeit des Datenhalters gibt, den Schlüssel vom anderen Rechtsträger herauszuverlangen.[2] Dies könnte einen Schritt in Richtung einer europaweiten Entscheidung zugunsten des pragmatischen, relativen Ansatzes darstellen.

Seit 2018 ist das Datenschutzrecht durch die Datenschutz-Grundverordnung (DSGVO) europarechtlich geregelt.[3] Als EU-Rechtsverordnung ist diese unmittelbar anzuwenden. Gegenüber dem nationalen Datenschutzrecht genießt die DSGVO dabei Anwendungsvorrang. Daher können im österreichischen Bundesrecht datenschutzrechtliche Fragen nur noch punktuell geregelt werden.

In Österreich sind neben der DSGVO das DSG (Datenschutzgesetz) und das FOG (Forschungsorganisationsgesetz) zu beachten, die als Durchführungsgesetze zu bestimmten Artikeln der DSGVO fungieren.[4] Landesdatenschutzgesetze existieren nicht, weshalb die DSGVO, das DSG und das FOG die wichtigsten rechtlichen Grundlagen zum Datenschutz in Österreich bilden.

Das Grundkonzept der DSGVO ist ein Verbot der Verarbeitung personenbezogener Daten, außer es liegt eine von der Verordnung in Art. 6 Abs 1 vorgesehene Verarbeitungsgrundlage vor. Diese lauten: Einwilligung, Erfüllung eines Vertrages, Erfüllung einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen des Betroffenen, öffentliches Interesse, berechtigte Interessen des Verantwortlichen.

Anonymisierung

Werden personenbezogene Daten anonymisiert, fallen sie nicht mehr unter die DSGVO und können daher ohne die Anforderungen verarbeitet werden. Anonymisierung ist von Pseudonymisierung zu unterscheiden. Bei letzterer fallen die Daten weiterhin unter die DSGVO und sind deshalb nach den rechtlichen Vorgaben zu verarbeiten.

Erwägungsgrund 26 der DSGVO spricht davon, dass Daten nicht anonymisiert sind, wenn unter Berücksichtigung aller Mittel, die „nach allgemeinem Ermessen wahrscheinlich genutzt werden“, natürliche Personen re-identifiziert werden können.[4] Die Abgrenzung zwischen Anonymisierung und Pseudonymisierung gestaltet sich schwierig, weil das Maß, das an die Möglichkeit der Re-Identifizierung herangetragen wird, schwer zu bestimmen und im Fluss ist. Die österreichische Datenschutzbehörde hat sich dazu nicht explizit geäußert und damit auch in Österreich noch nicht entschieden, ob auch der relative Ansatz zulässig ist (siehe oben).

Daten können anonymisiert werden durch

  • Entfernen direkter Identifikation wie z. B. Name oder Adresse
  • Aggregation oder Reduzierung der Informationsgenauigkeit einer Variable z. B. Ersetzen des Geburtsdatums durch das Alter einer Gruppe
  • Verallgemeinern personenbeziehbarer Details in einem Text
  • Verwendung von Pseudonymen
  • Beschränken der oberen oder unteren Bereiche einer Variablen um Ausreißer zu verbergen wie z. B. durch Top-Codierung von Gehalten.

Identität einer Person kann offen gelegt werden durch

  • Direkte Identifikation durch z. B. Name, Adresse, Postleitzahl und Telefonnummer
  • Indirekte Kennzeichen, die, wenn sie mit anderen öffentlich zugänglichen Informationsquellen verbunden sind, eine Person identifizieren könnten z. B. durch Informationen über den Arbeitsplatz, den Beruf oder außergewöhnliche Werte von Eigenschaften wie Gehalt oder Alter.

Besondere Aufmerksamkeit kann erforderlich sein bei

  • Relationalen Daten, in denen Beziehungen zwischen Variablen zusammenhängender Datensätze Identitäten offen legen könnten.
  • Georeferenzierten Daten, die zur Identifizierung räumlicher genutzter Referenzen wie Punktkoordinaten auch einen geo-räumlichen Wert haben.

Die DSGVO kennt auch besondere Kategorien von personenbezogenen Daten (Art.9) zu denen es neben einer der Verarbeitungsgrundlagen aus Art. 6 auch einen der Fälle des Art. 9 Abs 2 benötigt. Diese Kategorie von Daten wird in der Praxis oft als „sensible Daten“ bezeichnet, obwohl die DSGVO diesen Ausdruck nicht kennt. Dazu zählen: Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Die DSGVO erlaubt den nationalen Gesetzgebern an einigen Stellen durch sog. Öffnungsklauseln besondere nationale Regeln zu treffen, so auch in Art. 89 DSGVO für Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke und statistische Zwecke.[5] Diese Klausel wurde vom österreichischen Gesetzgeber im Datenschutzgesetz (DSG) und im Forschungsorganisationsgesetz (FOG) genutzt.

Das Datenschutzgesetz (DSG) enthält als nationale Rechtsvorschrift besondere Bestimmungen zur Verarbeitung von Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke in seinem §7.[4] Für solche Zwecke dürfen ausdrücklich

  • Daten, die öffentlich zugänglich sind,
  • solche, die der Verarbeitenden für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat,
  • solche, die der Verantwortliche nicht mit rechtlich zulässigen Mittel re-identifizieren kann

verarbeitet werden, aber nur wenn diese Verarbeitungen keine personenbezogenen Ergebnisse zum Ziel haben. D.h. z.B. wenn die Ergebnisse Aussagen aus aggregierten Daten sind, die keinen Rückschluss auf einzelne Personen zulassen.

Ferner enthält §8 DSG besondere Bestimmungen für die Weitergabe von Adressdaten zu Zwecken der Benachrichtigung und Befragung, was besonders im Kontext der Anwerbung von Teilnehmern für Studien relevant sein kann.

Zusätzlich ist für Forschungszwecke besonders das Forschungsorganisationsgesetz (FOG) relevant.[4] Neben den leitenden Grundsätzen für die Förderung von Forschung und Wissenschaft in Österreich setzt es vor allem sogenannte Öffnungsklauseln der DSGVO um, also Bestimmungen, in denen der europäische Gesetzgeber dem nationalen Gesetzgeber einen Spielraum zur Gestaltung gelassen hat.

Dabei sind im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke privilegiert, wenn sie von wissenschaftlichen Einrichtungen verfolgt werden. Als solche gelten Einrichtungen, die Aktivitäten, die neuartig, schöpferisch, ungewiss in Bezug auf das Endergebnis, systematisch und übertrag- oder reproduzierbar sind, vornehmen, ungeachtet ob dies zu gemeinnützigen Zwecken oder nicht, bzw. im universitären, betrieblichen oder außeruniversitären Rahmen erfolgt.

Das FOG erlaubt etwa wissenschaftlichen Einrichtungen die Verarbeitung sämtlicher personenbezogener Daten, wenn die Daten pseudonymisiert wurden oder keine Veröffentlichung erfolgt oder die Verarbeitung ausschließlich zur Pseudonymisierung bzw. Anonymisierung erfolgt (§2d Abs 2 Z 1 FOG). Nicht pseudonymisierte Daten dürfen von wissenschaftlichen Einrichtungen verarbeitet werden, wenn das Datensubjekt in die Verarbeitung eingewilligt hat und der Zweck zumindest grob umrissen ist (sog. „broad consent“). Dies schränkt die Notwendigkeit der genauen Angabe eines Zwecks ein im Verhältnis zur Einwilligung nach Art 6 Abs 1 lit a DSGVO und kann besonders dort hilfreich sein, wo die Forschung eine genaue Definition der Verarbeitungszwecke im Anfangsstadium noch nicht zulässt.

Zusätzlich schränkt das FOG in §2d Abs 6 die Rechte der Betroffenen ein (Art. 15-18, 20, 21 DSGVO), als diese insoweit keine Anwendung finden, als dadurch die Erreichung von Zwecken gemäß Art. 89 Abs. 1 DSGVO voraussichtlich unmöglich gemacht oder ernsthaft beeinträchtigt wird. Die Bedeutung dieser Bestimmung kann im Einzelfall variieren und wird auch immer eine (unter Umständen diffizile) Abwägung zwischen den geschützten Interessen der Betroffenen durch die DSGVO einerseits und der Beeinträchtigung des Forschungsvorhabens andererseits beinhalten. Praktisch ist durch die Bestimmung etwa denkbar, dass Betroffene die Löschung von bereits erhobenen Daten nicht mehr verlangen können, wenn dadurch das laufende Forschungsprojekt unmöglich gemacht werden würde.

In Österreich wurden durch die Registerforschungsverordnung des BMBWF einige Register freigegeben.[7] Zu diesen können wissenschaftliche Einrichtungen nach §2 d Abs 2 Z 3 FOG unter Tragung der Kosten Zugang erhalten, wenn die Forschung im Bereich der Lebens- und Sozialwissenschaften erfolgt und einem öffentlichen Interesse dient. (siehe auch die Plattform zur Registerforschung in Österreich).

Im Bezug auf Speicherfristen sieht §2d Abs 5 FOG vor, dass personenbezogene Daten für privilegierte Zwecke beliebig lange aufbewahrt werden dürfen, sofern keine besonderen gesetzlichen Begrenzungen bestehen.

In §2k Abs 4 sieht das FOG eine Reihe von Fällen vor, in denen die Notwendigkeit einer Datenschutz-Folgeabschätzung explizit entfällt, wenn die entsprechende Verarbeitungsgrundlage genutzt wird. Daneben kann für Forschende auch der Punkt 14 in der „White-List“ der österreichischen Datenschutzbehörde interessant sein, der eine Ausnahme für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke aufgrund besonderer gesetzlicher Vorschriften oder mit Einwilligung der betroffenen Person vorsieht.[8]

Abschließend sei darauf hingewiesen, dass das FOG eine Vielzahl an besonderen Regelungen für den Datenschutz im Wissenschaftsbereich enthält und die oben stehende Darstellung lediglich einen (nicht vollständigen) Überblick geben kann. Das Gesetz ist an einigen Stellen relativ undurchsichtig, weshalb die Beiziehung einer Expertin/eines Experten jedenfalls ratsam ist, wenn Forschende sich auf das FOG stützen möchten.

Weiterführende Links

Informationsseite des Bildungsministeriums zum Datenschutz in Forschung

Papier: Auswirkung der Datenschutz-Grundverordnung auf die wissenschaftliche Forschung in Österreich
Autor*innen: Lothar Gamper & Markus Kastelitz
Erscheinungsjahr: 2018
Link zum Papier

Quellen

[1] Art 4 DSGVO Begriffsbestimmungen. (o. J.). Intersoft Consulting. https://dsgvo-gesetz.de/art-4-dsgvo/ (abgerufen am 6. Mai 2024)

[2] Judgment - 26/04/2023 - SRB v EDPS. (o. J.). InfoCuria. https://curia.europa.eu/juris/liste.jsf?language=en&td=ALL&num=T-557/20 (abgerufen am 25. Juli 2024)

[3] Datenschutz-Grundverordnung (DSGVO). (o. J.). Intersoft Consulting. https://dsgvo-gesetz.de/ (abgerufen am 6. Mai 2024)

[4] Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Forschungsorganisationsgesetz, Fassung vom 25.07.2024. (o. J.). Rechtsinformationssystem des Bundes (RIS). https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10009514 (abgerufen am 25.07.2024)

[5] Erwägungsgrund 26. Keine Anwendung auf anonymisierte Daten*. (2024, Mai 6). Intersoft Consulting. https://dsgvo-gesetz.de/erwaegungsgruende/nr-26/

[6] Art. 89 DSGVO. Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken. (o. J.). Intersoft Consulting. https://dsgvo-gesetz.de/art-89-dsgvo/ (abgerufen am 6. Mai 2024)

[7] Registerforschungsverordnung BMBWF. (2022). Bundesgesetzblatt für die Republik Österreich. https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2022_II_400/BGBLA_2022_II_400.html   (abgerufen am 25.07.2024)

[8] Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV). (2018). Bundesgesetzblatt für die Republik Österreich. https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_108/BGBLA_2018_II_108.html (abgerufen am 25.07.2024)

Zitiervorschlag (Chicago)

Redaktion von forschungsdaten.info. „Forschungsdatenmanagement in Österreich: Datenschutz“. forschungsdaten.info, 25. Juli 2024. https://forschungsdaten.info/fdm-im-deutschsprachigen-raum/oesterreich/datenschutz/.