Umsetzung der DSGVO an den Hochschulen: Besondere Freiheiten durch wissenschaftliche Forschung?

Größe: px

Ab Seite anzeigen:

Download "Umsetzung der DSGVO an den Hochschulen: Besondere Freiheiten durch wissenschaftliche Forschung?"

Petra Maus
vor 5 Jahren
Abrufe

1 Umsetzung der DSGVO an den Hochschulen: Besondere Freiheiten durch wissenschaftliche Forschung? Garching, 20. März 2018, CISM (ISACA), DSB (TÜV) Jean-Paul-Richter-Str München T: +49 (89) F: +49 (89) E:

2 , CISM (ISACA), DSB (TÜV) ist und Berater für Datenschutz, Informationssicherheit und IT- Compliance. Er ist als Informationssicherheits-Manager (CISM) und Datenschutzbeauftragter (DSB TÜV) zertifiziert und verfügt neben seinen juristischen Fähigkeiten auch über vertiefte technische und organisatorische Kenntnisse und Erfahrungen bei der Informationsverarbeitung auf Grund seiner langjährigen Tätigkeit als Berater für IT- Infrastrukturen und System-Management. betrachtet Datenschutz nicht als selbständige Unternehmensaufgabe, sondern als integrierten Teil der Informationssicherheit - natürlich mit seinen besonderen bzw. zusätzlichen Anforderungen. Seine Tätigkeitsschwerpunkte liegen in der Unterstützung von Unternehmen bei der Organisation und Steuerung der Informationssicherheit, bei der Prüfung und Optimierung von Prozessen und der technischen und organisatorischen Maßnahmen, bei der Durchführung von Risikobeurteilungen und Datenschutzfolgenabschätzung (DSFA) sowie bei Verhandlung, Ausarbeitung und Prüfung vertraglicher und organisatorischer Rahmenbedingungen wie z.b. Auftragsverarbeitung, internationaler Datentransfer, Policies und Richtlinien. Außerdem hält Vorträge zu aktuellen Themen, führt Schulungen sowie Coachings durch und ist auch als Aufsichtsrat tätig.

3 Grundlagen

4 Gleichrangigkeit von Forschungsinteressen neben dem Persönlichkeitsrecht Freiheit der Kunst und der Wissenschaft Art. 13 GRCh (Art. 5 Abs. 3 Satz 1 GG) Schutz personenbezogener Daten Art. 8 GRCh Allg. Persönlichkeitsrecht/ Informationelle Selbstbestimmung (Art. 2 Abs. 1 GG) Gleichrangige Grundrechte: Spiegelt sich in der DSGVO wieder als Privilegien für Forschungszwecke Daraus ergeben sich aber auch Spannungsverhältnisse

5 Gleichrangigkeit von Forschungsinteressen neben dem Persönlichkeitsrecht Besondere Freiheiten : Richtigerweise Privilegierung auf Grund der wissenschaftlichen Tätigkeit DSGVO und BDSGneu räumen wissenschaftlichen Forschungszwecken Privilegien ein: z.b. Art. 5 Abs. 1 lit. b und e; Art. 9 Abs. 2 lit. j ; Art. 14 Abs. 5 lit. b ; Art. 17 Abs. 3 lit. d DSGVO; 27 BDSGneu Privilegierung der wissenschaftlichen Forschungszwecke bedeutet KEINEN Anspruch oder Vorrang gegenüber Betroffenen

6 Abgrenzungskriterien: wissenschaftliche Forschungszwecke Freiheit der Wissenschaft: was nach Inhalt und Form als ernsthafter planmäßiger Versuch zur Ermittlung von Wahrheit anzusehen ist (BVerfG, sinngemäß) Weite Auslegung (EG 159): Grundlagenforschung, technologische Entwicklung, angewandte Forschung Wissenschaftliche Forschungszwecke rein wissenschaftliche Zwecke Wissenschaftliche Lehre: vom Wissenschaftsbegriff der DSGVO erfasst? (strittig) Kein Ausschluss der Forschungstätigkeit, wenn gleichzeitig auch Ausbildungs- und Prüfungszwecke verfolgt werden Unabhängigkeit der Forschung: Finanzierungsunabhängig (privat/öffentlich), soweit keine Beeinflussung Privilegierungen sind von konkreter wissenschaftlicher Forschungstätigkeit abhängig NICHT der Eigenschaft als Forschungseinrichtung

7 Abgrenzung: Beispiele Forschungszwecke (+) Forschungszwecke ( ) Weiterentwicklung von bereits etablierten Verfahren (Teil-)private Finanzierung, wenn Unabhängigkeit garantiert Dissertations-/ Habilitationsvorhaben als/während Forschungsprojekt Verwaltungszwecke der Institution Untersuchungen zu Zwecken der Aufsicht, Organisation und Kontrollen Umfangreiche Datenanalysen und Auswertungen ohne wissenschaftlichen Erkenntnisgewinn Studienarbeit zur Ausbildung (meistens)

8 Privilegien und Auswirkungen

9 Wissenschaftliche Forschungszwecke und Datenschutzgrundsätze Rechtmäßigkeit Art. 5 Abs. 1 lit. a Keine privilegierte Rechtsgrundlage für wissenschaftliche Forschung, aber Verarbeitung besonderer Kategorien von Daten prinzipiell möglich (Art. 9 Abs. 2 lit. j) Zweckbindung Art. 5 Abs. 1 lit. b Zweckerweiterung: Weiterverarbeitung für wissenschaftliche Zwecke (Art. 5 Abs. 1 lit. b 2. HS) Datenminimierung Art. 5 Abs. 1 lit. c Hervorhebung als sicherzustellende Maßnahme (Art. 89 Abs.1 S. 2) Richtigkeit Art. 5 Abs. 1 lit. d Keine Besonderheit (abgesehen Einschränkung des Anspruchs des Betroffenen) Begrenzung der Identifizierbarkeit Art. 5 Abs. 1 lit. e Längere Speicherung/Identifizierbarkeit (Art. 5 Abs. 1 lit. e 2. HS), aber Verpflichtung zur Pseudonymisierung falls möglich (Art. 89 Abs.1 S. 3) Datensicherheit Art. 5 Abs. 1 lit. f; Art. 32 Geeigneten Garantien für die Rechte und Freiheiten der Betroffenen; Hervorhebung in Art. 89 Abs.1

10 Wissenschaftliche Forschungszwecke und Betroffenenrechte Informationspflicht (Art. 14) Entfall der Informationspflicht SOWEIT Zweck wissenschaftliche Forschung (Art. 14 Abs. 5 lit b HS. 2 Alt. 1) Recht auf Löschung Recht auf Vergessen (Art. 17) Kein Anspruch des Betroffenen, wenn (Art. 17 Abs. 3 lit d): Zumindest ernsthafte Beeinträchtigung der Verwirklichung der Verarbeitungsziele (Prognosesicht) Geeignete Garantien nach Art. 89 Abs. 1 ergriffen Widerspruchrecht (Art. 21) Widerspruch zur Verarbeitung bei Forschungszwecken (Art. 21 Abs. 6): Besondere Situation des Betroffenen Keine Erfüllung einer im öffentlichen Interesse liegenden Aufgabe

11 Wissenschaftliche Forschungszwecke und Betroffenenrechte (2) Recht auf Auskunft (Art. 15) Zumindest ernsthafte Beeinträchtigung des Forschungszwecks, SOWEIT Beeinträchtigung reicht Außerdem bei unverhältnismäßigem Aufwand Recht auf Berichtigung (Art. 16) Zumindest ernsthafte Beeinträchtigung des Forschungszweck Einschränkung nur SOWEIT Beeinträchtigung reicht Einschränkung der Verarbeitung (Art. 18) Zumindest ernsthafte Beeinträchtigung des Forschungszweck Einschränkung nur SOWEIT Beeinträchtigung reicht Widerspruchsrecht (Art. 21) Zumindest ernsthafte Beeinträchtigung des Forschungszweck Einschränkung nur SOWEIT Beeinträchtigung reicht

12 Erleichterung der Einwilligung für Forschung und Wissenschaft? Einwilligung: Einwilligungen erfordern konkrete Zweckbindung der Einwilligung Kopplungsverbot Unmissverständlichkeit hinsichtlich der Verarbeitung personenbezogener Daten Erwägungsgrund 33: Einwilligungen zum Zwecke der wissenschaftlichen Forschung Einwilligung soll für bestimmte Bereiche wissenschaftlicher Forschung möglich sein: Genaue Zwecke der Verarbeitung können zum Zeitpunkt der Erhebung der personenbezogenen Daten oft nicht vollständig angegeben werden Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung erfoderlich Nur Erwägungsgrund warum steht das nicht im Gesetz?

13 Besondere Kategorien personenbezogener Daten in der wissenschaftlichen Forschung Prinzipiell ist Verarbeitung zu Forschungszwecken möglich (Art. 9 Abs. 2 lit. j; Art. 89 DSGVO; 27 Abs. 1 BDSGneu) Verarbeitung der Daten muss zum konkreten Zweck erforderlich sein Verarbeitungsinteressen müssen die des Betroffenen ERHEBLICH überwiegen Angemessene und spezifische Maßnahmen zur Wahrung der Interessen Anonymisierung zum führest möglichen Zeitpunkt regelmäßig vorgeschrieben Falls keine Anonymisierung: Data-Mapping der Zuordnungsmerkmale Datenschutzfolgeabschätzung meist zwingend erforderlich

14 Wichtige zu beachtende Punkte bei Inanspruchnahme der Privilegierungen Klare Definition des Zwecks Aus der Definition muss sich der wissenschaftliche Forschungszweck klar ergeben Allgemeine Datenschutzgrundsätze beachten Insbesondere Rechtmäßigkeit: Rechtsgrundlage ist erforderlich Art. 89 KEIN Erlaubnistatbestand: Zulässigkeit der Verarbeitung wird vorausgesetzt Anonymisierung Falls möglich, Anonymisierung von Daten zum frühest möglichen Zeitpunkt, ggf. VOR der der Verwendung für Forschungszwecke Pseudonymisierung Frühest mögliche Pseudonymisierung ausdrücklich gefordert Maßnahmen zur Datensicherheit Gegengewicht zur Privilegierung Beachtung des Art. 89 / 27 BDSGneu

15 Zusammenfassung Es gibt keine ausdrückliche Rechtsgrundlage in der DSGVO, die eine wissenschaftlichen Forschung dediziert erlaubt (meist berechtigtes Interesse ) Privilegierung beschränkt sich hauptsächlich auf Zweckänderung zur Verarbeitung und Einschränkungen der Betroffenenrechte Privilegierungen kommen zu einem Preis Gute Planung wegen komplexer Regelungsstruktur erforderlich, wenn Verarbeitung auf Privilegien gestützt wird Viele unbestimmte Rechtsbegriffe erfordern fundierte Begründungen und Dokumentation Datenschutzfolgeabschätzung wird oft erforderlich sein; in jedem Fall muss eine Abgrenzungsprüfung erfolgen

16 Vielen Dank für Ihre Aufmerksamkeit! Noch Fragen?

Ähnliche Dokumente

Forschungsdaten und Datenschutz

Forschungsdaten und Datenschutz Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Dr. Florian Jotzo CAU Kiel W f jotzo@law.uni-kiel.de @JotzoF w w w.ipvr.uni-kiel.de Inhalt I. Vom nationalen zum