27 HmbDSG - Datenverarbeitung zum Zwecke wissenschaftlicher Forschung

Transkript

1 Stabsstelle Recht / R Datenschutzbeauftragter Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ( ) 27 HmbDSG - Datenverarbeitung zum Zwecke wissenschaftlicher Forschung (1) 1 Die in 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der Betroffenen für ein bestimmtes Forschungsvorhaben verarbeiten, soweit deren schutzwürdige Interessen wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verwendung nicht beeinträchtigt werden. 2 Der Einwilligung der Betroffenen bedarf es auch nicht, wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Interessen der Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. (2) 1 Über die Übermittlung entscheidet die Leiterin bzw. der Leiter der übermittelnden Stelle oder die von ihr bzw. ihm bestimmte Mitarbeiterin oder ein entsprechender Mitarbeiter. 2 Die Entscheidung muss die Stelle, der die Daten übermittelt werden, die Art der zu übermittelnden personenbezogenen Daten, den Kreis der Betroffenen und das Forschungsvorhaben bezeichnen; sie ist der bzw. dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mitzuteilen. (3) 1 Die Daten sind, sobald der Forschungszweck es gestattet, zu anonymisieren. 2 Die Merkmale, mit denen ein Bezug auf eine bestimmte natürliche Person wiederhergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies gestattet.

2 (4) Die übermittelten personenbezogenen Daten dürfen nur mit Einwilligung der Betroffenen weiter übermittelt oder für einen anderen als den ursprünglichen Zweck verarbeitet werden. (5) Die wissenschaftliche Forschung betreibenden in 2 Absatz 1 Satz 1 genannten Stellen dürfen personenbezogene Daten ohne Einwilligung der Betroffenen nur veröffentlichen, wenn dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist. (6) 1 Soweit die Vorschriften dieses Gesetzes auf die Stelle, der die Daten übermittelt werden sollen, keine Anwendung finden, dürfen sie ihr nur übermittelt werden, wenn sie sich verpflichtet, die Vorschriften der Absätze 3 bis 5 einzuhalten, und sich der Überwachung der bzw. des für den Ort der Forschungsstätte zuständigen Datenschutzbeauftragten unterwirft. 2 Befindet sich der Ort der Forschungsstätte außerhalb der Europäischen Union, ist eine Übermittlung nur zulässig, wenn kein Grund zu der Annahme besteht, dass bei der Durchführung des Forschungsvorhabens gegen Inhalt und Zweck eines deutschen Gesetzes verstoßen wird. (7) Die Absätze 1, 3 und 4 gelten entsprechend bei der Datenverarbeitung zur Vorbereitung oder Überprüfung von Regelungen allgemeiner Art durch eine in 2 Absatz 1 Satz 1 genannte Stelle. Erläuterungen zum Hamburgischen Datenschutzgesetz (vom 5. Juli 1990, zuletzt geändert am 5. April 2013 Quelle: Zu 27 (Datenverarbeitung zum Zwecke wissenschaftlicher Forschung) Was wissenschaftliche Forschung ist, definiert 27 nicht. Wegen der im Grundgesetz verankerten Freiheit von Wissenschaft und Forschung ist von einem weiten Begriff auszugehen, von der planmäßigen, methodisch kontrollierten, unbefangenen Suche nach Erkenntnissen (Bü-Drs. 13/3282 zu 27 Abs. 7).

3 27 regelt als allgemeine Forschungsklausel die Verarbeitung personenbezogener Daten für wissenschaftliche Zwecke durch öffentliche Stellen einschließlich der Datenübermittlung an private Forschungsstellen. Eine solche Vorschrift ist unverzichtbar. Denn die wissenschaftliche Forschung genießt, auch wenn ihr durch Artikel 5 Absatz 3 Satz 1 GG ein gewichtiger Stellenwert zugewiesen wurde, keinen Vorrang gegenüber dem Recht auf informationelle Selbstbestimmung; die einander prinzipiell gegenüberstehenden Interessen sind daher durch eine gesetzliche Forschungsklausel in Einklang zu bringen. Die mit dem Begriff der wissenschaftlichen Forschung angesprochenen Sachverhalte sind jedoch so unterschiedlich, dass 27 nur allgemeine Grundsätze zur Auflösung des Spannungsverhältnisses zwischen Forschung und Selbstbestimmungsrecht aufzeigen kann; ergänzende oder modifizierende bereichsspezifische Datenschutzregelungen sind dadurch nicht ohne weiteres verzichtbar (Bü-Drs. 13/3282 zu 27). Wichtige vorgehende Spezialregelungen zur Datenverarbeitung zu Forschungszwecken finden sich in 12, 12a Hamburgisches Krankenhausgesetz (HmbKHG). Dort wird die Datenverarbeitung für Zwecke der medizinischen Forschung stufenweise zugelassen: Zunächst ist eine anonyme Nutzung von Patientendaten zu prüfen; ist dies nicht ausreichend, ist grundsätzlich die Einwilligung der Betroffenen einzuholen; ist auch dies nicht möglich etwa bei retrospektiven Studien, muss eine Abwägung stattfinden zwischen dem öffentlichen Interesse an der Durchführung des Forschungsvorhabens und dem Geheimhaltungsinteresse der betroffenen Personen. 12a HmbKHG enthält eine Regelung für die Sammlung von Proben und Daten (Biobanken) zum Zwecke zukünftiger Forschung, (vgl. 21. TB 2006/2007, 14.1). Weitere spezialgesetzliche Forschungsklauseln enthalten auch 3 Abs. 5 Hamburgisches Bestattungsgesetz, 28 Hamburgisches Gesundheitsdienstgesetz, 5 Abs. 4 Hamburgisches Archivgesetz, die 7 11 Hamburgisches Krebsregistergesetz sowie bundesgesetzlich z.b. 75 Sozialgesetzbuch X und 476 Strafprozessordnung. Bei Forschungen kommt es überwiegend nicht auf die einzelne Person an. Deshalb sollen die Daten möglichst bereits in einem frühen Stadium der Forschung so verarbeitet werden, dass eine Person nicht mehr bestimmbar ist oder nur in Ausnahmefällen bestimmt werden kann. Dies ist durch frühzeitige Anonymisierung und Pseudonymisierung der Daten möglich (zu den Begriffen vgl. Erläuterungen zu 4 Abs. 9 und 10). Absatz 1 Trotz des insoweit unklaren Wortlauts von S. 1 ist daher ähnlich der insoweit deutlicheren Regelung in 12 HmbKHG immer zunächst die Möglichkeit einer nicht personenbezogenen, also anonymen Datenverarbeitung zu prüfen. Ist diese aus Gründen des Forschungs-

4 designs nicht möglich z.b. bei Daten aus verschiedenen Quellen ist grundsätzlich vorrangig die Einwilligung der Betroffenen einzuholen. Dies entspricht dem Grundrecht auf informationelle Selbstbestimmung. Die Wirksamkeit einer Einwilligung richtet sich nach 5 Abs. 2: Sie setzt eine ausreichende Aufklärung über Forschungszweck und Datenverarbeitungsprozess voraus. Hierbei ist auch im Interesse der Betroffenen ein angemessener Mittelweg zu finden zwischen einer sehr detailreichen Projektbeschreibung, die die Betroffenen leicht überfordert, und einer Kurzbezeichnung, die den Betroffenen keine ausreichende Entscheidungsgrundlage für die Einwilligung gibt (21. TB 2006/2007, 14.7.). Werden allerdings durch die Datenverarbeitung die schutzwürdigen Interessen der Betroffenen gar nicht beeinträchtigt, kann nach S. 1 auf die Einwilligung verzichtet werden. Dies kann z.b. sein, wenn für ein Forschungsprojekt wenig sensible Daten wie etwa die Größe der Wohnung oder die Anzahl der Haushaltsmitglieder unmittelbar nach einer persönlichen Befragung nur in anonymisierter Form erfasst, gespeichert und ausgewertet werden. S. 2 gibt eine gesetzliche Befugnis zur Datenverarbeitung zu Forschungszwecken, auch wenn Betroffeneninteressen dadurch potentiell beeinträchtigt werden: Voraussetzung ist, dass eine Abwägung zwischen dem öffentlichen Interesse an der Forschung und den schutzwürdigen Geheimhaltungsinteressen der Betroffenen zu der Wertung führt, dass das öffentliche Interesse an der Forschung erheblich überwiegt. Der insoweit undeutliche Wortlaut ist nach dem Sinn der Vorschrift so auszulegen, dass das Ergebnis der Forschung (nicht nur die Befassung mit der Fragestellung) im besonderen öffentlichen Interesse liegen muss. Angesichts der grundgesetzlich garantierten Forschungsfreiheit ist die Datenschutzkontrolle hier aber auf eine eher pauschale Plausibilitätsprüfung beschränkt. Dabei können etwa der Rahmen bzw. Auftraggeber des Forschungsprojekts und die erwarteten Forschungsergebnisse eine Rolle spielen. Reine Privatforschung etwa Ahnenforschung kann dagegen kaum auf diese gesetzliche Forschungsklausel gestützt werden. Eine weitere Voraussetzung für die gesetzliche Ermächtigung zur Forschungs- Datenverarbeitung ist, dass der Forschungszweck nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Ob zur anderen Weise auch die Einholung einer vorherigen Einwilligung der Betroffenen in die Forschungs-Datenverarbeitung zählt, die Interessensabwägung also erst bei einer Unmöglichkeit der Einwilligungseinholung zum Tragen kommt, ist umstritten. Da eine Einwilligung beide Grundrechte (Forschung und Datenschutz) optimal zur Geltung bringt, erscheint dies im Sinne der anzustrebenden Grundrechtskonkordanz in der Tat die vorzugswürdige Interpretation.

5 Absatz 2 Besteht die nach Abs. 1 grundsätzlich zugelassene Datenverarbeitung zu Forschungszwecken in einer Übermittlung personenbezogener Daten durch eine öffentliche Hamburger Stelle an einen Dritten, gelten die Abs. 2 bis 6. Dritte können andere öffentliche Hamburger Stellen wie staatliche Hochschulen sein, aber auch außerhamburgische öffentliche wie private Forschungsinstitute, vgl. Abs. 6. Abs. 2 bestimmt, wer in der öffentlichen Stelle über die Übermittlung entscheidet, was die Entscheidung beinhalten muss und dass sie dem Hamburgischen Datenschutzbeauftragten mitzuteilen ist. Die meisten vorgehenden bereichsspezifischen Forschungsklauseln enthalten eine solche Mitteilungspflicht allerdings nicht. Absatz 3 Abs. 3 konkretisiert den Grundsatz der Erforderlichkeit und den der Datensparsamkeit und Datenvermeidung des 5 Abs. 4: Grundsätzlich hat Forschung mit anonymen oder pseudonymisierten Daten (zu den Begriffen vgl. Erläuterungen zu 4 Abs. 9 und 10) zu erfolgen, weil es generell nicht auf die Identität der betroffenen Personen ankommt. Der Forschungszweck gestattet eine frühzeitige Anonymisierung aber zum Beispiel nicht bei Verlaufs- und Längsschnittuntersuchungen, weil bei solchen Untersuchungen mehrere Datenerhebungen zu einer Person zu unterschiedlichen Zeiten notwendig sind, um eine wissenschaftliche Aussage über eine bestimmte Entwicklung zu erhalten. Für solche Untersuchungen bietet es sich an, Pseudonyme zu verwenden, die es erlauben, zeitlich unterschiedliche Erhebungen zusammenzuführen und die dabei dennoch sicherstellen, dass die betroffene Person durch die Forschenden oder andere Dritte nicht mehr oder nur mit unverhältnismäßig hohem Aufwand bestimmt werden kann. Das Pseudonym stellt also die Verbindung zwischen der personenbezogenen Datenerhebung und der dann nichtpersonenbezogenen, aber individuellen Datenverarbeitung zu Forschungszwecken dar. Daher soll das Pseudonym von einer Stelle verwaltet werden, die räumlich, organisatorisch und personell unabhängig von der forschenden Stelle ist. Dies kann die speichernde Stelle sein, wenn sie die Daten an die forschende Stelle übermittelt oder eine andere unabhängige Stelle, die als Datentreuhänder fungiert. Als Datentreuhänder eigenen sich insbesondere solche Stellen, bei denen die Daten durch ein Berufsgeheimnis geschützt ist, wie beispielweise Ärzte oder Notare. Wird bei der Pseudonymisierung eine Schlüsselliste verwendet, welche Namen und Code einander zuordnet, ist diese gesondert zu speichern und darf nur möglichst wenigen Befugten für festgelegte Entschlüsselungs-Anlässe zugänglich gemacht werden. Sobald der Forschungszweck es erlaubt, sind die Daten durch eine Vernichtung / Löschung der Schlüsselliste zu anonymisieren. Bei der Pseudonymisierung ist zudem darauf zu achten, dass nicht nur die üblichen Identitätsdaten wie Name, Geburtsdatum und Adresse eine Person bestimmbar machen. Vielmehr können auch sehr detaillierte Einzelangaben mit entsprechen-

6 dem Zusatzwissen des Datenempfängers oder -verarbeiters eine Identifizierung ermöglichen. Hier hilft nur eine Aggregierung (Zusammenfassung) von mehreren Einzelangaben zu Daten, die für eine Mehrzahl von Personen gelten (vgl. 22. TB 2008/2009, III 10.2.). Absatz 4 Die Aufklärung der Betroffenen über das Forschungsprojekt und die darauf bezogene Einwilligung bedeuten eine eindeutige Zweckbindung für die Datenverarbeitung. Deswegen bedarf eine über Aufklärung und Einwilligung hinausgehende Datenübermittlung oder die Datenverwendung für neue Forschungsprojekte einer erneuten Einwilligung der Betroffenen. Diese datenschutzrechtlich grundsätzlich erforderliche Bestimmtheit der Einwilligung wird allein in 12 a HmbKHG spezialgesetzlich gelockert, um auch Datensammlungen für zukünftige Forschungsprojekte zu ermöglichen, deren Ziel und Auswertungsmethode zum Zeitpunkt der Einwilligung noch nicht feststeht. Absatz 5 In aller Regel sind Forschungsergebnisse ohne einen Bezug auf bestimmte Personen, also anonymisiert meist aggregiert, zu veröffentlichen. Bei Forschungen zur Zeitgeschichte können jedoch auch einmal Lebensläufe, Entscheidungen und Äußerungen von bekannten Einzelpersonen eine Rolle spielen. Prinzipiell ist die Einwilligung des Betroffenen erforderlich; nur in Fällen, in denen die Veröffentlichung personenbezogener Daten für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist, soll das informationelle Selbstbestimmungsrecht gegenüber dem zeitgeschichtlichen Interessen zurücktreten. Damit ergeben sich Berührungspunkte zu möglichen Archivregelungen (Bü-Drs. 13/3282 zu 27 Abs. 5). Diese gesetzliche Veröffentlichungsbefugnis ohne Einwilligung greift jedoch nicht ein für Publikationen privater Forscher und bei Familienforschungen (vgl. 19. TB 2002/2003, 17.2). Entsprechendes gilt auch für die Veröffentlichung von Gruppenfotos in bestimmten zeitgeschichtlichen Zusammenhängen, wenn jede einzelne Person gut zu erkennen ist (vgl. 22. TB 2008/2009, III 10.3.). Absatz 6 Werden personenbezogene Daten zu Forschungszwecken von öffentlichen Hamburger Stellen an private Forschungseinrichtungen übermittelt, besteht die Kontrolle nach 38 Bundesdatenschutzgesetz durch die jeweilige Datenschutz-Aufsichtsbehörde. Werden die Daten an außer-hamburgische aber deutsche öffentliche Stellen z.b. universitären Forschungseinrichtungen übermittelt, haben sich diese gegenüber der übermittelnden Stelle zu verpflichten, die vorstehenden Schutzregelungen der Abs. 3 bis 5 einzuhalten, sowie sich der Kontrolle des oder der für den Ort der Forschungsstätte zuständigen Landesdatenschutzbeauf-

7 tragten zu unterwerfen. Bei Übermittlungen ins außereuropäische Ausland ist eine Kontrolle durch einen Datenschutzbeauftragten nicht durchführbar; für diese Fälle ist die Beachtung des ordre public weitere Voraussetzung der Übermittlung (Bü-Drs. 13/3282 zu 27); für Übermittlungen in ein Mitgliedsland der EU gilt für die Stelle, der die Daten übermittelt werden, das an die EG- Datenschutzrichtlinie angepasste nationale Datenschutzrecht. Absatz 7 Absatz 7 berücksichtigt die in der Praxis des Öfteren auftretende Notwendigkeit, zur Vorbereitung von Rechtsnormen oder allgemeinen Verwaltungsvorschriften oder auch, um die Praxisnähe solcher Vorschriften zu überprüfen, Rechtstatsachenforschung zu betreiben. Es mag zweifelhaft sein, ob die Auswertung einer Gruppe von Einzelfällen aus der Praxis zu diesem Zweck immer als wissenschaftliche Forschung anzusehen ist. Angesichts einer gleichen Interessenlage sind die Vorschriften über die wissenschaftliche Forschung für diese Fälle auch dann anzuwenden, wenn nicht alle Anforderungen an eine wissenschaftliche Tätigkeit erfüllt sind (Bü-Drs. 13/3282 zu 27 Abs. 7). Auf Abs. 2 wird nicht verwiesen, weil hier in aller Regel keine Übermittlung an dritte Stellen stattfindet. Ist dies jedoch ausnahmsweise der Fall, werden auch die Formalia des Abs. 2 einschließlich der Mitteilung an den Hamburgischen Datenschutzbeauftragten einzuhalten sein. Denn 27 stellt eine Privilegierung der Forschung dar; bei einer - möglicherweise nicht ganz wissenschaftlichen - Rechtstatsachen forschung kann der Datenschutzstandard nicht geringer sein. Für Rückfragen und weitere Informationen zum Hochschul-Datenschutz wenden Sie sich bitte an: Bernd Uderstadt Datenschutzbeauftragter der Universität Hamburg sowie der Hamburger Hochschulen HfMT, HFBK, HCU, TUHH und der Staats- und Universitätsbibliothek Hamburg (SUB) - Stabsstelle Recht / R16 - Mittelweg 177 (Rm. N 0051) * D Hamburg datenschutz@verw.uni-hamburg.de / bernd.uderstadt@verw.uni-hamburg.de Dieses Werk bzw. dieser Inhalt steht unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz.