Forschungsdaten und Datenschutz Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Dr. Florian Jotzo CAU Kiel W f jotzo@law.uni-kiel.de @JotzoF w w w.ipvr.uni-kiel.de
Inhalt I. Vom nationalen zum europäischen Datenschutzrecht II. Datenschutz und Forschungsfreiheit 1) Anwendungsbereich des Datenschutzrechts 2) Rechtsgrundlagen der Verarbeitung Big Data Verarbeitung sensibler Daten 3) Rechte der Betroffenen III. Fazit Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 2
Vom nationalen zum europäischen Datenschutzrecht Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 3
Ziele der Reform Anpassung des Rechtsrahmens an die digitale Welt Reaktion auf Vertrag von Lissabon Wegfall der Säulenstruktur Art 16 II AEUV Stärkung der Rechte der Betroffenen Harmonisierung der Datenschutzregeln im Binnenmarkt Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1 Rn. 5 ff. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 4
Der neue Rechtsrahmen ab Mai Völkerrecht Unionsrecht PrimärR Schutz des Privatlebens, Art 8 EMRK Datenschutzkonvention des Europarates (Konvention Nr. 108 vom 28.1.1981) Schutz des Privatlebens, Art 7 GrCh + Schutz personenbezogener Daten, Art 8 GrCh Art 16 AEUV SekundärR DatenschutzgrundVO 2016/679 Datenschutzrefom PolizeiRL 2016/680 geplant: eprivacyvo Nationales Recht BundesR BDSG 2018 ( Gesetz zur Anpassung an DSGVO und Umsetzung der PolizeiRL ) LandesR Datenschutzgesetze der Länder (AnpassungsG) Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 5
Art 8 GrCh Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Art 13 GrCh Freiheit der Kunst und der Wissenschaft 1 Kunst und Forschung sind frei. 2 Die akademische Freiheit wird geachtet. (2) 1 Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. 2 Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 6
Art 52 GrCh Tragweite und Auslegung der Rechte und Grundsätze (1) 1 Jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten muss gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten. 2 Unter Wahrung des Grundsatzes der Verhältnismäßigkeit dürfen Einschränkungen nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1 Rn. 28 Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 7
Erwägungsgrund 4 DSGVO Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 8
Datenschutz und Forschungsfreiheit Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 9
Erwägungsgrund 159 DSGVO 1 Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gelten. 2 Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen. (...) 5 Um den Besonderheiten der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu genügen, sollten spezifische Bedingungen insbesondere hinsichtlich der Veröffentlichung oder sonstigen Offenlegung personenbezogener Daten im Kontext wissenschaftlicher Zwecke gelten. 6 Geben die Ergebnisse wissenschaftlicher Forschung insbesondere im Gesundheitsbereich Anlass zu weiteren Maßnahmen im Interesse der betroffenen Person, sollten die allgemeinen Vorschriften dieser Verordnung für diese Maßnahmen gelten. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 10
Überblick: Sondervorschriften für die Forschung Art 5 I DSGVO Allgemeine Grundsätze o o lit. b) Lockerung der Zweckbindung (Weiterverarbeitung) lit. e) Lockerung der Speicherbegrenzung (längere Speicherdauer) Art 9 II lit. j DSGVO Öffnungsklausel für Verarbeitung sensibler Daten Art 89 DSGVO Regelung der besonderen Verarbeitungssituation Forschung o Abs. 1 Betonung der Pflicht zur Schaffung geeigneter Garantien, insb. Datenminimierung durch Anonymisierung und Pseudonymisierung o Abs. 2 Öffnungsklausel zur Einschränkung der Betroffenenrechte Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 71 ff. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 11
@Holger 10:30-22.1.2018 @Anne 08:56-22.1.2018 @Julia 13:05-23.1.2018 @Lisa 08:30-22.1.2018 @fritz 08:55-22.1.2018 @Julia 11:05-23.1.2018 @Frida 12:55-23.1.2018 Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 12
Anwendungsbereich der DSGVO Art 4 DSGVO Nr. 1 personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; (...) Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 13
Anwendungsbereich der DSGVO Erwägungsgrund 26 DSGVO (...) 2 Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. 3 Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. 4 Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. 5 Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. 6 Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 14
Anwendungsbereich der DSGVO Personenbezug (+), wenn Daten sich zumindest auf eine identifizierbare natürliche Person beziehen: Art der Mittel: o wahrscheinlich genutzte Mittel (objektive Faktoren): Zeit, Kosten, Stand der Technik o Mittel des Verantwortlichen oder einer anderen Person Zeitpunkt: bei der Verarbeitung Pseudonyme Daten <-> Anonyme Daten P Gibt es in Zeiten von Big Data noch anonyme Daten? Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 1 Rn. 3 Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 15
Rechtsgrundlagen der Verarbeitung Art 6 DSGVO Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; (...) f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 37 ff., Rn. 50 ff. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 16
Weiterverarbeitung Big Data (1) Personenbezogene Daten müssen Art 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Art 89 Abs 1 nicht als unvereinbar mit den ursprünglichen Zwecken ( Zweckbindung ); Art 6 DSGVO Rechtmäßigkeit der Verarbeitung (4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art 23 Abs 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist unter anderem Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 5, Teil 3 Rn. 74 Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 17
Rechte der Betroffenen Forschungsbezogene Einschränkungen Informationspflicht: Art. 14 V lit. b DSGVO Recht auf Löschung: Art. 17 III lit. d DSGVO Öffnungsklausel, Art. 89 II DSGVO ivm 27 II BDSG 2018 o Auskunft o Berichtigung o Einschränkung o Widerspruch Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 3 Rn. 75, Teil 9 Rn. 8 Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 18
Rechte der Betroffenen Art 89 DSGVO (2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Abs 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Art 15 (Auskunft), 16 (Berichtigung), 18 (Einschränkung) und 21 (Widerspruch) vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 19
Albrecht / Jotzo Das neue Datenschutzrecht der EU Baden-Baden 2017 Nomos Trierer Gespräche zu Recht und Digitalisierung 23.1.2018 Forschungsdaten und Datenschutz Dr. Florian Jotzo 20