FAQ Datenschutz für Promovierende

Im Folgenden sind einige Fragen zum Datenschutz gesammelt und beantwortet, die Promovierende für ihr Forschungsprojekt gestellt haben.

Thema: Einwilligung und Einwilligungserklärung

Wo gibt es ein Blanko-Formular der Einwilligungserklärung (für Promovierende)?

Ein Blanko-Formular "Einwilligungserklärung" können Sie auf dieser Site herunterladen (siehe Sidebar).

Was ist bei Interviews, in dem sensible Daten verarbeitet werden (z.B. Patientendaten), wenn die betroffene Person die Einwilligung zurückzieht? Welche Daten können in der Dissertation dennoch verarbeitet werden?

Kurzantwort: Der Widerruf einer Einwilligung ist grundsätzlich keine Gefährdung für die Dissertation, denn die Patientendaten dürfen für die Erstellung der Dissertation grundsätzlich auch ohne Einwilligung weiterverarbeitet werden.

Im Einzelnen:

  1. Vor dem Beginn des Forschungsvorhabens ist ein Datenschutzkonzept zu erstellen, das der zuständigen Aufsichtsbehörde auf Nachfrage vorzulegen ist, § 24 Abs. 1 HDSIG, § 27 Abs. 1 BDSG.
  2. Sensible Daten sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person, Art. 9 Abs. 1 DSGVO.
  3. Damit die Verarbeitung von personenbezogenen bzw. sensiblen Daten rechtmäßig ist, ist eine Einwilligungserklärung notwendig, Art. 6 Abs. 1 lit. a DSGVO.
  4. Die Einwilligungserklärung muss unter anderem den Zweck oder die Zwecke der Datenverarbeitung enthalten und Probanden auf ihre Rechte hinweisen.
  5. Zu wissenschaftlichen Forschungszwecken verarbeitete personenbezogene, sensible Daten sind zu anonymisieren, sobald dies nach dem Forschungszweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Sobald der Forschungszweck dies erlaubt, sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern, § 24 Abs. 3 HDSIG, § 27 Abs. 3 BDSG. Die Merkmale sind zu löschen, sobald der Forschungszweck dies zulässt, § 24 Abs. 3 HDSIG.
  6. Wenn eine Einwilligung vorliegt, hat der Interviewte das Recht, diese Einwilligung jederzeit zu widerrufen, Art. 14 Abs. 2 lit. d DSGVO. Dies gilt aber nur für die Zukunft. Die bis zu diesem Widerruf erfolgte Verarbeitung ist davon nicht betroffen und war und bleibt rechtmäßig.
  7. Die (Weiter)Verarbeitung personenbezogener, sensibler Daten ist jedoch auch ohne Einwilligung für wissenschaftliche Forschungszwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung überwiegen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vor, § 24 Abs. 1 HDSIG, § 27 Abs. 1 BDSG.
  8. Der/die Promovierende darf personenbezogene Daten zu wissenschaftlichen Forschungszwecken nur veröffentlichen, wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist.

Muss ein Hinweis in die Einwilligungserklärung rein, wenn eine studentische Hilfskraft die Daten verarbeitet?

Nein. Allerdings sind dem Betroffenen (dem Interview-Partner*in) zum Zeitpunkt der Erhebung einige Informationen zu geben, darunter der Name des Verantwortlichen der Verarbeitung und gegebenenfalls auch die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln (Art. 13 Abs. 1 lit. f DSGVO).

Ich habe eine Einwilligungserklärung für die Interviews eingeholt. Muss die erneuert werden?

Kurzantwort: Nein.

Sachverhalt: Vor Inkrafttreten der DSGVO galt bereits der Grundsatz: Die Verarbeitung von personenbezogenen Daten ist verboten, es sei denn, es gibt eine gesetzliche Grundlage oder eine Einwilligungserklärung für die Datenverarbeitung. Was ist nun mit Einwilligungserklärungen, die vor Inkrafttreten der DSGVO am 25. Mai 2018 unterschrieben wurden?

Antwort: Die alten, rechtlich wirksamen Einwilligungserklärungen sind wohl auch weiterhin wirksam. Für die Verarbeitung von personenbezogenen Daten nach dem 25.5.2018 müssen allerdings überarbeitete, an die DSGVO angepasste Einwilligungserklärungen verwendet werden.

Wenn ich ein bestehendes Panel habe, muss das Panel eine neue Einwilligungserklärung zugeschickt bekommen?

Sachverhalt: Daten werden bei einer Gruppe immer wieder erhoben und verarbeitet.

Antwort: Ja, zumindest für die Verarbeitung der Daten, die nach dem 25.5.2018 stattfindet, ist von den Teilnehmenden eine Einwilligungserklärung zu benutzen, die mit der DSGVO konform ist.

Bedarf an Vorlage für eine Einwilligungserklärung nach neuem Recht.

Sachverhalt: Es besteht ein Bedarf seitens der Verantwortlichen für die Verarbeitung von personenbezogenen Daten, Vorlagen für Einwilligungserklärungen zu verwenden, um den Aufwand zu begrenzen und Rechtssicherheit zu haben.

Antwort: Vorlagen können auf dieser Website heruntergeladen werden. Allerdings muss eine solche Erklärung jeweils individuell ausgefüllt bzw. angepasst werden.

Muss für Experteninterviews auch die Einwilligung der Organisation, für die der Experte spricht, eingeholt werden, wenn Daten, die das Unternehmen betreffen, miterhoben werden?

Sachverhalt: Ein Experte verfügt über personenbezogene Daten, die einerseits ihn selbst, aber auch Unternehmensangehörige und sonstige personenbezogene Daten, die das Unternehmen verarbeitet, betreffen. Diese Daten werden in einem Interview erhoben, also an den Interviewenden weitergegeben. Der Ausdruck: „Daten, die das Unternehmen betreffen“, ist im Rahmen der DSGVO nicht präzise genug: Die DSGVO schützt Daten, die Personen betreffen. Unternehmensdaten können auch Finanzdaten, Sicherheitsdaten o.Ä. sein, die von der DSGVO nicht geschützt sind, sondern von anderen Regelungen. Der Sachverhalt interpretiert die Frage so, dass personenbezogene Daten betroffen sind.

Antwort: Wenn keine gesetzliche Grundlage für die Erhebung personenbezogener Daten besteht, ist die Datenverarbeitung verboten, es sei denn, eine entsprechende Einwilligungserklärung bzw. entsprechende Einwilligungserklärungen liegen vor. Das heißt, egal, um welche personenbezogenen Daten es sich handelt – ob der Experte seine eigenen Daten oder Daten anderer Personen benennt – es muss explizit erlaubt sein, diese Daten zu verarbeiten. Wenn Einwilligungserklärungen benötigt werden, dann ist es egal, ob der Experte oder andere, z.B. der Interviewer, diese einholt. Diese Einwilligungen müssen die Personen geben, nicht die Organisation oder das Unternehmen. Die Organisation bzw. das Unternehmen kann diese Einwilligungserklärungen jedoch bspw. verwahren und verwalten.

Thema: Datenverarbeitung durch Dritte

Was ist, wenn eine studentische Hilfskraft der HFD die Daten verarbeitet? Was ist, wenn dies ein Dritter macht, der nicht in der Hochschule arbeitet?

Wenn eine Verarbeitung personenbezogener Daten eine vertraglich begründete Tätigkeit für die Hochschule Fulda (und keine private Tätigkeit) ist, kann dies auch von einer studentischen Hilfskraft übernommen werden; Verantwortlicher bleibt die Hochschule.
Wenn ein Auftragsverarbeiter, der nicht an der Hochschule beschäftigt ist, diese Verarbeitung vornimmt, sind eine Reihe von Regelungen zu beachten, Art. 28 DSGVO, § 47 HDSIG. So muss der Auftagsverarbeiter bspw. geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte der betroffenen Person garantieren, es muss ein Vertrag geschlossen werden etc.
Sollten Sie bestimmte Software-Tools oder Ähnliches verwenden, vor allem auch online, um personenbezogene Daten zu verarbeiten, müssen Sie die Probanden auf die entsprechenden Datenschutzinformationen der entsprechenden Firma, die das Tool anbietet, verweisen.

Wie gehe ich mit Audio-Rohdaten um, die personengebundene und/oder sensible Daten enthalten? Darf überhaupt jemand außer mir auf diese Daten zugreifen (ohne explizite Erlaubnis des Interviewten)?

Wenn eine solche Datenverarbeitung vorher nicht in der Einwilligungserklärung erlaubt worden ist, darf eine Weitergabe nicht geschehen.

Thema: Ablauf der Datenverarbeitung

Welcher Ablauf wäre bei der Verarbeitung von Gesundheitsdaten aus Sicht des Datenschutzes empfehlenswert?

  1. Kontakt zu Probanden aufnehmen
  2. Datenschutzkonzept erstellen, möglicherweise mit RDMO (ein Online-Tool der HLB)
  3. Einwilligungserklärung unterschreiben lassen (Muster downloaden)
  4. Interviews führen
  5. Weiterverarbeiten, mglw. durch Dritten
  6. Anonymisieren / Pseudonymisieren
  7. Daten sicher ablegen / speichern (hier hilft u.a. das Rechenzentrum)
  8. anonymisierte Daten archivieren und personenbezogene Daten löschen, wenn der Zweck erfüllt ist

Thema: Veröffentlichung von personenbezogenen Daten

Wie gehe ich mit Audio-Rohdaten um, die personengebundene und/oder sensible Daten enthalten? Müssen diese mit veröffentlicht werden?

Sachverhalt: Es liegen Audio-Rohdaten mit personenbezogenen und/oder sensiblen Daten vor, die (weiter) verarbeitet werden sollen.

Antwort:

Personenbezogene Daten dürfen grundsätzlich nicht veröffentlicht werden. Der Promovierende muss sensible Daten (z.B. über ethnische Herkunft) so verändern, dass eine Identifizierung der betroffenen Person nicht mehr möglich ist, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist, § 24 Abs. 3 HDSIG (Anonymisierung / Pseudonymisierung). Der Promovierende darf personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken nur veröffentlichen (lassen), wenn die betroffene Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist, § 24 Abs. 4 HDSIG. Wenn keine dieser Voraussetzungen erfüllt ist (keine Einwilligung, keine Ereignisse der Zeitgeschichte), dürfen die personenbezogenen Daten nicht veröffentlicht werden. In diesem Fall sind die personenbezogenen Daten der Dissertation zwar z.B. für die Gutacher*innen anzuhängen, die Veröffentlichung ist aber in jedem Fall zu verhindern, hier durch einen Sperrvermerk.

Thema: Aufbewahrung und Speicherung

Wie ist die Aufbewahrungsfrist bei sensiblen Daten (=Gesundheitsdaten)?

Kurzantwort: Die Daten sind grundsätzlich zu löschen, sobald der Forschungszweck das erlaubt.

Im Einzelnen:

Wenn besondere Kategorien personenbezogener Daten (Gesundheitsdaten) verarbeitet werden sollen (Art. 9 DSGVO), ist hier § 24 Abs. 3 S. 2 HDSIG einschlägig (§ 24 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken). Hier heißt es: "Sobald der Forschungs- oder Statistikzweck dies erlaubt, sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern; die Merkmale sind zu löschen, sobald der Forschungs- oder Statistikzweck dies zulässt."

Für sonstige personenbezogene Daten gilt Art. 5 Abs. 1 lit. e) DSGVO: Personenbezogene Daten müssen "in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“)"

Die eingesetzten Methoden und die Befunde müssen dokumentiert und für die Dauer von zehn Jahren aufbewahrt werden. Eine genaue Protokollierung und Dokumentation des wissenschaftlichen Vorgehens und der Ergebnisse gilt insbesondere für experimentelle Arbeiten, für die die Wiederholbarkeit der Untersuchungen ein Wesensmerkmal ist. (Satzung der Fachhochschule Fulda zur Sicherung guter wissenschaftlicher Praxis vom 22. Mai 2002)

In der Dissertation müssen die maßgeblichen Forschungsdaten experimenteller und statistischer Natur, die zum wissenschaftlichen Erkenntnisgewinn geführt haben, enthalten sein. Sie sollen als Anhang beigefügt werden. Für diesen kann im Bedarfsfall ein Sperrvermerk beim Promotionsausschuss beantragt werden. (Promotionsordnungen der Promotionszentren, meist in § 6 Abs. 5 der PromO).

Was ist ein sicherer Speicherort für sensible Daten?

Die sogenannten Netzwerk-Laufwerke der Hochschule Fulda sind aufgrund ihrer Sicherheit zu empfehlen, private Laptops oder Tresore nicht.

Administratoren des Rechenzentrums haben prinzipiell Zugriff auf die Dateien auf den Netzwerk-Laufwerken. Wenn hier Bedenken bestehen, können die Dateien verschlüsselt abgelegt werden, sodass selbst die Administratoren keinen Zugriff haben.

Wie müssen die Dateien mit den Identifiationsschlüsseln für Transkripte aufbewahrt werden?

Kurzantwort: Der Verarbeiter der Daten ist verpflichtet, diese Schlüsseldatei gesondert aufzubewahren und technische und organisatorische Maßnahmen zu ergreifen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden, Art. 4 Ziff. 5 DSGVO. Inwieweit ein Tresor dafür notwendig ist, hängt von den Umständen des Einzelfalls ab und kann hier nicht pauschal beantwortet werden.

Sachverhalt: Der Datenverarbeitende hat zwei Dateien: In einer Datei befinden sich die Inhalte der Transkripte, aber keine personenbezogenen Daten. In der anderen Datei befinden sich die Schlüssel, mit der der Personenbezug hergestellt werden kann, der durch die Anonymisierung zerstört wurde.

Antwort:

  1. Eine Definition des Begriffs „Anonymisierung“ ergibt sich aus § 2 Abs. 4 HDSIG.
  2. Gemäß den Angaben des Sachverhaltes liegt hier keine Anonymisierung vor, sondern eine Pseudonymisierung, denn die „Datei, wo die Verschlüsselung notiert ist“, sind zusätzliche Informationen i.S.d. Art. 4 Ziff. 4 DS-GVO, mit deren Hilfe eine Re-Identifizierung der Betroffenen möglich ist. Bei einer Anonymisierung gibt es keine solche Verschlüsselung. Übrigens: eine Pseudonymisierung ist, wie auch eine Anonymisierung, ein Vorgehen mit vielen Einzelschritten, der nicht ganz so einfach ist und für den es Empfehlungen gibt, die man ernst nehmen sollte.
  3. zur Anonymisierung: Die Daten verlieren ihren Status als „anonyme Daten“, wenn eine Person identifizierbar werden kann. Die bemisst sich an folgendem Maßstab, § 2 Abs. 4 HDSIG: „Eine natürliche Person ist identifizierbar, wenn sie unter Berücksichtigung aller Mittel, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Identität der natürlichen Person direkt oder indirekt zu ermitteln, identifiziert werden kann. Bei der Feststellung, ob Mittel nach allgemeinem Ermessenwahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, insbesondere die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
  4. zur Pseudonymisierung und zur Lagerung der Schlüsseldatei: der Verarbeiter der Daten ist verpflichtet, diese Schlüsseldatei gesondert aufzubewahren und technische und organisatorische Maßnahmen zu ergreifen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden, Art. 4 Ziff. 5 DSGVO. Inwieweit ein Tresor dafür notwendig ist, hängt von den Umständen des Einzelfalls ab und kann hier nicht pauschal beantwortet werden.

Wie gehe ich mit Audio-Rohdaten um, die personengebundene und/oder sensible Daten enthalten? a. Müssen diese in den Tresor? b. Wie lange müssen diese aufbewahrt werden?

Sachverhalt: Es liegen Audio-Rohdaten mit personenbezogenen und/oder sensiblen Daten vor, die (weiter) verarbeitet werden sollen.

Antwort:

  1. Personenbezogene Daten müssen „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“ (Art. 5 Abs. 1 lit. f DSGVO) Dazu auch Art. 32 DSGVO. Die Einlagerung der Daten in einem Tresor ist eine Möglichkeit, unbefugten Zugang zu den Daten zu verhindern, wenn eben kein Unbefugter diesen Tresor öffnen kann oder darf. Angesichts technischer Möglichkeiten ist aber auch zu prüfen, ob eine Speicherung der Daten auf einem sicheren, überwachten und gewarteten digitalen Speicherort nicht die bessere Möglichkeit darstellt.
  2. Solange dies der Forschungs- oder Statistikzweck erfordert. Die Satzung der Fachhochschule Fulda zur Sicherung guter wissenschaftlicher Praxis vom 22. Mai 2002 verlangt 10 Jahre (§ 1 Abs. 2 Nr. 2). Über die genaue Aufbewahrungsdauer ist insbesondere bei sensiblen Daten im Einzelfall zu entscheiden. Hinweis: Die Satzung wird demnächst angepasst.

Weitere Ansprechpartner

Ansprechpartner

Dr.

Sebastian Mehl

Leitung Promotionskoordinationsstelle

Kontakt

Dr.

Sebastian Mehl

Leitung Promotionskoordinationsstelle

+49 661 9640-1910
+49 661 9640-159
Gebäude 41, Raum 004
Sprechzeiten
nach Vereinbarung
Bürozeiten
Mo-Fr 9-15:30 Uhr