Die rechtskonforme Veröffentlichung von Forschungsdaten
Im Spannungsverhältnis zwischen einer möglichst transparenten und vollständigen Veröffentlichung von Forschungsdaten im Interesse der wissenschaftlichen Forschung und dem Schutz der betroffenen Person im Interesse des Datenschutzes stellt sich die Frage: „Wie kann eine möglichst vollständige und transparente Veröffentlichung personenbezogener Forschungsdaten erreicht werden, die dennoch datenschutzkonform ist?“.
1. Problemstellung
Die Forschung spielt eine zentrale Rolle in unserer Gesellschaft. Diese wird von der Europäischen Union durch Artikel 13 Grundrechte-Charta (GRCh) anerkannt. Das Grundrecht auf Forschungsfreiheit kann seinen Zweck in der Regel nur vollständig erfüllen, wenn Forschungsergebnisse durch eine Veröffentlichung der Allgemeinheit, insbesondere aber der wissenschaftlichen Gemeinschaft, zur Verfügung gestellt werden. Die wissenschaftliche Gemeinschaft muss insbesondere in der Lage sein, die veröffentlichten Ergebnisse auf ihre Richtigkeit zu überprüfen, sie zu reproduzieren, zu interpretieren und daraus eigene Erkenntnisse abzuleiten.
Hierbei kann es vorkommen, dass die Forschungsergebnisse personenbezogene Daten enthalten. Sofern diese veröffentlicht werden müssen, um die Forschungsergebnisse überprüfbar, reproduzierbar und interpretierbar zu machen, kommt die Forschungsfreiheit mit dem Grundrecht auf Datenschutz aus Art. 8 GRCh in Konflikt. In diesen Fällen stellt sich die Frage, wie eine möglichst vollständige und transparente Veröffentlichung personenbezogener Forschungsdaten erreicht werden kann, die dennoch datenschutzkonform ist.
2. Grundrechtskollision
Der Frage nach der Rechtskonformität bei der Veröffentlichung personenbezogener Forschungsdaten kommt besondere Bedeutung zu, da sie zwei Grundrechte berührt: Das Grundrecht auf Forschungsfreiheit und das Grundrecht auf Datenschutz.
Die Forschung hat eine Schlüsselfunktion in der Gesellschaft. Sie ist fundamental für Fortschritt und Innovation, womit ihr ein öffentliches Interesse zukommt. Art. 13 GRCh garantiert die Freiheit von Kunst und Wissenschaft, wobei die Wissenschaft Oberbegriff für Forschung und Lehre ist. Auf europäischer Ebene existiert keine rechtsverbindliche Definition des Begriffs der Forschung. Art. 13 GRCh gilt als inspiriert durch das deutsche Grundgesetz, sodass die Rechtsprechung hierzu herangezogen werden kann. Demnach ist Forschung eine geistige Tätigkeit mit dem Ziel, in methodischer, systematischer, nachprüfbarer Weise neue Erkenntnisse zu gewinnen sowie die Daten, auf denen Forschungsergebnisse beruhen und die abgeleiteten Forschungsergebnisse selbst für künftige Forschung weiterzuverwenden. Im Kontrast dazu soll das Datenschutzrecht betroffene Person im Rahmen des Umgangs mit ihren personenbezogenen Daten schützen, was unter anderem durch die Prinzipien der Datenminimierung und Speicherbegrenzung umgesetzt wird.
Liegt eine Grundrechtskollision vor, muss ein Ausgleich zwischen den berührten Rechten geschaffen werden. Im Fall der Veröffentlichung personenbezogener Forschungsdaten müssen einerseits die betroffenen Personen geschützt werden und andererseits darf der gesellschaftliche Fortschritt durch Forschung nicht behindert werden. Dies soll in der DSGVO über ein Ausgleichskonzept von Privilegien und Garantien erreicht werden. Die Privilegien bei Verarbeitungen personenbezogener Daten zu Forschungszwecken werden durch Ausnahmen von Vorschriften der DSGVO umgesetzt.
Dazu zählt unter anderem die Ausnahme vom Bestimmtheitsgrundsatz für Einwilligungen, der aus ErwGr. 33 DSGVO hervorgeht, oder die Ausnahme des Verarbeitungsverbots personenbezogener Daten besonderer Kategorien gemäß Art. 9 Abs. 2 lit. j DSGVO. Als Ausgleich muss der Verantwortliche gemäß Art. 89 Abs. 1 DSGVO geeignete Garantien zum Schutz betroffener Personen erbringen.
3. Kriterien für die Veröffentlichung von Forschungsdaten
Für eine rechtskonforme Veröffentlichung personenbezogener Forschungsdaten müssen einige Kriterien beachtet werden, die im Folgenden erläutert werden. Die DSGVO enthält keine Definition von Forschung, sondern verweist lediglich auf eine weite Auslegung. Somit ist auf den bereits dargestellten Schutzbereich des Art. 13 GRCh abzustellen.
Die DSGVO definiert auch den Begriff der Veröffentlichung nicht. Eine Veröffentlichung kann jedoch als Zugänglichmachen der Daten gegenüber einem bestimmbaren oder unbestimmbaren Personenkreis definiert werden. Teilweise wird eine Veröffentlichung als das Zugänglichmachen an einen Personenkreis verstanden, der vorher nicht beteiligt war. Eine Kombination beider Definitionen erscheint sinnvoll.
3.1 Rechtsgrundlagen für die Veröffentlichung
Zentraler Faktor für die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten ist das Vorliegen einer Rechtsgrundlage. Auf Basis des Verbots mit Erlaubnisvorbehalt ist die Verarbeitung personenbezogener Daten nur unter den in Art. 6 DSGVO aufgelisteten, abschließenden Voraussetzungen zulässig. Werden personenbezogene Daten besonderer Kategorien verarbeitet, sind zusätzlich die Anforderungen des Art. 9 DSGVO zu erfüllen. Für die Veröffentlichung personenbezogener Forschungsdaten bildet § 27 Abs. 4 BDSG die zentrale Vorschrift. Diese stützt sich auf die Öffnungsklausel des Art. 9 Abs. 2 lit. j DSGVO, gilt jedoch für alle personenbezogenen Daten und bezieht sich nicht nur auf die Veröffentlichung personenbezogener Daten besonderer Kategorien.
§ 27 Abs. 4 BDSG legt fest, dass die Veröffentlichung von Forschungsergebnissen grundsätzlich dem Einwilligungsvorbehalt unterliegt. Eine Ausnahme ist nur in stark begrenzten Fällen zulässig, nämlich sofern die Veröffentlichung der Daten für die Darstellung von Forschungsergebnissen der Zeitgeschichte unerlässlich ist. In diesem Fall bildet § 27 Abs. 4 BDSG selbst die Rechtsgrundlage für die Veröffentlichung, so dass eine Einwilligung der betroffenen Personen nicht erforderlich ist.
Jedoch bewegt sich die Ausnahme in sehr engen Grenzen: So müssten die personenbezogenen Forschungsdaten zunächst der Darstellung von Ereignissen der Zeitgeschichte dienen. Bei Ereignissen der Zeitgeschichte handelt es sich potenziell um alle aktuellen und historischen Ereignisse, an denen ein gegenwärtiges öffentliches Interesse besteht.
Zusätzlich müssten die personenbezogenen Daten für die Darstellung der Forschungsergebnisse der Zeitgeschichte unerlässlich sein. Dies läge nur dann vor, wenn die Forschungsergebnisse ohne die personenbezogenen Daten unverständlich oder untauglich wären. Spätestens an dieser Anforderung werden viele Bereiche der Forschung scheitern. Für diese wird es somit notwendig, vor der Veröffentlichung personenbezogener Forschungsdaten eine Einwilligung der betroffenen Personen einzuholen. Diese muss den allgemeinen Anforderungen der DSGVO an eine Einwilligung genügen.
Sofern auf Forschungseinrichtungen nicht das BDSG, sondern ein Landesdatenschutzgesetz einschlägig ist, sind die dort gegebenenfalls normierten Anforderungen an die Veröffentlichung von Forschungsdaten zu beachten. § 24 Abs. 4 des Hessischen Landesdatenschutzgesetzes übernimmt beispielsweise im Kern die Regelungen des § 27 Abs. 4 BDSG.
Das Einholen von Einwilligungen zur Veröffentlichung von Forschungsdaten scheint zunächst ein relativ großer Aufwand für die Forschungseinrichtungen zu sein. Jedoch beruht bei der Forschung mit personenbezogenen Daten die der Veröffentlichung von Forschungsdaten vorgelagerte Datenverarbeitung bereits regelmäßig auf der Einwilligung betroffener Personen, so dass zumindest der Aufwand für zukünftige Forschungsvorhaben, die auf einer Einwilligung basieren sollen, überschaubar sein dürfte, da die Einwilligung zur Veröffentlichung zeitgleich zur Einwilligung in die (sonstige) Verarbeitung der Daten im Rahmen des Forschungsvorhabens mit eingeholt werden könnte. Auch in derartigen Fällen könnte aber die Umsetzung des Widerrufsrechts betroffener Personen zumindest zu einem Mehraufwand der Pflege des bereits veröffentlichten Forschungsdatensatzes führen, weil dort die relevanten Einträge gelöscht werden müssten.
3.2 Geeignete Garantien
Die Privilegierung von Verarbeitungen personenbezogener Daten zu Forschungszwecken stehen im Rahmen des Ausgleichskonzepts der DSGVO unter Vorbehalt geeigneter Garantien gemäß Art. 89 Abs. 1 DSGVO. Der Verantwortliche ist gemäß Art. 89 Abs. 1 S. 1 DSGVO dazu verpflichtet, als Gegengewicht zu den Privilegierungen geeignete Garantien für die Rechte und Freiheiten betroffener Personen zu erbringen. Dabei sollen technische und organisatorische Maßnahmen insbesondere die Einhaltung des Grundsatzes der Datenminimierung sicherstellen.
Die praktische Relevanz des Art. 89 Abs. 1 DSGVO ist begrenzt, da die Regelung inhaltlich nicht über das hinausgeht, was bereits an anderen Stellen der DSGVO geregelt ist. Mit der Forderung nach geeigneten Garantien „gemäß dieser Verordnung“ verweist Art. 89 Abs. 1 DSGVO auf die anderen Regelungen der DSGVO. Der Grundsatz der Datenminimierung ergibt sich bereits aus Art. 5 Abs. 1 lit. c DSGVO. Art. 24 DSGVO normiert die grundsätzliche Pflicht des Verantwortlichen zur Ergreifung von technischen und organisatorischen Maßnahmen. Dies wird in Artt. 25 und 32 DSGVO konkretisiert.
Bezüglich der Veröffentlichung personenbezogener Forschungsdaten muss im Einzelfall geprüft werden, welche Maßnahmen notwendig und umsetzbar sind. Im Kontext der Forschung ist stets zu prüfen, ob der Forschungszweck mit anonymisierten Daten erreicht werden kann. Kann der Zweck der Verarbeitung so nicht erreicht werden, ist zu prüfen, ob stattdessen eine Pseudonymisierung möglich ist. Bei der Veröffentlichung personenbezogener Forschungsdaten ist zu prüfen, ob der Aussagegehalt der Veröffentlichung durch diese Maßnahmen geschwächt wird. Ist dies der Fall, sollte der Originalzustand der Daten veröffentlicht werden, um die Überprüfung und Weiterverarbeitung durch die wissenschaftliche Gemeinschaft zu sichern. Auch § 27 Abs. 1 S. 2 BDSG verpflichtet den Verantwortlichen dazu, im Kontext der Verarbeitung besonderer Kategorien personenbezogener Daten „angemessene und spezifische Maßnahmen“ zu ergreifen, um die Interessen der betroffenen Person zu wahren. Damit setzt § 27 Abs. 1 BDSG die Vorgaben der Öffnungsklausel aus Art. 9 Abs. 2 lit. j DSGVO um. § 27 Abs. 1 BDSG verweist schlussendlich auf § 22 Abs. 2 S. 2 BDSG. Über das hinausgehend, was in Art. 32 Abs. 1 DSGVO genannt wird, zählen dazu insbesondere Maßnahmen zur Zugriffs-, Weitergabe- und Eingabekontrolle, die Sensibilisierung der Mitarbeitenden, die Benennung eines Datenschutzbeauftragten sowie Maßnahmen zur Zugangsbeschränkung. § 27 Abs. 3 BDSG selbst verpflichtet wiederum zur Anonymisierung besonderer Kategorien personenbezogener Daten, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen.
3.2. Löschung veröffentlichter Forschungsdaten
Im Einklang mit dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie für die zugrundeliegenden Zwecke erforderlich sind. Wendet man dies auf die Veröffentlichung personenbezogener Forschungsdaten an, so stellt sich die Frage, für welchen Zeitraum eine Speicherung – und somit auch Veröffentlichung – der Daten erforderlich ist. Dabei ist einzubeziehen, dass die Forschungsdaten gem. Art. 13 GRCh Teil des Austauschs in der wissenschaftlichen Gemeinschaft werden sollen. Aufbauend darauf werden neue Erkenntnisse gewonnen, die der Allgemeinheit dienen. Um diesen Zweck zu verwirklichen, müssen die Forschungsdaten für einen gewissen Zeitraum gespeichert werden. Eine möglichst lange Aufbewahrung liegt grundsätzlich im Interesse der wissenschaftlichen Reproduzierbarkeit. So kann langfristig garantiert werden, dass die Daten überprüfbar und zur Weiterentwicklung verfügbar sind. Allerdings darf es nicht zu einer Vorratsdatenhaltung kommen. Die Deutsche Forschungsgemeinschaft legt in ihren Leitlinien zur Sicherung guter wissenschaftlicher Praxis fest, dass Forschungsdaten für zehn Jahre zugänglich und überprüfbar bleiben sollen. Eine Speicherdauer – und Veröffentlichung – der Daten scheint für diesen Zeitraum (vorbehaltlich eines früheren Widerrufs der Einwilligung oder Löschersuchens betroffener Personen) angemessen.
4. Management der Veröffentlichung von Forschungsdaten
Im Rahmen der Veröffentlichung von Daten lässt sich grundsätzlich nur sehr begrenzt Einfluss darauf nehmen, inwiefern die Daten von den zugreifenden Personen selbst gespeichert, weitergegeben und weiterveröffentlicht werden. Des Weiteren kann das Löschen einzelner Datensätze aus dem veröffentlichten Datensatz, der auf Grundlage des Widerrufs betroffener Personen gegebenenfalls erforderlich wird, sehr aufwendig sein. Eine Lösung für beide Probleme könnte darin bestehen, sozusagen eine „Veröffentlichung light“ in Form einer Plattform umzusetzen, in dem der Personenkreis nicht auf die Allgemeinheit, sondern die wissenschaftliche Gemeinschaft eingrenzt wird und die zugreifenden Personen sich vorab registrieren und ihre Zugehörigkeit zur wissenschaftlichen Gemeinschaft nachweisen müssen.
Im Rahmen der Registrierung könnten die zugreifenden Personen datenschutzrechtlich verpflichtet werden, unter anderem (je nach Sinnhaftigkeit für die Überprüfung/Interpretation/Reproduktion der Forschungsergebnisse) die Daten nicht außerhalb der Plattform zu speichern und Unberechtigten keinen Zugriff auf die Plattform zu ermöglichen oder aber die Daten nicht für Unberechtigte zugreifbar zu machen und nach dem Ablauf der 10-Jahresfrist zu löschen. Über die Plattform ließe sich auch die Widerrufsmöglichkeit der betroffenen Personen umsetzen, wodurch gleichzeitig der Aufwand für die Datensatzpflege nach erfolgten Widerrufen deutlich reduziert werden könnte.
Fazit
Für die Forschung ist die Veröffentlichung von Forschungsdaten von zentraler Bedeutung, um Forschungsergebnisse überprüfbar, reproduzierbar und interpretierbar zu machen. Sofern die zu veröffentlichenden Daten personenbezogen sind, muss die Veröffentlichung datenschutzkonform erfolgen. In diesem Kontext ergibt sich die Einwilligung (mit stark begrenzten, durch nationales Recht geschaffenen Ausnahmen für Forschungsergebnisse über Ereignisse der Zeitgeschichte) als vorwiegend einschlägige Rechtsgrundlage.
Vor einer Veröffentlichung personenbezogener Forschungsdaten ist zunächst zu prüfen, ob diese auch in anonymer oder zumindest pseudonymer Form erfolgen kann. Sollte dies zu Lasten von Überprüfbarkeit, Reproduzierbarkeit und Interpretierbarkeit gehen, kommt eine Veröffentlichung der personenbezogenen, nicht pseudonymisierten Daten in Betracht. Zum Schutz betroffener Personen erfordert die Veröffentlichung personenbezogener Forschungsdaten (seien die Daten pseudonymisiert oder nicht) in der Regel die Einwilligung der betroffenen Personen und kann nur für einen Zeitraum von zehn Jahren erfolgen. Um die betroffenen Personen angemessen zu schützen und insbesondere die Gefahr der Weiterveröffentlichung durch andere Personen weitestgehend zu unterbinden, sollte gegebenenfalls eine „Veröffentlichung light“ in Form einer Plattform mit eingegrenztem Personenkreis angestrebt werden, bei der die datenzugreifenden Personen datenschutzrechtliche Zusicherungen abgeben müssen, bevor sie auf die Daten zugreifen dürfen.
