Urheberrecht & Datenschutz

In diesem Abschnitt geben wir einige grundlegende Informationen zu urheberrechtlichen Überlegungen im Zusammenhang mit Forschungsdaten sowie einen systematischen Überblick über die rechtlich relevanten Eckpunkte für datenschutzkonforme Forschung. Dazu gehören eine Kurzbeschreibung der relevanten Paragraphen des BDSG und relevante Querverweise auf die EU-DSGVO sowie nützliche praxisnahe Beschreibungen für die Durchführung einer Datenschutz-Folgenabschätzung oder die Erstellung einer Einwilligungserklärung.

Urheberrecht – Relevante Paragraphen des Bundesdatenschutzgesetzes (BDSG)

Primärdaten unterliegen im Allgemeinen nicht dem Urheberrecht (Guibalt & Wiebe, 2013; Hillegeist, 2012; Spindler & Hillegeist, 2011). Vor der Veröffentlichung von Daten sollten jedoch Fragen zu Nutzungsrechten geklärt werden. In diesem Zusammenhang sind die folgenden Paragraphen des Bundesdatenschutzgesetzes (BDSG) zu beachten:

§ 27 BDSG (vgl. Art. 89 EU-DSGVO): Datenverarbeitung zu wissenschaftlichen oder historischen Forschungs- und
statistische Zwecke

• enthält Regelungen über die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
• die Verarbeitung personenbezogener Daten in den vorgenannten Zusammenhängen ohne Einwilligung erfolgen kann, wenn das Interesse des Verantwortlichen an der Verarbeitung dieser Daten das Interesse der Betroffenen an einem Ausschluss der Verarbeitung ihrer Daten überwiegt
• die in den §§ 15, 16, 18 und 21 EU-DSGVO angesprochenen Rechte der Betroffenen so weit eingeschränkt werden, dass sie die beabsichtigte Forschung unmöglich machen
• die personenbezogenen Daten sind zu anonymisieren, sobald der Forschungs- oder Statistikzweck dies zulässt und keine berechtigten Interessen des Betroffenen entgegenstehen

§ 46 (vgl. Art. 4 EU-GDPR) Begriffsbestimmungen

§ 47 (vgl. Art. 5 EU-GDPR) Allgemeine Richtlinien für die Verarbeitung von personenbezogenen Daten

Personenbezogene Daten müssen

• auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
• für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
• dem Zweck der Verarbeitung angemessen und für die Erreichung dieses Zwecks erforderlich sein und ihre Verarbeitung darf nicht in einem Missverhältnis zu diesem Zweck stehen,
• sachlich richtig sind und, soweit erforderlich, auf den neuesten Stand gebracht werden, wobei alle angemessenen Maßnahmen zu treffen sind, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
• nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und
• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, Zerstörung oder Beschädigung durch geeignete technische und organisatorische Maßnahmen.

§ 50 (vgl. Art. 89 EU-DSGVO) Verarbeitung personenbezogener Daten zu archivarischen, wissenschaftlichen und statistischen Zwecken

• Personenbezogene Daten dürfen im Rahmen der in § 45 genannten Zwecke in archivischer, wissenschaftlicher oder statistischer Form verarbeitet werden, wenn hieran ein öffentliches Interesse besteht und geeignete Garantien (z.B. Anonymisierung, Vorkehrungen gegen unbefugten Zugriff) für die rechtlichen Interessen der Betroffenen vorgesehen sind

§ 64 Sicherheitsanforderungen an die Datenverarbeitung

• regelt die technischen und organisatorischen Maßnahmen (TOMs), die umgesetzt werden müssen, um ein angemessenes Schutzniveau der verarbeiteten personenbezogenen Daten zu gewährleisten (z.B. Pseudonymisierung, Zugangskontrolle, Benutzerkontrolle, etc.)

Durchführung einer Datenschutz-Folgenabschätzung

Nach §67 BDSG ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn durch die Verarbeitung personenbezogener Daten ein Risiko für die Rechtsgüter der betroffenen Person entsteht. In diesem Fall muss der Verantwortliche vor der Durchführung der Datenverarbeitung eine Abschätzung der Folgen der einzelnen Verarbeitungsschritte für die betroffene Person vornehmen. Darüber hinaus ist es empfehlenswert, den Datenschutzbeauftragten in diesen Prozess einzubeziehen.

Eine Datenschutz-Folgenabschätzung muss die folgenden Aspekte beinhalten:

1. eine systematische Beschreibung der geplanten Verarbeitungsschritte und der Verarbeitungszwecke
2. eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf den Verarbeitungszweck
3. eine Bewertung der Risiken für die Rechtsgüter der betroffenen Person
4. die Maßnahmen zur Behebung bestehender Gefahren (z.B. Verfahren zur Gewährleistung des Schutzes personenbezogener Daten, TOMs, etc.)

Informierte Einwilligung

Rechtsgrundlage für eine informierte Einwilligung sind § 51 BDSG und Artikel 7 und 8 EU-GDPR. Entsprechend dieser gesetzlichen Vorgaben, aber auch aus ethischen Gründen (DGPs, 2018; Gollwitzer et al., 2020) ist es von größter Bedeutung, dass den Teilnehmern die folgenden Aspekte in einer klaren und verständlichen Sprache erläutert werden:

1. Nutzen und Risiken
2. der Datenerhebungsprozess
3. die Zwecke der Datenverarbeitung
4. die Speicherung der Daten
5. die Wiederverwendung der Daten

Darüber hinaus muss die Freiwilligkeit der Teilnahme stets gewährleistet sein und die Teilnehmer sollten jederzeit die Möglichkeit haben, ihre Teilnahme zu widerrufen. Die Einwilligung muss immer auf freiwilliger Basis erfolgen und die verantwortlichen Personen sind verpflichtet, die erteilte Einwilligung zu dokumentieren (vgl. Gollwitzer et al., 2020). Neben der informierten Zustimmung zur Teilnahme unter den beschriebenen Bedingungen sollten die Teilnehmer ihre weitgehende Zustimmung zur Weiterverwendung ihrer Daten durch andere Personen nach Abschluss der Datenerhebung erteilen. Die Zustimmung zur Weiterverwendung der Daten kann natürlich nur über eine umfassende Einwilligung erfolgen, da Zweck, Art und Umfang der Weiterverwendung zu diesem Zeitpunkt oft noch nicht klar sind. Aus ethischen Gründen sollte eine solche Einwilligung nicht nur für die Weiterverwendung von nicht anonymisierten Daten, sondern für alle zur Weiterverwendung veröffentlichten Daten eingeholt werden. Um den Teilnehmern die Möglichkeit zu geben, ihre Daten einzusehen und ihre Zustimmung zur Verarbeitung ihrer Daten für die vorgesehenen Zwecke zurückzuziehen, kann es sinnvoll sein, eine Liste zu führen, die die Identifizierung der Teilnehmer durch die Vergabe von Pseudonymisierungscodes ermöglicht. Nach einer vorher festgelegten Frist, die den Teilnehmern ebenfalls mitgeteilt wurde, muss diese Liste gelöscht werden. Der Deutsche Ethikrat unterscheidet verschiedene Einwilligungsmodelle (RatSWD, 2020; S. 27), die im Folgenden beschrieben werden sollen:

Blanko-Einwilligung

Bei einer pauschalen Einwilligung stimmen die Studienteilnehmer der zukünftigen Nutzung und Weitergabe der Daten mit unbestimmtem Inhalt zu.

Umfassende „breite“ Einwilligung

Die Möglichkeit der „breiten“ Einwilligung wurde speziell für die wissenschaftliche Forschung in Erwägungsgrund 33 der DSGVO geschaffen. Dabei geht der europäische Gesetzgeber davon aus, dass es häufiger vorkommen kann, dass der Zweck der Verarbeitung personenbezogener Daten für wissenschaftliche Forschungszwecke zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig festgelegt werden kann. Daher räumt er den betroffenen Personen die Möglichkeit ein, (a) für bestimmte Bereiche der wissenschaftlichen Forschung oder für Teile von Forschungsprojekten, (b) in dem Maße, wie es der verfolgte Zweck zulässt, und (c) in Übereinstimmung mit anerkannten ethischen Standards der wissenschaftlichen Forschung eine „umfassende“ Einwilligung zu erteilen. In diesem Zusammenhang muss der „spezifische Bereich“ einen Zusammenhang mit dem ursprünglichen Forschungsziel haben.

Dynamische Einwilligung

Die Studienteilnehmenden werden mehrmals kontaktiert, um ihre Zustimmung zu verschiedenen Forschungsfragen einzuholen.

Kaskadierende Einwilligung

Die kaskadierende oder Meta-Einwilligung ist eine Erweiterung der dynamischen Einwilligung und zielt darauf ab, eine möglichst umfassende Einwilligung zu erhalten. Eine kaskadierende Einwilligung könnte zum Beispiel damit beginnen, dass die Studienteilnehmenden um ihre pauschale Einwilligung gebeten werden. Wenn die Teilnehmenden nicht bereit sind, diese nahezu uneingeschränkte Zustimmung zu erteilen, werden sie gebeten, ihre breite Zustimmung für bestimmte Forschungsbereiche zu geben. Wenn die Teilnehmenden dann eine noch eingeschränktere Form der Zustimmung wünschen, können sie um eine informierte Zustimmung zur Verarbeitung ihrer Daten für bestimmte Forschungsfragen gebeten werden (vgl. Loe, Robertson, & Winkelman, 2015).