zurück zur Normal-Ansicht
 
 
 
 
 

Download einer Datei: Datenschutz in Wissenschaft und Forschung

Falls der Download nicht automatisch startet, klicken Sie bitte HIER um die Datei herunterzuladen.

Download starten
zurück

Datenschutz in Wissenschaft und Forschung Berliner Beauftragter für Datenschutz und Informationsfreiheit Hessischer Datenschutzbeauftragter Datenschutz in Wissenschaft und Forschung Rainer Metschke Rita Wellbrock - 2 - Inhaltsverzeichnis Vorwort 1. Verfassungsrechtliche Aspekte 1.1 Regelungen für Konflikte zwischen Forschung und Recht auf informationelle Selbstbestimmung 1.2 Eingriffe in das informationelle Selbstbestimmungsrecht - Prüfung des legitimierenden Gemeinschaftsinteresses, des Geeignetheitsgrundsatzes, des Erforderlichkeitsgrundsatzes und des Übermaßverbotes 1.2.1 Legitimierendes Gemeinschaftsinteresse 1.2.2 Geeignetheitsgrundsatz 1.2.3 Erforderlichkeitsgrundsatz 1.2.4 Übermaßverbot 1.3 Übersichtsdarstellung 2. Rechtliche Vorgaben der EG-Datenschutzrichtlinie 2.1 Zweckdurchbrechung für Zwecke der Forschung 2.2 Aufbewahrung für Zwecke der Forschung 2.3 Information der Betroffenen 2.4 Rechtliche Vorgaben für die Verarbeitung sensitiver Daten 2.5 Sonstige Regelungen 3. Personenbezogene, anonymisierte und pseudonymisierte Daten 3.1 Wann sind Daten personenbezogen? 3.2 Daten Verstorbener 3.3 Anonymisierte Daten 3.4 Anonymisierungsverfahren 3.5 Pseudonymisierungsverfahren 4. Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung der Betroffenen 4.1 Informierte Einwilligung durch Aufklärung 4.2 Zweckbindung durch konkrete Benennung des Forschungsvorhabens 4.3 Freiwilligkeit der Einwilligung 4.4 Schriftlichkeit der Einwilligung 4.5 Einwilligung bei nicht einwilligungsfähigen Personen 4.5.1 Grundsätzliches 4.5.2 Spezialgesetzliche Regelungen 4.5.3 Forschung außerhalb der spezialgesetzlich geregelten Bereiche 5. Gesetzliche Regelungen zur Forschung mit personenbezogenen Daten ohne Einwilligung der Betroffenen 5.1 Grundsätzliches 5.2 Rechtliche Vorgaben von Forschungsregelungen am Beispiel von § 30 BlnDSG und § 33 HDSG 5.2.1 Konkretes Forschungsvorhaben 5.2.2 Wissenschaftliches Forschungsvorhaben 5.2.3 Keine Beeinträchtigung schutzwürdiger Belange der Betroffenen 5.2.4 Alternativ: Überwiegendes öffentliches Interesse an der Durchführung des Forschungsvorhabens 5.2.5 Keine Möglichkeit, den Zweck der Forschung auf andere Weise zu erreichen 5.2.6 Zustimmung der obersten Landesbehörde 5.2.7 Zweckbindung der Daten - 3 - 5.2.8 Trennungs- und Löschungsgebot 5.2.9 Kontrollmöglichkeit 5.2.10 Veröffentlichung der Daten 5.2.11 Eigenforschung 5.2.12 Resümee 6. Kombinationsformen des Datenzugangs 6.1 Das Adressmittlungsverfahren 6.2 Datentreuhänder 6.2.1 Die Grundidee 6.2.2 Anonymisierung/Pseudonymisierung der Daten durch den Treuhänder 6.2.3 Verknüpfung der Daten durch den Treuhänder 6.2.4 Datenerhaltung, -bereitstellung und -archivierung durch den Treuhänder 6.2.5 Beispiel: Das Projekt QuaSi-Niere 7. Spezielle Fragestellungen einzelner Forschungsgebiete 7.1 Löschungsgebot wider Sicherung guter wissenschaftlicher Praxis 7.2 Neue Probleme bei der Genom-Forschung 7.3 Pre-Tests 7.4 Personen der Zeitgeschichte sowie Funktions- bzw. Amtsträger 7.5 Zeitweilige Beschäftigung von Forschern bei Daten besitzenden Stellen („One-Dollar- Persons“) 7.5.1 One-Dollar-Person und das Statistikgeheimnis 7.5.2 Ärzte als One-Dollar-Persons und die ärztliche Schweigepflicht 7.6 Erweiterter Zugang von Forschern zu Daten der amtlichen Statistik 8. Forschungsregister Weiterführende Literatur Anlagen 1. Beispiele für Einwilligungserklärungen Beispiel 1 Beispiel 2 Beispiel 3 2. Beispiele für Codierungen Beispiel 1 Beispiel 2 3. Auszüge der in dieser Broschüre eingehend dargestellten Regelungen 3.1 Bundesrecht 3.1.1 Grundgesetz der Bundesrepublik Deutschland 3.1.2 Volkszählungsurteil des Bundesverfassungsgerichts 3.1.3 Bundesdatenschutzgesetz 3.1.4 Strafgesetzbuch 3.2 Berliner Landesrecht 3.2.1 Verfassung von Berlin 3.2.2 Berliner Datenschutzgesetz (Auszug) 3.3 Hessisches Landesrecht 3.3.1 Hessisches Datenschutzgesetz (Auszug) 4. Übersicht über weitere Forschungsregelungen - 4 - 4.1 Bund 4.1.1 Sozialgesetzbuch X 4.1.2 Gesetz über die Statistik für Bundeszwecke (Bundesstatistikgesetz - BStatG) 4.1.3 Gesetz über die Sicherung und Nutzung von Archivgut des Bundes (Bundesarchivgesetz - BArchG) 4.1.4 Gesetz über das Zentralregister und das Erziehungsregister (Bundeszentralregistergesetz - BZRG) 4.1.5 Strafprozessordnung (StPO) 4.1.6 Gesetz über die Unterlagen des Staatssicherheitsdienstes der ehemaligen Deutschen Demokratischen Republik (Stasi-Unterlagen-Gesetz - StUG) 4.1.7 Gesetz zur Umsetzung der Richtlinie 90/313/EWG des Rates vom 7. Juni 1990 über den freien Zugang zu Informationen über die Umwelt (Umweltinformationsgesetz - UIG) 4.1.8 Straßenverkehrsgesetz 4.1.9 Gesetz über die Statistik der Straßenverkehrsunfälle (Straßenverkehrsunfallstatistikgesetz - StVUnfStatG) 4.1.10 Gesetz zur Änderung der Gewerbeordnung und sonstiger gewerberechtlicher Vorschriften 4.1.11 Richtlinien für das Strafverfahren und das Bußgeldverfahren (RiStBV) 4.1.12 Strafvollzugsgesetz (StVollzG) 4.2 Berlin 4.2.1 Berliner Informationsfreiheitsgesetz 4.2.2 Meldegesetz Berlin 4.2.3 Landesstatistikgesetz 4.2.4 Gesetz über die Sicherung und Nutzung von Archivgut des Landes Berlin (Archivgesetz des Landes Berlin - ArchGB) 4.2.5 Landeskrankenhausgesetz (LKG) 4.2.6 Bereichsspezifische Regelungen für die Verarbeitung personenbezogener Daten (Artikelgesetz) 4.3 Hessen 4.3.1 Hessisches Meldegesetz 4.3.2 Landesstatistikgesetz 4.3.3 Landesarchivgesetz 4.3.4 Landeskrankenhausgesetz 4.3.5 Hessisches Schulgesetz 4.3.6 Hessisches Krebsregistergesetz 4.3.7 Berufsordnung für die Ärztinnen und Ärzte in Hessen 5 Internationale Vereinbarungen/Rechtsvorschriften/Erklärungen 5.1 EG-Datenschutzrichtlinie 5.2 Erklärung der European Science Foundation zu der Verwendung personenbezogener Daten zu Forschungszwecken 5.3 Europarat-Empfehlung zum Schutz personenbezogener Daten für Zwecke der wissenschaftlichen Forschung und Statistik (Nr. R [83] 10) 6. Deutsche Arbeitsgemeinschaft für Epidemiologie (DAE) - 5 - Vorwort Die grundsätzliche Überarbeitung der 1994 vom Berliner Datenschutzbeauftragten herausgegebenen gleichnamigen Broschüre wurde insbesondere deshalb als notwendig angesehen, weil - zu prüfen war, inwieweit die rechtlichen Vorgaben der EG-Datenschutzrichtlinie neue datenschutzrechtliche Anforderungen an die wissenschaftliche Forschung mit personenbezogenen Daten stellen, - in den Jahren 1998 und 1999 eine intensive Diskussion zwischen Vertretern des Datenschutzes und der epidemiologischen Forschung sowie zwischen Vertretern der amtlichen Statistik, der Datenschutzbehörden und Forschern der empirischen Wirtschaftsforschung, auch unter dem Aspekt der Sicherung des Forschungsstandortes Deutschland, zwang, nationale und internationale Erfahrungen und Problemstellungen aufzugreifen, - zwischenzeitlich - z. B. mit dem Einsatz von Treuhändern - neue Erfahrungen gesammelt werden konnten und diese Erkenntnisse zugänglich gemacht werden sollten, - medizinische Forschungsprojekte - beispielsweise die medizinischen Netzwerke (MEDNET) - zunehmend bundesweit vernetzt sind und sich in Richtung wissenschaftlich multivalent nutzbarer Register entwickeln, - Lösungsansätze auch für spezielle Fragestellungen gefunden werden konnten. Rita Wellbrock Rainer Metschke - 6 - 1. Verfassungsrechtliche Aspekte 1.1 Regelungen für Konflikte zwischen Forschung und Recht auf informationelle Selbstbestimmung \"Kunst und Wissenschaft, Forschung und Lehre sind frei.\" (Art. 5 Abs. 3 Satz 1 Grundgesetz (GG)). Im Grundrechtskatalog des Grundgesetzes ist die Wissenschafts- und Forschungsfreiheit ohne Gesetzesvorbehalt gewährleistet. Eine Reihe von Wissenschaftsgebieten haben den Menschen zum Forschungsgegenstand. Er wird Objekt der Forschung. Die auf diesen Gebieten tätigen Wissenschaftler benötigen in vielen Fällen - zumindest vorübergehend - detaillierte sehr sensible Daten über einzelne Personen. Damit kann die in Art. 5 GG gewährleistete Freiheit von Wissenschaft und Forschung mit dem in Art. 2 i. V. m. Art. 1 GG gewährleisteten allgemeinen Persönlichkeitsrecht in Konflikt geraten. Das allgemeine Persönlichkeitsrecht gewährleistet nach der Rechtsprechung des Bundesverfassungsgerichts auch die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen - das sog. Recht auf informationelle Selbstbestimmung (BVerfGE 65, S. 41 f, s. Anl. 3.1.2). Einschränkungen dieses Rechts sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsmäßigen normenklaren gesetzlichen Grundlage und müssen den Grundsatz der Verhältnismäßigkeit wahren. Können Grundrechte miteinander in Konflikt geraten und ist dies eine allgemeine, nicht nur im Einzelfall auftretende Konstellation, so ist in erster Linie der Gesetzgeber gefordert, Regelungen zu treffen. Diese Regelungen müssen nach der Rechtsprechung des Bundesverfassungsgerichts dem Grundsatz der \"praktischen Konkordanz\" entsprechen, d.h. es muss ein Ausgleich zwischen den widerstreitenden Positionen gefunden werden, der es ermöglicht, dass beide Grundrechte möglichst weitgehend realisiert werden können. Der Gesetzgeber muss die rechtlichen Rahmenbedingungen festlegen, unter denen personenbezogene Daten zu Forschungszwecken auf der Grundlage einer Einwilligung der Betroffenen und ohne Einwilligung der Betroffenen verwendet werden dürfen. Der Gesetzgeber hat diese Regelungen geschaffen. Er hat allgemeine Regelungen zu den inhaltlichen und formalen Anforderungen an rechtswirksame Einwilligungen in die Verarbeitung personenbezogener Daten getroffen (s. 4.) und hat sowohl in den Landesdatenschutzgesetzen und im Bundesdatenschutzgesetz wie auch in zahlreichen spezialgesetzlichen Bestimmungen wie z. B. Landeskrankenhausgesetzen, Meldegesetzen, im Sozialgesetzbuch X, in den Krebsregistergesetzen, Archivgesetzen, im Stasi-Unterlage Gesetz die Voraussetzungen festgelegt, unter denen personenbezogene Daten für Forschungszwecke ohne Einwilligung der Betroffenen verarbeitet werden dürfen (s. 5. sowie Anlagen 3 und 4). Einige Forschungsregelungen haben als Ausgangspunkt eine spezifische Art der Daten (Sozialdaten - Sozialgesetzbuch, Meldedaten - Meldegesetze, archivierte Verwaltungsdaten - Archivgesetze). Andere Regelungen sind auf bestimmte Daten besitzende öffentliche Stellen ausgerichtet (Statistische Ämter - Statistikgesetze, \"Gauck-Behörde\" - Stasi-Unterlagengesetz). Diese Spezialregelungen nehmen an Bedeutung zu, da die einzelnen Wissenschaftszweige (z.B. medizinische und psychologische Forschung, Sozialforschung, zeitgeschichtliche Forschung) auf Grund ihrer verschiedenen Methoden und Informationsinteressen auf ganz unterschiedliche Weise die informationelle Selbstbestimmung der Betroffenen berühren. Für viele wissenschaftliche Forschungsvorhaben sind nach wie vor die allgemeinen Forschungsregelungen in den Landesdatenschutzgesetzen und im Bundesdatenschutzgesetz einschlägig. Ist die forschende oder den Forschern Daten übermittelnde Einrichtung (Daten besitzende Stelle) eine öffentliche Stelle des Bundes oder eine nicht-öffentliche (private) Stelle, so sind die Regelungen des Bundesdatenschutzgesetzes einschlägig, wenn keine spezielle gesetzliche Grundlage vorhanden ist. - 7 - Ist die forschende oder die Daten besitzende Stelle eine öffentliche Stelle des Landes Berlin bzw. des Landes Hessen, so gilt dagegen - falls keine spezielle gesetzliche Forschungsregelung geschaffen wurde - das Berliner Datenschutzgesetz bzw. das Hessische Datenschutzgesetz. Nicht selten kommt es zu einem Ineinandergreifen von öffentlichen und privaten Einrichtungen, so dass Regelungen unterschiedlicher Rigidität für die Beteiligten eines wissenschaftlichen Vorhabens gelten. 1.2 Eingriffe in das informationelle Selbstbestimmungsrecht - Prüfung des legitimierenden Gemeinschaftsinteresses, des Geeignetheitsgrundsatzes, des Erforderlichkeitsgrundsatzes und des Übermaßverbotes Unter Zugrundelegung der Rechtsprechung des Bundesverfassungsgerichts und der vom Gesetzgeber getroffenen Regelungen ist bei Forschungsvorhaben, die personenbezogene Daten bedürfen, für jeden Schritt der Verarbeitung dieser Daten, insbesondere durch den Forscher selbst, zu prüfen, ob das Forschungsvorhaben einem legitimen Gemeinschaftsinteresse dient, ob die Verarbeitung zur Erreichung des Forschungszwecks geeignet und notwendig ist und die Eingriffstiefe nicht außer Verhältnis zu dem angestrebtem Zweck steht. Im vorliegenden Zusammenhang bedeutet dies insbesondere, dass jeweils der geringste Eingriff, das mildeste Mittel zur Erreichung des Forschungszwecks gewählt werden muss. Der Betroffene muss keine Eingriffe dulden, die sich - ohne den angestrebten Zweck des Forschungsvorhabens zu gefährden - vermeiden lassen oder auch durch weniger in die Rechte des Betroffenen eingreifende Mittel ersetzt werden können. Die Übermittlung und Verwendung personenbezogener Daten zu Forschungszwecken hat sich also auf das zum Erreichen des angegebenen Zwecks erforderliche Minimum (Datensparsamkeitsgebot) zu beschränken. Der Forscher muss vor Beginn seiner Datenerhebungen prüfen, ob das Ziel nicht mit einem gleich geeigneten, aber für den Betroffenen weniger belastenden Vorgehen erreicht werden kann. Ergibt sich bei dieser Prüfung von Alternativen, dass der wissenschaftliche Zweck auch mit einem geringer belastenden Verfahren erreicht werden kann, dann ist der Eingriff in der zunächst vorgesehenen Form und Tiefe unverhältnismäßig und verfassungswidrig. 1.2.1 Legitimierendes Gemeinschaftsinteresse Das für alle Grundrechtseingriffe notwendige legitimierende Gemeinschaftsinteresse wird durch die in Art. 5 Abs. 3 GG enthaltene Gewährleistung der Forschungsfreiheit begründet. Eine Zensur, ob ein Forschungsansatz wertvollen oder minder bedeutsamen Zielen dient, darf grundsätzlich nicht stattfinden. Die Auswahl der Forschungsthemen gehört zur Grundrechtsgarantie des Art. 5 Abs. 3 GG. Im Bereich von Grundrechtskollision kann jedoch untersucht werden, ob der verfolgte Forschungsansatz auf rechtliche Hindernisse stoßen würde. So sind beispielsweise Forschungen, die die Produktion von ABC-Waffen vorbereiten, wegen Verstoßes gegen die völkerrechtlichen Vereinbarungen der Bundesrepublik Deutschland unzulässig, desgleichen Forschungen, die gegen das Embryonenschutzgesetz verstoßen, oder Forschungen, die mit der ungenehmigten Freisetzung gentechnisch veränderter Bakterien, Viren, anderer Lebewesen oder Pflanzen verbunden sind. Die Erhebung und weitere Verwendung von personenbezogenen Daten für derartige Zwecke ist von vornherein unzulässig, sodass es keiner weiteren Abwägung gegenüber dem Recht auf informationelle Selbstbestimmung bedarf. 1.2.2 Geeignetheitsgrundsatz - 8 - Im Rahmen der Geeignetheitsprüfung ist zu untersuchen, ob die zu erhebenden, beizuziehenden oder zu verarbeitenden Daten überhaupt tauglich sind, den angestrebten Unersuchungszweck zu fördern. Steht aufgrund der im Forschungsdesign enthaltenen Hypothesen fest, dass die zu verwendenden Daten nicht geeignet sind, die erforderlichen Nachweise für die aufgestellten Hypothesen zu erbringen, oder ist zu erkennen, dass die Daten nur auf Vorrat gesammelt werden sollen, um später zu definierenden Forschungsvorhaben zu dienen, so liegt kein taugliches Mittel für die Wahrnehmung der grundrechtlichen Freiheit aus Art. 5 Abs. 3 GG vor. Die Erreichung der vorgestellten Forschungsziele ist unmöglich, sodass Datenschutz vorzugehen hat. Die Entscheidung über eine datenschutzrechtlich begründete Zugriffsverweigerung muss auf die unterbreiteten Hypothesen, Forschungsziele und Methoden detailliert eingehen. 1.2.3 Erforderlichkeitsgrundsatz Erforderlich ist ein eingreifendes Vorgehen ohne oder gegen den Willen des Betroffenen nur, wenn dessen Einwilligung nicht eingeholt werden kann. Grundsätzlich ist das Einholen einer Einwilligung des Betroffenen das vorrangig zu wählende grundrechtskonforme Verfahren zur Erreichung des Forschungszwecks, denn es lässt dem Betroffenen die Möglichkeit, über die Verwendung seiner Daten selbst zu entscheiden, und ist eine für den Betroffenen transparente Verfahrensweise (s. 4). Liegen die personenbezogenen Daten, die für ein Forschungsvorhaben benötigt werden, bereits einer Stelle vor, so können die Betroffenen in vielen Fällen angeschrieben und um Einwilligung gebeten werden, ohne dass ihre Daten zuvor ohne ihre Kenntnis und ohne ihre Zustimmung an den Forscher übermittelt werden (sog. Adressmittlungsverfahren, s. 6.1.). Die Einholung einer Einwilligung ist aber nicht immer ein möglicher Weg, um den Forschungszweck zu erreichen, z. B. dann nicht, wenn es praktisch kaum möglich ist, die aktuellen Adressen der Betroffenen zu ermitteln. Wenn ein Forschungsvorhaben ohne Einwilligung des Betroffenen durchgeführt werden soll, so verlangt der Erforderlichkeitsgrundsatz die Untersuchung, ob das Forschungsvorhaben unter den geeigneten Mitteln das mildeste Mittel verwenden will, um die angestrebten Zwecke zu erreichen, und ob weniger belastende Alternativen verfügbar sind. Dem Verfassungsgrundsatz entsprechende Formulierungen sind in den meisten datenschutzrechtlichen Vorschriften zu finden. Die Frage, ob unter mehreren Mitteln dasjenige ausgewählt worden ist, das die geringste Beeinträchtigung der informationellen Selbstbestimmung verursacht, betrifft zum einen die zu verarbeitende Datenmenge (Grundsatz der Datensparsamkeit), zum zweiten die Art der zu verarbeitenden Daten (personenbezogene Daten, anonymisierte oder pseudonymisierte Daten) und zum dritten den Kreis der Personen, die Kenntnis der personenbezogenen Daten erhalten. Der Erforderlichkeitsgrundsatz gebietet, dass das geplante Forschungsvorhaben eine nachvollziehbare Darlegung erhält, aus der sich die Erforderlichkeit der Verarbeitung erschließen lässt. Insbesondere ist darzustellen, warum das Verfahren nicht mit anonymisierten oder pseudonymisierten Daten abgewickelt werden kann und aus welchen Gründen Verschlüsselungsverfahren und personenbezogene Daten nicht an dritter Stelle (Treuhandverfahren) verwahrt werden können. Der Erforderlichkeitsgrundsatz verlangt von der Wissenschaft, das verfügbare \"Methodenarsenal\" auf datenschutzrechtlich besser abgesicherte Verfahren zu überprüfen. Das Forschungsdesign muss erkennen lassen, dass die Frage der verfügbaren Alternativen gestellt und im Sinne des mildesten Eingriffs beantwortet worden ist. Da nur ausnahmsweise ein Methodenmonismus bestehen wird, zwingt der Erforderlichkeitsgrundsatz zu einer vorausgehenden Analyse der Forschungsmethodik. In Anbetracht der erforderlichen Grundrechtseingriffe bei datenschutzrechtlich Betroffenen muss eine solche Vorab-analyse als Voraussetzung der datenschutzrechtlichen Entscheidung über die Freigabe von Daten in jedem Fall gefordert werden. Diese Analyse muss die im Folgenden näher erörterte Prüfung einschließen, ob höhere Datensicherheit durch Trennung der personenbezogenen Daten von anonymisierten - 9 - oder pseudonymisierten Daten und gesonderte Verwahrung der Verschlüsselungsverfahren erreicht werden kann. Bei zumutbarem Aufwand muss dieser Weg gegangen werden. 1.2.4 Übermaßverbot Das verfassungsrechtliche Übermaßverbot verlangt eine Abwägung, ob die mit der ausgewählten und erforderlichen Datenverarbeitung verbundenen Beeinträchtigungen der Betroffenen nicht übermäßig belastend wirken und insofern in einem unangemessenen Verhältnis zum angestrebten Untersuchungszweck stehen. Besonders sensitive Daten - zu ihnen gehören auch Gesundheitsdaten - erfordern eine ausführlichere Begründung des Forschers und besondere Vorkehrungen zur Datensicherheit. Das Übermaßverbot steigert insofern die Anforderungen, die sich bereits aus dem Erforderlichkeitsgrundsatz ergeben. Im Rahmen des Übermaßverbotes ist auch die Frage zu behandeln, ob Daten aufgrund gesetzlicher Forschungsklauseln gegen den erklärten Willen der Betroffenen zur Verarbeitung in der Forschung freigegeben werden können. Regelmäßig wird das zu verneinen sein, sodass nach erklärtem Widerspruch gegen die Datenverarbeitung nur mit anonymisierten oder pseudonymisierten Daten geforscht werden darf, wenn nicht der gesamte Datensatz zu löschen ist. Die Übermaßfrage steuert schließlich auch die Möglichkeit zur Veröffentlichung und zu sonstiger Weitergabe von Daten. So hat ein Straftäter das Recht, die Stufe der Resozialisierung erreichen zu können, und kann deswegen sogar der erneuten Verwendung öffentlich zugänglicher Daten in öffentlichen Medien widersprechen (BVerfGE 35, 202,232, sog. Lebach-Urteil). Für die Errichtung von Forschungsregistern, in denen dauerhaft für eine noch nicht absehbare Zahl von Forschungsprojekten personenbezogene Daten verarbeitet werden sollen, besteht gesonderter Regelungsbedarf (s. 8.). - 10 - 1.3 Übersichtsdarstellung Grundrechte Informationelles Forschungsfreiheit Selbstbestimmungsrecht (Grundgesetz Art. 5) (Grundgesetz Art. 2 u. 1) Datengewinnung (Erhebung) Konkretes Forschungsvorhaben ist Grundrechtseingriff Bedarf an persönlichen Daten mögliche Kollision der Grundrechte Abwägung (praktische Konkordanz) Rechtfertigung des gewünschten Eingriffs gegenüber dem Betroffenen (bei möglicher Einwilligung) oder gegenüber der Daten verarbeitenden Stelle (die die Daten des Betroffenen für andere Zwecke vorhält) durch Darlegung der Geeignetheit für das Forschungsvorhaben und Erforderlichkeit des Eingriffs für alle Phasen der Erhebung und Verarbeitung persönlicher (personenbezogener) Daten auf Grundlage der - spezialgesetzlichen Forschungsklauseln, auch bei Einwilligung oder - der Datenschutzgesetze des Bundes und der Länder (bestimmt durch die Art der begehrten Daten) - 11 - Datenerhebung/Datenzugang Nachweis der Erforderlichkeit der Daten für das Forschungsprojekt (Bedarfsplanung/-prüfung) Anonymisierte, pseudonymisierte oder personenbezogene Erhebung? (Wahl des mildesten Mittels) Schrittweise Anonymisierung/Pseudonymisierung Primärerhebung oder Nutzen vorhandener Daten? - beim Betroffenen - Statistische (anonyme) Daten (grundsätzlich) - bei öffentlichen Stellen für andere Zwecke gespeicherte Daten - bei nicht-öffentlichen (privaten) Stellen für andere Zwecke gespeichert Durch Zweckbindung öffentlich und Verwendungsver- zugänglich? bote geschützt? Einwilligung des Betroffenen möglich? JA NEIN Freiwilligkeit, Information, Adressmittlung Aufklärung über die Nutzung Datentreuhänder Wissenschafts-(Forschungs-)privilegien auf gesetzlicher Grundlage von Forschungsklauseln und Restriktionen - 12 - Nutzung der Daten erneute Geeignetheits- und Erforderlichkeitsprüfung Verarbeitungsformen (Akte, Datei) - ggf. Prüfung der Meldepflicht - nach dem bereichsspezifischen Gesetzen oder Landesdatenschutzgesetzen Bestimmen der an der Verarbeitung beteiligter Forscher und Hilfskräfte sowie deren Verpflichtung auf das Datengeheimnis, ggf. Auftragsdatenverarbeitung Speicherungsdauer, Anonymisierung, Pseudonymisierung oder Löschung, Archivierung Anonymisierungsschritte festlegen, frühestmögliche Trennung von Hilfs- und Erhebungsmerkmalen bzw. der Merkmale, die den unmittelbaren Personenbezug erlauben (1) Übermittlung an Dritte (Einwilligung und/oder faktische Anonymisierung) (2) Veröffentlichung der Forschungsergebnisse personenbezogen und - Einwilligung der Betroffenen oder ggf. der personenbeziehbar Daten besitzenden Stelle Personen der Zeitgeschichte (Unerlässlichkeit) hinreichend/faktisch anonymisiert pseudonymisiert - Einwilligung, wenn aus den Inhaltsdaten ein Personenbezug durch Dritte - mit ihrem zu vermutenden Zusatzwissen - herstellbar ist. - 13 - 2. Rechtliche Vorgaben der EG-Datenschutzrichtlinie - von den Mitgliedsstaaten festzulegende Garantien - Am 24. Oktober 1994 wurde die EG-Datenschutzrichtlinie (\"Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr\") durch die Europäische Kommission verabschiedet. Sie folgt dem Europaratsübereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten von 1981 als weiterer wichtiger Schritt auf dem Weg zu internationaler Harmonisierung und Verbindlichkeit des Datenschutzrechts. Für die Mitgliedsstaaten der Europäischen Union legt die Richtlinie erstmals einen rechtsverbindlichen grenzüberschreitenden Rahmen fest, in dem personenbezogene Daten nach weitgehend einheitlichen Regelungen verarbeitet werden müssen. Die EG-Datenschutzrichtlinie ist eine Querschnittsregelung, die durch bereichsspezifische Gemeinschaftsvorschriften ergänzt werden kann und soll. Sie fordert von den Mitgliedsstaaten ein Tätigwerden, belässt ihnen aber in der konkreten Ausgestaltung der nationalen rechtlichen Regelungen Spielräume. Zur Verarbeitung personenbezogener Daten für Forschungszwecke enthält die EG-Richtlinie (EGRL) einige konkrete Regelungen. In diesen Regelungen werden die Mitgliedstaaten verpflichtet, \"geeignete\" bzw. \"angemessene\" Garantien festzulegen, damit die mit der Verarbeitung der personenbezogenen Daten verbundenen Eingriffe für die Betroffenen zumutbar sind. 2.1 Zweckdurchbrechung für Zwecke der Forschung Gem. Art. 6 Abs. 1b EG-RL (Durchbrechung der ursprünglichen Zweckbindung im Interesse der Forschung) haben die Mitgliedstaaten vorzusehen, dass personenbezogene Daten nur für festgelegte und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im Allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedsstaaten geeignete Garantien schaffen. Geeignete Garantien in diesem Sinne sind gesetzliche Regelungen, die die Voraussetzungen für eine Zweckänderung klar und angemessen festlegen. Der Gesetzgeber hat nach der EG-RL Spielräume, wie er die geeigneten Garantien ausgestaltet. Zu den bereits bestehenden rechtlichen Vorgaben an die Forscher, - u. a. Zweckbindung der Daten, getrennte Speicherung der Hilfsmerkmale, frühzeitige Anonymisierung bzw. Löschung/Vernichtung der Daten (s. 4. und 5.) - könnte ein gesetzlich anerkanntes Forschungsgeheimnis eingeführt werden. Es lässt den beim Forscher vorhandenen personenbezogenen Daten einen besonderen Schutz zukommen, indem es verbietet, dass Forscher die Daten an Dritte weitergeben oder dass Dritte (z.B. Strafverfolgungsbehörden) auf die Daten zugreifen. Eine dahingehende Regelung im Strafgesetzbuch und in der Strafprozessordnung mit korrespondierendem Zeugnisverweigerungsrecht der Forscher und Beschlagnahmeverbot für Strafverfolgungsbehörden und Gerichte ist sowohl von Wissenschaftlern als auch von einigen Datenschutzbeauftragten gefordert worden. Sie könnte insbesondere den Schutz der an wissenschaftlichen Studien teilnehmenden Probanden (z. B. bei Dunkelfeldstudien) vor Strafverfolgung sicherstellen und bei der in den gesetzlichen Forschungsregelungen vorgesehenen Abwägung der Interessen (s. 5.) eine Entscheidung zugunsten der Forscher erleichtern. Die Forderung nach einem zugriffsfesten Forschungsgeheimnis ist jedoch umstritten und die rechtlichen Konsequenzen eines Forschungsgeheimnisses werden kontrovers diskutiert. - 14 - 2.2 Aufbewahrung für Zwecke der Forschung Nach Art. 6 Abs. 1e EG-RL (Aufbewahrung personenbezogener Daten für Zwecke der Forschung) dürfen personenbezogene Daten nicht länger aufbewahrt werden als es für die Realisierung der Zwecke erforderlich ist, für die sie erhoben oder weiterverarbeitet werden, sofern die Identifizierung der betroffenen Person möglich bleibt. Für personenbezogene Daten, die darüber hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden sollen, haben die Mitgliedsländer geeignete Garantien festzulegen. In Deutschland sehen die Regelungen im Bundesarchivgesetz und den Landesarchivgesetzen eine Reihe rechtlicher Vorgaben zur Verarbeitung personenbezogener Daten für Forschungszwecke vor, die als geeignete Garantien in diesem Sinne qualifiziert werden können (s. Anlage 4). 2.3 Information der Betroffenen Art. 11 Abs. 2 EG-RL (Information der Betroffenen bei Verarbeitungen für Zwecke der wissenschaftlichen Forschung) gibt vor, dass bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung die in Art. 11 Abs. 1 EG-RL festgelegte Verpflichtung zur Information der Betroffenen keine Anwendung findet, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. Auch diese Erleichterung für die Forschung ist durch geeignete Datenschutzgarantien zu sichern. 2.4 Rechtliche Vorgaben für die Verarbeitung sensitiver Daten Gem. Art. 8 EG-RL (Verarbeitung besonderer Kategorien personenbezogener Daten) sind sensitive Daten insbesondere Daten über rassische oder ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gesundheit oder Sexualleben. Für diese Daten besteht ein grundsätzliches Verbot der Verarbeitung. Nur unter den dort festgelegten engen Voraussetzungen sind Ausnahmen zulässig. Für den Bereich der Forschung gelten insbesondere als Ausnahmen: - wenn der Betroffene eingewilligt hat, - wenn die Mitgliedsstaaten aus Gründen eines wichtigen öffentlichen Interesses in einer nationalen Rechtsvorschrift eine Ausnahme vorgesehen haben, - wenn die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, unter behördlicher Aufsicht erfolgt oder wenn das einzelstaatliche Recht angemessene andere Garantien vorsieht. Die gesetzlichen Forschungsregelungen in Deutschland können, soweit sie auf die genannten Datenarten Anwendung finden, als nationale Rechtsvorschrift in diesem Sinne qualifiziert werden. 2.5 Sonstige Regelungen Im Übrigen sind für die Fragen des Verhältnisses von Forschung und Datenschutz in der EGDatenschutzrichtlinie insbesondere die allgemeinen Regelungen zur Verarbeitung von personenbezogenen Daten auf der Grundlage von Einwilligungen (Art. 7a, s. auch unten 4.) und zur Information der Betroffenen, über die personenbezogene Daten erhoben werden (Art. 10, s. auch unten 4.), von Bedeutung, ferner auch die Ausarbeitung von Verhaltensregeln durch Berufsverbände und andere Vereinigungen (Art. 27). Verhaltensregeln in diesem Sinne können - 15 - keine gesetzlichen Regelungen ersetzen, sie können jedoch innerhalb des vom Gesetzgeber festzulegenden Rahmens einen angemessenen Ausgleich der kollidierenden Interessen fördern. Sie können ein höheres Schutzinteresse erzeugen als der gesetzliche Mindeststandard verlangt. 3. Personenbezogene, anonymisierte und pseudonymisierte Daten Der Erforderlichkeitsgrundsatz gebietet, dass das geplante Forschungsvorhaben eine nachvollziehbare Darlegung enthält, aus der sich die Erforderlichkeit der geplanten Verarbeitung erschließen lässt. Insbesondere ist darzulegen, warum das Forschungsvorhaben nicht mit anonymisierten oder pseudonymisierten Daten durchgeführt werden kann. Grundsätzlich sollte die Verarbeitung von Daten zu wissenschaftlichen Zwecken in anonymisierter Form erfolgen. Die Probleme des Datenzugangs für die Forschung beziehen sich vorrangig auf Individual- oder Einzeldaten. Nicht selten kann der Datenbedarf jedoch mit anonymisierten Daten abgedeckt werden. Forschung mit sicher anonymisierten Daten ist jederzeit ohne datenschutzrechtliche Vorgaben möglich. Stehen einer Anonymisierung der Daten wissenschaftliche Gründe entgegen, dürfen die Daten in pseudonymisierter Form verarbeitet werden. Erst wenn sowohl einer Anonymisierung als auch einer Pseudonymisierung der Daten wissenschaftliche Gründe entgegenstehen, dürfen auch personenbezogene Daten verarbeitet werden (s. 1.2.3). Ob es sich im Einzelfall um anonymisierte, pseudonymisierte oder personenbezogene Daten handelt, bedarf sorgfältiger datenschutzrechtlicher Prüfung. Die datenschutzrechtlichen Bestimmungen finden nur Anwendung, wenn für ein Forschungsprojekt personenbezogene Daten benötigt werden. 3.1 Wann sind Daten personenbezogen? Der Schutzbereich des Rechts auf informationelle Selbstbestimmung umfasst das Recht des Einzelnen, \"über die Preisgabe und Verwendung seiner persönlichen Daten\" selbst zu bestimmen (BVerfGE 65, 1 [43]). Persönliche Daten werden im Datenschutzrecht als \"personenbezogene Daten\" bezeichnet und definiert. Personenbezogene Daten sind nach der Legaldefinition des § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Darauf nimmt auch das Bundesverfassungsgericht in seiner Entscheidung zum Volkszählungsgesetz bei der Beschreibung des Grundrechts auf informationelle Selbstbestimmung Bezug. Es differenziert zwischen einem bestehenden und einem herstellbaren Personenbezug und umschreibt in weiteren Entscheidungen den Schutzbereich des informationellen Selbstbestimmungsrechts mit den auf die Grundrechtsträger \"bezogenen individualisierten oder individualisierbaren Daten\" (BVerfGE 67, 100 [144]). Bei Betrachtung dieser Begriffsbestimmung umfasst der Schutzbereich der informationellen Selbstbestimmung nicht nur die Daten einer bestimmten (individualisierten) Person, sondern auch jene Einzelangaben, die eine bestimmte Person zwar nicht eindeutig oder unmittelbar identifizieren, die es aber erlauben, die Identität der Person mit Hilfe anderer Informationen festzustellen. Man bezeichnet diese als individualisierbare bzw. personenbeziehbare Daten. 3.2 Daten Verstorbener - 16 - Grundsätzlich wird der Schutzbereich dann relativiert, wenn schutzwürdige Belange des Betroffenen durch seinen Tod nicht mehr berührt werden können. Das Datenschutzrecht Berlins bezieht in die Definition des Begriffs der personenbezogenen Daten auch die Daten von Verstorbenen mit ein. In den Gesetzen anderer Bundesländer, einschließlich des Hessischen Datenschutzgesetzes, wie auch im BDSG ist dies nicht explizit der Fall. Zunächst ist festzustellen, dass die Eigenschaft einer Person, Träger eines Grundrechts zu sein, spätestens mit der Geburt beginnt und mit dem Tod endet. Das informationelle Selbstbestimmungsrecht kann also auch nur von lebenden Personen ausgeübt werden. Das heißt aber auch, dass ein Lebender in informationeller Selbstbestimmung Entscheidungen treffen kann, die über seinen Tod hinausreichen und nach Art. 1 Abs. 1 und 3 GG die staatliche Gewalt binden. Darüber hinaus hat das Bundesverfassungsgericht im sog. \"Mephisto-Urteil\" (BVerfGE 30, 173 [194]) festgestellt: \"Es würde mit dem verfassungsverbürgten Gebot der Unverletzlichkeit der Menschenwürde, das allen Grundrechten zu Grunde liegt, unvereinbar sein, wenn der Mensch, dem Würde kraft seines Personseins zukommt, in diesem allgemeinen Achtungsanspruch auch nach einem Tode herabgewürdigt oder erniedrigt werden dürfte. Dementsprechend endet die in Art. 1 Abs. 1 GG aller staatlichen Gewalt auferlegte Verpflichtung, dem Einzelnen Schutz gegen Angriffe auf seine Menschenwürde zu gewähren, nicht mit dem Tode.\" In diesem Urteil geht es auch um den Schutz der Angehörigen oder Personen, die dem Verstorbenen nahe verbunden waren. Das Bundesverfassungsgericht stellt hier fest, dass das Schutzbedürfnis und die Schutzverpflichtung in dem Maße schwinden, in dem die Erinnerung an den Verstorbenen verblasst. Dieser Grundsatz findet sich in verschiedenen Regelungen zu Archivdaten wieder. Hier wurden Sperrfristen aufgenommen, die sich daran orientieren, dass nach Ablauf bestimmter längerer Fristen schutzwürdige Belange nicht mehr berührt werden können. Dabei wurde an Regelungen über Verschollene angeknüpft (BGHZ 50, 133). 3.3 Anonymisierte Daten Die grundrechtlich geschützte Entscheidungsbefugnis des Einzelnen über seine Daten endet dort, wo verarbeitete Daten keinen Zusammenhang mehr mit seiner Person erkennen lassen. Werden zunächst personenbezogene Informationen so verändert, dass eine direkte oder indirekte Identifizierung der einzelnen Merkmalsträger unmöglich ist, so werden diese Informationen als (absolut) anonymisierte Daten bezeichnet. Datenschutzrechtliche Nutzungsbeschränkungen bestehen dann nicht mehr. Die Erzeugung anonymisierter Daten aus personenbezogenen Einzelangaben unterliegt aber noch den Datenschutzvorschriften. Die anonymisierende Stelle muss also durch die Einwilligung des Betroffenen oder durch eine Rechtsvorschrift befugt sein, die zunächst personenbezogenen Informationen zu verarbeiten. Ergebnis dieser Verarbeitung sind anonymisierte Einzelangaben, die keinen Hinweis auf eine natürliche Person enthalten oder im Verbund mit anderen Daten erlauben. Nicht anonymisiert sind also alle Einzelangaben einer Person, deren Identität auf Grundlage dieser Daten bestimmt oder bestimmbar ist (personenbezogene Daten). In der Praxis bereitet die Abgrenzung zwischen den Daten einer bestimmbaren Person und anonymisierten Daten gewisse Schwierigkeiten. Bestimmbar ist eine Person, wenn sie mit Hilfe anderer aktuell oder potenziell verfügbarer Informationen, z. B. Aktenzeichen, Geschäftsnummer, detaillierten Informationen über die konkreten Lebensumstände, identifiziert werden kann. Im Regelfall ist eine Person z. B. dann bestimmbar, wenn in einem umfangreicheren Datensatz - 17 - lediglich der Name weggelassen wurde, häufig auch dann, wenn Name, Adresse und Geburtsdatum weggelassen wurden. Grundsätzlich hängt die Möglichkeit der Identifizierung einer Person aus einem Datensatz von einer Reihe von Faktoren ab, insbesondere von - dem möglichen Zusatzwissen (aus allgemein zugänglichen oder nicht allgemein zugänglichen Quellen), das der Daten besitzenden Stelle bzw. einem potentiellen \"Angreifer\" zur Verfügung steht, - den zur Verfügung stehenden technischen Möglichkeiten der Datenverarbeitung, - der zur Verfügung stehenden Zeit, den zur Verfügung stehenden finanziellen Mitteln. Die Möglichkeiten, von Datensätzen auf Einzelpersonen zu schließen, sind zahlreich. Differenziertes Zusatzwissen über bestimmte Personengruppen, Merkmalskombinationen oder eine Einsicht in öffentlich zugängliche Melderegister, Telefon-CD-ROMs, Adressbücher, Wählerverzeichnisse etc. können zur Bestimmbarkeit einer Einzelperson führen. Nach dem Stand der Technik können vielfach sogar aus aggregierten Datensätzen individuelle Datensätze reproduziert werden. Aufgrund des ständig weiterentwickelten Standes der Technik gibt es in der Praxis äußerst selten absolut anonymisierte Daten, d.h. Daten, die unter keinen denkbaren Umständen - z. B. unter Verwendung mathematisch-statistischer Verfahren - deanonymisiert werden könnten. Trotz aller Anonymisierungsbemühungen bleibt also - sollen die Daten für die beabsichtigte Forschung noch verwertbar sein - ein Restrisiko der Deanonymisierung. Ganz überwiegend wird in neuerer Zeit eine realitätsbezogene Abgrenzung der anonymisierten von den personenbezogenen Daten vorgenommen, derzufolge eine relative, \"faktische\" Anonymisierung der Daten ausreichend ist. Von faktisch anonymisierten Daten wird gesprochen, wenn eine Person nur mit einem völlig unverhältnismäßigen Aufwand reidentifiziert werden kann. Im Volkszählungsurteil verweist das Bundesverfassungsgericht im Zusammenhang mit den notwendigen Vorkehrungen zum Schutz des Rechts auf informationelle Selbstbestimmung auf das Gebot einer möglichst frühzeitigen \"(faktischen) Anonymisierung\" der Daten. Das Gericht führt in einem späteren Urteil aus, dass von Verfassungswegen lediglich eine faktische Anonymität der Daten geboten ist. Eine entsprechende - am Grundsatz der Verhältnismäßigkeit orientierte - Definition enthält § 3 Abs. 7 BDSG: \"Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.\" Eine ähnliche Definition enthält § 16 Abs. 6 BStatG: \"Für die Durchführung wissenschaftlicher Vorhaben dürfen vom Statistischen Bundesamt und den statistischen Ämtern der Länder Einzelangaben an Hochschulen oder sonstige Einrichtungen mit der Aufgabe unabhängiger wissenschaftlicher Forschung übermittelt werden, wenn die Einzelangaben nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können und die Empfänger Amtsträger, für den öffentlichen Dienst besonders Verpflichtete oder Verpflichtete nach Abs. 7 sind.\" - 18 - Hinreichend oder faktisch anonymisierte Daten sind personenbeziehbare (individualisierbare) Daten, bei denen das Risiko der Bestimmbarkeit infolge ihres Inhalts und ihres Verwendungskontextes so weit gemindert ist, dass dem Betroffenen das (Rest)Risiko einer Deanonymisierung zugemutet werden kann. Ist das Risiko einer Deanonymisierung im Einzelfall noch zu groß, kann es u. U. durch zusätzliche technische und organisatorische Maßnahmen, u. a. das Trennungs- und Löschungsgebot, das Zweckbindungsgebot, ein strafbewehrtes Reidentifizierungsverbot, ein Weitergabe-(Übermittlungs-)verbot und eine Aufzeichnungspflicht, weiter verringert werden. Bei der Bestimmung des Deanonymisierungspotenzials ist der aktuelle Stand von Wissenschaft und Technik zu berücksichtigen. Die Grenze zwischen personenbeziehbaren und faktisch anonymisierten Daten ist damit fließend. Sie kann nur im Einzelfall - unter Berücksichtigung des gegenwärtigen und künftigen (z. B. wirtschaftlichen) Wertes der zu erlangenden Information oder der dem Empfänger sowie einem potenziellen Angreifer zur Verfügung stehenden Ressourcen - bestimmt werden. In der Praxis ist dies für die übermittelnde Stelle mit Schwierigkeiten verbunden. So verlangt dies auch eine Prognose über die Ressourcen der Empfänger der Daten oder eine Einschätzung des Werts der Informationen für potenzielle Angreifer. In einigen wenigen Bundesländern wird Anonymisierung im Sinne einer absoluten Anonymisierung verstanden, d. h., durch die Formulierung bzw. Interpretation der landesrechtlichen Regelungen werden Einzelangaben nur dann als anonym qualifiziert, wenn sie unter keinen Umständen mehr zuzuordnen sind. Es bieten sich verschiedene Möglichkeiten an, durch Verschlüsselungen und Codierungen einen offenen Personenbezug, wie es der Name darstellen würde, zu vermeiden. Zwei Beispiele werden in Anlage 2 angegeben. Dabei sollten Codierungen bevorzugt werden, die der Betroffene selbst vornimmt und die von ihm jederzeit rekonstruierbar sind. So können den Datensätzen der einzelnen Personen weitere Angaben zugeordnet und Doppelungen vermieden werden. Bei großen Registern könnte auch eine maschinelle, auf Zufallsangaben beruhende Verschlüsselung vorgenommen werden. 3.4 Anonymisierungsverfahren Die gebräuchlichsten Anonymisierungsmethoden sind: - das formale Anonymisieren der Datensätze, - das Verallgemeinern und das Mikro-Aggregieren (kleinerer) Datensätze, - das Einstreuen von Zufallsfehlern, - das Zerlegen von Datensätzen in separate Merkmalsbereiche, - das Ziehen von Stichproben und Unterstichproben (Sub-Sampling), - das Nutzen von Schlüsseln und Codierungen. Diese Verfahren führen aber häufig nicht im ersten Schritt zu einer faktischen Anonymisierung. Dies wird manchmal erst nach mehreren Schritten oder durch Kombination der Verfahren erreicht. Einige Forschungsfragen scheinen die Verarbeitung anonymisierter Daten auszuschließen, wenn das Ziel erreicht werden soll. Hier sei insbesondere auf die empirische Sozialforschung und die historische bzw. zeitgeschichtliche Forschung verwiesen. Auch Längsschnittstudien und Forschungsregister verlangen häufig ein eindeutiges und handhabbares Unterscheidungskriterium, um spätere Angaben der richtigen Person zuzuordnen. Aber auch die auf der Grundlage von Ehrenkodizes bestehende Verpflichtung der Wissenschaftler zur Speicherung und Archivierung der Einzeldaten und zur Gewährleistung der Überprüfbarkeit der - 19 - Authentizität der verwendeten Daten durch unabhängige Gremien steht einer frühzeitigen Anonymisierung teilweise entgegen (s. hierzu noch unten 7.1). 3.5 Pseudonymisierungsverfahren Im Gegensatz zur Anonymisierung ist die Pseudonymisierung nur bedingt eine rücknahmefeste Prozedur. Bei der Pseudonymisierung werden die unmittelbar eine Person identifizierenden Daten durch eine für das Einzelvorhaben zu bildende Zuordnungsvorschrift derart verändert, dass das so gebildete Pseudonym nur mit Kenntnis dieser Zuordnungsvorschrift wieder einer natürlichen Person zugeordnet werden kann. So werden die Identifikationsdaten wie Namen und Anschrift, Versichertennummer, Matrikelnummer etc. durch eine im Einzelfall gewählte Zuordnungsvorschrift in ein Pseudonym überführt. Bei zwingender Notwendigkeit und unter Einhaltung vorher festgelegter rechtlicher Voraussetzungen kann aber der Personenbezug von einer hierzu berechtigten Stelle wieder hergestellt werden. Wer unter welchen Voraussetzungen den Personenbezug wiederherstellen darf, ist eine Frage des Einzelfalls. Die Entschlüsselungsbefugnis sollte möglichst bei der Stelle liegen, die über die personenbezogenen Daten ohnehin verfügt, oder bei einer von der forschenden Institution getrennten, rechtlich selbständigen Stelle. Beim Einsatz von Pseudonymisierungsverfahren ist stets vorher zu klären, - ob die identifizierenden Daten durch eine nicht sprechende Nummer ersetzt werden können oder ob sie verschlüsselt werden sollen, - wer über die Zuordnungstabellen bzw. das Verschlüsselungsverfahren verfügen soll, - wer das Pseudonym generieren soll, - ob ein Reidentifizierungsrisiko hinsichtlich der pseudonymisierten Datensätze ausgeschlossen werden kann, - wer und unter welchen rechtlichen Voraussetzungen Pseudonym und Identifikationsdaten zusammenführen darf. Bei vielen Forschungsprojekten kamen in der Vergangenheit die Wissenschaftler der Verpflichtung zur frühestmöglichen Trennung der die Person identifizierenden Merkmale dadurch nach, dass dem Datensatz eine Nummer gegeben wurde und beim Projektleiter oder einem vertrauenswürdigen Dritten eine Zuordnungsliste von Nummern, Namen und ggf. Anschriften unter Verschluss vorgehalten wurde. Im Unterschied dazu bietet die \"betroffene kontrollierte Pseudonymisierung\" die Möglichkeit, dass schon im Moment der Datenerhebung keine Namen oder Ähnliches erfasst werden. Dies ist möglich, wenn der Betroffene die Merkmale des Pseudonyms aufgrund feststehender Angaben selbst generiert, d. h. sich also selbst ein Pseudonym gibt. Die Merkmale, die zur Generierung des Pseudonyms verwendet werden, sind dann nur dem Betroffenen bekannt. Damit ist eine Reidentifizierung grundsätzlich nur durch den Betroffenen selbst möglich. In das Pseudonymisierungsverfahren können Daten eingehen wie Namensbestandteile (einzelne Buchstaben, Namenslängen), Teile des Geburtsdatums, das Geschlecht, Namensbestandteile des Geburtsortes oder Tag der Generierung. Diese Daten können sich sowohl auf den Betroffenen selbst als auch auf seine Eltern, Geschwister oder Kinder beziehen. Die Vergabe von Fantasienamen als Pseudonym birgt bei Längsschnittstudien oder Wiederholungsbefragungen die Gefahr des Vergessens oder Verwechselns in sich. - 20 - Bei der Pseudonymisierung durch eine mathematische Verschlüsselungstechnik ist hingegen keine unmittelbare Kontrolle der Pseudonymisierung durch den Betroffenen möglich. Er ist darauf angewiesen zu glauben, dass beispielsweise durch eine zweifache Verschlüsselung seiner Identifizierungsdaten ein Pseudonym entsteht, das auch bei einer Umkehr der Verschlüsselungsfunktionen nicht wieder zu den unmittelbaren Identifizierungsdaten zurück führt. Dies wird insbesondere dann transparent und glaubhaft, wenn die Stelle, die die Ausgangsdaten verwahrt und die Pseudonyme berechnet, sowohl gegenüber dem Betroffenen als auch gegenüber dem Forschenden ein vertrauenswürdiger unabhängiger Dritter (im Sinne eines Datentreuhänders) ist. Wenn durch die Pseudonymisierung gegenüber der Trennung von Erhebungs- und Hilfsmerkmalen ein qualitativer Sprung in Richtung Anonymisierung erreicht werden soll, darf die forschende oder die Register führende Stelle nicht in der Lage sein, die Pseudonyme selbst zu berechnen. Wenigstens ein Verschlüsselungsalgorithmus muss immer geheim bleiben. Wenn pseudonymisierte Daten für die Durchführung eines Forschungsvorhabens ausreichen, muss dieser Weg gewählt werden und von einer Übermittlung personenbezogener Daten an den Forscher abgesehen werden (Grundsatz des geringst möglichen Einriffs). Sachgerecht ist, dass die Daten besitzende Stelle die Daten vor der Übermittlung an den Forscher pseudonymisiert oder - insbesondere wenn Datenbestände verschiedener Stellen zusammengeführt werden sollen -, dass zwischen die Stelle, die die unverschlüsselten Ausgangsdaten hat, und den Forscher, der die Daten später verarbeiten soll, ein Datentreuhänder geschaltet wird, der die personenbezogenen Ausgangsdaten pseudonymisiert und nur in der pseudonymisierten Form an den Forscher weiterleitet (s. hierzu unten 6.2). Wenn erst beim Forscher selbst die Identifikationsdaten mit einem Pseudonym versehen werden und anschließend die Identifikationsdaten mit den Pseudonymen und der pseudonymisierte Datenbestand getrennt gespeichert werden, handelt es sich lediglich um eine Maßnahme der Datensicherheit beim Forscher. Eine solche Maßnahme ist bei der Verarbeitung personenbezogener Daten auf der Grundlage einer Forschungsregelung (s. 5.) generell vorgeschrieben. Rechtlich ist in diesem Fall davon auszugehen, dass der Forscher personenbezogene Daten verarbeitet, da er jederzeit in der Lage ist, den Personenbezug wiederherzustellen. Pseudonyme sollten möglichst nicht anwendungsübergreifend eingesetzt werden, weil sonst das Reidentifzierungsrisiko steigt. Besonders gefährlich ist es, jeden Bürger mit einem einheitlichen Pseudonym zu versehen, das in allen rechtlichen Zusammenhängen gilt (Gesundheitssystem, Krankenversicherung, Steuer, Führerschein, Melderegister etc.). Auch gegen die Verwendung eines einheitlichen Pseudonyms im gesamten Forschungsbereich im Sinne eines einheitlichen persönlichen Forschungskennzeichens bestehen verfassungsrechtliche Bedenken. Die Qualität der Pseudonymisierungsprozedur hängt von den gleichen Einflussfaktoren ab wie die Stärke der Anonymisierungsprozedur. Unter sonst gleichen Bedingungen ist die Anonymisierung dabei immer datenschutzfreundlicher als die Pseudonymisierung. 4. Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung der Betroffenen Die Mehrzahl der Forschungsvorhaben wird nicht mit Hilfe schon vorliegender, anonymisierter oder pseudonymisiert übermittelter Einzeldaten durchgeführt werden können. Wenn für ein Forschungsvorhaben personenbezogene Daten benötigt werden, kommt in erster Linie eine Verarbeitung der Daten auf der Grundlage einer Einwilligung der Betroffenen in Betracht, denn - 21 - dieses Verfahren lässt den Betroffenen ihre Entscheidungsfreiheit bezüglich der Verarbeitung ihrer Daten und ist für sie transparent (s. oben 1.). Mit der Erteilung oder Versagung einer Einwilligung wird die \"Befugnis des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten\" (Volkszählungsurteil des Bundesverfassungsgerichts) zu bestimmen, ausgeübt. Der Einzelne soll nicht zum bloßen Informationsobjekt werden. Dies setzt voraus, dass er auch tatsächlich im Einzelfall die Möglichkeit hat zu entscheiden, ob und unter welchen Bedingungen seine Daten verarbeitet werden. Um dies sicherzustellen, legen die datenschutzrechtlichen Regelungen zur Einwilligung in die Verarbeitung personenbezogener Daten bestimmte inhaltliche und formale Anforderungen an die Einwilligung fest (vgl. z. B. § 6 BlnDSG, § 7 HDSG, § 4 BDSG), insbesondere die konkrete Benennung des vorgesehenen Zwecks der Verwendung der Daten, ausreichende Information des Betroffenen über die vorgesehene Verarbeitung seiner Daten, i. d. R. Schriftlichkeit der Einwilligung, die Freiwilligkeit der Einwilligung und die Möglichkeit des Widerrufs der Einwilligung. Diese inhaltlichen und formalen Anforderungen an die Einwilligungserklärung sollen sicherstellen, dass eine Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung nur erfolgt, wenn der Betroffene klar und eindeutig eingewilligt hat. Die Regelungen zu den inhaltlichen und formalen Anforderungen an die Einwilligungserklärungen entsprechen auch den Vorgaben der EG-RL. So haben gem. Art. 7 EG-RL die Mitgliedsstaaten vorzusehen, dass eine Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der in a bis f der Vorschrift geregelten Voraussetzungen erfüllt ist; zu diesen Voraussetzungen zählt, dass der Betroffene seine Einwilligung \"ohne jeden Zweifel\" gegeben hat. 4.1 Informierte Einwilligung durch Aufklärung Entscheidungsfreiheit bedeutet, dass der Betroffene Art und Umfang der Verarbeitung der persönlichen Daten selbst mitbestimmt. Keine Verarbeitung darf beispielsweise unter Ausnutzung einer pauschalen Einwilligung hinter dem Rücken des Betroffenen, ohne oder gegen seinen Willen, erfolgen. Damit der Betroffene wirksam in die Verarbeitung seiner Daten einwilligen kann, ist er nicht nur über die Erhebung, sondern auch über jeden weiteren beabsichtigten Verarbeitungszweck konkret zu informieren. So kann er die Folgen seiner Einwilligung absehen. Eine informierte Einwilligung liegt dann vor, wenn der Betroffene ausdrücklich und unübersehbar über die wesentlichen Modalitäten der vorgesehenen Verarbeitung seiner Daten aufgeklärt worden ist. Hierzu sind im Regelfall die folgenden Informationen über das Forschungsvorhaben zu zählen: - Verantwortlicher Träger und Leiter des Forschungsvorhabens, - Zweck des Forschungsvorhabens, - Art und Weise der Verarbeitung der Daten, - Personenkreis, der von den personenbezogenen Daten Kenntnis erhält, - in die Studie einbezogene Kooperationspartner, soweit sie mit eigenständigen Aufgaben bei der Verarbeitung personenbezogener Daten betraut sind, - Zeitpunkt der Löschung bzw. Vernichtung der personenbezogenen Daten, - evtl. Empfänger und Abrufberechtigte, denen die Daten verfügbar gemacht werden können. - 22 - Zusätzlich ist der Betroffene über sein Recht zu informieren, die Einwilligung in die weitere Verarbeitung seiner Daten zu widerrufen. Darüber hinaus stehen ihm selbstverständlich unabhängig von der Erwähnung in der Einwilligungserklärung - das Recht auf Auskunft und Einsicht in die seine Person betreffenden Daten und - das Recht auf Berichtigung fehlerhaft gespeicherter Daten zu. Gem. Art. 10 der EG-RL müssen die Mitgliedsstaaten Regelungen treffen, in denen festgelegt ist, welche Informationen bei der Erhebung personenbezogener Daten bei der betroffenen Person (auch bei der Erhebung nach Einwilligung) von dem für die Datenverarbeitung Verantwortlichen mindestens zu geben sind. Konkret aufgeführt sind hier die folgenden Angaben: a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls eines Vertreters, b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind, c) weitere Informationen, beispielsweise betreffend - weitere Empfänger oder Kategorien der Empfänger der Daten, - die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung, - das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten. Diese Vorgaben der EG-RL werden durch die dargelegten Regelungen der deutschen Datenschutzgesetze bzw. ihre Interpretationspraxis erfüllt. Die Informationen, aufgrund deren sich der Betroffene für die Einwilligung in die Verarbeitung seiner Daten entscheidet, sind für den Forscher verbindlich, eine spätere Änderung der Zweckbestimmung der Verarbeitung, der Identität des für das Forschungsvorhaben Verantwortlichen etc. wäre von der Einwilligung zur Verarbeitung personenbezogener Daten nicht mehr gedeckt. Andernfalls wäre der Zweck der datenschutzrechtlichen Regelungen zur Einwilligung, die Entscheidungsfreiheit des Einzelnen zu stärken, in Frage gestellt. In der Praxis kann das allerdings bei der Durchführung des Forschungsvorhabens zu Problemen führen, wenn wissenschaftliche Fragestellungen sich ändern, in die Studie einbezogene Kooperationspartner wechseln etc. Aus wissenschaftlicher Sicht kann es bei einzelnen Forschungsvorhaben wichtig werden, die Daten für die Bearbeitung neuer oder veränderter Fragestellungen zu nutzen, die zum Zeitpunkt der Einwilligungserklärung des Betroffenen noch nicht bekannt waren und daher in die Angaben zum Zweck der Verwendung der Daten nicht einbezogen werden konnten. Eine erneute Kontaktierung des Betroffenen ist nicht immer möglich oder wäre u. U. mit zusätzlichem hohem Aufwand und Kosten verbunden und könnte wegen Umzug, Tod, Desinteresse etc. der Betroffenen möglicherweise auch zu Problemen im Hinblick auf die Repräsentativität der Daten führen. Es ist zu beachten, dass die Möglichkeit besteht, Einwilligungserklärungen so zu formulieren, dass eine evtl. inhaltliche Änderung bzw. Ausweitung der Fragestellungen der Studie mit umfasst ist. Grundsätzlich muss eine Einwilligungserklärung hinreichend bestimmt sein. Die Anforderungen an die Vollständigkeit und Präzision der Einwilligungserklärungen können jedoch je nach der konkreten Verarbeitungssituation variieren. Bei der Verarbeitung personenbezogener Daten im Wissenschaftsbereich ist eine weitere Formulierung des Zwecks als in anderen Lebensbereichen - 23 - vertretbar und nicht unangemessen. Sie entspricht der wissenschaftlichen Arbeitsweise. Es ist eine Entscheidung der Betroffenen, inwieweit sie auch eine Einwilligungserklärung mit einer weiteren Formulierung für die Zwecke der Studie unterschreiben (Frage der Akzeptanz). Auch abgestufte Einwilligungserklärungen haben sich bewährt. So kann zwischen der Einwilligung zu dem unmittelbaren Projekt und der Einwilligung in ein mögliches Nachfolgevorhaben unterschieden werden. Die Daten besitzende Stelle - z. B. Klinikum, Institut, Forschungsverbund - muss in der Einwilligungserklärung konkret und verbindlich genannt werden. Aus datenschutzrechtlicher Sicht ist es von zentraler Bedeutung, dass die Verantwortlichkeit für die personenbezogenen Daten dauerhaft klar geregelt ist. Ferner muss der Bürger eindeutig darüber informiert worden sein, an wen er sich mit seinen Auskunftsersuchen, Widerruf seiner Einwilligung, dem Verlangen nach Datenberichtigung etc. wenden kann. Die Namen der in die Studie einbezogenen Kooperationspartner müssen nur dann konkret aufgeführt werden, wenn sie mit einer eigenständigen Auswertung der personenbezogenen Daten befasst sind. Schließlich sind alle in Aussicht genommenen Institutionen zu benennen, die Zugriff auf die Datenbestände erhalten sollen. Der vorgesehene Zeitpunkt der Löschung bzw. der Vernichtung der personenbezogenen Daten sollte bereits in der Einwilligungserklärung möglichst konkret benannt werden. Er sollte grundsätzlich daran orientiert sein, wie lange die personenbezogenen Daten für die Durchführung des Forschungsvorhabens benötigt werden. Häufig wird das Problem auftreten, dass für die wissenschaftliche Akzeptanz bzw. Nachprüfbarkeit der Forschungsergebnisse das Vorhandensein der anonymisierten Daten nach der Publikation nicht ausreichend ist. In diesem Fall kann eine Speicherung der personenbezogenen Daten oder der pseudonymisierten Daten für einen bestimmten Zeitraum nach der Publikation der Forschungsergebnisse notwendig sein. Im Falle der Zwischenschaltung eines Datentreuhänders, bspw. eines Notars, dem allein ein Personenbezug möglich ist, stehen einer länger dauernden Speicherung regelmäßig wenig Bedenken entgegen. Diesem Vorgehen sollte daher Vorrang eingeräumt werden (s. 7.1). 4.2 Zweckbindung durch konkrete Benennung des Forschungsvorhabens Mit Hilfe der \"informierten\" Einwilligung beschränkt der Betroffene die Befugnis, seine Daten zu verarbeiten, auf bestimmte Zwecke. Die Zweckbindung ist damit das entscheidende Sicherungsinstrument, das die Einwilligung für den Betroffenen in sich birgt. Der mit der Einwilligung legitimierte Zweck begrenzt die Möglichkeiten des Datenempfängers, über die Daten des Betroffenen verfügen zu können. Eine Einwilligung, bei der der Betroffene nicht erkennen kann, zu welchen Forschungsvorhaben seine Daten verwendet werden, ist unwirksam (vgl. z. B. § 6 Abs. 4 BlnDSG, § 7 Abs. 2 HDSG, § 4 Abs. 2 BDSG). Die Einwilligungserklärung muss den konkreten Verwendungszweck - das vorgesehen