Silhouette eines Mannes vor einer erleuchtenden Kabelwolke
mauritius images / Cavan Images / Jason Neuerburg

Datenschutz-Grundverordnung
Wer die Verantwortung für Forschungsdaten trägt

Mit der europäischen Datenschutzreform stehen Hochschulen und Forscher vor der Frage, wie sie mit Daten umgehen. Im Gespräch mit einem Experten.

Von Friederike Invernizzi 05.11.2019

Forschung & Lehre: Welchen Fragen müssen sich Hochschulen und Wissenschaftler seit der europäischen Datenschutzreform 2018 stellen?

Rolf Schwartmann: Hochschulen beziehungsweise deren Beschäftigte verarbeiten sowohl in der Wissenschaft als auch in der Verwaltung – etwa bei der Einschreibung und im Prüfungswesen, aber auch den Hochschulbeschäftigten gegenüber – in großem Umfang personenbezogene Daten. Auch Daten, die wie bei der Nutzung der Matrikelnummer oder eines Codes für eine Studie verschlüsselt oder gar pseudonymisiert verwendet werden, sind personenbezogen, solange sie am Ende – gleich auf welche Weise – wieder einer Person zugeordnet werden können. Personenbezug ist dabei sehr weit zu verstehen und abhängig vom jeweiligen Kontext. Wer als Wissenschaftler Bakterien eines Haustiers erforscht, erhebt damit möglicherweise zugleich Gesundheitsdaten des Halters und muss die DS-GVO beachten.

Professor Rolf Schwartmann ist Leiter der Forschungsstelle für Medienrecht an der TH Köln, Vorsitzender der Gesell­schaft für Datenschutz und Daten­sicherheit und war Mitglied der Datenethik­kommission der Bundesregierung. Schmülgen/TH-Köln

Nach der DS-GVO ist eine Verarbeitung personenbezogener Daten zulässig, wenn sie aufgrund einer rechtlichen Grundlage erfolgt. Sie kann sich zum Beispiel aus dem Gesetz ergeben  oder im Wege der Einwilligung erfolgen. Im Wissenschaftsbereich gibt es eine Vielzahl gesetzlicher Ermächtigungen. Daran hat die DS-GVO nichts geändert. Öffentliche Stellen dürfen etwa auf gesetzlicher Basis die Daten erheben, die zu ihrer Aufgabenerfüllung erforderlich sind. Das können Daten über ein bestimmtes Verhalten zu Forschungszwecken sein, aber auch Name und Anschrift der Studierenden für die Einschreibung. Wenn eine Datenverarbeitung besondere Risiken für die Privatsphäre birgt, etwa der Einsatz von von der Hochschule nicht beherrschbarer Technologien, wie die Nutzung sozialer Medien, Big Data-Anwendungen oder der Einsatz algorithmischer Systeme im Zusammenhang mit "Künstlicher Intelligenz", bedarf es einer Datenschutzfolgenabschätzung mit dem Ziel der Minimierung dieser Risiken. Daten, die nicht zur Aufgabenerfüllung der Hochschule erforderlich sind, kann der Betroffene im Wege einer allerdings jederzeit mit Wirkung für die Zukunft ohne Begründung widerrufbaren Einwilligung erlauben. Sofern sensible Daten – etwa über ethnische Herkunft, Religion und Weltanschauung, sexuelle Orientierung, genetische, biometrische oder Gesundheitsdaten – verarbeitet werden, treten besondere Anforderungen an die Zulässigkeit der Datenverarbeitung hinzu.

F&L: Welche Vor- und Nachteile sind der Wissenschaft aus Ihrer Sicht durch die Datenschutzreform entstanden?

Rolf Schwartmann: Der Schutz der Privatsphäre ist kein Nachteil des neuen Rechts, bisweilen aber eine aufwändige Zusatzbelastung. Das neue Recht enthält für Hochschulen als Forschungseinrichtungen aber wesentliche Privilegien. Sie betreffen insbesondere die Zulässigkeit der Verarbeitung und die Wahrung der Betroffenenrechte. Sensible Daten dürfen etwa unabhängig von einer Einwilligung verarbeitet werden, wenn damit wissenschaftliche Forschungszwecke verfolgt werden. Ein weitreichendes Privileg besteht grundsätzlich auch darin, dass eine Weiterverarbeitung von Daten zu einem anderen Zweck als dem bei Erhebung bekannten zu Forschungszwecken zulässig ist. Diese Lockerung des strengen Zweckbindungsgrundsatzes der DS-GVO erstreckt sich auch auf die Reichweite der Einwilligung und wird unter dem Schlagwort "broad consent" diskutiert. Auch was die Betroffenenrechte, etwa auf Auskunft und Löschung von personenbezogenen Daten, angeht, ist Datenverarbeitung zu Forschungszwecken weitgehend privilegiert.  Im Gegenzug verlangt die DS-GVO aber, dass die Verarbeitung dieser Daten durch sogenannte Garantien, etwa Pseudonymisierungsmaßnahmen zum Schutz der betroffenen Personen, abgesichert wird. Auf diese Weise will der europäische Gesetzgeber den Konflikt zwischen dem Grundrecht auf informationelle Selbstbestimmung und der Wissenschaftsfreiheit auflösen und trägt so der essenziellen Bedeutung der Forschung für Staat und Gesellschaft Rechnung.

F&L: Welcher dringende Handlungsbedarf besteht?

Rolf Schwartmann: Mit den akuten Handlungsbedarfen im Hochschulsektor hat sich die Datenethikkommission (DEK) intensiv befasst und in ihrem Abschlussgutachten positioniert. Bei der Rechtsanwendung an den Hochschulen empfiehlt sie, die datenschutzrechtlichen Privilegierungstatbestände auszuschöpfen und der Forschung im Rahmen der Abwägung ein besonderes Gewicht beizumessen, aber dabei den angemessenen Ausgleich zum Schutz der Betroffenen ernst zu nehmen und Standards für die Gewährung von Garantien, etwa Standards für die Pseudonymisierung, zu entwickeln. Mit der Erarbeitung eines solchen Standards zur Ermöglichung wissenschaftlicher Forschung befasst sich unter dem Dach des Bundesministeriums des Innern die Fokusgruppe Datenschutz des Digitalgipfels der Bundesregierung, die hierzu grundlegende Papiere vorgelegt hat. Die DEK weist zudem darauf hin, dass auch in grundlegenden Fragen noch Rechtsunsicherheit ausgeräumt werden muss. Wie weit reicht das erwähnte Weiterverarbeitungsprivileg für Forschungszwecke und gilt es nur für den Forscher, der die Daten erhoben hat oder auch für Dritte? Wo verläuft die Grenze zwischen einem "erheblichen Überwiegen" von Forschungsinteressen und dem Erfordernis der Einwilligung und wie weit ist der Begriff der Forschung mit Blick auf die Entwicklung und Weiterentwicklung von Produkten zu verstehen? Den Gesetzgebern legt die DEK im Hochschulbereich nahe, die forschungsspezifischen Rechtsgrundlagen anzupassen und die Regelungsbefugnisse im Sinne der Forschungsfreiheit auch vor dem Hintergrund des weiten Forschungsbegriffs mehr auszuschöpfen. Für die Hochschulen als Arbeitgeber besteht nicht nur zum Schutz der Privatheit, sondern auch aus Gründen der Fürsorge gegenüber ihren Wissenschaftlern und Beschäftigten das Erfordernis zur Schulung und Unterstützung der Rechtsanwender in Forschung und Verwaltung.

F&L: Wie können die Verantwortlichkeiten für die Datenverarbeitung in der Forschung neu festgelegt werden und welche Risiken bestehen?

Rolf Schwartmann: Für die Datenverarbeitung ist verantwortlich, wer allein oder mit anderen über deren Zwecke und Mittel entscheidet. An Hochschulen kann man "untechnisch" von einer "Rahmenverantwortung" der Hochschule ausgehen, die aber im Einzelfall von den Forschern weisungsfrei und unabhängig umgesetzt wird. Sie stützen sich bei der Wahrnehmung ihrer Privilegien auf ihre höchstpersönliche Forschungsfreiheit. Wenn Hochschulen die Verantwortung allein bei den Wissenschaftlern sehen, dann ist das aus meiner Sicht falsch. Schließlich nimmt die Hochschule mittelbar auch Einfluss auf die Zwecke der wissenschaftlichen Datenverarbeitung. Sie bestimmt etwa über die Gründung, Ausrichtung und Ausstattung der Forschungseinrichtungen an der Hochschule. Auf der anderen Seite entscheidet der Forscher unabhängig und weisungsfrei über die konkreten Zwecke und Mittel der Datenverarbeitung im Rahmen seiner Forschung. Aufgrund der Weisungsfreiheit ist eine alleinige Verantwortung der Hochschule im Geltungsbereich der Forschungsfreiheit, anders als bei Personal- und Verwaltungsverantwortung, schwer begründbar. Man muss nun untersuchen, inwieweit es sich hier um eine gemeinsame Verantwortung handelt, deren Voraussetzungen der Europäische Gerichtshof akzentuiert hat. Läge sie vor, so bedürfte es nach der DS-GVO einer Vereinbarung zwischen Hochschule und Hochschullehrer über deren Verteilung.

F&L: Was muss der einzelne Hochschullehrer beziehungsweise die einzelne Hochschullehrerin beachten?

Rolf Schwartmann: Forscher sollten im eigenen Interesse bei den Hochschulen auf die Schaffung eines sicheren und einheitlichen Rahmens für Verarbeitung personenbezogener Daten hinwirken und dabei aber immer auch die Freiheit ihrer Forschung im Auge haben. Die rechtlichen Rahmenvorgaben sind in vielen Fällen noch nicht spezifiziert und Wissenschaftler sind daran gewöhnt und darauf angewiesen, unter freiheitlichen Bedingungen zu arbeiten. Jeder Forscher muss gleichwohl auf den sorgsamen Umgang mit Daten achten und sensibel werden. Dazu zählen vor allem auch der Einsatz und die Nutzung der technischen Hilfsmittel. Ein in der Bahn vergessenes Laptop kann ebenso eine meldepflichtige Datenpanne bedeuten wie eine an einen falschen oder zu weiten Verteilerkreis übersandte Mail mit sensiblen Forschungsdaten.