Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB

Frequently Asked Questions

Anwendung der DSGVO

Frage: Muss ich in meinem Forschungsprojekt auf die Einhaltung der DSGVO achten?

 

Antwort: Die DSGVO ist grundsätzlich bei der Verarbeitung personenbezogener Daten von allen natürlichen, lebenden Personen anzuwenden. Handelt es sich in dem Forschungsprojekt um Daten von juristischen oder verstorbenen Personen, findet die DSGVO keine Anwendung.

 

F: Welche Daten sind personenbezogen?

 

A: Personenbezogene Daten sind Daten, die die Identität einer konkreten Person feststellen. Dazu gehören auch alle Informationen und Angaben, die mit einer (natürlichen) Person verknüpft werden können. Konkret sind Daten dann personenbezogen, wenn man mit gängigen Mitteln die Person hinter den Daten wahrscheinlich identifizieren kann. Bei diesen Mitteln müssen verschiedene Faktoren berücksichtigt werden, wie die Kosten der Identifizierung, der dafür erforderliche Zeitaufwand und auch die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen. Die Informationen bzw. das Wissen Dritter sind ebenfalls einzubeziehen, wenn rechtliche und tatsächliche Mittel zur Verfügung stehen, die (theoretisch) in Anspruch genommen werden könnten. Eine Identifizierung unter unverhältnismäßigen Aufwand kann vernachlässigt werden.

 

F: An wen richten sich die datenschutzrechtlichen Vorgaben der DSGVO? Für wen gilt sie?

 

A: Die DSGVO richtet sich an alle Personen, Behörden, Einrichtungen oder sonstige Stellen, die personenbezogene Daten verarbeiten und dabei allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheiden (sog. Verantwortliche). Verantwortliche sind zum Beispiel die Herstellerinnen, Anbieter, Betreiberinnen und Nutzer eines datenverarbeitenden Systems.

 

F. Gibt es Ausnahmen vom persönlichen Anwendungsbereich?

 

A: Die DSGVO gilt jedoch für die Verantwortlichen, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen (vgl. 18. Erwägungsgrund zur DSGVO).

 

 

F: Wer ist vom räumlichen Anwendungsbereich der DSGVO erfasst?

 

A: Wenn Verantwortliche (oder Auftragsverarbeiter) im Rahmen ihrer Tätigkeiten eine Niederlassung mit Sitz in der Europäischen Union haben, wo die personenbezogenen Daten verarbeitet werden, so gilt hier die DSGVO (Art. 3 Abs. 1 DSGVO, sog. Niederlassungsprinzip).

Wenn Verantwortliche personenbezogene Daten von Personen, die sich in der EU befinden, im Zusammenhang mit dem Angebot von Waren und Dienstleistungen verarbeiten oder das Verhalten von natürlichen Personen beobachten, deren Verhalten in der Union stattfindet, so ist ebenfalls die DSGVO anzuwenden (Art. 3 Abs. 2 DSGVO, sog. Marktortprinzip).

 

Verantwortung für die Datenverarbeitung

 F: Wie erfolgt die praktische Umsetzung der Verantwortlichkeit für mehrere Projektpartner in der Forschung (Konsortium)?

 

A: In jedem Forschungsprojekt, das personenbezogenen Daten verarbeitet, gibt es mindestens einen Verantwortlichen. In Frage kommen (1) das Konsortium eines Forschungsprojektes als Ganzes (Gesellschaft bürgerlichen Rechts nach §§ 705 ff. BGB), (2) die Forschungseinrichtungen als gemeinsam für die Verarbeitung Verantwortliche (Art. 26 DSGVO), (3) die einzelnen Forschungseinrichtungen, jeweils getrennt nach Forschungsbereich und (4) eine einzelne, ausgewählte (bzw. personenbezogene Daten verarbeitende) Forschungseinrichtung.

 

F: Wann darf der Verantwortliche personenbezogene Daten verarbeiten?

 

A: Im Grundsatz gilt das sogenannte „Verbot mit Erlaubnisvorbehalt“: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn die Bedingungen für eine Ausnahme sind erfüllt. Diese Ausnahmen sind als „Erlaubnistatbestände“ (Art. 6 DSGVO) wie folgt definiert:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist erforderlich, um das berechtigte Interesse des Verantwortlichen oder eines Dritten zu wahren. Zu beachten ist, dass die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Dies gilt insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Des Weiteren muss sich die Verarbeitung an einem oder mehreren zuvor festgelegten Zwecken orientieren (Zweckbindungsgrundsatz).

 

F: Was ist der passende Erlaubnistatbestand für die wissenschaftliche Forschung?

 

A: Mögliche Rechtsgrundlagen in der Forschung sind die Einwilligung der betroffenen Person (Art. 6 Abs. 1 Lit. a DSGVO) und die berechtigten Forschungsinteressen der Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 Lit. f DSGVO).

 

Datenverarbeitung in der Forschung

F: Gelten für die Verarbeitung personenbezogener Daten zu Forschungszwecken Sonderregelungen?

 

A: Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken unterliegt dem sogenannten Forschungsprivileg, das Forschungsgruppen Erleichterungen bietet. Im Gegenzug dazu müssen die Forschenden besondere organisatorische und technische Maßnahmen treffen, mit denen die Rechte und Freiheiten des Betroffenen gewahrt werden und mit denen insbesondere der Grundsatz der Datenminimierung verwirklicht wird. Dazu gehört unter anderem die Pseudonymisierung der Daten, soweit dies unter Beachtung des Forschungszwecks möglich ist. Weiterhin sieht das BDSG eine Einschränkung von Betroffenenrechten sowie Erleichterung zur Verarbeitung sensibler personenbezogener Daten vor.

 

F: Wird zwischen datenschutzrechtlich privilegierter Forschung und Entwicklung differenziert?

 

A: Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken wird weit ausgelegt. Sie umfasst die technologische Entwicklung, die Demonstration, die Grundlagenforschung und die angewandte Forschung, unabhängig davon, ob sie öffentlich oder privat finanziert werden (Erwägungsgrund 159 DSGVO). Eine Differenzierung zwischen Forschung und Entwicklung findet daher nicht statt.

 

F: Wie konkret muss der „Forschungszweck“ definiert sein?

 

A: Der Zweck der Verarbeitung personenbezogener Daten muss grundsätzlich vor Beginn der Datenerhebung festgelegt und eindeutig präzisiert sein. In der wissenschaftlichen Forschung ergibt sich der Verarbeitungszweck aus den Forschungszielen des jeweiligen Projekts.

Oftmals aber kann der Zweck der Verarbeitung personenbezogener Daten für die wissenschaftliche Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. In diesem Fall sollten die untersuchten Personen die Gelegenheit haben, ihre Einwilligung nur für bestimmte Forschungsbereiche oder spezifische Teile von Forschungsprojekten zu geben. (Erwägungsgrund 33 DSGVO).

 

F: Wie kann die Datennutzung in Nachfolgeprojekten sichergestellt werden (Zweckänderung)?

 

A: Für konkrete zukünftige Forschungszwecke ist die weitere Nutzung personenbezogener Daten ausnahmsweise gestattet (Art. 5 Abs. 1 Lit. b DSGVO). In Nachfolgeprojekten dürfen die Daten unter Berücksichtigung der Interessen der betroffenen Person weiter- bzw. wiederverwendet werden. Die Änderung des ursprünglichen Zwecks für nachfolgende Forschungsprojekte ist in Art. 5 Abs. 1 Lit. b DSGVO privilegiert (Kompatibilität von Forschungszwecken als „Default“).

Findet eine Nachnutzung personenbezogener Daten statt, muss die betroffene Person über den neuen Zweck und die nun geplante Speicherdauer informiert werden (Art. 13 Abs. 3 DSGVO). Außerdem muss sie nochmals über ihre Interventionsrechte belehrt werden. Damit soll ihr unter anderem die Möglichkeit gegeben werden, gegen eine Nachnutzung Widerspruch einzulegen (Art. 21 DSGVO).

 

F: Was passiert, wenn eine Funktionserweiterung in einem Angebot mit einer „erweiterten Einwilligung“ verbunden ist weil für die neue Funktion mehr Daten benötigt werden? Ist dies eine verbotene Kopplung?

 

A: Die Einwilligung zur Verarbeitung personenbezogener Daten muss freiwillig erteilt werden. Die Einwilligung ist nicht wirksam, wenn die betroffene Person sie (nur) erteilt hat, um einen etwa hiervon unabhängigen Vertrag abzuschließen.

Ist die Funktionserweiterung nur unter Zuhilfenahme der von der Einwilligung umfassten Verarbeitung personenbezogener Daten möglich, liegt keine verbotene Kopplung vor. Könnte die Funktionserweiterung jedoch auch ohne die personenbezogenen Daten erfolgen, darf die Funktionserweiterung nicht zwingend mit der Einwilligung verbunden werden. Der betroffenen Person muss eine Alternative ohne Einwilligung in die Nutzung personenbezogener Daten angeboten werden.

Rechte der Betroffenen

F: In welcher Form und zu welchem Zeitpunkt muss der Verantwortliche eine betroffene Person über die Datenverarbeitung informieren?

 

A: Die betroffene Person muss bei der Erhebung der personenbezogenen Daten sowie bei jeder Zweckänderung gemäß der Vorgaben der Art. 12 bis 14 DSGVO von den Verantwortlichen informiert werden. Die notwendigen Informationen beinhalten unter anderem: Zwecke, die Rechtsgrundlage, die Empfänger und die Speicherdauer der erhobenen personenbezogenen Daten. Wenn Dritte Daten erhoben haben, kommen die Daten und ihre Herkunft hinzu. Unabhängig von der jeweiligen Erhebung sind die Kontaktdaten des Verantwortlichen und diverse Betroffenenrechte Teil der Information. Die Informationen müssen außerdem in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache erfolgen.

 

F: Welche Rechte stehen dem Betroffenen zu?

 

A: Die Rechte der Betroffenen sind in Art. 15 bis 22 DSGVO näher geregelt. Diese sind im Wesentlichen:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Das Recht auf Berichtigung der Daten der Betroffenen (Art. 16 DSGVO)
  • Das Recht auf Löschung der Daten des Betroffenen (Art. 17 DSGVO)
  • Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Mitteilungen im Zusammenhang mit den Rechten der Art. 17 bis 18 DSGVO (Art. 19 DSGVO)
  • Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrechte gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Ausschluss von einer automatisierten Entscheidungsfindung im Einzelfall (Art. 22 DSGVO)

Aufgrund eines Regelungsspielraums sieht das BDSG eine Einschränkung von Betroffenenrechten vor, wenn die Verarbeitung zu wissenschaftlichen Forschungszwecken erfolgt. Die in den Artikeln 15, 16, 18 und 21 DSGVO vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist (§ 27 Abs. 2 S. 1 BDSG).

 

Pflichten des Verantwortlichen

F: Ist in Forschungsprojekten eine Datenschutz-Folgenabschätzung vorzunehmen?

 

A: Wenn neue Technologien zur Datenverarbeitung verwendet werden, die voraussichtlich in irgendeiner Form ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, muss grundsätzlich eine Datenschutz-Folgenabschätzung durchgeführt werden (Art. 35 Abs. 1 DSGVO). Werden die Technologien allerdings nur entwickelt und nicht zur Verarbeitung personenbezogener Daten verwendet, muss noch keine Datenschutz-Folgenabschätzung durchgeführt werden. Dennoch ist es sinnvoll, den Anwendungsfall schon bei der Entwicklung zu berücksichtigen und die Bewältigung entstehender Risiken im Design zu bedenken.

 

F: Wie wird das „hohe Risiko“ der Verarbeitung ermittelt und bewertet?

 

A: Die Verantwortliche ist für die Bewertung jeglicher Risiken verantwortlich und hat grundsätzlich auch eine eigenständige Entscheidung über die Durchführung einer Datenschutzfolgenabschätzung vorzunehmen.

Im Rahmen einer Prüfung durch die Aufsichtsbehörde und eines ggfs. möglichen Bußgeldverfahrens wird diese eine Bewertung vornehmen.