Datenschutz Glossar

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine lebende natürliche Person beziehen, die direkt oder mittelbar identifiziert werden kann. Auch indirekte Identifizierungen über Kombinationen von Daten (z.B. IP-Adresse + Kennnummer, Postleitzahl + Geburtsjahr + Geschlecht, Laborwerte + Klinik + Behandlungszeitraum) fallen darunter.


Beispiele: Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, Matrikelnummer, E-Mail-Adresse, Telefonnummer, IP-Adresse, Online-Kennung, Standortdaten, äußere Merkmale (Größe, Geschlecht, Augenfarbe), biometrische Merkmale (Video- oder Tonaufzeichnungen, Fingerabdruck, Iris-Scan), Einkommen, Vertragsbeziehungen, Eigentum, Kommunikationsdaten.

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

Sensible (besondere Kategorien) personenbezogener Daten

Sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetischen Daten (DNA-/RNA-Analysen, Sequenzdaten), biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten (Krankengeschichte, Diagnosen, Medikationsdaten) oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Rechtsgrundlagen im Zusammenhang mit Forschung

Als Rechtsgrundlagen für die Verarbeitung personenbezogener Daten kommen in Betracht:

  • Einwilligung (Art 6 Abs 1 lit a DSGVO): Diese muss ausdrücklich, freiwillig, informiert und jederzeit widerrufbar sein (z.B. biomedizinische oder psychologische Studien, Umfragen).
  • Vertragliche Erfüllung (Art 6 Abs 1lit b DSGVO): z.B. Forschungsvertrag
  • Rechtliche Verpflichtung (Art 6 Abs 1 lit c DSGVO): z.B. Arzneimittelsicherheit
  • Öffentliche Aufgabe (Art 6 Abs 1 lit e DSGVO): vgl. § 3 UG
  • Berechtigtes Interesse (Art 6 Abs 1 lit f DSGVO): z.B. Markt- oder Verhaltensforschung, sofern eine Interessenabwägung zugunsten des Verantwortlichen besteht.

Die Verarbeitung von besonderen Kategorien personenbezogener Daten zu Forschungszwecken ist nur zulässig, wenn eine der allgemeinen Rechtsgrundlagen des Art 6 und eine Ausnahme nach Art 9 Abs 2 DSGVO vorliegt.

  • Einwilligung (Art 9 Abs 2 lit. a DSGVO): Diese muss ausdrücklich, freiwillig, informiert und jederzeit widerrufbar sein
  • Öffentliches Gesundheitsinteresse (Art 9 Abs 2 lit. i DSGVO): z.B. Arzneimittelsicherheit
  • Forschung (Art 9 Abs 2 lit j DSGVO:  z.B. Biobankforschung, Datenanalysen

Gemäß § 7 Abs. 1 DSG dürfen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die keine personenbezogenen Ergebnisse zum Ziel haben, alle personenbezogenen Daten verarbeiten werden, die

  • öffentlich zugänglich sind,
  • der Verantwortliche für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder
  • für den Verantwortlichen pseudonymisierte personenbezogene Daten sind und der Verantwortliche die Identität der betroffenen Person mit rechtlich zulässigen Mitteln nicht bestimmen kann.

Bei Datenverarbeitungen für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke, die nicht unter § 7 Abs.1 DSG fallen, dürfen personenbezogene Daten nur

  • gemäß besonderen gesetzlichen Vorschriften,
  • mit Einwilligung der betroffenen Person oder
  • mit Genehmigung der Datenschutzbehörde gemäß Abs.3 verarbeitet werden.

Eine Forschungsdatenverarbeitung in Österreich ist rechtmäßig, wenn:

  1. eine taugliche Rechtsgrundlage nach Art. 6 DSGVO vorliegt,
  2. bei sensiblen Daten zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO besteht,
  3. die FOG-Maßnahmen gemäß § 2d-2k eingehalten werden,
  4. alle Schutzmaßnahmen nach Art. 89 DSGVO dokumentiert sind.

Gemeinsame Verantwortung nach Art 26 DSGVO

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke („Warum?“) und Mittel („Wie?“), z.B. Datenarten, Empfänger, Systeme, der Verarbeitung personenbezogener Daten fest, so sind sie gemeinsam Verantwortliche. Zwischen den Akteuren darf es kein Weisungsverhältnis geben, Gleichberechtigung ist nicht erforderlich. Gemeinsam Verantwortliche müssen eine transparente Vereinbarung abschließen, in der festgelegt wird, wer von ihnen welche Pflichten und Verantwortlichkeiten aus der DSGVO erfüllt, sofern und soweit die jeweiligen Aufgaben nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.

Es genügt jede Form abgestimmter Entscheidungsfindung (z.B. über Studienmethodik, Datenspeicherung, Auswertungsmodelle). Auch faktische Mitentscheidung (etwa durch Einflussnahme auf Zweckdefinition oder Datenarchitektur) kann reichen. Eine bloße technische Unterstützung oder die Erbringung einer Dienstleistung ohne Entscheidungsmacht über Zweck oder Mittel ist keine gemeinsame Verantwortung (-> Auftragsverarbeitung nach Art 28 DSGVO).

Gemeinsame Verantwortung liegt vor:

  • Kooperationsforschung zwischen Universitäten
  • Gemeinsame (Online-)Plattform für Forschungsteilnehmer
  • Ministerium/Klinik + Universität Forschungsauftrag

Keine gemeinsame Verantwortung, sondern -> Auftragsverarbeitung nach Art 28 DSGVO liegt vor:

  • Labor analysiert Proben im Auftrag der Universität
  • IT-Dienstleister hostet Forschungsdatenbank
  • Universität liefert anonymisierte Daten an Statistik Austria

Auftragsverarbeitung nach Art 28 DSGVO

Eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO liegt vor, wenn eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle (Auftragsverarbeiter) personenbezogene Daten im Auftrag und auf Weisung eines anderen Verantwortlichen (Auftraggebers) verarbeitet.

Der Auftragsverarbeiter entscheidet nicht selbst über Zweck und Mittel der Datenverarbeitung, sondern führt die Verarbeitung ausschließlich nach den dokumentierten Weisungen des Verantwortlichen aus. Eine eigene Nutzung der Daten für andere, insbesondere eigene Zwecke, ist unzulässig.

Der Auftragsverarbeiter ist verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO zu treffen, um die Sicherheit der Verarbeitung zu gewährleisten. Der Verantwortliche wiederum hat bei der Auswahl des Auftragsverarbeiters eine Sorgfalts- und Kontrollpflicht: Er muss sicherstellen, dass der Verarbeiter hinreichende Garantien für die Einhaltung der DSGVO bietet.

Zwischen Verantwortlichem und Auftragsverarbeiter ist ein Vertrag oder ein anderes Rechtsinstrument nach Art. 28 Abs. 3 DSGVO zu schließen.

Auftragsverarbeitung nach Art 28 DSGVO liegt vor:

  • Beauftragung eines externen Dienstleisters mit der Verwaltung der IT-Infrastruktur oder der Speicherung von Daten

Vorlagen:

  • Auftragsverarbeiter*innen Mustervertrag 1.0
  • Checkliste Datenschutz bei Auftragsverarbeitung
  • Anhang TOMs

Dritte

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer

  • der betroffenen Person,
  • dem Verantwortlichen,
  • dem Auftragsverarbeiter und
  • den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

Dritte sind also alle anderen Personen oder Stellen, die nicht unmittelbar in den Verantwortungsbereich der Datenverarbeitung eingebunden sind (z.B. andere Unternehmen, Privatpersonen, Medien, Fördergeber, Forschungseinrichtungen ohne Vereinbarung).

Zulässigkeit des Zugriffs durch Dritte

Jede Offenlegung oder jeder Zugriff (z.B. durch Logins, Einsicht in Datenbanken oder Übermittlung per E-Mail) durch Dritte ist grundsätzlich verboten,
außer, es liegt eine Rechtsgrundlage nach Art. 6 DSGVO (und bei sensiblen Daten zusätzlich Art. 9 DSGVO) vor.

Ein Zugriff durch Dritte ist rechtmäßig, wenn mindestens eine der folgenden Grundlagen (Art 6 Abs 1 DSGVO) erfüllt ist:

  • Einwilligung: Betroffene Person hat ausdrücklich zugestimmt, dass bestimmte Dritte Zugriff erhalten (z. B. andere Forschungseinrichtung, Arzt, Fördergeber).
  • Vertragserfüllung: Zugriff durch Dritte ist notwendig zur Erfüllung eines Vertrags mit der betroffenen Person (z. B. Subunternehmen zur Leistungserbringung).
  • Rechtliche Verpflichtung: Zugriff ist gesetzlich vorgeschrieben (z. B. Meldepflicht an Behörden, Dokumentationspflichten nach FOG oder AMG).
  • Lebenswichtige Interessen: Zugriff durch medizinisches Personal im Notfall.
  • Öffentliche Aufgabe: Zugriff durch staatliche Forschungsstellen oder Universitäten im Rahmen gesetzlicher Aufgaben.
  • Berechtigtes Interesse: Zugriff durch Dritte, wenn das Interesse des Verantwortlichen oder des Dritten überwiegt und keine Grundrechte der Betroffenen entgegenstehen (z. B. IT-Sicherheitsaudit, Rechtsdurchsetzung).

Wenn sensible (besondere Kategorien) personenbezogener Daten betroffen sind (-> sensible (besondere Kategorien) personenbezogener Daten) muss zusätzlich eine Ausnahme nach Art 9 Abs 2 DSGVO (-> Rechtsgrundlagen iZm Forschung) vorliegen.

Drittzugriff nach FOG

Drittzugriff ist nur dort zulässig, wo das FOG (§ 2f, § 2i, § 2j FOG) eine spezielle Ausnahme für den Forschungsbereich normiert und die dort genannten materiellen (Zweck, Empfängerkreis) und organisatorisch-technischen (Aufklärung, Sicherstellung, technische Maßnahmen, Protokollierung, Geheimhaltung) Voraussetzungen erfüllt sind. Für sonstige Dritte (z.B. kommerzielle Unternehmen ohne wissenschaftliche Einordnung) greift das FOG regelmäßig nicht – dann gelten die üblichen DSGVO-Rechtsgrundlagen (Art. 6 / Art. 9 DSGVO) plus vertragliche/organisatorische Garantien.

Drittlandübermittlung

Eine Drittlandübermittlung liegt vor, wenn personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter innerhalb der EU/des EWR, an einen Empfänger in einem Land außerhalb der EU/des EWR (ein sogenanntes Drittland) offengelegt oder übermittelt werden (z.B. aktives Senden von Daten via E-Mail, Upload, API-Zugriff; Hosting auf Servern außerhalb des EWR; Fernzugriff aus einem Drittland, Speicherung in einer Cloud).

Illustrierte Beispiele im Anhang zu edpb_guidelines_05-2021_interplay_between_the_application_de.pdf

Gemäß Art. 44 S. 1 DSGVO erfolgt die Prüfung einer Datenübermittlung in Drittländer zweistufig:

Stufe 1: Zulässigkeit der Datenverarbeitung

Zunächst ist zu prüfen, ob die beabsichtigte Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO (siehe Rechtsgrundlage iZm Forschung) beruht und die Grundsätze aus Art. 5 Abs. 1 lit. a DSGVO (Rechtmäßigkeit, Treu und Glauben, Transparenz) eingehalten werden. Bei besonderen Kategorien personenbezogener Daten ist zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO erforderlich, da deren Verarbeitung grundsätzlich untersagt ist (Art. 9 Abs. 1 DSGVO).

Stufe 2: Zulässigkeit der Übermittlung nach Kapitel V DSGVO

Sofern die Verarbeitung auf Stufe 1 zulässig ist, ist in einem zweiten Schritt zu prüfen, ob die geplante Übermittlung auf eine der in Kapitel V (Art. 44 ff. DSGVO) vorgesehenen Übermittlungsgrundlagen gestützt werden kann. Die Bestimmungen von Kapitel V sollen sicherstellen, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Vor der Übermittlung muss daher durch den Verantwortlichen auch geprüft werden, welche Übermittlungsgrundlage hierfür in Betracht kommt.

1. Angemessenheitsbeschluss gemäß Art. 45 DSGVO

Eine Übermittlung kann ohne weitere Genehmigung erfolgen, wenn die Europäische Kommission für das betreffende Drittland einen Angemessenheitsbeschluss erlassen hat.
Der Datenexporteur muss prüfen, ob:

  • ein aktueller Angemessenheitsbeschluss existiert,
  • die geplante Übermittlung in dessen sachlichen und räumlichen Anwendungsbereich fällt, und
  • der Beschluss weiterhin gültig ist (z.B. nicht aufgehoben oder ausgesetzt wurde).

Beispiel: Für Übermittlungen in die USA ist zu prüfen, ob der Empfänger nach dem EU–U.S. Data Privacy Framework (DPF) zertifiziert ist. Die Liste der Angemessenheitsbeschlüsse wird laufend auf der Website der Europäischen Kommission aktualisiert.

2. Geeignete Garantien gemäß Art. 46 DSGVO

Liegt kein Angemessenheitsbeschluss vor, kann die Übermittlung auf geeignete Garantien gestützt werden. Hierzu zählen insbesondere:

  • Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) der Europäischen Kommission (Art. 46 Abs. 2 lit. c DSGVO),
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) gemäß Art. 47 DSGVO,
  • Genehmigte Verhaltensregeln oder Zertifizierungsmechanismen (Art. 46 Abs. 2 lit. e und f DSGVO),
  • Einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3 lit. a DSGVO),
  • Verwaltungsvereinbarungen zwischen Behörden (Art. 46 Abs. 3 lit. b DSGVO).

In allen Fällen ist zu beachten, dass geeignete Garantien nur dann wirksam sind, wenn sie in der Praxis ein der Sache nach gleichwertiges Schutzniveau gewährleisten. Nach dem EuGH-Urteil Schrems II müssen Datenexporteure daher ein Transfer Impact Assessment (TIA) durchführen, in der sie insbesondere prüfen:

  • ob Behörden im Empfängerland auf Daten in unzulässigem Umfang zugreifen können,
  • ob betroffene Personen dort über wirksame Rechtsbehelfe verfügen, und
  • ob ggf. ergänzende technische oder organisatorische Maßnahmen („supplementary measures“) erforderlich sind.

3. Ausnahmen für bestimmte Fälle gemäß Art. 49 DSGVO

Fehlt sowohl ein Angemessenheitsbeschluss als auch eine geeignete Garantie, darf eine Übermittlung nur in den engen Grenzen des Art. 49 DSGVO erfolgen. Der Ausnahmecharakter ist dabei zu wahren (vgl. EDSA-Leitlinien 2/2018).

Wichtige Ausnahmen sind:

  • Ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO): Die betroffene Person muss umfassend über das Datenschutzniveau im Empfängerland informiert sein. Ein Widerruf erfordert die Löschung oder Rückgabe der Daten.
  • Wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 lit. d DSGVO): Diese müssen unionsrechtlich oder im nationalen Recht anerkannt sein und ein besonders gewichtiges Schutzgut betreffen (z.B. öffentliche Gesundheit, Pandemiebekämpfung). Zudem muss die Übermittlung notwendig und verhältnismäßig sein.
  • Übermittlungen aus öffentlichen Registern (Art. 49 Abs. 1 lit. g DSGVO): nur soweit gesetzlich vorgesehen und öffentlich zugänglich.

Über die beabsichtigte Übermittlung an Drittländer und die jeweils in Frage kommende Übermittlungsgrundlage müssen die Betroffenen informiert werden.

Grundsatz der Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben und verarbeitet wurden, erforderlich ist (Art 5 Abs 1 lit. e DSGVO).

Ausnahme: Die DSGVO sieht in Artikel 89 spezielle Ausnahmen vom Grundsatz der Speicherbegrenzung vor, wenn personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken, statistischen Zwecken oder Archivzwecken im öffentlichen Interesse verarbeitet werden. Daten dürfen länger gespeichert werden, wenn dies für die genannten Zwecke erforderlich ist. Es müssen geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen bestehen, z.B. durch Pseudonymisierung oder Anonymisierung, sofern möglich (d.h. Forschungszweck nicht gefährdet).

Die Ausnahmen gelten nur, wenn:

  • die Rechte die Verwirklichung der Forschungszwecke unmöglich machen oder ernsthaft beeinträchtigen.
  • die Ausnahmen notwendig sind.
  • technische und organisatorische Maßnahmen getroffen wurden, z.B. Pseudonymisierung, Zugriffsbeschränkungen, Datenschutzkonzepte.

Zur Sicherstellung guter wissenschaftlicher Praxis dürfen Forschungsdaten für mindestens 10 Jahre gespeichert werden.

Die DSGVO erlaubt eine längere Speicherung personenbezogener Daten, wenn sie ausschließlich zu wissenschaftlichen Forschungszwecken erfolgt – unter der Voraussetzung, dass:

  • geeignete Garantien wie Pseudonymisierung oder Anonymisierung getroffen werden (Art. 89 DSGVO),
  • die Speicherung verhältnismäßig zum Forschungszweck ist,
  • und keine anderen Zwecke verfolgt werden

Datenschutzgrundsätze

Die Datenschutzgrundsätze des Art. 5 DSGVO bilden auch im Forschungsbereich das Fundament jeder Datenverarbeitung. Sie sollen sicherstellen, dass Forschung zwar ermöglicht, gleichzeitig aber der Grundrechtsschutz der betroffenen Personen gewahrt wird. Art 89 Abs 1 DSGVO erlaubt Abweichungen von den Grundsätzen (z. B. von Zweckbindung oder Speicherbegrenzung), sofern geeignete Garantien (Pseudonymisierung, technische und organisatorische Maßnahmen) bestehen.

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)

Forschungseinrichtungen dürfen personenbezogene Daten nur auf einer gültigen Rechtsgrundlage verarbeiten (z. B. Art. 6 Abs. 1 lit. e DSGVO iVm. Art. 89 Abs. 1 DSGVO für öffentliche Forschung, oder Art. 6 Abs. 1 lit. f DSGVO für private Forschung, siehe Rechtsgrundlagen iZm Forschung). Die Verarbeitung muss fair und für Teilnehmende nachvollziehbar sein. Teilnehmende an einer Studie müssen in verständlicher Sprache über Zweck, Datenarten, Empfänger und Speicherdauer informiert werden (Art. 13 DSGVO).

2. Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Forschungsdaten dürfen nur für eindeutig festgelegte und legitime Forschungszwecke erhoben werden. Eine Weiterverarbeitung zu neuen, kompatiblen Forschungszwecken ist nach Art. 5 Abs. 1 lit. b u. Abs. 2 DSGVO zulässig, sofern Art. 89 Abs. 1 DSGVO eingehalten wird (z. B. durch Pseudonymisierung). Daten aus einer Herz-Kreislauf-Studie dürfen für eine Folgeuntersuchung zu Bluthochdruck weiterverwendet werden, wenn der neue Zweck mit dem ursprünglichen Forschungsziel vereinbar ist und die Betroffenenrechte gewahrt bleiben.

3. Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Es dürfen nur jene Daten verarbeitet werden, die für den jeweiligen Forschungszweck erforderlich sind. Forschungseinrichtungen müssen den Umfang der erhobenen Daten regelmäßig überprüfen und ggf. reduzieren. Bei einer epidemiologischen Untersuchung ist es zulässig, Gesundheits- und demografische Daten zu erheben, nicht aber die Namen der behandelnden Ärztinnen und Ärzte, wenn diese für die Analyse nicht relevant sind.

4. Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

Forschungsdaten müssen sachlich richtig und aktuell sein.
Bei pseudonymisierten Datensätzen muss gewährleistet sein, dass Fehler in den Ausgangsdaten korrigiert werden können. Wird im Labor ein falscher Proben-Code vergeben, muss eine Korrektur anhand der Zuordnungstabelle (unter kontrolliertem Zugriff) möglich bleiben, damit Ergebnisse nicht verfälscht werden.

5. Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Forschungszweck erforderlich sind.
Allerdings erlaubt Art. 5 Abs. 1 lit. e u. Abs. 2 i. V. m. Art. 89 Abs. 1 DSGVO eine längere Speicherung, wenn geeignete Garantien bestehen (z. B. Pseudonymisierung, Zugangsbeschränkungen). Biobank-Proben dürfen langfristig archiviert werden, wenn sie pseudonymisiert sind und organisatorische Schutzmaßnahmen (Zugriffskontrolle, Zweckbindung) implementiert sind. Wird der Forschungszweck aufgegeben oder ist eine Zuordnung nicht mehr erforderlich, sind die Daten zu anonymisieren oder zu löschen.

6. Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

Daten müssen vor unbefugtem Zugriff, Verlust oder Veränderung geschützt werden.
Forschungseinrichtungen sind verpflichtet, technische und organisatorische Maßnahmen (Art. 32 DSGVO) umzusetzen. Gesundheitsdaten in Forschungsdatenbanken werden verschlüsselt gespeichert, und der Zugriff erfolgt nur für autorisierte Forschende über ein rollenbasiertes Zugriffssystem.

7. Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Der Forschungs-Verantwortliche (z. B. Universität, Institut, Sponsor einer Studie) muss nachweisen können, dass alle vorgenannten Grundsätze eingehalten werden.
Das umfasst insbesondere:

  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO),
  • Datenschutzkonzept mit Lösch- und Zugriffsregelungen,
  • Nachweis von Einwilligungen oder Ethikvoten.


Bei einer Datenschutzprüfung durch die Aufsichtsbehörde muss das Institut dokumentieren können, dass Datenminimierung, Zweckbindung und Speicherbegrenzung systematisch umgesetzt werden.

Informationspflichten

Die Informationspflichten nach Art. 13 und 14 DSGVO regeln, welche Angaben Verantwortliche betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten bereitstellen müssen. Beide Artikel dienen der Transparenz und der fairen Verarbeitung (Art. 5 Abs. 1 lit. a DSGVO). Der Unterschied liegt im Zeitpunkt und der Quelle der Datenerhebung:

Art. 13 DSGVO – Informationspflicht bei Erhebung der Daten bei der betroffenen Person

1. Angaben nach Art. 13 Abs. 1 DSGVO:

Der Verantwortliche muss der betroffenen Person zum Zeitpunkt der Erhebung insbesondere mitteilen:

  • a) Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
  • b) Kontaktdaten des Datenschutzbeauftragten
  • c) Zwecke der Verarbeitung und die Rechtsgrundlage
  • d) Ggf. das berechtigte Interesse (bei Art. 6 Abs. 1 lit. f DSGVO)
  • e) Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • f) Ggf. Absicht, Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, einschließlich Hinweis auf geeignete Garantien (Art. 46 ff. DSGVO)

2. Zusätzliche Angaben nach Art. 13 Abs. 2 DSGVO:

Hier kommen ergänzende Informationen hinzu, die die Transparenz und Fairness der Verarbeitung sichern sollen:

  • a) Dauer der Speicherung oder Kriterien für deren Festlegung
  • b) Bestehen der Rechte der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit)
  • c) Bestehen eines Widerrufsrechts bei Einwilligung
  • d) Beschwerderecht bei einer Aufsichtsbehörde
  • e) Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder erforderlich ist und die Folgen der Nichtbereitstellung
  • f) Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, mit aussagekräftigen Informationen zur involvierten Logik und den Auswirkungen

3. Ergänzende Pflichten:

  • a) Änderungen oder Zweckänderungen (Art. 13 Abs. 3 DSGVO) verpflichten zur neuen Information der betroffenen Personen.
  • b) Eine Ausnahme von der Informationspflicht besteht nach Art. 13 Abs. 4 DSGVO nur, wenn die betroffene Person bereits über alle Informationen verfügt – was in der Praxis selten vorkommt.

Art. 14 DSGVO – Informationspflicht bei Erhebung von Daten bei Dritten

Wenn die Daten nicht direkt bei der betroffenen Person erhoben werden (z. B. durch Dritte oder öffentliche Quellen), gilt Art. 14 DSGVO.

1. Inhaltlich umfasst Art. 14 Abs. 1 und 2 DSGVO dieselben Angaben wie Art. 13, ergänzt um:

  • Herkunft der Daten und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.

2. Zeitliche Vorgaben (Art. 14 Abs. 3 DSGVO):

  • Information innerhalb eines Monats nach Erlangung der Daten,
  • spätestens bei der ersten Kontaktaufnahme,
  • oder vor der ersten Offenlegung an Dritte.

3. Ausnahmen (Art. 14 Abs. 5 DSGVO):

Die Informationspflicht entfällt, wenn z. B.:

  • die betroffene Person bereits über die Informationen verfügt,
  • die Erteilung der Information unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert,
  • die Informationserteilung die Erreichung des Verarbeitungszwecks ernsthaft beeinträchtigen würde (z. B. bei behördlichen Zwecken oder Hinweisgeberschutz),
  • oder sie gesetzlich vorgeschrieben ist.

Die Informationsfülle kann praktisch begrenzt werden, z. B. durch eine „Link-Lösung“, bei der wesentliche Punkte direkt mitgeteilt und weiterführende Details über eine Website zugänglich gemacht werden. Die Pflichten gelten auch bei Weiterverarbeitung für andere Zwecke (Art. 13 Abs. 3; Art. 14 Abs. 4 DSGVO).

Betroffenenrechte

Die Betroffenenrechte sichern natürlichen Personen die Kontrolle über ihre personenbezogenen Daten.

1. Auskunftsrecht (Art. 15 DSGVO)
Die betroffene Person kann Auskunft über die personenbezogenen Daten verlangen, die über sie verarbeitet werden.

Betroffene können verlangen zu erfahren:

  • ob und welche personenbezogenen Daten verarbeitet werden,
  • zu welchen Zwecken,
  • wer Empfänger ist,
  • wie lange die Daten gespeichert werden,
  • sowie das Recht auf eine Kopie der verarbeiteten Daten.

Recht auf Berichtigung (Art. 16 DSGVO)
Anspruch auf Korrektur unrichtiger oder Vervollständigung unvollständiger Daten.

Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
Daten müssen gelöscht werden, wenn

  • sie für den Zweck nicht mehr notwendig sind,
  • die Einwilligung widerrufen wurde,
  • unrechtmäßig verarbeitet wurden oder
  • die betroffene Person Widerspruch eingelegt hat.

Dies gilt nur, wenn dem keine gesetzlichen Verpflichtungen entgegenstehen wie z.B. die gesetzliche Aufbewahrungspflicht von Vertragsdaten von 7 Jahren oder von Gesundheitsdaten von 30 Jahren.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Verarbeitung darf vorübergehend ausgesetzt werden, etwa während einer Prüfung der Richtigkeit der Daten.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Betroffene können verlangen, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.

Widerspruchsrecht (Art. 21 DSGVO)
Die betroffene Person hat das Recht, unter bestimmten Umständen gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen

Datenschutzvorfälle

Datenschutzvorfall = Data Breach = Datenschutzverletzung

Ein Datenschutzvorfall liegt vor, wenn personenbezogen Daten verloren gegangen sind, vernichtet, verändert oder unbefugt offengelegt wurden.

Beispiele:

  • Verlust oder Diebstahl eines USB-Sticks/Notebooks/Handy mit Personendaten
  • Hackerangriff auf eine Datenbank
  • Fehlversand von E-Mails mit personenbezogenen Daten an falsche Empfänger
  • Löschung von Daten infolge eines Serverfehlers ohne Backup
  • Ungewünschte Veröffentlichung von personenbezogenen Daten im Internet

Informationen zum Umgang mit Datenschutzvorfällen an der Universität finden sie hier.

Nach oben scrollen