Jusletter IT

¹Das Verhältnis von Forschungsfreiheit und dem Recht auf informationelle Selbstbestimmung wird dadurch bestimmt, dass es sich bei beiden Rechten um Grundrechte handelt.

Das Recht auf informationelle Selbstbestimmung als Teil des Allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz gewährleistet nach der Rechtsprechung des Bundesverfassungsgerichts die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Die Forschungsfreiheit ist in Art. 5 Abs. 3 Grundgesetz verbürgt. Für eine Reihe von Wissenschaftsgebieten ist der Mensch Forschungsgegenstand, er wird Objekt der Forschung. Die auf diesen Gebieten tätigen Wissenschaftler benötigen in vielen Fällen - zumindest vorübergehend - detaillierte sensible Daten über einzelne Personen. Damit kann die Freiheit von Wissenschaft und Forschung mit dem Recht auf informationelle Selbstbestimmung in Konflikt geraten.

Beide Rechte begrenzen sich, beide Rechte müssen Einschränkungen hinnehmen. Hierzu hat der Gesetzgeber im Bundesdatenschutzgesetz (BDSG) die rechtlichen Rahmenbedingungen festgelegt, unter denen personenbezogene Daten zu Forschungszwecken auf der Grundlage einer Einwilligung der Betroffenen und ohne Einwilligung der Betroffenen verwendet werden dürfen. Der Zweck des Gesetzes ist dem Grundrecht entsprechend den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Wenn für ein Forschungsvorhaben personenbezogene Daten benötigt werden, kommt in erster Linie eine Verarbeitung der Daten auf Grundlage einer Einwilligung in Betracht. Die Einwilligung muss vor Erhebung der Daten vorliegen und auf freiwilliger Basis erteilt werden.

Damit eine Testperson freiwillig einwilligen kann, muss sie darüber informiert werden, was genau mit ihren personenbezogenen Daten passiert. Folgende Informationen sind im Regelfall zur Verfügung zu stellen:

• verantwortlicher Leiter des Forschungsvorhabens
• Zweck des Forschungsvorhabens
• Art und Weise der Speicherung und Nutzung der Daten
• Zeitpunkt der Löschung bzw. der Anonymisierung der Daten
• Personenkreis, der von den Daten Kenntnis erhält
• Empfänger, denen die Daten übermittelt werden.

Des Weiteren ist die Testperson darüber zu informieren, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann.

Hinsichtlich der Notwendigkeit der Schriftform enthält das BDSG in § 4a Abs. 2 allerdings eine Privilegierung für den Bereich der wissenschaftlichen Forschung. Die Schriftform ist dann entbehrlich, wenn durch die Einholung einer schriftlichen Einwilligung der konkret verfolgte Forschungszweck erheblich beeinträchtigt wäre, z.B. bei mündlichen Umfragen nach dem Drogenkonsum in Diskotheken. Liegt ein solcher Fall vor, dann ist die Forschungseinrichtung jedoch lediglich vom Formzwang befreit, die oben genannte Information der Testperson und deren mündliche Einwilligung müssen dennoch erfolgen. Die Gründe für das Absehen von der Schriftform, d.h. die erhebliche Beeinträchtigung des Forschungszwecks, die Information der Testperson sowie die eingeholte mündliche Einwilligung sind zu dokumentieren. In Ausnahmefällen kann es notwendig sein, dass die Information über den Zweck der Forschung und die Einholung der Einwilligung erst nach Erhebung der Daten erfolgt. Dies ist dann der Fall, wenn das Wissen um den Zweck der Forschung eine unbefangene und unverfälschte Erhebung der Daten gefährdet. Liegt ein solcher Fall vor, so ist es ausreichend, wenn die Testperson vorab nur vage und allgemein – keineswegs jedoch falsch – informiert wird und die Aufklärung sowie die Einholung der schriftlichen Einwilligung unmittelbar nach Erhebung der Daten erfolgen. Willigt die Testperson nicht ein, so müssen die erhobenen Daten umgehend gelöscht werden.

Häufig wird zur Erhebung der Daten von Testpersonen, insb. bei umfangreichen Studien, ein Dienstleister aus dem Markt- und Meinungsforschungsbereich eingesetzt. Hierbei handelt es sich nicht um eine eigene Datenerhebung durch den Dienstleister sondern um Auftragsdatenverarbeitung gemäß § 11 BDSG.

Der Dienstleister erhebt als Auftragnehmer die Daten für die jeweilige Forschungseinrichtung. Die Forschungseinrichtung bleibt datenschutzrechtlich voll verantwortlich und behält die volle Verfügungsgewalt über die betroffenen Daten. Der Dienstleister hat im Verhältnis zur auftraggebenden Forschungseinrichtung lediglich eine Hilfsfunktion inne. Er ist weisungsgebunden und hat keinen eigenen bzw. nur einen vom Auftraggeber vorgegebenen Entscheidungsspielraum. Zwischen Auftraggeber und Auftragnehmer muss eine schriftliche Vereinbarung zur Datenverarbeitung im Auftrag abgeschlossen werden, wobei § 11 BDSG seit der Novellierung zum 01.09.2009 dezidierte inhaltliche Vorgaben macht. Insbesondere ist danach Folgendes zu regeln:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Neben der Datenerhebung bei den Testpersonen erhalten Forschungseinrichtungen personenbezogene Daten zu Forschungszwecken auch von anderen Stellen, z.B. von Behörden oder anderen Forschungseinrichtungen. Bekommt die Forschungseinrichtung von externen Stellen personenbezogene Daten übermittelt, so liegt die Verantwortung für die Rechtmäßigkeit der Übermittlung bei der Stelle, die die Übermittlung durchführt bzw. durchführen soll.

Die rechtliche Grundlage für die Datenübermittlung ist entweder in Spezialgesetzen (z.B. Meldegesetze, Registergesetze, Statistikgesetze, Sozialgesetzbuch) zu finden, ansonsten gilt das BDSG. Nach § 28 Abs. 2 Nr. 3 BDSG dürfen externe Stellen personenbezogene Daten nur dann an die Forschungseinrichtung übermitteln, wenn die Durchführung wissenschaftlicher Forschung dies erfordert, der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann und das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Testperson am Ausschluss der Übermittlung erheblich überwiegt.

Diese Voraussetzungen müssen bei jedem Einzelfall vorliegen. Ihr Vorliegen ist von der übermittelnden Stelle zu prüfen. Die Forschungseinrichtung hat diesbzgl. keine Prüfungspflicht. Es ist jedoch ratsam, die Voraussetzungen auch seitens der Forschungseinrichtung zu prüfen, da sich die Wahrnehmung der Öffentlichkeit im Fall einer nicht-rechtmäßigen Datenübermittlung auch auf die Forschungseinrichtung als mit-verantwortliche Stelle richten wird.

Die erhobenen personenbezogenen Daten sind zu anonymisieren, sobald der Forschungszweck dies ermöglicht. Die Anonymisierung ist zum einen eine rechtliche Pflicht, zum anderen hat dies auch eine praktische Konsequenz: Falls eine Testperson ihre Einwilligung zu einem späteren Zeitpunkt rückwirkend widerruft, müssen alle personenbezogenen Daten gelöscht bzw. gesperrt werden, was dazu führen kann, dass ein Forschungsvorhaben nicht weiter geführt bzw. ausgewertet werden kann. Sind die Daten anonymisiert, kann und muss nichts gelöscht bzw. gesperrt werden.

Ist eine Re-Identifizierung der Testperson erforderlich, z.B. bei Langzeitstudien, so sind die Daten gesondert zu speichern. Dabei gilt gemäß § 40 Abs. 2 BDSG das Gebot der Dateitrennung. Die personenbezogenen Merkmale, die die jeweilige Testperson identifizieren, sind gesondert von den Forschungsdaten aufzubewahren, so dass ein Rückschluss auf die bestimmte Person bei der Forschungstätigkeit nicht möglich ist. In einer dritten Datei wird der Schlüssel aufbewahrt, der eine Zusammenführung der Daten ermöglicht. Diese Datei sollte auf einen speziellen Datenträger gespeichert und aus dem System entfernt werden. Um die Schlüssel-Datei vor Zugriff von Dritten zu schützen, ist es ratsam, sie bei einer vertrauenswürdigen Stelle, z.B. einem Rechtsanwalt, aufzubewahren. Die Zusammenführung ist nur erlaubt, wenn der Forschungszweck dies erfordert.

Für die Wirksamkeit einer Einwilligung kommt es nicht auf die Volljährigkeit der Testperson an. Der Minderjährige muss lediglich in der Lage sein, die Tragweite und Konsequenzen seiner Entscheidung selbst abschätzen zu können. Ist dies der Fall, dann bedarf es keiner zusätzlichen Einwilligung der/des gesetzlichen Vertreter/s (i.d.R. beide Elternteile). Hat demnach der einsichtsfähige Minderjährige nicht eingewilligt, so können die gesetzlichen Vertreter nicht in Vertretung des Minderjährigen die Einwilligung erteilen. Ab wann ein Minderjähriger die notwendige Einsichtsfähigkeit besitzt, kann nicht pauschal an einer Altersgrenze festgemacht werden, es bedarf einer Betrachtung im Einzelfall. Als Anhaltspunkt kann davon ausgegangen werden, dass Minderjährige unter 14 Jahren die notwendige Einsichtsfähigkeit nicht besitzen und daher alleine nicht rechtswirksam einwilligen können. In einem solchen Fall ist die Einwilligung der gesetzlichen Vertreter zusätzlich neben der «Einwilligung» des Minderjährigen erforderlich. Letztere ist zwar alleine nicht rechtswirksam, allerdings ist ein entgegen stehender Wille des Minderjährigen aus Gründen der Seriosität zu beachten.

Der wirksame Widerruf der Einwilligung hängt ebenfalls von der Einsichtsfähigkeit des Minderjährigen ab. Liegt Einsichtsfähigkeit vor, so steht das Recht des Widerrufs ausschließlich dem Minderjährigen zu. Umgekehrt kommt es bei einem nicht-einsichtsfähigen Minderjährigen für die Wirksamkeit des Widerrufs ausschließlich auf den Widerruf der gesetzlichen Vertreter an.

Das Recht auf Auskunft über die gespeicherten personenbezogenen Daten steht bei einsichtsfähigen Minderjährigen ausschließlich diesen zu. Bei nicht-einsichtsfähigen Minderjährigen ist danach zu differenzieren, ob dem Minderjährigen zu Beginn des Forschungsvorhabens zugesagt wurde, dass keinem Dritten, auch nicht seinen Eltern, Auskunft erteilt wird. Nur so ist zu gewährleisten, dass sich Minderjährige offen und ehrlich am Vorhaben beteiligen.

Im Ergebnis lässt sich festhalten, dass das Recht auf informationelle Selbstbestimmung einerseits und die Forschungsfreiheit andererseits keine Gegenspieler sondern Partner sind. Immer dann wenn der Mensch Forschungsobjekt ist, sind Forschungseinrichtungen im Regelfall darauf angewiesen, dass Testpersonen freiwillig am Forschungsvorhaben teilnehmen. Daher ist eine positive Wahrnehmung der Forschung in der Öffentlichkeit unabdingbare Voraussetzung für die Akquirierung von Testpersonen. Ein sensibler Umgang mit personenbezogenen Daten der Testpersonen ist hierbei ein wichtiges Qualitätsmerkmal für seriöse Forschung.

Heidi Schuster, Referentin für Datenschutz und IT-Sicherheit, Max-Planck-Gesellschaft
Hofgartenstr. 8, 80539 München, DE
heidi.schuster@gv.mpg.de