Jusletter IT

Auswirkungen der Datenschutz-Grundverordnung auf die wissenschaftliche Forschung in Österreich

  • Authors: Lothar Gamper / Markus Kastelitz
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2018
  • Citation: Lothar Gamper / Markus Kastelitz, Auswirkungen der Datenschutz-Grundverordnung auf die wissenschaftliche Forschung in Österreich, in: Jusletter IT 22 February 2018
Im Beitrag wird die Rechtslage für die wissenschaftliche Forschung unter der Datenschutz-Grundverordnung (DSGVO) sowie dem österreichischen Datenschutz-AnpassungsG 2018 (de lege lata et ferenda) vertiefend dargestellt und auf praktisch besonders bedeutsame Aspekte eingegangen. Es wird gezeigt, dass die Auswirkungen auf die österreichische Forschungslandschaft ¬ nicht zuletzt aufgrund der Entscheidungen des nationalen Gesetzgebers tiefgreifend sind. Dabei untersuchen die Autoren auch die Unionsrechtskonformität der Regelung und geben Hinweise zur Umsetzung der DSGVO an Forschungseinrichtungen.

Inhaltsverzeichnis

  • 1. Einleitung
  • 1.1. Grundrechtsrelevanz der Forschung: Datenschutz versus Wissenschaftsfreiheit?
  • 2. Der Wissenschafts- und Forschungsbegriff
  • 3. Privilegierung der Forschung in der DSGVO und dem Datenschutz-AnpassungsG 2018
  • 3.1. Grundlegendes zur Verarbeitung zu Forschungszwecken in der DSGVO
  • 3.2. Privilegierungen zu Forschungszwecken in der DSGVO
  • 3.2.1. Zweckbindung und Speicherbegrenzung
  • 3.2.2. Informations- und Einwilligungspflichten
  • 3.2.3. Privilegierungen bei Betroffenenrechten
  • 3.3. Verhältnis von DSGVO und nationalen Normen sowie Verhaltensregeln gemäß Art. 40
  • 4. Forschung unter dem Datenschutzgesetz i.d.F. Datenschutz-AnpassungsG 2018
  • 4.1. Zur Entstehung von § 7 DSG
  • 4.2. § 7 DSG im Verhältnis zur DSGVO
  • 4.3. § 9 DSG und Art. 85 DSGVO
  • 4.4. Ausblick auf geplante nationale leges speciales
  • 5. Fazit samt Auswahl an «To-Dos» für österreichische Forschungseinrichtungen

1.

Einleitung ^

[1]

Die Verarbeitung personenbezogener Daten1 ist aus vielen Bereichen der wissenschaftlichen Forschung2 nicht (mehr) wegzudenken. Man denke z.B. an Langzeitstudien in den Erziehungswissenschaften und der zeithistorischen Forschung, immer häufiger aber auch an die naturwissenschaftlichen und technischen Disziplinen, wo bei Energieverbrauchsmessungen, beim Einsatz «smarter» Geräte, klinischen Studien am Patienten und Big Data-Auswertungen oftmals ein Personenbezug vorliegt bzw. herstellbar ist.3 Gleichzeitig stellt die rechtskonforme Datenverwendung ForscherInnen oft vor praktische Herausforderungen4 – welche durch die gestiegenen Anforderungen der Datenschutz-Grundverordnung (DSGVO)5 nicht geringer werden. Im Folgenden wird – nach einer kurzen verfassungsrechtlichen Einordnung – überblicksartig auf die für die Forschung besonders relevanten Bestimmungen der DSGVO und die (bislang kundgemachte) österreichische Anpassungsgesetzgebung eingegangen. Im Fazit werden die bevorstehenden Aufgaben für Universitäten und andere Forschungseinrichtungen zusammengefasst.

1.1.

Grundrechtsrelevanz der Forschung: Datenschutz versus Wissenschaftsfreiheit? ^

[2]
Trotz des begrenzten Umfangs dieses Beitrages soll das grundrechtliche Fundament der Wissenschaft kurz angesprochen werden — liegt im hohen öffentlichen Interesse der Forschungsfreiheit für die gesellschaftliche Entwicklung ja ein Grund für die bevorzugte Stellung der wissenschaftlichen Forschung im Kontext der DSGVO.6
[3]
Das Grundrecht auf Schutz personenbezogener Daten7 ist bekanntlich kein uneingeschränktes Recht. Wie in ErwGr. 4 der DSGVO erläutert, «muss [es] im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.» Weiters wird darin ausgeführt, dass «[d]iese Verordnung im Einklang mit allen Grundrechten [steht] und alle Freiheiten und Grundsätze [achtet], die mit der Charta [der Grundrechte der Europäischen Union]8 anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, […].» Auch wenn die unionsrechtlich durch Art. 13 GRC geschützte Freiheit der Forschung9 in dieser demonstrativen Aufzählung des ErwGr. 4 fehlt, wird durch die vorstehende Erwähnung des Im Einklang Stehens mit allen Grundrechten und die in der DSGVO enthaltenen Privilegierungen der wissenschaftlichen Forschung u.E. deutlich, dass diese Berücksichtigung fand.
[4]
In Österreich ist das «absolute» (d.h. ohne ausdrücklichen Gesetzesvorbehalt bestehende) Grundrecht auf Wissenschaftsfreiheit bekanntlich in Art. 17 Abs. 1 StGG verankert, darüber hinaus ist insbesondere die wissenschaftliche Äußerungsfreiheit durch Art. 10 EMRK10 geschützt.11 Laut der jüngeren Judikatur des österreichischen Verfassungsgerichtshofes (VfGH) steht die Wissenschaftsfreiheit jedermann zu, der wissenschaftlich forscht und lehrt;12 die Freiheit der Forschung hat dabei das Aufsuchen neuer Erkenntnisse oder die Festigung älterer Erkenntnisse auf einem bestimmten Wissensgebiet zum Gegenstand.13 Auch wenn der Forscher bzw. Lehrende vom Staat keinen spezifischen, intentional auf die Einengung dieser Freiheit gerichteten Beschränkungen unterworfen werden darf,14 sind nach der Rechtsprechung des VfGH auch absolute Grundrechte nur innerhalb der Schranken der allgemeinen Gesetze gewährleistet («immanente Grundrechtsschranken»).15 Ein (z.B. durch Bescheid) vorgenommener Eingriff in die Freiheit der Wissenschaft und ihrer Lehre, der die wissenschaftliche Tätigkeit verhindert16 oder auch nur beschränkt,17 ist nach der Judikatur nur dann zulässig, wenn er zum Schutz eines anderen Rechtsgutes erforderlich und verhältnismäßig ist. Es bedarf somit stets einer Abwägung zwischen der Freiheit der Wissenschaft und ihrer Lehre und dem durch den Eingriff geschützten Rechtsgut.18
[5]
Ein anschauliches Beispiel dafür ist eine Entscheidung aus dem Jahr 1989 zur umfassenden Veröffentlichungspflicht des Ergebnisses statistischer Erhebungen, wo der VfGH eine Unvereinbarkeit mit § 1 DSG 2000 feststellte, da aus solchen Veröffentlichungen in bestimmten, keineswegs nur in Einzelfällen auftretenden Konstellationen, Rückschlüsse auf (personenbezogene) Daten möglich waren.19
[6]

Es ist daher in aller Kürze festzuhalten, dass es im Bereich der wissenschaftlichen Forschung mit personenbezogenen Daten zu Grundrechtskollisionen und Konflikten kommen kann, die durch eine Abwägung zu lösen sind – eine solche Abwägung, die in einem Ausgleich enden soll, versucht der Gesetzgeber in der DSGVO durch spezielle Forschungsklauseln zu erzielen.20 Suda spricht in diesem Zusammenhang von einer «Balanceregelung» des (bisherigen) § 46 DSG 2000 (ab 25. Mai 2018: § 7 DSG i.d.F. Datenschutz-AnpassungsG 2018)21 zwischen Datenschutz und Wissenschaftsfreiheit,22 also der Rechtsnorm, die bis dato den wichtigsten einfachgesetzlichen Datenschutzrahmen für die wissenschaftliche Forschung in Österreich bildete.

2.

Der Wissenschafts- und Forschungsbegriff ^

[7]
Grundlegend ist im vorliegenden Zusammenhang zunächst auf den weiten Wissenschafts- und Forschungsbegriff der DSGVO hinzuweisen, welcher laut ErwGr. 159 auch die privat finanzierte Forschung umfasst.23 Auch im europäischen24 und deutschen25 Verfassungsrecht wird der Begriff weit ausgelegt, gleichzeitig konnte sich das Europäische Parlament bei der engeren Wortwahl bezüglich der wissenschaftlichen (und historischen) Forschung durchsetzen:26 Wo die Datenschutz-Richtlinie (DSRL)27 von «wissenschaftlichen Zwecken» spricht,28 wird in der DSGVO nunmehr der Begriff der «wissenschaftlichen Forschungszwecke» verwendet,29 wodurch nach Ansicht von Albrecht/Jotzo nur mehr Forschungszwecke im engeren Sinn privilegiert werden sollen (und somit nicht jede Analyse oder Aufbereitung von Daten in Zeiten von Big Data30 und Data Mining unter die Privilegierung der wissenschaftlichen Forschung in der DSGVO fallen soll),31 was in der Praxis zu Abgrenzungsfragen mit erheblichen Auswirkungen führen könnte. Demgegenüber wird in der Literatur auch vertreten, dass der Begriff der Wissenschaftsfreiheit jenen der Forschungsfreiheit einschließe und daher der Begriff «wissenschaftliche Forschungszwecke» i.S.d. Art. 89 DSGVO vom allgemeinen (Ober-)Begriff «wissenschaftliche Zwecke» nicht näher abgegrenzt werden könne.32
[8]

Beachtlich in diesem Zusammenhang ist auch die Interpretation des Begriffs der wissenschaftlichen Forschung in den Gesetzesmaterialien zu § 7 DSG, wonach dieser «[…] wie auch schon nach den Erläuterungen zu § 46 DSG 2000 – nicht einen inhaltlich abgegrenzten Bereich bezeichnen [...] – etwa in der Richtung, dass nur Grundlagenforschung erfasst und angewandte Forschung ausgeschlossen wäre –, sondern als Bereich verstanden werden [soll], in dem eine bestimmte Methode [...], nämlich eine ‹wissenschaftliche›, angewendet wird.»33

3.

Privilegierung der Forschung in der DSGVO und dem Datenschutz-AnpassungsG 2018 ^

3.1.

Grundlegendes zur Verarbeitung zu Forschungszwecken in der DSGVO ^

[9]
Wie bereits erwähnt finden sich in der DSGVO eine ganze Reihe von Forschungsklauseln, so etwa in Art. 5 Abs. 1 lit. b und e, Art. 9 Abs. 2 lit. j, Art. 14 Abs. 5 lit. b, Art. 17 Abs. 3 lit. d, Art. 21 Abs. 6, Art. 85 Abs. 1 und 2 und Art. 89.34 Während, wie oben in Abschnitt 2 festgestellt, insgesamt von einem weiten Forschungsbegriff auszugehen ist, darf dabei aber insbesondere nicht übersehen werden, dass die Wissenschaftsfreiheit als Sonderform des Rechts auf freie Meinungsäußerung35 in Art. 85 weitaus stärker privilegiert wird als die (Daten-) Verarbeitung zu Forschungszwecken in Art. 89 – gerade aus diesem Grund nehmen die anderen oben genannten Forschungsklauseln lediglich Bezug auf Art. 89 Abs. 1.
[10]
Art. 85 Abs. 1 sieht für die EU-Mitgliedstaaten die Verpflichtung vor, «das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang [zu bringen].» Darüber hinaus wird in Art. 85 Abs. 2 die Möglichkeit eingeräumt, für diese Zwecke von fast allen Bestimmungen der DSGVO Ausnahmen oder Abweichungen zu normieren, was jedoch der Rechtssetzung des jeweiligen EU-Mitgliedsstaats überlassen bleibt.
[11]
Art. 89, der auf den Forschungsprozess im engeren Sinn anzuwenden ist, stellt hingegen zunächst in Abs. 1 ganz allgemein fest, dass die Verarbeitung für diese Zwecke geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen unterliege. Damit wird nichts anderes ausgedrückt als die Ansicht des Normsetzers, dass die oben in Abschnitt 1.1 angesprochene, stets notwendige Abwägung zwischen der Freiheit der Wissenschaft und ihrer Lehre und dem durch den Eingriff geschützten Rechtsgut durch Anwendung der DSGVO gewährleistet wird. Art. 89 Abs. 1 stellt jedoch keinen eigenen Erlaubnistatbestand dar, sondern es ist jedenfalls eine geeignete Rechtsgrundlage für die Datenverarbeitung erforderlich.36
[12]

In Art. 89 Abs. 1 Satz 2 und 3 werden darüber hinaus der allgemeine Grundsatz der Datenminimierung in Art. 5 Abs. 1 lit. c sowie Art. 25 und Art. 6 Abs. 4 lit. e konkretisiert. So sind bei der (Weiter-)Verarbeitung zu Forschungszwecken personenbezogene Daten jeweils zu anonymisieren oder zu pseudonymisieren, sobald dies möglich ist, ohne das beabsichtigte Forschungsergebnis zu gefährden. Wie auch aus ErwGr. 156 dritter Satz deutlich hervorgeht, erfordert dies ein dreistufiges Vorgehen:37

  1. Prüfung, ob der Forschungszweck mit anonymisierten Daten erreichbar ist;
  2. Prüfung, ob mit pseudonymisierten Daten das Auslangen gefunden wird;
  3. Nur wenn weder Anonymisierung noch Pseudonymisierung umsetzbar ist, dürfen Daten in personenbezogener Form verarbeitet werden (wobei die Rechte der Betroffenen durch geeignete Garantien sichergestellt werden müssen, siehe sogleich).
[13]
Diese Prüfung ist vor Aufnahme einer Verarbeitungstätigkeit durchzuführen und gemäß dem allgemeinen Grundsatz der Rechenschaftspflicht in Art. 5 Abs. 2 u.E. zu dokumentieren.Wie aus dem Wortlaut der Bestimmung hervorgeht, ist sie nicht einmalig zu Beginn einer Verarbeitungstätigkeit vorzunehmen, sondern auch für jeden folgenden Schritt der Weiterverarbeitung.
[14]

Die DSGVO erfordert in Österreich ein Abgehen von der bisherigen Praxis, da keine Privilegierung pseudonymisierter Daten nach dem Muster des bisherigen § 46 Abs. 1 DSG 2000, dessen Richtlinienkonformität ohnehin umstritten war,38 besteht (sieht man von § 7 Abs. 1 Z 3 DSG ab). Vielmehr ist sowohl bei der Verarbeitung pseudonymisierter als auch (direkt) personenbezogener Daten die DSGVO vollständig anzuwenden. Eine Verarbeitung darf daher nur erfolgen, wenn geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen gewährleistet sind, insbesondere Datensicherheit gemäß Art. 3239 u.a. durch Verschlüsselung, Zugangsbeschränkungen, Geheimhaltungsverpflichtungen, Weitergabeverbote, sonstige Verfahrensregelungen etc.40 Die Pseudonymisierung erfordert gemäß Definition in Art. 4 Z 5 geeignete technische und organisatorische Maßnahmen zum Schutz vor Re-Identifizierung.

[15]
Neu ist auch die Pflicht, Datenschutz-Folgenabschätzungen («DSFA», Art. 35 DSGVO) durchzuführen, wenn den betroffenen Personen durch die geplante Datenverarbeitung hohe Risiken drohen. Die Artikel 29-Datenschutzgruppe sieht eine solche u.a. bei der Speicherung (Archivierung) pseudonymisierter personenbezogener vertraulicher Daten zu schutzbedürftigen Betroffenen, die an Forschungsprojekten bzw. klinischen Studien teilgenommen haben, als erforderlich an.41

3.2.

Privilegierungen zu Forschungszwecken in der DSGVO ^

[16]
Es ist keine Neuigkeit, dass die Durchführung eines Forschungsvorhabens nur schlecht mit Datenschutz-Grundprinzipien wie Datenminimierung und strikter Zweckbindung zu vereinbaren ist. Personenbezogene Datenbestände müssen für die Forschung gesichert werden, bevor sie aus datenschutzrechtlichen Gründen gelöscht werden, auch wenn der mögliche Nutzen noch unklar ist; und selbst am Beginn einer wissenschaftlichen Fragestellung besteht oft noch keine genaue Vorstellung davon, wie eine Studie durchgeführt wird oder welche Daten erhoben werden. Die Erfüllung von Informationspflichten scheitert bei der Weiterverwendung vielfach daran, dass keine oder keine aktuellen Kontaktdaten der Betroffenen vorhanden sind.
[17]
Bereits in Art. 11 Abs. 2 DSRL fand sich daher das «Forschungsprivileg» für die Weiterverwendung von Daten, das Ausnahmen von den Informationspflichten vorsah und nun in Art. 14 Abs. 5 lit. b DSGVO geregelt ist; die Privilegierungen hinsichtlich Zweckbindung und Speicherbegrenzung in Art. 6 Abs. 1 lit. b und e DSRL sind nun in Art. 5 Abs. 1 lit. b sowie e DSGVO normiert. Ebenso ermöglichte bereits Art. 13 Abs. 2 der DSRL den Mitgliedstaaten, analog zum neuen Art. 89 Abs. 2 DSGVO, Ausnahmen von den Betroffenenrechten vorzusehen. Dennoch bestehen wesentliche Unterschiede.

3.2.1.

Zweckbindung und Speicherbegrenzung ^

[18]

Wie bereits bisher, sind auch zukünftig prinzipiell alle personenbezogenen Daten für Wissenschaft und Forschung nutzbar, da aufgrund des schon oben festgestellten hohen Stellenwertes in unserer Gesellschaft eine entsprechende Interessensabwägung häufig42 zugunsten dieser Verarbeitungen ausfallen wird – insofern ist die grundsätzliche Vereinbarkeit mit den ursprünglichen Zwecken gemäß Art. 5 Abs. 1 lit. a und die Ausnahme von der Speicherbegrenzung in Art. 5 Abs. 1 lit. e kein Systembruch. Weitaus größeres Augenmerk als bisher wird allerdings auf Datensicherheit gelegt, und zwar in Bezug auf die Aufbewahrung von Daten über die für die ursprünglichen Zwecke notwendige Dauer hinaus. Sie stellt nichts anderes als eine erlaubte Form der «Vorratsdatenspeicherung» dar und ist daher nur mit einer strikten Änderung der Zweckbindung rechtmäßig, d.h. es muss u.a. dafür Sorge getragen werden, dass die Daten nur noch für Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden.43 Auch in diesen Fällen ist für Forschungszwecke und Statistik u.E. jedoch im Verzeichnis der Verarbeitungstätigkeiten eine Löschfrist gemäß Art. 30 Abs. 1 lit. f festzulegen. Die durchgängige Trennung von Archiv- und (wissenschaftlichen) Forschungszwecken in der DSGVO lässt u.E. nämlich nur den Schluss zu, dass zwar eine (langfristige) Speicherung zu Forschungszwecken zulässig sein muss, die Privilegierungen für im öffentlichen Interesse liegende (auch wissenschaftliche) Archivzwecke aus Art. 89 Abs. 3 aber nicht für einzelne Forschungsvorhaben in Anspruch genommen werden dürfen. Andernfalls könnten über den Umweg nationaler Bestimmungen gemäß Art. 89 Abs. 3 nämlich Beschränkungen für die Betroffenenrechte aus Art. 19 und 20 normiert werden, die für die Durchführung einzelner Forschungsprojekte in Art. 89 Abs. 2 nicht vorgesehen sind. Daraus folgt ebenso, dass eine (unbefristete) Archivierung zu nicht im öffentlichen Interesse liegenden (auch wissenschaftlichen) Zwecken – die ohnehin nicht privilegiert wäre – unzulässig ist. Demnach unterliegt auch die (unbefristete) Archivierung am Ende eines Forschungsprojekts, die im Zuge des Trends zu «Open Research Data» an Bedeutung gewinnt, den Regelungen der DSGVO zu im öffentlichen Interesse liegenden Archivzwecken.

3.2.2.

Informations- und Einwilligungspflichten ^

[19]
Während aus einer (traditionellen) rechtstheoretischen und ethischen44 Sicht die Einholung von Einwilligungen im Datenschutz tendenziell den «Königsweg» darstellt, ist sie in der Praxis mit einer Reihe von Problemen verbunden. Wie oben beschrieben, lässt sich der notwendige Umfang von Datensammlungen sowie der zukünftige Nutzen für Forschung und Wissenschaft, etwa bei Biobanken, häufig erst im Rahmen der Durchführung eines konkreten Forschungsvorhabens bestimmen.45 Zu begrüßen ist daher die neu eingeführte Möglichkeit, eine breit formulierte Einwilligungserklärung («broad consent»)46 einholen zu können. Dies ist nicht zuletzt in der medizinischen Forschung von großer praktischer Bedeutung – liegt doch nach der bisherigen österreichischen Rechtslage eine rechtsgültige Zustimmungserklärung in die Datenverwendung u.a. nur dann vor, wenn darin (im Vorhinein) der konkrete Verwendungszweck (abschließend) angegeben wird.47
[20]
Die Artikel 29-Datenschutzgruppe der EU vertritt allerdings den Standpunkt, dass ErwGr. 159 zwar von einem «weit» auszulegenden Forschungsbegriff ausgehe, dieser jedoch nicht über seine «gewöhnliche» Bedeutung hinaus ausgedehnt werden dürfe und «wissenschaftliche Forschungszwecke» hier als (einzelne) Forschungsvorhaben auszulegen seien, die «in Übereinstimmung mit relevanten bereichsspezifischen methodischen und ethischen Standards» durchgeführt werden müssten. ErwGr. 33 setze das Erfordernis einer «spezifischen Einwilligung» nicht außer Kraft, bei besonderen Kategorien von Daten gemäß Art. 9 unterliege der flexible Ansatz einer engen Auslegung und strikten Prüfung.48 Wenn die Zwecke zum Zeitpunkt einer Datensammlung nicht ausreichend spezifiziert werden können, schlägt die Artikel 29-Datenschutzgruppe beispielhaft vor, Einwilligungen nachfolgend für einzelne Forschungsvorhaben einzuholen oder im Rahmen der Durchführung regelmäßig Informationen zu geben, sobald diese zur Verfügung stehen.49 Darüber hinaus sei ein klares «Forschungskonzept» hilfreich zum Nachweis der Erfüllung der Pflichten gemäß Art. 7 Abs. 1. Das Recht auf Widerruf der Betroffenen müsse zudem in geeigneter Weise gewährleistet werden.
[21]
Bei bereits bestehenden Datensammlungen ist zu beachten, dass Einwilligungen als Rechtsgrundlage ab 25. Mai 2018 nur noch herangezogen werden können, wenn diese im Wesentlichen den Vorgaben der DSGVO entsprechen.50 Selbst bei Einhaltung der zitierten OGH-Judikatur wird dies in Bezug auf Art. 7 Abs. 3 jedoch selten der Fall sein, ebenso wenig bei den Informationspflichten aus Art. 13 und 14, wobei (derzeit) noch nicht geklärt scheint, ob – und wenn ja, welche – Auswirkungen neue oder «verschärfte» Anforderungen der DSGVO auf die weitere Gültigkeit bestehender Zustimmungserklärungen haben. Erschwerend kommt hinzu, dass in der DSGVO Einwilligungen kritisch gesehen werden, wenn ein Ungleichgewicht der Kräfte zwischen Betroffenem und Verantwortlichem besteht. Das gilt etwa für die durchaus gängige Verarbeitung von Studierendendaten, die im Rahmen einer (beurteilten) Lehrveranstaltung für Forschungszwecke erhoben werden, ebenso wie für jedes (andere) hoheitliche Verfahren, in dem Zustimmungen eingeholt wurden.
[22]

Wird eine Datenverarbeitung zu Forschungszwecken nicht auf eine Einwilligung, sondern auf eine andere Rechtsgrundlage gestützt, sind weiterhin die Informationspflichten aus Art. 13 und 14 relevant. Hinsichtlich der Zwecke der Verarbeitung ergibt sich analog zu Einwilligungen die oben dargestellte Problematik. Werden oder wurden personenbezogene Daten bei Betroffenen direkt erhoben, so muss jedenfalls über diese Zwecke informiert werden, was die spätere Weiterverwendung u.U. erschwert. Nur bei Datenerhebung aus anderen Quellen erlaubt Art. 14 Abs. 5 lit. b ein Abgehen von der Verpflichtung bei «Unmöglichkeit» oder «unverhältnismäßigem Aufwand», wobei ErwGr. 62 u.a. auf die Zahl der Betroffenen und das Alter der Daten abstellt. In diesen Fällen muss der Verantwortliche jedoch die Öffentlichkeit auf geeignete Weise über die Verarbeitung informieren und Vorkehrungen zum Schutz der Betroffeneninteressen ergreifen, denkbar ist hier neben Sicherheitsmaßnahmen beispielsweise eine DSFA und die Einbeziehung von Ethik-Kommissionen. Die Möglichkeit, auf Basis des Art. 14 Abs. 5 lit. c nationale Ausnahmeregelungen von den Informationspflichten auch im Forschungskontext zu normieren, erscheint im Übrigen zumindest denkbar.

3.2.3.

Privilegierungen bei Betroffenenrechten ^

[23]
Art. 89 Abs. 2 erlaubt den Mitgliedstaaten, über die in der DSGVO bereits vorgesehenen Beschränkungen der Betroffenenrechte gemäß Art. 15, 16, 18 und 2151 hinaus weitergehende einzuführen (ausschließlich für im öffentlichen Interesse liegende Archivzwecke gemäß Art. 89 Abs. 3 auch für die Rechte in Art. 19 und 20). Dies ist nachvollziehbar, da deren Ausübung den validen Abschluss eines bereits begonnenen Forschungsvorhabens und die damit verbundenen Investitionen gefährden kann. Nachdem die Ausgestaltung den Mitgliedstaaten im nationalen Recht überlassen bleibt, wird nachfolgend auf die Umsetzung in § 7 DSG eingegangen. Aus Sicht der DSGVO müssen im Gegenzug für Privilegierungen jedenfalls die Bedingungen und Garantien des Art. 89 Abs. 1 erfüllt werden.52 Diese Privilegierungen und Ausnahmen gelten außerdem nur, wenn keine anderen Zwecke mit der Datenverarbeitung verfolgt werden (Art. 89 Abs. 4),53 was insbesondere für die (kommerzielle) Verwertung von Forschungsergebnissen von Bedeutung ist, sofern diese eine Weiterverarbeitung personenbezogener Daten erfordert.

3.3.

Verhältnis von DSGVO und nationalen Normen sowie Verhaltensregeln gemäß Art. 40 ^

[24]

Bei grenzüberschreitenden Forschungsprojekten ist durch das Abstellen auf nationale Regelungen bei Privilegierungen in Art. 85 und 89 Abs. 2-3 zunächst das jeweils anzuwendende Recht zu bestimmen, welches aufgrund der dargestellten Gestaltungsspielräume der DSGVO von der eigenen nationalen Rechtslage abweichen kann.54 Die DSGVO enthält, anders als Art. 4 DSRL, keine Kollisionsnorm zum Anwendungsbereich der mitgliedstaatlichen Regelungen. Daher ist zunächst im Einzelfall zu bestimmen, ob das Sitzlandprinzip oder das Territorialitätsprinzip anzuwenden ist. Unklar ist in diesem Zusammenhang, inwieweit dies ausschließlich auf Basis des Wortlauts der jeweiligen Öffnungsklausel zu erfolgen hat55 oder der nationalstaatlichen Regelung jeweils selbst vorbehalten sein kann, wobei aufgrund des Anwendungsvorrangs und der Harmonisierungsbestrebungen tendenziell erstere Lösung vorzuziehen wäre, etwa Deutschland und Österreich in der Umsetzung der DSGVO aber eine entsprechende Regelungskompetenz (unter Beibehaltung der bisherigen Rechtslage) für sich in Anspruch genommen haben. Selbst bei Zugrundelegung der DSGVO bestehen jedoch Unsicherheiten in der Auslegung, etwa bei Verantwortlichen ohne EU-Niederlassung oder in Bezug auf – für Forschungszwecke eher selten relevante – Einwilligungen von Kindern gemäß Art. 8 Abs. 1. Für Einwilligungen in Forschungsprojekte oder Veröffentlichungen kann dennoch gerade bei Kindern entscheidend sein, inwieweit nationale Bestimmungen in Bezug auf Einwilligungs-, Vertretungs- und Geschäftsfähigkeit zum Tragen kommen, da die DSGVO dazu keine Norm enthält, wie sie etwa für klinische Prüfungen mit Humanarzneimitteln auf unionsrechtlicher Ebene besteht.56 Welche Kollisionsnormen ggf. anzuwenden sind, hängt u.a. von der rechtlichen Qualifizierung ab, wobei es sowohl Argumente zugunsten einer privatrechtlichen als auch einer öffentlich-rechtlichen Natur derartiger Einwilligungen gibt.57

[25]
Ergänzend sei in diesem Zusammenhang angemerkt, dass mittel- bis langfristig für grenzüberschreitende Projekte und die Einwilligung von Kindern forschungsbereichsspezifische Verhaltensregeln58 nach Art. 40 deutliche Erleichterungen mit sich bringen würden, sofern diese gemäß Abs. 7-9 allgemeine Gültigkeit in der Union erlangen. Die Ausarbeitung und Vorlage bei den Aufsichtsbehörden ist Verbänden und Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, vorbehalten (Art. 40 Abs. 2).

4.

Forschung unter dem Datenschutzgesetz i.d.F. Datenschutz-AnpassungsG 2018 ^

[26]
Das künftige Datenschutzgesetz (DSG) enthält in § 7 «spezifischere Bestimmungen»59 für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke. Die Bestimmung entspricht weitestgehend (bis auf sprachliche Anpassungen an die DSGVO) dem bisherigen § 46 DSG 2000.60 Laut den Gesetzesmaterialien kommen beide Regelungen nicht zur Anwendung, wenn Materiengesetze die Verarbeitung von Daten zum Zweck der wissenschaftlichen Forschung und Statistik vorsehen,61 insofern sind wie bislang leges speciales zu beachten. Art. 85 wird hingegen in § 9 DSG umgesetzt, was die Zweiteilung der DSGVO bei Privilegierungen der Wissenschaftsfreiheit widerspiegelt.

4.1.

Zur Entstehung von § 7 DSG ^

[27]

Aus Platzgründen kann nicht im Detail auf § 7 DSG eingegangen werden, sondern es muss vor allem auf die Genese und die Folgen hingewiesen werden. Im Zuge der Regierungskrise im Frühjahr 2017 wurde klar, dass sich eine fristgerechte Umsetzung der DSGVO nur noch vor den Neuwahlen realisieren lassen dürfte, weshalb es am 12. Mai 2017 trotz bereits weit fortgeschrittener Vorarbeiten zum ungeplant frühen Einbringen einer Entwurfsvorlage für ein Datenschutz-AnpassungsG 2018 durch das Bundeskanzleramt im Nationalrat kam. Der hohe Zeitdruck vor der parlamentarischen Sommerpause wird schon am äußerst ungewöhnlichen Umstand deutlich, dass die Regierungsvorlage am 7. Juni 2017 noch vor Ablauf der regulären Begutachtungsfrist dem Verfassungsausschuss im Parlament zugewiesen wurde. Dass der Neuentwurf speziell für Forschungszwecke nicht mehr den Stellenwert einer Balanceregelung wie im DSG 2000 einnehmen würde, sondern eher einen Hemmschuh für den Wissenschaftsstandort Österreich darstellt, wurde zwischenzeitlich in vielen Stellungnahmen von Bildungs- und Forschungsinstitutionen sowie -verbänden thematisiert; die geringfügigen Adaptionen in der Regierungsvorlage konnten das jedoch nicht mehr ausmerzen. 62

4.2.

§ 7 DSG im Verhältnis zur DSGVO ^

[28]

Aus dem Wortlaut des § 7 Abs. 1 DSG geht klar hervor, dass die Norm Forschungszwecke i.S.d. § 89 Abs. 1 näher regelt, allerdings nicht in Umsetzung des folgenden Art. 89 Abs. 2, sondern (in § 7 Abs. 1–4 DSG) ergänzend (und teilweise abweichend) zum Weiterverwendungsprivileg der DSGVO in Art. 5 Abs. 1 lit. b. Die Öffnungsklausel, auf die sich § 7 DSG den Erläuterungen63 zufolge stützt, ist Art. 6 Abs. 2 – höchst fraglich ist dennoch, ob diese tauglich ist, einen Eingriff in Art. 5 zu legitimieren. Daraus ergibt sich zudem, dass nur Forschungsvorhaben, die sich auf Art. 6 Abs. 1 lit. c oder e als Rechtsgrundlage stützen, von § 7 DSG umfasst sind, während etwa Forschungszwecke aus einem – überwiegend oder ausschließlich – privaten (kommerziellen) Interesse demnach wohl nicht der Regelung unterliegen.64 In der Auslegungspraxis bedeutsamer dürfte hingegen sein, dass § 7 Abs. 1 DSG sich augenscheinlich nur auf konkrete Forschungsprojekte beziehen kann, die zudem keine personenbezogenen Ergebnisse zum Ziel haben, weshalb Datensammlungen zu vorerst unbestimmten Zwecken oder Projekte mit personenbezogenen Ergebnissen – typisch etwa für zeithistorische Forschung – ipso facto § 7 Abs. 2 unterliegen. Aufgrund des unbestimmten Begriffs «ermitteln» in § 7 Abs. 1 Z 2 DSG bestehen auch Unsicherheiten, ob die Weiterverarbeitung der personenbezogenen Ergebnisse von abgeschlossenen Forschungsprojekten damit umfasst ist, soweit diese nicht veröffentlicht wurden.

[29]

Die keine Deckung in der DSGVO findende Privilegierung pseudonymisierter Daten des alten § 46 DSG 2000 hat durch die Neuformulierung in § 7 Abs. 1 Z 3 DSG noch weitreichendere Folgen: Die Voraussetzungen des § 7 Abs. 1 DSG dürften zukünftig bei Forschungsprojekten mit personenbezogenen oder pseudonymisierten Daten (bei denen für den Verantwortlichen eine Re-Identifizierung mit «rechtlich zulässigen» Mitteln ausgeschlossen sein muss) nur noch sehr selten vorliegen, weshalb weitaus häufiger als bisher Genehmigungen der Datenschutzbehörde gemäß § 7 Abs. 2 Z 3 DSG notwendig werden.

[30]

Wie bereits angemerkt, erfolgt im DSG keine Umsetzung des Art. 89 Abs. 2 und 3, weshalb bei allen Datensammlungen und Forschungsprojekten in Österreich Ausnahmen von den dort aufgezählten Betroffenenrechten nur auf Basis der DSGVO begründet werden können. Auch wenn deren Ausübung nicht alltäglich in hoher Zahl zu erwarten ist, wird erst die Praxis zeigen, wie sich dies auswirkt.

[31]

Zusammenfassend hat der Gesetzgeber den sich in der DSGVO bietenden Spielraum nicht genutzt.65 Fairerweise ist anzumerken, dass allzu liberale nationale Regelung allerdings davon bedroht sind, DSGVO-widrig zu sein und früher oder später aufgehoben zu werden, was gleichermaßen die Rechtsunsicherheit erhöht. Vorerst viel dramatischer wirkt sich jedoch aus, dass Österreich an antiquierten und zeitraubenden Genehmigungen durch die Datenschutzbehörde festhält,66 die in der DSGVO weitgehend überwunden wurden. Verbunden mit dem erhöhten Druck für Forschungsinstitutionen, Datenschutz-Compliance sicherzustellen, und der weitaus häufigeren Notwendigkeit solcher Genehmigungen im Vergleich zur Vorgängerregelung, sollten die Folgen nicht unterschätzt werden.

[32]
An dieser Stelle sei aus Platzmangel nur noch kurz angemerkt, dass es dem nationalen Gesetzgeber nicht gestattet ist, im Rahmen der Öffnungsklauseln Recht zu schaffen, welches zu einem höheren Schutzniveau als jenem der DSGVO führt.67 Ob dies hier in concreto vorliegt, kann an dieser Stelle nicht abschließend geprüft werden; dazu wird insbesondere die künftige Judikatur abzuwarten sein.

4.3.

§ 9 DSG und Art. 85 DSGVO ^

[33]
Erfreulicherweise wurde hingegen beim «Medienprivileg» zum Schutz des Rechts auf freie Meinungsäußerung der in Art. 85 Abs. 2 eröffnete Handlungsrahmen sehr umfangreich genutzt, es sind daher für die Verarbeitung zu «unmittelbar» publizistischen Tätigkeiten nur Art. 5, 28, 29, 32 sowie § 6 i.V.m. § 1 DSG zu beachten. Behoben wurde durch die Neuregelung gleichzeitig auch die spätestens seit dem EuGH-Urteil Satamedia68 offensichtlich rechtswidrige Einschränkung im § 48 DSG 2000 auf Medienunternehmen und Mediendienste, indem das Privileg nun allen gleichermaßen zugänglich ist und außerdem auch auf die Verarbeitung zu künstlerischen, literarischen sowie (populär-)wissenschaftlichen Zwecken ausgedehnt wurde, soweit diese als spezielle Erscheinungsformen der Meinungsfreiheit ihre Ausprägung finden. Die Wissenschaftsfreiheit, die in diesem Zusammenhang ursprünglich vor allem dem Schutz vor Zensur diente, hat dadurch in der Interessensabwägung gegenüber dem Grundrecht auf Privatsphäre eine erweiterte Bedeutung erhalten. Es erscheint allerdings nicht sachgerecht, in Bezug auf die Veröffentlichung personenbezogener Daten hier weniger strenge Maßstäbe als beim Medienprivileg zugunsten journalistischer Verarbeitungstätigkeiten anzunehmen, d.h. es wird jedenfalls ein (aktuelles) Informationsbedürfnis der Gesellschaft bedient werden müssen, auch wenn ggf. der dauerhafte gesellschaftliche Erkenntnisgewinn stärker im Vordergrund steht.
[34]

Während Verarbeitungstätigkeiten im Vorfeld «unmittelbar» publizistischer wissenschaftlicher Aktivitäten unzweifelhaft nicht dem § 9 DSG unterliegen, erscheint eine Abgrenzung zu § 7 Abs. 1 DSG in jenen Fällen, in denen personenbezogene Ergebnisse von vornherein ausschließlich zur Veröffentlichung im Rahmen des Medienprivilegs bestimmt sind, als interpretativ schwierig. Der Widerspruch ist möglicherweise lösbar, indem § 9 DSG als «besondere gesetzliche Vorschrift» i.S.d. § 7 Abs. 2 Z 1 DSG herangezogen werden könnte, was etwa im oben erwähnten Bereich der zeithistorischen Forschung vielfach (insbesondere bei Beschränkung auf öffentlich zugängliche und durch Archivgesetze geregelte Quellen) eine Genehmigung der Datenschutzbehörde erübrigen würde.

4.4.

Ausblick auf geplante nationale leges speciales ^

[35]
Wie oben beschrieben wurde die Regierungsvorlage des Datenschutz-AnpassungsG 2018 im Rahmen des parlamentarischen Prozesses nur unwesentlich geändert, dennoch sah der Verfassungsausschuss sich aufgrund der vielen kritischen Stellungnahmen zu § 7 DSG veranlasst, in seinem Bericht mit Nachdruck hervorzuheben, «dass die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs gemäß Erwägungsgrund 113 der Datenschutz-Grundverordnung auch durch die Erlassung spezialgesetzlicher Regelungen erreicht werden können. Damit sollen […] praxisnahe Regelungen […] insbesondere für pseudonymisierte Daten und Regelungen zur Registerforschung […] sowie Rechtssicherheit insbesondere für bereits bestehende biologische Proben- und Datensammlungen […] gewährleiste[t werden].»69
[36]
In der Folge startete das zuständige Bundesministerium (bmwfw) unter Einbeziehung von Stakeholdern eine Initiative zur Ausarbeitung derartiger spezialgesetzlicher Regelungen, zum Zeitpunkt des Redaktionsschlusses für diesen Beitrag war aber deren Schicksal und der Zeitrahmen dafür noch nicht absehbar. Zu den beabsichtigten vorrangigen Regelungsinhalten zählen gemäß den zur Verfügung stehenden Informationen u.a. die Klarstellung der «öffentlichen Stelle» i.S.d. Art. 27 DSGVO,70 die Einschränkung der Genehmigungspflicht gemäß § 7 Abs. 2 DSG, die Umsetzung des Art. 89 Abs. 2 und 3 sowie Regelungen für Biobanken, Registerforschung, Big-Data, die Übernahme der Altersregelung von klinischen Prüfungen sowie eine Legaldefinition der wissenschaftlichen Forschung. Es bleibt abzuwarten, ob und inwieweit diese geplanten leges speciales § 7 DSG «entschärfen» können bzw. sonstige Erleichterungen für die Forschung mit sich bringen werden.

5.

Fazit samt Auswahl an «To-Dos» für österreichische Forschungseinrichtungen ^

[37]
Aufgrund der aufgezeigten Komplexität des neuen Datenschutzrechts (auch) im Bereich der wissenschaftlichen Forschung, den sich daraus ergebenden Herausforderungen für Institutionen im Forschungsbereich und insbesondere der Pflicht des Verantwortlichen (= der jeweiligen Institution), die Einhaltung der Grundprinzipien der DSGVO und die Umsetzung geeigneter Maßnahmen jederzeit nachweisen zu können (s Art. 5 Abs. 2, Art. 24 Abs. 1; sog «Rechenschaftspflicht»), besteht aus Sicht der Verfasser Handlungsbedarf zur Herstellung und Gewährleistung von Datenschutz-Compliance. Kam den Datenschutzaspekten in der wissenschaftlichen Forschung in der Vergangenheit nicht immer der erforderliche Stellenwert zu, ist nunmehr festzustellen, dass an der Einrichtung eines adäquaten Datenschutz-Managementsystems71 an Forschungseinrichtungen, welche mit personenbezogenen Daten umgehen, kein Weg vorbeiführen wird.
[38]

Zwar werden gem. § 30 Abs. 5 DSG gegen Behörden und öffentliche Stellen (und damit auch gegen Universitäten als juristische Personen des öffentlichen Rechts gemäß § 4 UG) keine Geldbußen verhängt, dennoch sprechen (neben der Tatsache, dass der Datenschutz grundrechtlich verankert ist) mehrere gewichtige Argumente für eine Datenschutz-Compliance durch Universitäten und sonstige Forschungseinrichtungen: Zum einen sieht § 62 DSG Verwaltungsstrafen bis zu € 50‘000,– u.a. bei Verstoß gegen § 7 DSG vor, zudem drohen strafrechtliche Konsequenzen (§ 63 leg. cit.). Weitaus relevanter ist jedoch die zivilrechtliche Haftung des Verantwortlichen (der Universität) gegenüber Betroffenen und Auftraggebern (man denke z.B. an Drittmittelgeber und entsprechende Schad- und Klagloshaltungsklauseln in Förderverträgen) nach Art. 82 DSGVO, «Fördersperren» durch Fördergeber nach einem negativen Datenschutz-Audit, die Prüfung durch die Datenschutzbehörde (mit einer eventuellen Untersagung der Datenverarbeitung gem. § 22 Abs. 4 DSG). Last but not least ist an die öffentlichkeitswirksame Berichterstattung («PR-Desaster») über einen Datenschutzvorfall zu denken, die eine Universität in erheblichen Rechtfertigungsnotstand bringen könnte.

[39]
Als Maßnahmen zur Einführung eines Datenschutz-Managementsystems empfehlen die Verfasser überblicksartig (und naturgemäß nicht abschließend) Folgendes:72
[40]

Zunächst ist (sofern dies nicht bereits geschehen ist) im Rektorat bzw. der jeweiligen Geschäftsführung die Awareness für den gesteigerten Stellenwert des Datenschutzes zu schaffen. Nach einem entsprechenden Auftrag und der Ressourcenbereitstellung durch die leitenden Organe ist ein multidisziplinäres Kernteam mit der Ausarbeitung eines Umsetzungskonzepts und der weiteren Implementierung samt Berichterstattung zu betrauen (eventuell unter Beiziehung Externer).73 Nach Ansicht der Autoren besteht für die meisten Bildungs- und Forschungseinrichtungen die Pflicht zur Benennung eines Datenschutzbeauftragten gemäß Art. 37 Abs. 1 lit. b bzw. lit. c (soweit sie nicht ohnehin als «öffentliche Stelle» gem. Art. 37 Abs. 1 lit. a zu qualifizieren sind), weshalb ein solcher frühzeitig zu benennen sein wird; dieser ist auch Mitglied des Projektteams. Bei der Bestellung eines (internen oder externen) Datenschutzbeauftragten ist zu beachten, dass an der jeweiligen Institution (über das Kernteam hinaus) zusätzliche Personen benötigt werden, die mithelfen, die Anforderungen tatsächlich zu implementieren.

[41]
Nach einer Klärung des internen Datenschutz-Ist-Stands wird empfohlen, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen (Art. 30 DSGVO). Daraus ist sodann u.a. (ggf. nach Vornahme einer Schwellwertanalyse) abzuschätzen, ob und bei welchen Verarbeitungen eine Datenschutz-Folgenabschätzung gem. Art. 35 durchzuführen ist. Als weiterer Punkt ist die Sicherstellung der Einhaltung der Rechte der betroffenen Personen nach Art. 12 ff. zu nennen, dabei wird den Informationspflichten (Art. 13 und 14) besondere Aufmerksamkeit zu widmen sein, u.a. da diese durch die DSGVO erweitert werden.
[42]

Weiters verlangt Art. 24 Abs. 2 die Erarbeitung bzw. Überarbeitung von (bereichsspezifischen) Datenschutz-Richtlinien, z.B. einer «Datenschutz-Richtlinie für die Durchführung von Forschungsprojekten», insbesondere um Art. 89 Abs. 1 DSGVO einzuhalten. Beispielhaft seien folgende Inhalte einer solchen Policy genannt: die Festschreibung interner Verantwortung/Zuständigkeiten; ein «Datenschutz-Meldeprozess» für Forschungsprojekte; ein How-to zur Anonymisierung/Pseudonymisierung; die Mindestanforderungen an die Weitergabe personenbezogener Daten (z.B. Mindestinhalte von Data Sharing Agreements, wie Reidentifizierungs- und Weitergabeverbote des Empfängers), wobei die Vorschriften der DSGVO für Datenübermittlungen an Empfänger (z.B. bei internationalen Forschungsprojekten in Drittländer) zu beachten sind (Art. 44 ff.); Maßnahmen zur Einhaltung der Datensicherheit z.B. durch Verweise auf einzuhaltende Infosec-Richtlinien etc. Als beispielhafte weitere Umsetzungsmaßnahmen sind Datenschutz-Schulungen der MitarbeiterInnen und die Verpflichtung der MitarbeiterInnen auf das Datengeheimnis (§ 6 DSG) sowie die Prüfung und etwaige Anpassung bestehender Dienstleisterverträge (künftig Auftragsverarbeitungsverträge) an Art. 28 DSGVO zu nennen. Zu betonen ist abschließend, dass es sich bei der Herstellung von Datenschutz-Compliance um einen ständigen Prozess handelt, welcher kaum jemals abgeschlossen sein wird. So wird der «Reifegrad» der Datenschutzorganisation u.a. durch regelmäßige Compliance-Audits zu überprüfen sein.

[43]

Abzuwarten bleibt, ob der österreichische Gesetzgeber künftighin einige in der DSGVO enthaltenen Ausgestaltungsmöglichkeiten zugunsten der wissenschaftlichen Forschung aufgreifen wird – hat er doch bislang davon kaum Gebrauch gemacht. Dort, wo andere EU-Mitgliedsstaaten die Öffnungsklauseln in diesem Bereich nutzen, wird es nach Auffassung der Verfasser bei transnationalen Forschungsprojekten zu einer (weiterhin) aufwändigen Abklärung der anwendbaren datenschutzrechtlichen Vorgaben kommen – von einer «Vollharmonisierung» im Sinne einer Schaffung eines einheitlichen europäischen Raums der Forschung (Art. 179 Abs. 1 AEUV) kann daher kaum gesprochen werden.

  1. 1 Siehe zur (weiten) Definition personenbezogener Daten Art. 4 Z 1 DSGVO; zu «sensiblen» Daten (besondere Kategorien personenbezogener Daten) Art. 9 Abs. 1 DSGVO.
  2. 2 In der Folge wird besonders auf die Datenverarbeitung zu wissenschaftlichen Forschungszwecken eingegangen; die Gesetzgebung betreffend Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu historischen Forschungszwecken und zu statistischen Zwecken liegt nicht im Fokus dieses Beitrags.
  3. 3 Siehe jüngst zum Personenbezug dynamischer IP-Adressen EuGH 19. Oktober 2016, C-582/14, Breyer und BGH 16. Mai 2017, VI ZR 135/13 sowie unlängst im Bildungsbereich zu Prüfungen EuGH 20. Dezember 2017, C-434/16.
  4. 4 Vgl. Johannes, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung (2017), 233 Rz 55. Einen «nicht unbeträchtlichen» Nachholbedarf an (deutschen) Hochschulen stellte Wettern bereits 2008 fest, Wettern, Zur Einhaltung des Datenschutzes an Hochschulen, DuD 2008, 466.
  5. 5 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. Sofern nicht anders angegeben, beziehen sich Artikelzitate und ErwGr im Folgenden auf die DSGVO.
  6. 6 Schantz/Wolff, Das neue Datenschutzrecht (2017) Rz 1347.
  7. 7 Gewährleistet insb. durch § 1 DSG 2000 (künftig: DSG), Art. 8 EMRK, Art. 8 GRC.
  8. 8 ABl C 2012/326, 391.
  9. 9 Nach den amtlichen Erläuterungen leitet sich dieses Recht in erster Linie aus der Gedankenfreiheit und der Freiheit der Meinungsäußerung ab, ABl C 2007/303, 17 (22).
  10. 10 Die EMRK ist in Österreich im Verfassungsrang, BGBl 1964/59.
  11. 11 Insb. bei Publikationen ist das Recht auf Meinungsfreiheit mit zu beachten, siehe Abschnitt 3.1. zu Art. 85 sowie Abschnitt 4.3. zu § 9 DSG, wobei nicht der gesamte Forschungsprozess als solcher davon umfasst ist.
  12. 12 VfSlg 8136/1977, 13978/1994.
  13. 13 VfSlg 3191/1957.
  14. 14 VfSlg 8136/1977; sinngemäß VfSlg 3565/1959.
  15. 15 VfSlg 1777/1949, 4732/1964, 11737/1988, 13978/1994.
  16. 16 VfSlg 4881/1964.
  17. 17 VfSlg 2823/1955.
  18. 18 Vgl. u.a. VfSlg 13978/1994.
  19. 19 VfSlg 12228/1989.
  20. 20 Vgl. Johannes, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung (2017), 234 Rz 57.
  21. 21 Im Folgenden beziehen sich Paragrafenzitate unter Anführung der Abkürzung «DSG» auf diese Fassung.
  22. 22 Suda, Datenverwendung für wissenschaftliche Forschung und Statistik, in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009), 296.
  23. 23 Vgl. Johannes, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung (2017), 235 Rz 60.
  24. 24 Bernsdorff, in: Meyer (Hrsg.), Charta der Grundrechte der Europäischen Union4 (2014), Art. 13 Rz 15.
  25. 25 Siehe Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht6 (2018), 177 FN 779 m.w.N.
  26. 26 Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), 81 Rz 71
  27. 27 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31.
  28. 28 Z.B. Art. 6 Abs. 1 lit. b und lit. e; ErwGr 29, 40.
  29. 29 Vgl. z.B. Art. 6 Abs. 1 lit. b und e, Art. 89 Abs. 1 und 2.
  30. 30 Zu Big Data unter der DSGVO Richter, Big Data, Statistik und die Datenschutz-Grundverordnung, DuD 2016, 581.
  31. 31 Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), 81 Rz 71.
  32. 32 Vgl. Tinnefeld/Buchner/Petri/Hof, Einführung in das Datenschutzrecht6 (2018), 184.
  33. 33 AB 1761 BlgNR 25. GP 6.
  34. 34 Zu nennen sind hier auch die einschlägigen Erwägungsgründe 33, 50, 52, 53, 62, 65, 113, 153, 156, 157, 159, 162. Demgegenüber enthält die DSRL keine ausdrücklichen Vorgaben für Sonderregelungen in diesem Bereich, vgl. Jahnel, Datenschutzrecht – Update (2016), 70 (abgesehen von Art. 6 Abs. 1 lit. b und lit. e, Art. 11 Abs. 2, Art. 13 Abs. 2 DSRL).
  35. 35 Siehe oben FN 9.
  36. 36 In der Praxis kommen hier v.a. Art. 6 Abs. 1 lit. a, lit. e (und ggf. lit. f) sowie Art. 9 Abs. 2 lit. a und j (sowie ggf. lit. g) in Betracht.
  37. 37 Vgl. Schantz/Wolff, Das neue Datenschutzrecht (2017), Rz 1353.
  38. 38 Siehe dazu Bergauer, Indirekt personenbezogene Daten – datenschutzrechtliche Kuriosa, in: Jahnel (Hrsg.), Jahrbuch Datenschutzrecht (2011), 55 ff.
  39. 39 Siehe Buchner/Tinnefeld, in: Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (2017), Art. 89 Rz 16, 18.
  40. 40 Vgl. Schantz/Wolff, Das neue Datenschutzrecht (2017), Rz 1353.
  41. 41 Artikel 29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 «wahrscheinlich ein hohes Risiko mit sich bringt», WP 248 rev.01, 13 f.
  42. 42 Siehe näher Abschnitt 4.2.
  43. 43 Abhängig von einer Interessensabwägung dürften auch noch weitere Verarbeitungen zulässig sein, etwa gemäß Art. 85. Zu Zweckänderung und Zweckbindung bei Archivierung siehe Gamper, Der unbekannte Vater – Durchsetzung des Anspruchs auf Auskunft mit Datenschutzrecht?, in: Schweighofer/Kummer/Hötzendorfer/Sorge (Hrsg.), Trends und Communities der Rechtsinformatik, Tagungsband des 20. Internationalen Rechtsinformatik Symposions IRIS (2017), 571. Im Ggs. zur DSRL privilegiert die DSGVO ausdrücklich nur noch im öffentlichen Interesse liegende Archivzwecke.
  44. 44 Siehe insb. die Deklaration von Helsinki zum Erfordernis der informierten Einwilligung, http://www.bundesaerztekammer.de/fileadmin/user_upload/Deklaration_von_Helsinki_2013_DE.pdf (alle Websites zuletzt besucht im Januar 2018).
  45. 45 So zutr. Buchner/Kühling, in: Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung (2017), Art. 7 Rz 64.
  46. 46 Siehe ErwGr 33. Ausf Rammos, Die datenschutzrechtliche Zulässigkeit von Broad Consent für Forschungszwecke nach der DSGVO, in: Taeger (Hrsg.), Tagungsband Herbstakademie (2017), Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren (2017) 359.
  47. 47 Vgl. die ständige Judikatur des OGH, RIS-Justiz RS0115216: «Eine wirksame Zustimmung zur Verwendung nicht-sensibler Daten liegt nur vor, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden.»
  48. 48 Artikel 29-Datenschutzgruppe, Guidelines on Consent under Regulation 2016/679, WP 259, 27 f., Entwurfsfassung für die öffentliche Konsultation vom 28. November 2017 [Übersetzung der Verf].
  49. 49 Vgl. ErwGr 33: «Die betroffenen Personen sollten Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.»
  50. 50 Siehe auch § 69 Abs. 9 zweiter Satz DSG: «Nach dem Datenschutzgesetz 2000 erteilte Zustimmungen bleiben aufrecht, sofern sie den Vorgaben der DSGVO entsprechen.» Schaar, Anpassung von Einwilligungserklärungen für wissenschaftliche Forschungsprojekte, ZD 2017, 213.
  51. 51 U.a. sind Art. 11 Abs. 2, Art. Art. 12 Abs. 5, Art. 13 Abs. 4, Art. 17 Abs. 1 lit. b, Art. 18 Abs. 2, Art. 20 Abs. 3 sowie Art. 21 Abs. 6 zu nennen, die aus Platzgründen hier nicht näher dargestellt werden können.
  52. 52 S.a. ErwGr. 156, dritter Satz
  53. 53 Schantz/Wolff, Das neue Datenschutzrecht (2017), Rz 1346.
  54. 54 Piltz, Die Datenschutz-Grundverordnung – Teil 1, K&R 2016, 557 (559), unter Hinweis auf die Gefahr eines Flickenteppichs.
  55. 55 Für diese Lösung plädiert Laue, Öffnungsklauseln in der DS-GVO – Öffnung wohin?, ZD 2016, 464.
  56. 56 S. Art. 32 der Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG, ABl L 2014/158, 1.
  57. 57 Laue (Fn. 55) betrachtet die Einwilligung nach Art. 8 Abs. 1 als Teil einer rechtsgeschäftlichen Beziehung, auf die die ROM I-VO (593/2008/EG) anzuwenden ist; in Österreich hat die Einwilligung nach überwM öffentlich-rechtlichen Charakter, dazu Kastelitz/Neugebauer, Aspekte der datenschutzrechtlichen Zustimmung(sfähigkeit) Minderjähriger, in: Jahnel (Hrsg.), Jahrbuch Datenschutzrecht (2011), 81 m.w.N.
  58. 58 Instruktiv zu Verhaltensregeln Bergt, Verhaltensregeln als Mittel zur Beseitigung der Rechtsunsicherheit in der Datenschutz-Grundverordnung, CR 2017, 670.
  59. 59 Vgl. AB 1761 BlgNR 25. GP 6.
  60. 60 Allg. dazu Jahnel, Handbuch Datenschutzrecht (2010), Rz 8/10 ff.; Sorger, Verwendung von Gesundheitsdaten im Lichte der §§ 46 und 47 DSG 2000, in: Jahnel (Hrsg.), Jahrbuch Datenschutzrecht (2010), 193.
  61. 61 ErlRV 1613 BlgNR 20. GP 51 (zu § 46 DSG 2000); AB 1761 BlgNR 25. GP 6 (zu § 7 DSG).
  62. 62 Nachdem im Verfassungsausschuss deutlich wurde, dass keine Mehrheit für die verfassungsändernden Bestimmungen zustande kommen würde, wurde die Regierungsvorlage vor der Abstimmung nochmals überarbeitet und auf den einfachgesetzlichen Bereich reduziert. Gleichzeitig wurden trotz sehr geringfügiger Textänderungen so gut wie alle einfachgesetzlichen Bestimmungen anders nummeriert – die 113 Stellungnahmen zum Entwurf beziehen sich jedoch auf die ursprüngliche Fassung und sind daher nur mit Berücksichtigung dieses Sachverhalts verständlich, https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00322/index.shtml#tab-Stellungnahmen.
  63. 63 AB 1761 BlgNR 25. GP 6.
  64. 64 Auch § 8 Abs. 3 Z 3 DSG normiert im Umkehrschluss, dass nicht zwangsläufig jedem wissenschaftlichen oder statistischen Zweck ein öffentliches Interesse zuzubilligen ist. Bei Archivzwecken sind schon dem Wortlaut nach nur öffentliche Interessen von § 7 DSG umfasst, wobei völlig unklar bleibt, inwieweit diese sich in Abs. 1 ausschließlich auf ein konkretes Forschungsprojekt beziehen könnten (vgl. Abschnitt 3.2.1. zur u.E. bestehenden Unzulässigkeit aus Sicht der DSGVO). Wissenschaftliche (beispielsweise genealogische) Forschung durch natürliche Personen im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten ist vom sachlichen Anwendungsbereich der DSGVO gemäß Art. 2 Abs. 2 lit. c ausgenommen und unterliegt lediglich § 1 DSG sowie ggf. leges speciales.
  65. 65 Anders der deutsche Gesetzgeber, Johannes/Richter, Privilegierte Verarbeitung im BDSG-E, Regeln für Archivierung, Forschung und Statistik, DuD 2017, 300.
  66. 66 Dies wurde bereits mit Bezug auf § 46 DSG 2000 in der Literatur kritisiert, wo mitunter eine Reduzierung der Genehmigungspflichten auf Kernbereiche gefordert wurde, vgl. Suda in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht (2009), 312 f.
  67. 67 Piltz, Die Datenschutz-Grundverordnung – Teil 1, K&R 2016, 557 (560) m.w.N.
  68. 68 EuGH 16. Dezember 2008, C-73/07.
  69. 69 https://www.parlament.gv.at/PAKT/VHG/XXV/I/I_01761/fnameorig_643604.html.
  70. 70 Unabhängig davon dürfte nach Ansicht der Autoren für die meisten Bildungs- und Forschungseinrichtungen die Pflicht zur Benennung eines Datenschutzbeauftragten gemäß Art. 37 Abs. 1 lit. b und c jedenfalls bestehen, weshalb die Klärung dieser Frage vorrangig Bedeutung für die Verhängung von Bußgeldern hat.
  71. 71 Wichtermann, Einführung eines Datenschutz-Management-Systems im Unternehmen – Pflicht oder Kür?, ZD 2016, 421; Illibauer, Datenschutzrechtliche Kontrollsysteme im Unternehmen, Dako 2016, 107.
  72. 72 Ausführlicher die «Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung» des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter, https://www.privacyofficers.at/Privacyofficers_Checkliste_Umsetzung_DSGVO_v2.0.pdf.
  73. 73 Sehr informativ dazu Selk, Projekt: Datenschutz-Grundverordnung, Ping 2017, 38 (39 ff.).