Datenschutz in der Forschung
Forschen Sie mit personenbezogenen Daten? – Dann hilft es, sich frühzeitig Gedanken zu machen: Etwa dazu, wie Sie die „informierte Einwilligung“ von den Studienteilnehmenden einholen, wie Sie Daten anonymisieren und sichern können.
Hier gelangen Sie zu den einzelnen Inhalten:
Forschen mit personenbezogenen DatenInformierte EinwilligungEinwilligung bei Minderjährigen oder nicht einwilligungsfähigen PersonenAnonymisieren und PseudonymisierenPersonenbezogene Daten sicher verarbeitenWeiterführende Informationen und Quellen
Forschen mit personenbezogenen Daten
Wenn Sie an Ihre eigene Forschung denken: Erheben Sie Namen, Kontaktdaten, Bilder oder Stimmen? Über solche Informationen – sogenannte personenbezogene Daten – lassen sich Teilnehmer*innen von Studien eindeutig identifizieren.
Die Vorgaben des Datenschutzes sind im Forschungsprozess immer dann zu beachten, wenn personenbezogene Daten natürlicher Personen erhoben oder verarbeitet werden. Ziel des Datenschutzes ist die Wahrung von Persönlichkeitsrechten natürlicher Personen. Dazu gehört das Recht auf informationelle Selbstbestimmung und der Schutz vor negativen Folgen durch die Verarbeitung personenbezogener Daten.
Im Stamp, dem „Standardisierten Datenmanagementplan für die Bildungsforschung“ ist folgender Standard definiert:
„Die Verarbeitung personenbezogener Daten erfolgt gemäß den rechtlichen Vorgaben des Datenschutzes. Dies betrifft im Projektverlauf (1) das gesicherte Verarbeiten personenbezogener Daten sowie über das Projektende hinaus (2) die Verfügbarkeit der Daten zur Nachnutzung durch Dritte und (3) die Langfristsicherung relevanter Materialien.“
Die Vorgaben des Datenschutzes gestatten das Forschen – genauer das Erheben, Verarbeiten und Nutzen – personenbezogener Daten nur,
- wenn dies gesetzlich oder durch andere Rechtsvorschriften erlaubt oder vorgeschrieben ist
- oder die jeweils betroffene Person, um deren Daten es geht, hierin eingewilligt hat (Art. 6 DSGVO; ausgeübtes informationelles Selbstbestimmungsrecht BDSG a. F. § 4 Abs. 1)
Anders formuliert ist Forschung immer dann möglich, wenn Daten anonym oder anonymisiert sind. Bei Forschung mit personengezogenen Daten muss eine Einwilligung vorliegen oder eine Rechtsvorschrift Forschung erlauben.
Was personenbezogene Daten sind, ist in der DSGVO definiert:
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. (Art. 4 Nr. 1 DSGVO)
Personen können eindeutig identifiziert werden über Angaben wie Name, Adresse, Geburtsdatum oder Versicherungsnummer. Bei diesen Angaben handelt es sich um sogenannte direkte Identifikatoren.
Neben Daten, die eine direkte Identifikation von Personen ermöglichen, können Personen auch indirekt durch Kombination von Daten identifiziert werden. Etwa, wenn es in einem namentlich bekannten Ort nur eine einzige Grundschule gibt und die Schulleiterin Teilnehmerin an einer Studie ist. Die betreffende Person kann bereits anhand der beiden Merkmale Ort und berufliche Position in ihrer Kombination eindeutig identifiziert werden.
Ob Merkmale tatsächlich personenbeziehbar sind, hängt von den Angaben ab, die vorliegen, sowie den sonstigen Informationen, die zugänglich sind.
Die DSGVO definiert „besondere Kategorien personenbezogener Daten":
Es gibt besondere Kategorien personenbezogener Daten, die als besonders sensibel gelten: „personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie […] genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. (Art. 9 Nr. 1 DSGVO)
Die besonderen Kategorien personenbezogener Daten gelten als besonders sensibel und sind besonders zu schützen.
Informierte Einwilligung
Einwilligungen von Studienteilnehmenden sind nur wirksam, wenn diese vollständig und verständlich über die Inhalte und Zwecke der Erhebung personenbezogener Daten informiert werden. Einwilligungen bestehen in der Regel aus drei Elementen:
- Informationsteil: Hier wird die Studie beschrieben und die Bitte um Einwilligung vorgetragen.
- Hinweise zum Datenschutz: In den Hinweisen wird erläutert, auf welcher rechtlichen Grundlage welche Daten erhoben werden, wie diese verwendet werden und welche Rechte die betroffenen Personen haben.
- Einverständniserklärung: Bei schriftlichen Erklärungen ist das der Abschnitt, bei dem die Betroffenen per Unterschrift ihr Einverständnis erklären.
Bei quantitativen Umfragen und Surveys wird häufig vom Einholen schriftlicher Einwilligungserklärungen abgesehen. Stattdessen wird ein Informationsblatt ausgehändigt, in dem den Studienteilnehmenden Anonymität zugesichert wird. Dieses Informationsblatt sollte auch Angaben zum Datenteilen oder der Langfristsicherung der Daten entsprechend der Guten Wissenschaftlichen Praxis enthalten.
Über welche Inhalte muss informiert werden? Welche Rechte haben Betroffene? Was hat es mit Freiwilligkeit, Widerruf und Nachteilsfreiheit auf sich? Welche Formalia sind zu beachten? Informationen finden Sie in den folgenden Checklisten und Formulierungsbeispielen:
Checkliste zur Erstellung rechtskonformer Einwilligungserklärungen | 2019
In der Handreichung des VerbundFDB werden insbesondere Erhebungen an Schulen berücksichtigt.
Formulierungsbeispiele für “informierte Einwilligungen” | 2018
In der Handreichung des VerbundFDB finden sich Textbausteine für die Erstellung von Einwilligungserklärungen.
Formulierungsbeispiele für “informierte Einwilligungen” in leichter Sprache | 2018
In der Handreichung des VerbundFDB finden sich Textbausteine für die Erstellung von Einwilligungserklärungen in leichter Sprache
UK Data Service stellt englischsprachige Informationen und Vorlagen für Einwilligungserklärungen zur Verfügung.
CESSDA Data Management Expert Guide
Eine Seite mit englischsprachigen Informationen zur Einwilligungserklärung im europäischen Raum.
Eine Anregung, wie Untersuchungspersonen in einfachen und klaren Worten über die Art der Datenverwendung bei Surveys informiert werden können, finden Sie hier:
Beispiel Survey "Private Haushalte und ihre Finanzen”
Eine Studie der Deutschen Bundesbank in Zusammenarbeit mit infas.
Beispiel Survey "Leben in Deutschland”
Eine Studie des SOEP des DIW Berlin in Zusammenarbeit mit infas.
Einwilligung bei Minderjährigen oder nicht einwilligungsfähigen Personen
Die Einwilligung zur Verwendung personenbezogener Daten ist eine höchstpersönliche Angelegenheit, die in der Regel durch die betroffene Person selbst abzugeben ist. Bei Minderjährigen sind dabei Altersgrenzen zu beachten. Neben dem Alter der Personen ist – generell und nicht nur bei Minderjährigen – die Einsichtsfähigkeit wichtiges Kriterium für das Einholen der Einwilligung. Das bedeutet, dass die betroffenen Personen in der Lage sein müssen, die Tragweite der abgegebenen Einwilligung zu erkennen.
Was ist zu tun?
- klären, welche Altersgrenzen durch die DSGVO, die nationalen Datenschutzgesetze und die Schulgesetze oder Verordnungen vorliegen
- klären, ob die betroffenen Personen einwilligungsfähig sind
- klären, bei wem die Einwilligung stellvertretend einzuholen ist
- Einwilligungserklärungen in zielgruppengerechter Sprache verfassen
unter 14-Jährige | 14 bis 17-Jährige | 18-Jährige | |||
---|---|---|---|---|---|
Einwilligung der Kinder/ Jugendlichen | empfehlenswert ist eine informelle Zustimmung | falls Einwilligungsfähigkeit vorliegt: Einwilligung falls Einwilligungsfähigkeit nicht vorliegt: Zustimmung zur Teilnahme | Einwilligung | ||
Einwilligung der Erziehungs-/Sorgeberechtigten | erforderlich und alleine ausreichend | ggf. erforderlich | nicht erforderlich | ||
Hinweis | Gegebenenfalls sind weitergehende Vorgaben der jeweiligen Schulgesetze oder Schulaufsichtsbehörden zu beachten. |
Die Verbände der Markt- und Sozialforschung in Deutschland haben Richtlinien für die Befragung von Minderjährigen in einem Dokument zusammengestellt.Richtlinien für die Befragung von Minderjährigen
Ein Beispiel für Aufklärung von Kindern aus dem Projekt TRIO:
Ein Beispiel für Aufklärung von Kindern aus dem Projekt DYNAMIK:
Anonymisieren und Pseudonymisieren
Durch Anonymisierung werden personenbezogene Daten derart verändert, dass sie nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Pseudonymisierung meint die Verarbeitung personenbezogener Daten in einer Weise, dass sich die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zuordnen lassen, ohne zusätzliche Informationen hinzuzuziehen. Die zusätzlichen Informationen, etwa eine Schlüsseldatei, liegen aber noch vor, sodass eine Identifikation grundsätzlich möglich ist.
Anonymisierung und Pseudonymisierung sind nur ein Aspekt zur Einhaltung datenschutzrechtlicher Bestimmungen und sollten im Zusammenspiel mit anderen betrachtet werden:
- den Einwilligungen der Studienteilnehmenden
- den Verfahren des Zugriffsschutzes
- den Überlegungen dazu, ob sich die Erhebung von personenbezogenen Daten vermeiden lässt
Vertiefende Informationen können Sie hier nachlesen, sich anhören oder anschauen:
Hinweise zur Anonymisierung qualitativer Daten | 2014
In der Handreichung des VerbundFDB stehen textuelle und audiovisuelle Forschungsdaten im Fokus.
Hinweise zur Anonymisierung quantitativer Daten | 2015
Die Handreichung des VerbundFDB enthält Hinweise zu verschiedenen Anonymisierungsstrategien.
Aufbereitung und Anonymisierung qualitativer Forschungsdaten | 2020
Im Webinar des VerbundFDB stehen textuelle und audiovisuelle Forschungsdaten im Fokus.
Aufbereitung und Anonymisierung quantitativer Forschungsdaten | 2019
Das Webinar des VerbundFDB enthält Hinweise zu verschiedenen Anonymisierungsstrategien.
Personenbezogene Daten sicher verarbeiten
Auch wenn die Einwilligung zur Studie und zur Verarbeitung personenbezogener Daten vorliegt, sollten weitere Maßnahmen zum Schutz getroffen werden.
- sogenannte technische und organisatorische Maßnahmen, etwa getrennte Speicherung von Identifikatoren und Daten
- schnellstmögliche Anonymisierung, sobald der Forschungszweck dies erlaubt
- die Grundsätze der Geeignetheit, der Erforderlichkeit und der Verhältnismäßigkeit der Verarbeitung der personenbezogenen Daten
- Zugriffsregelungen, durch die eine datenschutzkonforme Verwendung der personenbezogenen Daten sichergestellt wird
Weiterführende Informationen und Quellen
Zum Datenschutz
Handreichung zum Datenschutz | 2020
Der RatSWD hat eine Handreichung zum Datenschutz verfasst.
Datenschutz und Forschungsdaten | 2017
Das Dokument enthält Empfehlungen des Rats für Informationsinfrastrukturen.
Datenschutz in den Sozialwissenschaften | 2009
Häder berichtet im RatSWD Working Paper über Datenschutz.
Datenschutz in Wissenschaft und Forschung | 2002
Die Datenschutzbeauftragten Metschke & Wellbrock befassen sich mit Datenschutz im Forschungskontext.
Zur Anonymisierung und Pseudonymisierung
Anonymisierung/Pseudonymisierung in Qualiservice | 2013
Kretzer informiert über das Anonymisierungskonzept qualitativer Daten des FDZ Qualiservice.
Qualitative Daten anonymisieren und für Sekundäranalysen aufbereiten | 2021
Eine Arbeitsgruppe der Universität Bochum hat ein Anonymisierungsmodell für qualitative Daten entwickelt.
Zur DSGVO
Harmonisierung der Datenschutz-Gesetze in Europa | 2015
Eine Stellungnahme des RatSWD zur Datenschutzgrundverordnung.
The GDPR and research one year on – experiences across Europe | 2019
Ein Webinar von CESSDA zu Erfahrungen mit der DSGVO.