Abstract: Der Schutz von personenbezogenen Daten wird auf unterschiedliche Weise sichergestellt. Die rechtlichen Vorgaben sind umfangreich und tiefgreifend. Der oft hohe organisatorische und technische Aufwand ist nötig, um das Risiko eines Datenmissbrauchs für die betroffenen Personen möglichst gering zu halten. Der österreichische Gesetzgeber schafft die Balance zwischen dem restriktiven Umgang mit personenbezogenen Daten und der notwenigen „Freiheit der Forschung“ durch spezielle Regelungen im Rahmen des Forschungsorganisationsgesetzes (FOG) und des Datenschutzgesetzes (DSG). Die Erreichung der Forschungsziele wird so unter gleichzeitiger Risikominimierung für natürliche Personen ermöglicht.
Bottom-line-up-front: Die rechtlichen Grundlagen zum Schutz von personenbezogenen Daten sind zur Minimierung von Risiken für natürliche Personen notwendig. Wesentlich ist im Falle der konkreten Regelungen in Österreich, dass die Forschung zwar Vorgaben und Auflagen im Bereich des Datenschutzes unterliegt, diese jedoch die Forschung nicht einschränken.
Problemdarstellung: Ist die Umsetzung der Datenschutzgrundverordnung in Österreich im Bereich der Forschung ein Hemmnis oder eine absolute Notwenigkeit?
Was nun?: Die Umsetzung der Datenschutzgrundverordnung in Österreich lässt den Forschenden viel Handlungsspielraum. Jede Form der „Verschärfung“, sei es organisatorisch oder technisch, wäre hier kontraproduktiv.
Source: shutterstock.com/Wright Studio
Daten als notwendige Grundlage für die Forschung
Der Schutz persönlicher und personenbezogener Daten wird mit fortschreitender Digitalisierung immer wichtiger. Viele Gegenstände des täglichen Lebens – beispielsweise Mobiltelefon und Smartwach – sammeln unterschiedlichste, teils hochsensible Daten. Für viele Unternehmen ist die Gewinnung, die Verarbeitung und der Verkauf dieser Daten ein lukratives Geschäftsmodell geworden. Die Gefahr im Falle des Missbrauches dieser Daten für den einzelnen ist real und kann mitunter gravierende Folgen haben. Die Europäische Union hat mit der Datenschutzgrundverordnung (DSGVO) ein wichtiges Regulativ geschaffen, um einen „Grundschutz“ sicherzustellen.
Für viele Unternehmen ist die Gewinnung, die Verarbeitung und der Verkauf dieser Daten ein lukratives Geschäftsmodell geworden. Die Gefahr im Falle des Missbrauches dieser Daten für den einzelnen ist real und kann mitunter gravierende Folgen haben.
Doch wie sollen Forschungsergebnisse zum Beispiel im medizinischen Bereich generiert werden, wenn der Zugang und die Verarbeitung von personenbezogenen Daten rigoros reglementiert wird?
Dieser Artikel betrachtet die rechtlichen Regelungen zum Datenschutz in Österreich im Lichte der Forschung, um im Rahmen der Analyse sowohl die Notwendigkeit des Schutzes personenbezogener Daten als auch die Einschränkungen für die Forschung gegenüberzustellen.
Wissenschaft, Forschung und die Freiheit der Wissenschaft
Der deutsche Verfassungsrechtsexperte Paul Kirchhof definiert den Begriff der Wissenschaft wie folgt: „Wissenschaft ist die planmäßige, methodisch kontrollierte, unbefangene Suche nach Erkenntnissen und die Vermittlung dieser Erkenntnisse.“[1] Dies deckt sich auch mit der Definition von Prof. Dr. Bendel im Gabler Wirtschaftslexikon: „Die Wissenschaft strebt Erkenntnisgewinn (Forschung) und -vermittlung (Lehre) an, wobei sie anerkannte und gültige Methoden benutzt und Resultate veröffentlicht beziehungsweise einbezieht.“[2] Die Forschung ist demnach, gleich wie die Lehre, Teil und erklärtes Ziel der Wissenschaft. Der Umgang der jeweiligen Gesellschaft mit Wissenschaft kann auch als Referenz der gelebten Freiheit, Entwicklungsfähigkeit und Innovationsfähigkeit gesehen werden.[3]
Der Umgang der jeweiligen Gesellschaft mit Wissenschaft kann auch als Referenz der gelebten Freiheit, Entwicklungsfähigkeit und Innovationsfähigkeit gesehen werden.
Wie in der angeführten Definitionen des Wissenschaftsbegriffes bereits dargestellt, hat die Forschung einen Erkenntnisgewinn zum Ziel, welcher abhängig von der Wissenschaftsdisziplin ist. Eine Definition des Forschungsbegriffes erfolgt weder im Rahmen der Charta der Grundrechte der Europäischen Union (GRC)[4], noch in der Datenschutzgrundverordnung[5] (DSGVO) oder im Datenschutzgesetz (DSG).[6], [7]
Wissenschaftsfreiheit
Die Freiheit der Wissenschaft ist unter anderem im Artikel 13 Satz 1 der Charta der Grundrechte der Europäischen Union (GRC) (Freiheit der Kunst und der Wissenschaft) verankert. Eine weitere Würdigung findet die Wissenschaftsfreiheit indirekt im Artikel 10 Absatz 2 der Europäischen Menschenrechtskonvention (EMRK) durch die Äußerungsfreiheit der Forschenden.[8]
Im Rahmen einer Publikation der Heinrich-Böll-Stiftung wurde speziell der gelebte Umgang mit der Freiheit der Wissenschaft betrachtet. Im Rahmen dieser Publikation wird die Wissenschaftsfreiheit wie folgt dargestellt: „Wissenschaftsfreiheit bedeutet, der wissenschaftlichen Neugierde nachgehen zu dürfen und Thesen frei entwickeln und diskutieren zu können. Sie lebt von freiem Zugang zu bestehendem Wissen und zahlt ihre Dividenden in Erkenntnissen, Innovationen, Analysen, Gewissheiten, Zweifeln und Ideen an die Gesellschaft zurück.“[9] Dies verdeutlicht neben der freien Entwicklung von Thesen und deren Diskussion vor allem den freien Zugang zu bestehendem Wissen und damit auch dem Umgang und die Speicherung von Daten.[10]
Eine klare Definition des in der DSGVO sowie dem DSG verwendeten Begriffes „wissenschaftlicher Forschungszweck“ ist in keiner dieser angeführten Rechtsquellen zu finden. Grundlage zur Auslegung des Terminus liefert unter anderem der Erwägungsgrund 159 DSGVO, in welchem dezidiert „die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung“[11] eingeschlossen wird. Diese Formulierung lässt ein breites Spektrum an wissenschaftlichen Forschungszwecken sowie deren Stakeholdern[12] zu. Es bleibt somit vor allem in der Auslegung Interpretationsspielraum, welche Erhebungen genau unter einem „wissenschaftlichen Forschungszweck“ fallen und somit von den in weiterer Folge dargestellten Privilegien im Bereich des Datenschutzes profitieren können oder nicht.[13]
Personenbezogene Daten
Im § 36 Absatz 2 des DSG wird der Begriff der personenbezogenen Daten wie folgt dargestellt: „… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ . Folgt man dieser Begriffsbestimmung so sind unter anderem Daten wie Name, Adresse, Geburtsdatum, Bankdaten und dergleichen hier zu berücksichtigen.
Im Artikel 9 DSGVO wird der Begriff der personenbezogenen Daten erweitert. Dieser umschließt „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“[14]. Da für die unterschiedlichen Forschungszweige diese Daten von besonderer Relevanz sein können, müssen sie in weiterer Folge besonders berücksichtigt werden.
Wissenschaftliche Forschung im Datenschutzrecht
Rechtsstellung der Wissenschaft und Forschung
Die Rechtsstellung der Wissenschaft sowie der Wissenschaftsfreiheit findet sich im Artikel 13 Charta der Grundrechte der Europäischen Union „Kunst und Forschung sind frei“[15] sowie im Artikel 17 Staatsgrundgesetz mit dem Passus „Die Wissenschaft und ihre Lehre ist frei“.[16] Im Artikel 81 lit c Absatz 1 des B-VG wird die „freie wissenschaftliche“ Forschung dezidiert den öffentlichen Universitäten zugeordnet.[17]
Die Rechtsstellung der Wissenschaft sowie der Wissenschaftsfreiheit findet sich im Artikel 13 Charta der Grundrechte der Europäischen Union sowie im Artikel 17 Staatsgrundgesetz.
Ein für die Analyse relevantes Gesetz ist das Forschungsorganisationsgesetz (FOG). Im § 1 Absatz 3 Nr 1 FOG wird vor allem auf die Regelung der Rahmenbedingungen für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der wissenschaftlichen Forschung eingegangen. Dieses Bundesgesetz regelt die für die Erreichung der Forschungsziele möglichen Ausnahmen zu den Bestimmungen in der DSGVO und dem DSG.
Rechtliche Sonderstellung der wissenschaftlichen Forschung
Im § 2d Absatz 6 FOG werden jene Ausnahmen angeführt, welche notwendig sind um die im Artikel 89 Absatz 2 DSGVO genannten Zwecke[18] zu ermöglichen.[19]
Diese sind:
- „Auskunftsrecht der betroffenen Person (Art 15 DSGVO),
- Recht auf Berichtigung (Art 16 DSGVO),[20]
- Recht auf Löschung beziehungsweise Recht auf Vergessenwerden (Art 17 DSGVO),
- Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO),[21]
- Recht auf Datenübertragbarkeit (Art 20 DSGVO)[22] sowie
- Widerspruchsrecht (Art 21 DSGVO).“[23]
Auskunftsrecht der betroffenen Person
Das Auskunftsrecht der betroffenen Person umfasst gemäß Art 15 Absatz 1 DSGVO das Recht Auskunft über die Verarbeitung, den Empfänger sowie die Dauer der Speicherung. Wie oben angeführt gilt dies gemäß § 2 lit d Nummer 6 FOG für die Verwendung der personenbezogenen Daten im Rahmen der wissenschaftlichen Forschung nicht. Dies entbindet die forschende Stelle von der Bekanntgabe der oben angeführten Informationen und damit auch von den möglicherweise damit verbundenen Konsequenzen wie zum Beispiel einer Berichtigung und Löschung. Auch eine „Negativauskunft“[24] ist in diesem Fall nicht vorgesehen.[25]
Einwilligung in die Verarbeitung personenbezogener Daten
Die Verarbeitung von personenbezogenen Daten wird im Artikel 6 DSGVO[26] (Rechtmäßigkeit der Verarbeitung) im Detail beschrieben. Hier ist besonders Artikel 6 Absatz 1 lit a DSGVO hervorzuheben. In diesem Zusammenhang ist die in Artikel 4 Ziffer 11 DSGVO dargestellte, nach vorhergehender Information unmissverständlich abgegebene Willensbekundung, notwendig.[27] Dies betrifft auch die Nutzung von Gesundheitsdaten.[28]
Eine Sonderstellung nimmt die Forschung im Erwägungsgrund 33 DSGVO ein. Diesem folgend kann aufgrund dessen, dass der Zweck der Datenverarbeitung im Rahmen des Forschungsprozesses oftmals noch nicht klar angegeben werden kann, die Einwilligung umfassender[29] zu formulieren sein.[30] Dies wird in den im Artikel 5 Absatz 1 lit b DSGVO dargestellten Grundsätzen zur Verarbeitung personenbezogener Daten bestärkt. Hier wird vor allem auf „festgelegte, eindeutige und legitime Zwecke“[31] hingewiesen.
Der im § 2 lit d Absatz 3 FOG als „broad consent“[32] bezeichnete Zugang ist ergänzend zu den oben angeführten im Artikel 4 Nummer 11 DSGVO dargestellten Gründen unter der Voraussetzung der Freiwilligkeit, Informiertheit und unmissverständlichen Willensbekundung möglich. Gemäß § 2 lit d Absatz 3 FOG ist die Angabe eines Zweckes in Form: „1. eines Forschungsbereiches oder 2. mehrerer Forschungsbereiche oder 3. von Forschungsprojekten oder 4. von Teilen von Forschungsprojekten“[33] möglich. Eine weitere Darstellung ergibt sich aus Artikel 3 Absatz 2 lit a Charta der Grundrechte der Europäischen Union im Bereich der Medizin und Biologie. Hier wird eine „freie Einwilligung der betroffenen Person nach vorheriger Aufklärung entsprechend den gesetzlich festgelegten Modalitäten“[34] gefordert.[35] Als Erkenntnis aus dem dargestellten „broad consent“ wird unter anderem eine verpflichtende Aufklärung über das nicht geltende Widerrufsrecht[36] gefordert.[37]
Dauer der Speicherung personenbezogener Daten
Die Dauer der Speicherung personenbezogener Daten im Rahmen der wissenschaftlichen Forschung erhält im Artikel 3 Absatz 1 lit e DSGVO eine Sonderstellung. Im Falle eines wissenschaftlichen Forschungszweckes dürfen die Daten auch über den Wegfall der Erforderlichkeit hinaus gespeichert werden.[38] In diesem Zusammenhang muss gesondert auf Artikel 89 Absatz 1 DSGVO[39] Rücksicht genommen werden, in welchem „geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen“[40] gefordert werden. Dies fordert vor allem technische und organisatorische Maßnahmen[41] zur Datenminimierung.[42] Eine konkrete Zeitdauer der Speicherung wird nicht angegeben. Eine Pseudonymisierung der Daten ist somit nach der Nutzung im primären Forschungsprojekt vorzusehen. Dies trifft vor allem dann zu, wenn es sich besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO handelt oder die Daten erhöhten Risiken ausgesetzt sind.[43]
Recht auf Löschung beziehungsweise Recht auf Vergessenwerden
Im Artikel 17 Absatz 3 lit d DSGVO wird eine Sonderstellung der Forschung im Bereich der Löschung von personenbezogenen Daten vorgesehen. Diesem folgend hat die betroffene Person nicht das Recht der unverzüglichen Löschung, wenn wissenschaftliche oder historische Forschungszwecke und damit voraussichtlich „die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt“[44] werden. Diese Ausnahme findet sich auch im § 2 lit d Nummerr 6 FOG wieder. Durch diese Ausnahme wird vor allem auch die gemäß Erwägungsgrund 59 DSGVO angeführte Festlegung von Modalitäten, welche den betroffenen Personen die Beantragung der Löschung oder des Widerspruches[45] ermöglichen sowie der § 45 Absatz 1 DSG als Recht auf Berichtigung oder Löschung personenbezogener Daten und auf Einschränkung der Verarbeitung obsolet.
Weitergabe von personenbezogenen Daten
Die Weitergabe von personenbezogenen Daten für wissenschaftliche Forschungszwecke[46] wird im § 2 lit f Nummer 1 FOG zum Zwecke eines „optimalen Zuganges zu Daten und Forschungsmaterial“ gesondert geregelt. Die Besonderheit stellt gemäß § 2 lit f Nummer 2 FOG die Erlaubnis der direkten Bereitstellung von personenbezogenen Daten an andere wissenschaftliche Einrichtungen unter bestimmten Auflagen[47] dar. Eine weitere Vereinfachung der Weitergabe wissenschaftlicher Daten in Mitgliedsstaaten der Europäischen Union wird durch § 2 lit j FOG[48] geregelt. Hier wird vor allem die Übermittlung an wissenschaftliche Einrichtungen[49], Gutachterinnen und Gutachter sowie österreichische öffentliche Stellen[50] angeführt.
Widerspruchsrecht
Der Artikel 21 DSGVO regelt das Recht der betroffenen Person gegen die Verarbeitung der betreffenden personenbezogenen Daten Widerspruch einzulegen. Dies kann entweder aus besonderen Gründen (Artikel 21 Nummerr 1 DSGVO) oderbei einer Verarbeitung zum Zwecke der Direktwerbung (inklusive Profiling[51]) gemäß Artikel 21 Nummer 2 sowie Nummer 3 DSGVO erfolgen.
Erwähnenswert ist im Zusammenhang mit Artikel 21 Nummer 6 DSGVO, dass das Recht des Widerspruches auch im Falle der Verwendung zu wissenschaftlichen Forschungszwecken gemäß § 2 lit d Ziffer 6 FOG nicht anzuwenden ist.[52] Dies wird durch die Anwendung des Artikel 9 Absatz 2 lit j (Verwendung von Daten zur Erreichung eines wissenschaftlichen Forschungszweckes) und der Anwendung Datenschutz-Folgenabschätzung im FOG gemäß Erwägungsgrund 90 DSGVO ermöglicht.[53]
Datenschutzrechtliche Auflagen in der wissenschaftlichen Forschung
Im Abschnitt 2 FOG werden die grundlegenden Bestimmungen zum Schutz personenbezogener Daten auch für die wissenschaftliche Forschung dargestellt. Diese Regelungen sind in Übereinstimmung mit Artikel 9 Absatz 2 lit j und Artikel 89 Absatz 1 DSGVO und werden im § 2 lit d Absatz 1 FOG detailliert angeführt.
Zusammengefasst lassen sich die allgemeinen Datensicherheitsmaßnahmen wie folgt darstellen:
- „die Pflicht zur Protokollierung,
- das Datengeheimnis,
- die Verarbeitung nur für Zwecke des FOG,
- das Benachteiligungsverbot,
- das Verbot der Veröffentlichung von bPK[54] sowie
- die Reduktion des Personenbezugs.“[55]
Sollte es gemäß § 2 lit d Absatz 2 FOG anstelle des Namens zu der Verwendung von bereichsspezifischen Personenkennzeichen für den Tätigkeitsbereich „Forschung“ (bPK‑BF‑FO) kommen, sind weitere Maßnahmen[56] einzuhalten.
Sollte die Registerforschung angewandt werden, sind § 2 lit d Absatz 2 Nummerr 3 FOG ergänzend zu den bereits dargestellten allgemeinen und besonderen Datensicherungsmaßnahmen weitere Maßnahmen[57] einzuhalten.
Datenschutz als Notwendigkeit
Würde es keine rechtliche Regelung zum Datenschutz geben, wäre das im Artikel 7 der Charta der Grundrechte der Europäischen Union sowie im Artikel 8 der Europäische Menschenrechtskonvention (EMRK) dargestellte „Recht auf Achtung des Privat- und Familienlebens“ vor allem in Anbetracht der fortschreitenden Digitalisierung nur schwer umsetzbar. Die datenschutzrechtlichen Regelungen sollen vor allem den Schutz der Privatsphäre und das Recht auf Selbstbestimmung gewährleisten.[58]
Würde es keine rechtliche Regelung zum Datenschutz geben, wäre das im Artikel 7 der Charta der Grundrechte der Europäischen Union sowie im Artikel 8 der Europäische Menschenrechtskonvention (EMRK) dargestellte „Recht auf Achtung des Privat- und Familienlebens“ vor allem in Anbetracht der fortschreitenden Digitalisierung nur schwer umsetzbar.
Dieses Recht umfasst den grundsätzlichen Anspruch den staatlichen Eingriff in das Privat- und Familienleben zu minimieren sowie die Befugnis des Einzelnen, selbst zu entscheiden, welche persönlichen Daten wann und in welcher Art veröffentlicht werden.[59] Das Recht auf Schutz der personenbezogenen Daten ist primärrechtlich durch Artikel 8 Absatz 1 Charta der Grundrechte der Europäischen Union und im Artikel 16 Absatz 1 Vertrag über die Arbeitsweise der Europäischen Union[60] verankert.[61]
Ergänzend zu diesen Ausführungen wird international häufig der Begriff der informationellen Selbstbestimmung verwendet. Dieser ist u.a. in Deutschland einer der zentralen Leitgedanken des Datenschutzes und wurde durch das Volkszählungsurteil des Bundesverfassungsgerichtes[62] in Umlauf gebracht und umfangreich diskutiert.[63] Der Begriff der informationellen Selbstbestimmung ist in Österreich nicht positiviert und wird daher in dieser Arbeit nicht näher analysiert.
Daten – ein wertvolles Gut
Daten – personenbezogene Daten – werden ständig gesammelt – seien es nun Nutzerdaten im Internet, Bewegungsprofile durch das GPS-Tracking am Mobiltelefon oder physiologische Daten durch die Smartwach am Handgelenk. Der Handel mit diesen Daten ist für viele Unternehmen ein lukratives Geschäftsmodell geworden.[64], [65] Die oft enthaltenen personenbezogenen Daten wie beispielsweise Adresse, Telefonnummer, Kontoverbindung können bei missbräuchlicher Verwendung zu einem Risiko für die betroffene Person werden.[66] Dieses Risiko besteht vor allem im Rahmen der gemäß § 39 DSG[67] dargestellten „besonderen Kategorien personenbezogener Daten“[68].
Die oft enthaltenen personenbezogenen Daten wie beispielsweise Adresse, Telefonnummer, Kontoverbindung können bei missbräuchlicher Verwendung zu einem Risiko für die betroffene Person werden.
Eines der Risiken ohne eines funktionierenden Datenschutzrechtes ist der Missbrauch von personenbezogenen Daten. Werden diese (wahrheitsgemäß oder verändert) verarbeitet und veröffentlicht kann es für den Rest des Lebens zu Vorverurteilungen kommen. Dies wird beispielsweise im Urteil des Europäischen Gerichtshofes (EUGH) C-131/12 hervorgehoben. In diesem Fall war es möglich über eine Internetsuchmaschine zu Unterlagen über eine Versteigerung eines Grundstückes im Zusammenhang mit einer Pfändung des Betroffenen, inklusive aller persönlicher Daten, zu kommen. Die Veröffentlichung dieser Daten hatte für den Betroffenen entsprechende Nachteile, unter anderem in der Arbeitsplatzsuche.[69]
Resümee
Das österreichische Forschungsorganisationsgesetz schafft für die wissenschaftliche Forschung viele Freiräume zur Durchführung der Forschungstätigkeit. Die Erreichung der Forschungsziele ist auch im Datenschutzrecht u.a. im Erwägungsgrund 159 DSGVO besonders relevant und begründet eine umfangreiche Sonderstellung. Diese Sonderstellung ist nötig, um das im Artikel 179 Absatz 1 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) festgeschriebene Ziel eines europäischen Forschungsraumes und eine Entwicklung der Wettbewerbsfähigkeit zu fördern. Vor allem die im § 2 lit d Nummer 6 FOG erläuterten Ausnahmen zur DSGVO erleichtern die Datenerhebung und die Datenverarbeitung und ermöglichen somit das Erreichen des jeweiligen Forschungszieles.
Die rechtliche Sonderstellung der Forschung entbindet die Forschungseinrichtungen jedoch nicht von den grundlegenden Bestimmungen zum Schutz personenbezogener Daten gemäß Artikel 9 Absatz 2 lit j und Artikel 89 Absatz 1 DSGVO. Diese verpflichtenden Maßnahmen sind organisatorischer wie technischer Natur und sind wesentlich, um die Datensicherheit zu gewährleisten.
Die rechtliche Sonderstellung der Forschung entbindet die Forschungseinrichtungen jedoch nicht von den grundlegenden Bestimmungen zum Schutz personenbezogener Daten.
Diese angeführten Pflichten stellen zwar einen teilweise erheblichen technischen und organisatorischen Aufwand dar, auch in manchen Bereichen eine Einschränkung für die jeweilige Forschungseinrichtung. Gesamt ist es durch die angeführten Privilegien sogar im (besonders sensiblen) Bereich der medizinischen Forschung möglich, medizinisch relevante Daten mit direktem Personenbezug zu verarbeiten. Dies trägt zum Beispiel zur Früherkennung von Krankheiten bei.
Aufgrund der Gegenüberstellung der Pflichten/Einschränkungen für die Forschungseinrichtungen und der datenschutzrechtlichen Sonderstellung lässt sich festhalten, dass der Datenschutz die Forschung in Österreich nicht hemmt. Dies liegt vor allem an den zahlreichen Erleichterungen im Vergleich zu anderen datenverarbeitenden Stellen.
Aufgrund der Gegenüberstellung der Pflichten/Einschränkungen für die Forschungseinrichtungen und der datenschutzrechtlichen Sonderstellung lässt sich festhalten, dass der Datenschutz die Forschung in Österreich nicht hemmt.
Das im Artikel 7 der Charta der Grundrechte der Europäischen Union sowie im Artikel 8 der Europäischen Menschenrechtskonvention dargestellte „Recht auf Achtung des Privat- und Familienlebens“ legt die Grundlage für das Datenschutzrecht in der Europäischen Union. Der im Rahmen der Analyse dargestellte Schutz vor Missbrauch personenbezogener Daten ist aus Sicht des Autors besonders relevant und gerade im Zeitalter der fortschreitenden Digitalisierung und der globalen Vernetzung absolut notwendig. Aus diesem Grund lässt sich festhalten, dass der Datenschutz (in der Forschung) Risiken für natürliche Personen minimiert. Dies liegt vor allem in den in manchen Forschungsdisziplinen verarbeiteten besonderen personenbezogenen Daten.
Aus diesem Grund lässt sich festhalten, dass der Datenschutz (in der Forschung) Risiken für natürliche Personen minimiert.
Die datenschutzrechtliche Sonderstellung der wissenschaftlichen Forschung kann auch ausgenutzt werden. Der breite Verzicht auf das Berichtigungs-, Widerspruchs- und Löschungsrecht kann unter Umständen langfristige Folgen nach sich ziehen. Es stellt sich hier die Frage, ob dieser umfangreiche Verzicht im Zuge einer Einwilligung zur Verarbeitung der personenbezogenen Daten den Betroffenen auch wirklich bewusst ist.
Alexander Treiblmaier; Forschungsinteresse: Auswirkungen der technologischen Entwicklungen auf die Führung im militärischen Umfeld. Bei den in diesem Artikel vertretenen Ansichten handelt es sich um die des Autors. Diese müssen nicht mit jenen des Bundesministeriums für Landesverteidigung übereinstimmen.
[1] Paul Kirchhof, Wissenschaft in verfaßter Freiheit: Festvortrag beim Festakt aus Anl. d. 600. Wiederkehr d. Gründungstages d. Univ. Heidelberg am 18. Okt. 1986, Heidelberger Forum 50 (Heidelberg: v. Decker & Müller, 1986), 2.
[2] Bendel in Springer Fachmedien Wiesbaden GmbH, Wirtschaftslexikon Gabler, accesed 15. 7. 2019, https://wirtschaftslexikon.gabler.de/definition/wissenschaft-100061/version-370808.
[3] Kai Gehring and Philip Antony, Wissenschaftsfreiheit: 13 Thesen Zur Bedeutung Der Wissenschaft Für Die Offene Gesellschaft Und Umgekehrt (Berlin: Heinrich-Böll-Stiftung e.V., 2017), 3.
[4] Im Rahmen der Charta der Grundrechte der Europäischen Union wird der Begriff „Forschung“ nur im Artikel 13 GRC im Zusammenhang mit der Freiheit von Kunst und Wissenschaft angeführt.
[5] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
[6] Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG).
[7] In der DSGVO sowie dem DSG wird der Begriff „Forschung“ vor allem im Zusammenhang mit Forschungsergebnissen und Forschungszwecken angeführt.
[8] Josef F. Lindner, “Das Grundrecht Der Wissenschaftsfreiheit,” (JURA – Juristische Ausbildung 40, no. 3, 2018), 242.
[9] Kai Gehring and Philip Antony, Wissenschaftsfreiheit: 13 Thesen Zur Bedeutung Der Wissenschaft Für Die Offene Gesellschaft Und Umgekehrt (Berlin: Heinrich-Böll-Stiftung e.V., 2017), 3.
[10] Siehe dazu „Dauer der Speicherung personenbezogener Daten“ sowie „Weitergabe von personenbezogenen Daten“.
[11] Erwägungsgrund 159 DSGVO.
[12] Es ist somit möglich, dass neben staatlichen Institutionen wie Universitäten sowie anderen Forschungseinrichtungen auch in industrielle Betriebe „wissenschaftliche Forschung“ betrieben wird.
[13] Christian L. Geminn, “Wissenschaftliche Forschung Und Datenschutz: Neuerungen durch die Datenschutz-Grundverordnung,” Datenschutz und Datensicherheit – DuD 42, No. 10 2018, 642.
[14] Artikel 9 Absatz 1 DSGVO.
[15] Artikel 13 Charta der Grundrechte der Europäischen Union.
[16] Artikel 17 Staatsgrundgesetz (StGG).
[17] B-VG Artikel 81 lit c Nummer 1.
[18] In diesem Zusammenhang sind dies die Voraussetzungen zur Verwirklichung der wissenschaftlichen Forschungszwecke.
[19] Da die Zweckerreichung durch andere Maßnahmen der Risikominimierung (technische, organisatorische, Anonymisierung oder Pseudonymisierung) in vielen Fällen nicht möglich ist, ist diese Ausnahmeregelung notwendig.
[20] Dies umfasst das Recht unverzüglich die Berichtigung/Vervollständigung der personenbezogenen Daten zu verlangen. (Siehe Artikel 16 DSGVO).
[21] Dies umfasst das Recht unter bestimmten Voraussetzungen wie zum Beispiel das Bestreiten der Richtigkeit der personenbezogenen Daten, einer unrechtmäßigen Verarbeitung, der Wegfall des Verwendungszweckes oder einem eingelegten Widerspruch. (Siehe Artikel 18 DSGVO).
[22] Dies umfasst das Recht die bereitgestellten personenbezogenen Daten in einer vorgegebenen Form (Artikel 20 Absatz 1 DSGVO) direkt oder an einem anderen Verantwortlichen (Artikel 20 Absatz 2 DSGVO) übertragen zu lassen. (Siehe auch Artikel 18 DSGVO).
[23] § 2 lit d Ziffer 6 FOG.
[24] Als „Negativauskunft“ wird die Bestätigung, dass keine Daten zu der jeweiligen Person verarbeitet werden, verstanden.
[25] Martina Gantschacher et al., Datenschutz-Grundverordnung: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016: zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Berichtigung vom 26.10.2016 bereits eingearbeitet), 1. Auflage (Wien: Sigmund Freud University Press, 2017), 189.
[26] Siehe hierzu Artikel 6 Absatz 1 Unterabsatz 1 lit a bis f DSGVO.
[27] Artikel 4 Nummer 11 DSGVO.
[28] Siehe hierzu Artikel 9 Absatz 2 lit a DSGVO.
[29] Dies darf gemäß Erwägungsgrund 33 DSGVO nur unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung erfolgen.
[30] Erwägungsgrund 33 DSGVO.
[31] Artikel 5 Absatz 1 lit b DSGVO.
[32] Dieser erlaubt die Verarbeitung von Daten mit breiter Einwilligung. Ursprünglich war ein „blanket consent“ vorgesehen. Dies hätte eine Verarbeitung auch ohne Festlegung auf einen Bereich ermöglicht. Dies ist jedoch aufgrund von Interventionen nicht umgesetzt worden. Johann Olk, “Datenschützer Erlauben Erstmals Breite Einwilligung Bei Datenspende: Meilenstein Für Die Medizinische Forschung: Patienten Können Bald Ihre Daten Zur Verfügung Stellen, Ohne Sich Dabei Auf Ein Projekt Festlegen Zu Müssen.” Handelsblatt, April 27, 2020, online, accessed November 8, 2021, https://www.handelsblatt.com/politik/deutschland/medizinische-forschung-datenschuetzer-erlauben-erstmals-breite-einwilligung-bei-datenspende/25775418.html?ticket=ST-2636120-DKXdv5zvff1vad6z00AN-cas01.example.org
[33] § 2 lit d Absatz 3 FOG.
[34] Artikel 3 Absatz 2 lit a Charta der Grundrechte der Europäischen Union.
[35] Dies bezieht sich nicht nur mittelbar auf den Datenschutz. Unmittelbar steht das Recht auf Unversehrtheit im Mittelpunkt.
[36] Siehe dazu auch Kapitel 4.2.6 Widerspruchsrecht.
[37] Klara Haimberger, “Widerruf Oder Widerspruch? Verhinderung Einer Datenverarbeitung Auf Grundlage Des Broad Consent,” (Journal für Medizin- und Gesundheitsrecht, May 4, 2021, 1), 29f.
[38] Artikel 3 Absatz 1 lit e DSGVO.
[39] Siehe hierzu auch Erwägungsgrund 156 DSGVO.
[40] Artikel 89 Absatz 1 DSGVO.
[41] In diesem Zusammenhang wird die Pseudonymisierung (sofern möglich) explizit angeführt.
[42] Artikel 89 Absatz 1 DSGVO.
[43] Kathrin Schürmann, “Anonymisierung Und Pseudonymisierung in Der Praxis,” (Datenschutzbehörde, 2021), 50.
[44] Artikel 17 Absatz 3 lit d DSGVO.
[45] Dies muss gemäß Erwägungsgrund 59 DSGVO innerhalb einer Frist eines Monats beantwortet werden.
[46] Siehe hierzu Artikel 89 Absatz 1 DSGVO.
[47] Siehe im Detail § 2 lit f Nummer 2 FOG (zum Beispiel nachweisliche Aufklärung über Pflichten, Vorkehrungen zur Einhaltung der Pflichten, …).
[48] Dies sind zum Beispiel wissenschaftliche Einrichtungen, Förder- und Zuwendungsstellen, Gutachterinnen und Gutachter oder österreichische öffentliche Stellen. Siehe dazu auch BGBl. I – Ausgegeben am 16. Mai 2018 – Nr 31; Anhang 4: Datenschutz-Folgenabschätzung zu § 2 lit d Absatz 2 FOG.
[49] Siehe dazu § 2 lit b Nummer 12 FOG.
[50] Ergänzend dazu § 4 Nummer 1 Informationsweiterverwendungsgesetz (IWG).
[51] Profiling ist nach Artikel 4 Nummer 4 DSGVO jede Form der automatisierten Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte.
[52] Klara Haimberger, “Widerruf Oder Widerspruch? Verhinderung Einer Datenverarbeitung Auf Grundlage Des Broad Consent,” (Journal für Medizin- und Gesundheitsrecht, May 4, 2021, 1), 26.
[53] BGBl. I – Ausgegeben am 16. Mai 2018 – Nummer 31; Anhang 4: Datenschutz-Folgenabschätzung zu § 2 lit d Absatz 2 FOG.
[54] Bereichsspezifische Personenkennzeichen (bPK).
[55] BMASGK, Schutz Sensibler Daten: Position Der Gesundheitssektionen VIII Und IX Des BMASGK, with the assistance of Eva C. Lang et al. (Wien: BMASGK, 2019), 13.
[56] Diese sind u.a. die Offenlegung der Rechtsgrundlage im Internet, die Bindung der Verarbeitung an gültige Aufträge, die Belehrungspflicht von Mitarbeiter/innen sowie Zugriffsregelungen und einige andere Maßnahmen. Vgl. ebd. 14.
[57] Dies ist zum Beispiel die Bestellung eines Datenschutzbeauftragten oder die Löschung von allfälligen Namensangaben nach Zielerreichung. Vgl. ebd.
[58] Christoph Grabenwarter, “Das Recht Auf Informationelle Selbstbestimmung Im Europarecht Und Im Verfassungsrecht,” Anwaltsblatt, 7-8, (January 2015): 405,
[59] Holger A. Kastler, Föderaler Rechtsschutz: Personenbezogene Daten in einem Raum der Freiheit, der Sicherheit und des Rechts (Wiesbaden: Springer Fachmedien Wiesbaden, 2016), 182.
[60] Beide „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“.
[61] Siehe hierzu auch Erwägungsgrund 1 DSGVO.
[62] Siehe hierzu BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983 – 1 BvR 209/83 – Randnummer 1-215.
[63] Michael Friedewald, Jörn Lamla and Alexander Roßnagel, eds., Informationelle Selbstbestimmung im digitalen Wandel, Research (Wiesbaden, Heidelberg: Springer Vieweg, 2017), 11.
[64] Es hat sich der Begriff der „Datenökonomie“ entwickelt. Dieser ist bereits 2019 ein bedeutender Teil der Wirtschaft in Europa geworden und die Tendenz ist steigend. Vgl. Koller, Datenökonomie, Wirtschaftspolitische Blätter (4).
[65] lorian Koller, “Datenökonomie,” Wirtschaftspolitische Blätter, Dezember 2019, 2f.
[66] Datenschutz.org in, „Datenhandel Alle wollen den Datenschatz heben“ Datenschutz.org, acessed Oktober 2021, https://www.datenschutz.org/datenhandel/.
[67] Siehe dazu auch Artikel 9 Absatz 1 DSGVO.
[68] Siehe „Personenbezogene Daten“.
[69] Martina Gantschacher et al., Datenschutz-Grundverordnung: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016: zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Berichtigung vom 26.10.2016 bereits eingearbeitet), 1. Auflage (Wien: Sigmund Freud University Press, 2017), 206.