Verbreitung der Ergebnisse
Home » Biometrik » Einleitung und Geltungsbereich des Abschnitts Leitlinien » Ausführungsphase » Verbreitung der Ergebnisse

Am Ende der Forschungstätigkeit können die Forscher beschließen, die Ergebnisse ihrer Arbeit zu verbreiten. Sofern die Verbreitung nicht die während der Forschung verarbeiteten personenbezogenen Daten umfasst, kann die Arbeit an andere interessierte Kreise weitergegeben werden. Schließt die Verbreitung dagegen die während der Forschung verarbeiteten Daten ein (z. B. indem die Daten der wissenschaftlichen Gemeinschaft zur Begutachtung zur Verfügung gestellt werden), sollten zusätzliche Maßnahmen ergriffen werden. Die Verbreitung personenbezogener Daten stellt einen Verarbeitungsvorgang gemäß Artikel 4 Absatz 2 DSGVO dar, wobei – wie oben beschrieben – jede Verarbeitung biometrischer Daten untersagt ist, sofern keine Ausnahmen gelten. Daher sollten Forscher die bereits unter 3.2.2 beschriebenen Schritte erneut durchführen, bevor sie mit der Verbreitung fortfahren. Stützt sich der Verantwortliche auf die Rechtsgrundlage „wissenschaftliche Forschung“ und sind alle Voraussetzungen für die Annahme einer solchen Rechtsgrundlage erfüllt (siehe Abschnitt 3.2.3 „Ermittlung der am besten geeigneten Rechtsgrundlage“), lassen sich zwei weitere Szenarien unterscheiden. Im ersten Fall hat das Forschungsteam (Team A) die Forschungstätigkeit abgeschlossen und beabsichtigt nun, die Daten zum Nutzen anderer Forschungsteams (Team B) zu verbreiten. In einem solchen Szenario ist die Verbreitung kein notwendiger Vorgang, um die Forschungszwecke von Team A zu erreichen, könnte aber für die Forschungszwecke von Team B notwendig sein. Somit kann sich Team A nicht auf die Rechtsgrundlage „wissenschaftliche Forschung“ berufen. Daraus folgt, dass Team A keine Rechtsgrundlage für die Weitergabe der Daten an Team B oder einen anderen Empfänger hat, sofern keine andere Rechtsgrundlage gefunden wird (z. B. kann Team A eine ausdrückliche Einwilligung für die Weitergabe der Daten an Team B einholen). Im zweiten Szenario stellt Team A nach der Erhebung der personenbezogenen Daten fest, dass es nicht über angemessene (z. B. technische) Kapazitäten verfügt, um die Daten zu verarbeiten und die Forschung fortzusetzen. Daher beschließt Team A, sich bei der Verarbeitung der Daten auf die Fähigkeiten von Team B zu stützen. In dieser Situation ist die Verbreitung der an Team B ein notwendiger Schritt, um die Forschungszwecke von Team A zu erreichen, wobei Team B muss gemäß Artikel 28 DSGVO als „Auftragsverarbeiter“ benannt werden muss. Artikel 4 Absatz 8 DSGVO definiert einen Auftragsverarbeiter als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Die Benennung und die Aufgaben des Auftragsverarbeiters sind der betroffenen Person vor der Übermittlung mitzuteilen und erfolgen auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das zumindest den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt.

Falls personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt werden müssen[1] und vorausgesetzt, dass eine solche Übermittlung nicht unter eine oder mehrere der in Artikel 49 DSGVO[2] aufgeführten Ausnahmen fällt, sollten zusätzliche Schritte unternommen werden. Die DSGVO sieht eine Reihe von Instrumenten für die internationale Übermittlung von Daten vor. Allerdings sind derzeit noch nicht alle von ihnen anwendbar, da die zuständigen Behörden noch an der Formalisierung einiger arbeiten.

Internationale Datenübermittlung
Verfolgung eines Angemessenheitsbeschlusses Anwendbar
Verfolgung von Standarddatenschutzklauseln Anwendbar
Verfolgung von verbindlichen internen Datenschutzvorschriften Anwendbar
Verfolgung von Verhaltenskodizes Geplant
Verfolgung von Zertifizierungsmechanismen Geplant
Verfolgung eines rechtsverbindlichen Instruments zwischen öffentlichen Behörden oder Einrichtungen Geplant[3]

Im ersten Fall (Verfolgung eines Angemessenheitsbeschlusses) können die Daten in weitere EU-Staaten übermittelt werden, wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt. Ein Angemessenheitsbeschluss kann angenommen werden, wenn der andere Staat ein Datenschutzniveau bietet, das dem europäischen Standard entspricht.[4] Im zweiten Fall (Verfolgung von Standarddatenschutzklauseln) können die Daten übermittelt werden, wenn es eine Vereinbarung zwischen dem Datenexporteur und dem Datenimporteur gibt und wenn diese Vereinbarung eine Reihe von Standardklauseln zum Datenschutz enthält, die von der Europäischen Kommission vorab genehmigt wurden[5]. Im dritten Fall, wenn die extraterritoriale Übermittlung innerhalb derselben Einrichtung stattfindet (z. B. eine Übermittlung zwischen zwei Niederlassungen eines internationalen Konzerns), können die Daten übermittelt werden, wenn es verbindliche interne Datenschutzvorschriften gibt, die Garantien gemäß Artikel 47 DSGVO bieten und von der zuständigen Datenschutzaufsichtsbehörde genehmigt wurden.

 

 

Quellenangaben

1Dazu gehören alle EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen.

2Weitere Informationen finden Sie unter: Europäischer Datenschutzausschuss, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, Mai 2018.

3Zum Juli 2021 sind diese drei Optionen für die internationale Übermittlung von Daten zwar geplant, aber noch nicht umgesetzt.

4Die Liste der Länder, die durch einen Angemessenheitsbeschluss anerkannt wurden, ist abrufbar unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.

5Die aktuellste Fassung der Standardklauseln finden Sie unter: Europäische Kommission, Durchführungsbeschluss (EU) 2021/914 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (2021), https://doi.org/10.5040/9781782258674.

Skip to content