Ermittlung des Datenerhebungsansatzes
Home » Biometrik » Einleitung und Geltungsbereich des Abschnitts Leitlinien » Vorbereitungsphase » Ermittlung des Datenerhebungsansatzes

Der nächste Schritt für die Forscher besteht in der Ermittlung, ob personenbezogene Daten direkt bei den betroffenen Personen oder indirekt (z. B. über andere Forscher, kommerzielle Datenbanken usw.) erhoben werden sollen. Dies verpflichtet die Forscher zwar nicht zwangsläufig zur Wahl einer bestimmten Rechtsgrundlage (siehe Abschnitt 3.2.3 „Ermittlung der am besten geeigneten Rechtsgrundlage“), könnte diese Entscheidung jedoch beeinflussen. Wenn Forscher beispielsweise beschließen, Daten direkt bei den betroffenen Personen zu erheben, könnten sie die Einwilligung als Rechtsgrundlage vorziehen, da ohnehin eine direkte Beziehung zu den betroffenen Personen hergestellt wird. Außerdem ändern sich gemäß Artikel 13 und 14 DSGVO je nachdem, ob ein direkter oder indirekter Ansatz für die Datenerhebung gewählt wird, die Informationen, die die Verantwortlichen den betroffenen Personen bereitstellen müssen.

Informationen, die den betroffenen Personen je nach Erhebungsverfahren zur Verfügung gestellt werden müssen
Direkt Indirekt
Identität und Kontaktdaten des Verantwortlichen
Gegebenenfalls Identität und Kontaktdaten des Vertreters des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zwecke der Verarbeitung
Kategorien der betroffenen personenbezogenen Daten
Rechtsgrundlage für die Verarbeitung
Gegebenenfalls berechtigte Interessen des Verantwortlichen oder eines Dritten
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
Die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln
Im Falle einer Übermittlung das Vorhandensein oder Nichtvorhandensein eines Angemessenheitsbeschlusses der Kommission oder gegebenenfalls ein Hinweis auf die Garantien und die Mittel, um eine Kopie der Daten zu erhalten
Zeitraum, für den die personenbezogenen Daten gespeichert werden, bzw., falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums
Das Recht, Auskunft über die die betroffene Person betreffenden Daten und deren Berichtigung oder Löschung oder die Einschränkung der Verarbeitung zu verlangen oder der Verarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit
Im Falle der „ausdrücklichen Einwilligung” als Rechtsgrundlage für die Verarbeitung das Recht, die Einwilligung jederzeit zu widerrufen
Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
Die Quelle der personenbezogenen Daten und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen
Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder eine Voraussetzung für den Abschluss eines Vertrags ist und ob die betroffene Person verpflichtet ist, die Daten bereitzustellen, sowie die Folgen einer Nichtbereitstellung dieser Daten
Das Vorliegen einer automatisierten Entscheidungsfindung, einschließlich Profiling
Im Falle einer automatisierten Entscheidungsfindung Angaben zur Logik, zur Bedeutung der Verarbeitung und zu den voraussichtlichen Folgen für die betroffene Person

Die DSGVO räumt ein, dass es Fälle geben kann, in denen diese Informationspflicht nicht anwendbar ist, und führt in Artikel 14 Absatz 5 Ausnahmen auf. Diese Ausnahmen sind anzuwenden, wenn:

  • die betroffene Person bereits über die Informationen verfügt;
  • die Erteilung dieser Informationen:
    • sich als unmöglich erweist;
    • einen unverhältnismäßigen Aufwand erfordern würde;
    • voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde.

In diesem Zusammenhang ist unbedingt zu beachten, dass diese Ausnahme insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien gilt.

Außerdem muss der Verantwortliche in solchen Fällen geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit ergreifen.

  • Der Verantwortliche ist durch Rechtsvorschriften der Union oder der Mitgliedstaaten verpflichtet, die personenbezogenen Daten zu erlangen oder offenzulegen; oder
  • die personenbezogenen Daten müssen gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden.

Unabhängig davon, wie die Daten erhoben werden, muss der Verantwortliche geeignete Maßnahmen zur Gewährleistung ergreifen, dass die Daten genau und auf dem neuesten Stand sind (z. B. regelmäßige Überprüfung der Genauigkeit). Die Erhebung von Daten direkt bei den betroffenen Personen kann dazu beitragen, das Risiko der Ungenauigkeit zu verringern (insbesondere bei biometrischen verhaltenstypischen Daten, die sich im Laufe der Zeit ändern können). Außerdem muss der Verantwortliche in jeder Prozessphase für Transparenz sorgen (siehe Abschnitt 3.1. „Lawfulness, fairnessandtransparency“ im Dokument „Guidelines on Data ProtectionEthicaland Legal Issues in ICT Research and Innovation“). Eine ausführlichere Erläuterung des Rechts auf Auskunft und seiner Nuancen finden Sie im Dokument „Rechte der betroffenen Personen“.

 

Skip to content