Artikel 89 Absatz 1 schreibt vor, dass bei der Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken „geeignete Garantien“ anzuwenden sind, unabhängig davon, welche Rechtsgrundlage für die Verarbeitung besteht. Der Zweck dieser Garantien besteht darin, die Einhaltung des Grundsatzes der Minimierung personenbezogener Daten zu gewährleisten (siehe Unterabschnitt „Grundsatz der Minimierung“ im Abschnitt „Grundsätze“ in Teil II dieser Leitlinien). Der erste zu prüfende Parameter ist also, ob die Voraussetzungen für die Verarbeitung personenbezogener Daten erfüllt sind, d. h. die Verarbeitung personenbezogener Daten muss für die Durchführung dieser speziellen Forschung erforderlich sein. Artikel 89 Absatz 1 sieht vor, dass geeignete Garantien „in technischen und organisatorischen Maßnahmen bestehen”, wie etwa die Pseudonymisierung. Die Pseudonymisierung muss mit anderen Vorkehrungen einhergehen, je nach den mit dem jeweiligen Projekt verbundenen Risiken. Die Verantwortlichen sollten stets dafür sorgen, dass angemessene technische und organisatorische Maßnahmen getroffen werden, die den Schutz der Rechte und Freiheiten der betroffenen Personen gewährleisten. Im Folgenden werden einige mögliche Beispiele für solche Maßnahmen oder Garantien genannt:
- Kontrolle des Zugriffs auf die Datenbanken in der Weise, dass dieser Zugriff nur autorisierten Personen für genehmigte Forschungszwecke mit berechtigtem wissenschaftlichem Interesse gestattet ist, und Implementierung einer Softwarelösung, die eine überprüfbare Kontrolle der Zugriffsprotokolle ermöglicht.
- Unterzeichnung einer rechtsverbindlichen Verpflichtung zwischen den Parteien, die die Bedingungen für die Verarbeitung enthält: Verpflichtung zur Vertraulichkeit und Nicht-Identifizierung der betroffenen Personen und Verwendung der Daten für den spezifischen genehmigten Zweck.
- Durchführung von Sicherheitsmaßnahmen zur Gewährleistung des Schutzes der Übertragung und Speicherung von Daten beim Empfänger.
- Gewährleistung der Transparenz der den Teilnehmern zur Verfügung gestellten Informationen.
- Kontinuierliche Überwachung der Verarbeitungsbedingungen im Laufe der Zeit, die in Form von Transparenzmaßnahmen (Veröffentlichung und Zugänglichkeit von Datenverwaltungsstrategien) und langfristigen Prognosen (Ermittlung der Pflichten des für die Datenverarbeitung Verantwortlichen) erfolgen könnte. In Bezug auf diesen letzten Punkt ist zu betonen, dass klare Pflichten zur Überwachung der Verwaltung/Handhabung personenbezogener Daten durch die Einrichtung, die die Forschung durchführt, festgelegt werden müssen, was insbesondere der entsprechenden Forschungsethikkommission (REC) übertragen werden könnte.
- Einrichtung eines Kontrollsystems außerhalb des Forschers, das in die Zuständigkeit des entsprechenden REC oder der Leitung des Forschungszentrums fallen könnte, die in die oben genannte Vereinbarung einbezogen werden sollten.
Darüber hinaus sollten Forscher bedenken, dass es andere Mechanismen gibt, die in der allgemeinen Regelung der Datenschutz-Grundverordnung vorgesehen sind und die ebenfalls geeignete Maßnahmen für die Verarbeitung von Daten zu Forschungszwecken im Sinne von Artikel 89 Absatz 1 vorsehen, wie etwa die Datenschutz-Folgenabschätzungen oder das Eingreifen der Datenschutzbeauftragten.Schließlich ist es interessant zu erwähnen, dass es Initiativen zur Förderung internationaler Verhaltensregeln und Zertifizierungsmechanismen gibt, die diese Schutzmaßnahmen harmonisieren könnten.