Frederic Tronnier (GUF)
Dieser Teil der Leitlinien wurde von Aurélie Pols und Iñigo de Miguel Beriain geprüft.
Dieser Teil des Leitfadens wurde von Marko Sijan, Senior Advisor Specialist, (HR DPA) überprüft und bestätigt.
Dieser Teil der Leitlinien enthält Ratschläge für Forscher, die verarbeitete Daten mit anderen Forschern oder Forschungseinrichtungen teilen möchten, nachdem sie ihre ursprüngliche Forschungsaufgabe erfüllt haben. Die gemeinsame Nutzung von Daten mit anderen Forschern wird wahrscheinlich als eine Form der „Verbreitung“ oder des „Verfügbarmachens“ von Daten für andere Forscher angesehen. Dementsprechend würde dies als eine andere (weitere) Verarbeitung angesehen werden als die ursprüngliche, bei der die Daten „verwendet“ wurden, um eine Forschungsfrage zu lösen (siehe „Zugang zu einer Datenbank“ in Teil II, Abschnitt „Wichtigste Instrumente und Maßnahmen“).
Ausgehend von der Annahme, dass keine ausdrückliche Einwilligung der betroffenen Personen vorliegt (andernfalls wäre das Erfordernis der Rechtmäßigkeit gemäß Art. 6 Absatz 1 Buchstabe a leichter zu erfüllen), gibt es verschiedene Szenarien, die unterschiedliche rechtliche Bewertungen erfordern (siehe „Identifizierung“, „Pseudonymisierung“ und „Anonymisierung“ in Teil II Abschnitt „Hauptkonzepte“ dieser Leitlinien):
- Wenn die Daten pseudonymisiert wurden oder angemessene Garantien gegen eine Re-Identifizierung eingeführt wurden, kann es einfacher sein, die „gemeinsame Nutzung“ von Daten als rechtmäßig gemäß Art. 6 Absatz 4 anzusehen.
- Selbst wenn die Daten nicht pseudonymisiert wurden und die Verbreitung der Daten für wissenschaftliche oder historische Forschungszwecke als notwendig erachtet wird (z. B. nicht zur Befriedigung der krankhaften Neugier anderer Forscher, sondern um ihnen wirklich zu helfen, auf ihrem Gebiet voranzukommen), wird die Verarbeitung wahrscheinlich immer noch als rechtmäßige Verarbeitung angesehen (Erwägungsgrund 50), obwohl es immer noch sehr ratsam ist, die Einwilligung der betroffenen Personen in die weitere Verarbeitung einzuholen. In Erwägungsgrund 159 und 33 wird der Begriff der weit gefassten Einwilligung für die wissenschaftliche Forschung eingeführt, was bedeutet, dass die genaue Verarbeitung nicht im Voraus genau festgelegt werden muss. Die betroffenen Personen sollten jedoch die Möglichkeit haben, ihre Einwilligung für bestimmte Bereiche der Forschung zu erteilen und die Einwilligung für andere Teile des Forschungsziels zurückzuziehen.
In jedem Fall müssen die Verantwortlichen den Grundsatz der Verarbeitung nach Treu und Glauben/Transparenz (siehe „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“ in Artikel II Abschnitt „Grundsätze“ dieser Leitlinien) einhalten und die betroffenen Personen über ihre Rechte in Bezug auf diesen weiteren Zweck aufklären (Artikel 14 Absatz 4). Alle anderen Grundsätze der Datenschutz-Grundverordnung müssen auch bei dieser Weiterverarbeitung beachtet werden.
Wie beim Verkauf personenbezogener Daten sollten Sie sich darüber im Klaren sein, dass Sie möglicherweise gemeinsam mit dem Empfänger der Daten die Kontrolle ausüben und dass Sie weiterhin für die Datenbank verantwortlich sind, d. h. bei Verstößen durch den Empfänger der Daten haften (siehe „Hauptakteure“ in Teil II dieser Leitlinien). Daher sind wie bei allen Transaktionen Verträge zwischen Ihnen und dem Empfänger der Datenbank notwendig und ratsam, um allen Parteien Klarheit über die rechtlichen Pflichten und Rechte jeder beteiligten Partei zu schaffen. In den Verträgen sollte festgelegt werden, welchen Zweck der Empfänger mit den Daten verfolgt und wie und von wem die Rechte der betroffenen Personen geschützt werden.
| DOs |
- Vor dem Erwerb des Zugangs zu einer Datenbank sollte ein Vertrag zwischen dem Anbieter und dem Empfänger der Daten die Rechte und Pflichten jeder an der Transaktion beteiligten Partei festlegen. Dazu gehört auch, dass festgelegt wird, ob der Zweck der Verarbeitung durch den Empfänger mit der Verarbeitung übereinstimmt, ind die die betroffenen Personen zuvor eingewilligt haben.
- Behandeln Sie alle Daten mit der gleichen Sorgfalt wie personenbezogene Daten und denken Sie daran, dass die Daten mit zusätzlichen Daten aus anderen Quellen zusammengeführt werden können. Die Anonymisierung personenbezogener Daten ist daher sehr schwierig.
- Wenn Sie die Zustimmung zur Offenlegung von Daten einholen, achten Sie auf eine klare und einfache Sprache, um so viele Menschen wie möglich zu erreichen. Stellen Sie den Bezug zum Leben der Menschen her; verwenden Sie möglichst Beispiele aus dem wirklichen Leben und dem Alltag. Dazu gehört auch, dass Sie erklären, wozu die Daten benötigt werden, welche Rechte die betroffenen Personen haben und wie Sie die Daten und die Privatsphäre der betroffenen Personen schützen. Achten Sie darauf, dass Sie für jeden Zweck, für den Sie die personenbezogenen Daten verarbeiten wollen, eine individuelle Einwilligung einholen.
- Sammeln Sie Nachweise dafür, dass erhebliche Investitionen für die Erstellung Ihrer Datenbank getätigt wurden (nicht für die Erstellung der Daten als solche). Dadurch werden die Rechte sui generis an der Datenbank gewährleistet, die Ihnen das Recht geben, andere an der Nutzung der Datenbank oder der Entnahme von Informationen aus ihr zu hindern.
- Schreiben Sie alles auf, was Sie tun, und erklären Sie, warum.
- Stellen Sie sicher, dass es eine Rechtsgrundlage für die Offenlegung gegenüber Dritten gibt. Geben Sie die Pflichten an die Datenempfänger weiter und machen Sie klare Vorgaben.
- Wenn Sie Fragen zur Kommerzialisierung von Daten haben, sollten Sie so viele Experten wie möglich fragen, bevor Sie selbst Daten vermarkten.
- Informieren Sie sich über die Datenschutz-Grundverordnung, indem Sie sie lesen. Ein klares Verständnis der grundlegenden Begriffe: „personenbezogene Daten“, „Verarbeitung“, „Auftragsverarbeiter“, „Verantwortlicher“ und „betroffene Person“ ist notwendig, aber denken Sie daran, dass die Einhaltung der Datenschutz-Grundverordnung mehr als nur diese Begriffe umfasst. Wenden Sie sich daher an einen Datenschutzbeauftragten (falls in Ihrer Organisation einer benannt wurde) oder an Spezialisten für den Schutz personenbezogener Daten, bevor Sie mit der Verarbeitung beginnen.
- Beachten Sie bei einer wissenschaftliche Forschung die Stellungnahme des EDSB zum Datenschutz und zur wissenschaftlichen Forschung
|
| DONT’s |
- Verwenden Sie nicht das Paradigma des Eigentums an den Daten – es passt nicht. Die Grundrechte der betroffenen Personen können nicht „verkauft“ werden.
- Glauben Sie nicht, dass Sie, wenn Sie einen Datenbankhersteller für die Nutzung seiner Datenbank bezahlen, von der Haftung in den Fällen befreit sind, in denen der Anbieter der Daten ein anderes Recht an einer früheren Datenbank verletzt hat. Hinterfragen Sie immer kritisch die Herkunft der Daten, die Sie kaufen wollen.
- Versuchen Sie nicht, für jedes mögliche Szenario eine Einwilligung einzuholen, sonst wird man Ihnen misstrauen. Holen Sie jedoch auch nicht eine Einwilligung für mehr als einen Verarbeitungszweck ein. Verwenden Sie auch keinen Jargon, um Ihre Absicht zu verschleiern oder Menschen abzuschrecken.
- Warnen Sie nicht vor den wirtschaftlichen Folgen des Widerrufs der Einwilligung oder der Verweigerung der Einwilligung. Denken Sie daran, den Teilnehmern eine echte Wahl zu lassen.
- Gehen Sie niemals davon aus, dass die von Ihnen erhobenen Daten unkritisch sind. Überspringen Sie nicht die Anwendung der DSGVO wegen der Pseudonymisierung von personenbezogenen Daten. In den meisten Fällen ist es viel einfacher, die betroffenen Personen zu reidentifizieren, als Sie denken (z. B. aufgrund fortschrittlicher Technologien, die Daten aus mehreren Quellen miteinander in Beziehung setzen und mit einer bestimmten Person verknüpfen können). Nur wenn Daten wirklich anonymisiert sind, ist es nicht mehr möglich, sie in personenbezogene Daten umzuwandeln.
|
Quellenangaben
