Der datenschutzgerechte Umgang mit Forschungsdaten ist nicht selten für Forschende mit Herausforderungen verbunden. Spätestens nach der Erhebung stellt sich die Frage, was darf ich eigentlich verwenden, was muss ich löschen, was darf überhaupt veröffentlicht und im besten Fall auch zur Nachnutzung zur Verfügung gestellt werden? Damit keine wertvollen Informationen verloren gehen oder es im ungünstigsten Fall zu rechtlichen Problemen kommt, sollte frühzeitig, d.h. am besten schon vor Projektbeginn mitgedacht werden, wie mit den Daten umgegangen werden soll und darf. Hierzu gehört auch die Frage nach der Anonymisierung, bzw. Pseudonymisierung der Daten. Wir haben in GesundFDM ein Pfadmodell zur korrekten Umsetzung von Anonymisierung und Pseudonymisierung entwickelt, das Forschende schon ab Projektbeginn unterstützen soll die richtigen Entscheidungen zu treffen und die notwendigen Schritte im Umgang mit den eigenen Forschungsdaten mitzudenken. Es ist in Ergänzung zu unseren allgemeinen Informationen zum Umgang mit personen ergänzt die die allgemeinen Informationen
Hinweis: Einige dieser Elemente können in der Praxis parallel ablaufen.
Sehen Sie dieses Modell als eine Art Checkliste, um zu überprüfen, ob Sie alle Aspekte der Anonymisierung bedacht haben!
Was sind technisch-organiatorische Maßnahmen?
Hierbei handelt es sich nach Art. 32 der DSGVO um Speicherungs- und Sicherungsmaßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.
Beispiele: Zugriffe auf personenbezogene Daten begrenzen und verwalten, regelmäßig BackUps erstellen, Maßnahmen zur Verschlüsselung einleiten, pseudonymisierte Daten und personenbezogene Daten getrennt voneinander aufbewahren (z. B. auf USB Stick und in einer Cloud).
Wann greift die Informationspflicht?
- Art. 13 DSGVO : bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- Art. 14 DSGVO wenn pbD nicht bei der betroffenen Person erhoben werden).
Was bedeutet das für die Informierte Einwilligung?
Diese muss bei Gelten von DESGVO Art. 13, 14 u.a. folgende Informationen enthalten:
– Namen und die Kontaktdaten des Verantwortlichen;
– Kontaktdaten des Datenschutzbeauftragten;
– Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
– Rechtsgrundlage für die Verarbeitung;
– Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (besonderer Hinweis, wenn Daten international verarbeitet werden);
– Dauer, für die die personenbezogenen Daten gespeichert werden;
– Recht der Forschungsteilnehmenden auf Widerruf, Beschwerde, Auskunft, Löschung und/oder Einschränkung der Verarbeitung
Was ist ein Treuhänder?
„Ein Datentreuhänder ist eine Vertrauensinstanz, die schützenswerte Daten zwischen Datengebern und Datennutzern unter Wahrung der Interessen beider Seiten digital vermittelt.“ mehr dazu unter: https://www.iese.fraunhofer.de/blog/datentreuhaender-definition/
Weiterführende Informationen
Das Abstraktionsniveau kann bei den personenbezogenen Daten unterschiedlich ausfallen, je nach Fragestellung/Forschungsinteresse und eventueller Nachnutzung anderer Forscher*innen! Siehe dazu auch Pseudonymisierungsmodelle
Weiterführende Links und Literatur:
Gesund-FDM: Infos zu Pseudonymisierungsmodellen und Pseudonymisierungsprotokollen
Eine weitere, gute Step by Step Anleitung für Anonymisierung finden Sie beim UK Data Service.
Forschungsdateninfo: zum Thema Datenschutz und Anonymisierung → https://forschungsdaten.info/themen/rechte-und-pflichten/datenschutzrecht/
Forschungsdaten Bildung: zum Thema Datenschutz und Anonymisierung → https://www.forschungsdaten-bildung.de/datenschutzrechtliche-aspekte#Anonymisieren-und-Pseudonymisieren
Meyermann, Alexia; Porzelt, Maike (2014): Hinweise zur Anonymisierung von qualitativen Daten
Mozygemba, Kati; Hollstein, Betina (2023): Anonymisierung und Pseudonymisierung qualitativer textbasierter Forschungsdaten – eine Handreichung. With assistance of Universität Bremen, updated on 2023