Datenschutz: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
(9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Teaser|Text= | {{Teaser|Text=Datenschutz begegnet dir in deinem Studium vielfach. Beim Datenschutz geht es nicht um den Schutz von Daten, sondern um die informationelle Selbstbestimmung. Meist wirst also du die Person sein, deren Daten geschützt werden sollten. Manchmal wirst du auch mit Daten anderer Personen arbeiten und dich hierbei an die EU-Datenschutzgrundverordnung (EU-DSGVO) halten müssen.}} | ||
==Allgemeines== | ==Allgemeines== | ||
Der Datenschutz hilft dabei das Grundrecht auf informationelle Selbstbestimmung wahrnehmen zu können, denn er regelt den Schutz personenbezogener Daten. | Der Datenschutz hilft dabei, das Grundrecht auf informationelle Selbstbestimmung wahrnehmen zu können, denn er regelt den Schutz personenbezogener Daten. | ||
===EU-DSGVO=== | ===EU-DSGVO=== | ||
Die EU-DSGVO regelt und vereinheitlicht, wie mit personenbezogenen Daten innerhalb der EU umgegangen werden darf. Sie definiert die Grundprinzipien des Datenschutzes. | Die EU-DSGVO regelt und vereinheitlicht, wie mit personenbezogenen Daten innerhalb der EU umgegangen werden darf. Sie definiert die Grundprinzipien des Datenschutzes. | ||
Zeile 9: | Zeile 9: | ||
Das Verbot mit Erlaubnisvorbehalt ist ein Rechtsprinzip, nach dem eine bestimmte Sache grundsätzlich verboten ist, sofern nicht ausdrücklich eine Erlaubnis erteilt wird. | Das Verbot mit Erlaubnisvorbehalt ist ein Rechtsprinzip, nach dem eine bestimmte Sache grundsätzlich verboten ist, sofern nicht ausdrücklich eine Erlaubnis erteilt wird. | ||
Im Datenschutzrecht ist das Verbot mit Erlaubnisvorbehalt das grundlegende Prinzip bezüglich der Nutzung personenbezogener Daten. | Im Datenschutzrecht ist das Verbot mit Erlaubnisvorbehalt das grundlegende Prinzip bezüglich der Nutzung personenbezogener Daten. | ||
Eine Erlaubnis kann durch Einwilligung erfolgen oder durch rechtliche Vorgaben wie Gesetze. | Eine Erlaubnis kann durch '''(informierte) Einwilligung''' erfolgen oder durch rechtliche Vorgaben wie Gesetze. | ||
==== | ====Personenbezogene Daten==== | ||
Personenbezogene Daten sind alle Daten, die eine Person beschreiben und direkt (identifizierte Person) oder indirekt (identifizierbare Person) auf diese bezogen werden können. | Personenbezogene Daten sind alle Daten, die eine Person beschreiben und direkt (identifizierte Person) oder indirekt (identifizierbare Person) auf diese bezogen werden können. | ||
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. | Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. | ||
2017 hatte der Bundesgerichtshof entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. | |||
Beispiele für personenbezogene Daten: | Beispiele für personenbezogene Daten: | ||
* Name, Geburtsdatum, Alter, Familienstand | * Name, Geburtsdatum, Alter, Familienstand | ||
Zeile 22: | Zeile 22: | ||
* Werturteile, Bewertungen und Meinungsäußerungen | * Werturteile, Bewertungen und Meinungsäußerungen | ||
* Fotos, Video- und Tonbandaufnahmen, Röntgenbilder | * Fotos, Video- und Tonbandaufnahmen, Röntgenbilder | ||
==== | ====Besonders schützenswerte personenbezogene Daten==== | ||
* die rassische und ethnische Herkunft | * die rassische und ethnische Herkunft | ||
* politische Meinungen | * politische Meinungen | ||
Zeile 34: | Zeile 34: | ||
Pseudonymisierung ist nach dem Bundesdatenschutzgesetz „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Wichtigstes Merkmal bei der Pseudonymisierung ist, dass hier Daten so zusammengeführt werden können, dass man den Originalnamen wieder zuordnen kann. | Pseudonymisierung ist nach dem Bundesdatenschutzgesetz „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Wichtigstes Merkmal bei der Pseudonymisierung ist, dass hier Daten so zusammengeführt werden können, dass man den Originalnamen wieder zuordnen kann. | ||
Richtig anonymisierte Daten unterliegen nicht mehr den Datenschutzgesetzen. Werden aber anonymisierte Datensätze aus verschiedenen Forschungsprojekten zusammengebracht, kann das Risiko der Deanonymisierung der Daten bestehen. Viele Informationen die anonym scheinen, lassen sich häufig unter Zuhilfenahme öffentlicher Datensammlungen wieder einer Person zuordnen. Dann sind die Daten wieder personenbezogen. | Richtig anonymisierte Daten unterliegen nicht mehr den Datenschutzgesetzen. Werden aber anonymisierte Datensätze aus verschiedenen Forschungsprojekten zusammengebracht, kann das Risiko der Deanonymisierung der Daten bestehen. Viele Informationen die anonym scheinen, lassen sich häufig unter Zuhilfenahme öffentlicher Datensammlungen wieder einer Person zuordnen. Dann sind die Daten wieder personenbezogen. | ||
Eine amerikanische Studie zeigt, dass 99,98 | Eine amerikanische Studie zeigt, dass 99,98 Prozent der Amerikaner*innen unter Verwendung von 15 demografischen Attributen in jedem Datensatz korrekt wiedererkannt werden würden.{{Zitat|Quelle=Rocher, L., Hendrickx, J.M. & de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 10, 3069 (2019). https://doi.org/10.1038/s41467-019-10933-3}} | ||
==Datenschutz in der Forschung== | ==Datenschutz in der Forschung== | ||
===Studienprojekte im Praxissemester=== | ===Studienprojekte im Praxissemester=== | ||
In den Studienprojekten im Praxissemester | In den Studienprojekten im Praxissemester kann es vorkommen, dass du personenbezogene Daten erhebst oder verarbeitest. Am Besten planst du deine Studienprojekte so, dass du keine personenbezogenen Daten erhebst. Ansonsten ist es immer eine gute Idee die Studienprojekte mit anonymisierten Daten durchzuführen, dennoch ist bei einer etwaigen Anonymisierung Vorsicht geboten, denn es besteht die Gefahr, dass Daten deanonymisierbar sind, weil es sich um dieselben Teilnehmer handeln kann. Beachte, dass durch Zusatzwissen die Antworten einzelner Teilnehmender wieder einer Personen zuzuordnen sein könnten. Nach dem Schulgesetz musst du auch dann, wenn du planst anonymisierte Daten zu verwenden, die Einwilligung der Teilnehmenden einholen. Die Schulleitung muss eurem Studienprojekt in jedem Fall vor dessen Durchführung zustimmen. | ||
====Informierte Einwilligung==== | |||
In der Regel ist hierzu die informierte Einwilligung der Betroffenen, also der Erziehungsberechtigten bei Schüler*innen bis 16 Jahren und ab 18 Jahren der Schüler*innen erforderlich. Bei den 16 und 17 Jahre alten Schüler*innen kommt es darauf an, ob diese in der Lage sind, die Konsequenzen der Verarbeitung ihrer personenbezogenen Daten zu überblicken, das nennt sich Einsichtsfähigkeit, und sich daher verbindlich zu äußern. Bestehen Zweifel an der Einsichtsfähigkeit, muss die Einwilligung der Erziehungsberechtigten eingeholt werden. | |||
====Datenerhebung==== | |||
Es dürfen nur die Daten erhoben werden, die für die Forschung erforderlich sind (Datensparsamkeit) und die Daten dürfen nur zum ursprünglich erhobenen Zweck verwendet werden (Zweckbindung). Die im Rahmen eines Studienprojekts erhobenen personenbezogenen Daten dürfen nur zum Zweck der Durchführung des konkreten Studienprojekts verarbeitet werden. Sie dürfen nicht an Dritte weitergegeben werden, also auch nicht an andere Wissenschaftler*innen und nicht im Rahmen weiterer Forschungsprojekte oder Publikationen der Lehrenden genutzt werden. Wollt ihr die im Rahmen eines Studienprojekts erhobenen Daten für eure Masterarbeit nutzen, muss dies mit der Schulleitung abgesprochen und in der Teilnehmerinformation und Einwilligungserklärung entsprechend kenntlich gemacht werden. Liegt keine solche Einwilligung zur weiteren Nutzung der personenbezogenen Daten vor, sind diese nach Beendigung des Studienprojektes zu löschen. | |||
====Technische und organisatorische Maßnahmen==== | |||
Es müssen dem Stand der Technik entsprechende, geeignete technische und organisatorische Maßnahmen zur Datensicherheit, das ist der Schutz vor dem Zugriff unberechtigter Personen, getroffen werden, um die personenbezogenen Forschungsdaten zu schützen. | |||
==Behördlicher Datenschutzbeauftragter== | |||
Durch die DSGVO ist die UDE dazu verpflichtet einen behördlichen Datenschutzbeauftragten zu benennen. Dieser muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen eingebunden werden. Er kann von dir zu allen Fragen, die sich auf deine personenbezogenen Daten oder die DSGVO beziehen kontaktiert werden. | |||
Er erfüllt zumindest diese Aufgaben: | |||
* Unterrichtung und Beratung | |||
* Überwachung der Einhaltung von Datenschutzvorschriften | |||
* Beratung zur Datenschutzfolgenabschätzung | |||
* Zusammenarbeit mit der Aufsichtsbehörde | |||
* Anlaufstelle für Bedienstete | |||
Der behördliche Datenschutzbeauftragte ist in der Regel nicht für dein Studienprojekt im Praxissemester zuständig, da du dort meist der alleinige Verantwortliche bist. | |||
Der behördliche Datenschutzbeauftragte der UDE ist [mailto:kai-uwe.loser@uni-due.de Dr. Kai-Uwe Loser]. | |||
==ZENDAS== | |||
Die UDE kooperiert mit der [https://www.zendas.de zentralen Datenschutzstelle] der baden-württembergischen Universitäten. Dort kannst du nach einem Login viele Informationen nachlesen und auch einen Online-Kurs zum [https://www.zendas.de/veranstaltungen/forschungsdaten.html datenschutzgerechten Umgang mit Forschungsdaten] machen. | |||
{{Gültigkeit|DATUM= | {{Gültigkeit|DATUM=2025-06-11|KOMMENTAR=}} |
Aktuelle Version vom 9. Dezember 2024, 13:06 Uhr
Allgemeines
Der Datenschutz hilft dabei, das Grundrecht auf informationelle Selbstbestimmung wahrnehmen zu können, denn er regelt den Schutz personenbezogener Daten.
EU-DSGVO
Die EU-DSGVO regelt und vereinheitlicht, wie mit personenbezogenen Daten innerhalb der EU umgegangen werden darf. Sie definiert die Grundprinzipien des Datenschutzes.
Grundprinzipien des Datenschutzes
Verbot mit Erlaubnisvorbehalt
Das Verbot mit Erlaubnisvorbehalt ist ein Rechtsprinzip, nach dem eine bestimmte Sache grundsätzlich verboten ist, sofern nicht ausdrücklich eine Erlaubnis erteilt wird. Im Datenschutzrecht ist das Verbot mit Erlaubnisvorbehalt das grundlegende Prinzip bezüglich der Nutzung personenbezogener Daten. Eine Erlaubnis kann durch (informierte) Einwilligung erfolgen oder durch rechtliche Vorgaben wie Gesetze.
Personenbezogene Daten
Personenbezogene Daten sind alle Daten, die eine Person beschreiben und direkt (identifizierte Person) oder indirekt (identifizierbare Person) auf diese bezogen werden können. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. 2017 hatte der Bundesgerichtshof entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Beispiele für personenbezogene Daten:
- Name, Geburtsdatum, Alter, Familienstand
- Anschrift, Telefon-/Handynummer, E-Mail-Adresse
- Personalausweisnummer, Sozialversicherungsnummer/ Steuer-ID
- Matrikelnummer, Prüfungsergebnisse/ Noten
- Bildungsstand, Kenntnisse und Fähigkeiten
- Werturteile, Bewertungen und Meinungsäußerungen
- Fotos, Video- und Tonbandaufnahmen, Röntgenbilder
Besonders schützenswerte personenbezogene Daten
- die rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
Anonym und Pseudonym
Pseudonymisierung ist nach dem Bundesdatenschutzgesetz „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Wichtigstes Merkmal bei der Pseudonymisierung ist, dass hier Daten so zusammengeführt werden können, dass man den Originalnamen wieder zuordnen kann. Richtig anonymisierte Daten unterliegen nicht mehr den Datenschutzgesetzen. Werden aber anonymisierte Datensätze aus verschiedenen Forschungsprojekten zusammengebracht, kann das Risiko der Deanonymisierung der Daten bestehen. Viele Informationen die anonym scheinen, lassen sich häufig unter Zuhilfenahme öffentlicher Datensammlungen wieder einer Person zuordnen. Dann sind die Daten wieder personenbezogen.
Eine amerikanische Studie zeigt, dass 99,98 Prozent der Amerikaner*innen unter Verwendung von 15 demografischen Attributen in jedem Datensatz korrekt wiedererkannt werden würden.
– Rocher, L., Hendrickx, J.M. & de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 10, 3069 (2019). https://doi.org/10.1038/s41467-019-10933-3
Datenschutz in der Forschung
Studienprojekte im Praxissemester
In den Studienprojekten im Praxissemester kann es vorkommen, dass du personenbezogene Daten erhebst oder verarbeitest. Am Besten planst du deine Studienprojekte so, dass du keine personenbezogenen Daten erhebst. Ansonsten ist es immer eine gute Idee die Studienprojekte mit anonymisierten Daten durchzuführen, dennoch ist bei einer etwaigen Anonymisierung Vorsicht geboten, denn es besteht die Gefahr, dass Daten deanonymisierbar sind, weil es sich um dieselben Teilnehmer handeln kann. Beachte, dass durch Zusatzwissen die Antworten einzelner Teilnehmender wieder einer Personen zuzuordnen sein könnten. Nach dem Schulgesetz musst du auch dann, wenn du planst anonymisierte Daten zu verwenden, die Einwilligung der Teilnehmenden einholen. Die Schulleitung muss eurem Studienprojekt in jedem Fall vor dessen Durchführung zustimmen.
Informierte Einwilligung
In der Regel ist hierzu die informierte Einwilligung der Betroffenen, also der Erziehungsberechtigten bei Schüler*innen bis 16 Jahren und ab 18 Jahren der Schüler*innen erforderlich. Bei den 16 und 17 Jahre alten Schüler*innen kommt es darauf an, ob diese in der Lage sind, die Konsequenzen der Verarbeitung ihrer personenbezogenen Daten zu überblicken, das nennt sich Einsichtsfähigkeit, und sich daher verbindlich zu äußern. Bestehen Zweifel an der Einsichtsfähigkeit, muss die Einwilligung der Erziehungsberechtigten eingeholt werden.
Datenerhebung
Es dürfen nur die Daten erhoben werden, die für die Forschung erforderlich sind (Datensparsamkeit) und die Daten dürfen nur zum ursprünglich erhobenen Zweck verwendet werden (Zweckbindung). Die im Rahmen eines Studienprojekts erhobenen personenbezogenen Daten dürfen nur zum Zweck der Durchführung des konkreten Studienprojekts verarbeitet werden. Sie dürfen nicht an Dritte weitergegeben werden, also auch nicht an andere Wissenschaftler*innen und nicht im Rahmen weiterer Forschungsprojekte oder Publikationen der Lehrenden genutzt werden. Wollt ihr die im Rahmen eines Studienprojekts erhobenen Daten für eure Masterarbeit nutzen, muss dies mit der Schulleitung abgesprochen und in der Teilnehmerinformation und Einwilligungserklärung entsprechend kenntlich gemacht werden. Liegt keine solche Einwilligung zur weiteren Nutzung der personenbezogenen Daten vor, sind diese nach Beendigung des Studienprojektes zu löschen.
Technische und organisatorische Maßnahmen
Es müssen dem Stand der Technik entsprechende, geeignete technische und organisatorische Maßnahmen zur Datensicherheit, das ist der Schutz vor dem Zugriff unberechtigter Personen, getroffen werden, um die personenbezogenen Forschungsdaten zu schützen.
Behördlicher Datenschutzbeauftragter
Durch die DSGVO ist die UDE dazu verpflichtet einen behördlichen Datenschutzbeauftragten zu benennen. Dieser muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen eingebunden werden. Er kann von dir zu allen Fragen, die sich auf deine personenbezogenen Daten oder die DSGVO beziehen kontaktiert werden. Er erfüllt zumindest diese Aufgaben:
- Unterrichtung und Beratung
- Überwachung der Einhaltung von Datenschutzvorschriften
- Beratung zur Datenschutzfolgenabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde
- Anlaufstelle für Bedienstete
Der behördliche Datenschutzbeauftragte ist in der Regel nicht für dein Studienprojekt im Praxissemester zuständig, da du dort meist der alleinige Verantwortliche bist. Der behördliche Datenschutzbeauftragte der UDE ist Dr. Kai-Uwe Loser.
ZENDAS
Die UDE kooperiert mit der zentralen Datenschutzstelle der baden-württembergischen Universitäten. Dort kannst du nach einem Login viele Informationen nachlesen und auch einen Online-Kurs zum datenschutzgerechten Umgang mit Forschungsdaten machen.
Dieser Artikel ist gültig bis 2025-06-11