Hauptinhalt

Datenmanagement mit digitalen personenbezogenen Forschungsdaten an der Philipps-Universität Marburg

Datenschutz
IT-Sicherheit 
Informationen zu Einzelthemen
Ansprechpersonen

Digitale personenbezogene Forschungsdaten stellen besondere Ansprüche an Aufbewahrung und Handhabung. Auf dieser Seite finden Sie Informationen und weiterführende Links zur Einrichtung des Datenmanagements in Ihren Forschungsprojekten unter Datenschutz- und IT-Sicherheitsaspekten.

Die Themen Datenschutz und IT-Sicherheit haben Schnittmengen, sind aber nicht deckungsgleich. Welches Thema in welcher Ausprägung für Sie relevant ist, hängt von Ihrem Forschungsvorhaben ab und kann nicht pauschal beantwortet werden. Wenden Sie sich für eine individuelle Beratung daher an die Stabsstelle Recht (für Datenschutz), die Stabsstelle Informationssicherheit (für IT-Sicherheit) und das Servicezentrum digital gestützte Forschung (für Datenmanagement).

Datenschutz

Das Thema Datenschutz ist ausschließlich für personenbezogene Daten relevant, insbesondere für die “besonderen Kategorien” gemäß Art. 9 DSGVO. Welche Maßnahmen zum Schutz der Daten vorgeschrieben, nötig und sinnvoll sind, ist dabei individuell sehr unterschiedlich und kann nicht pauschal geklärt werden. Wenden Sie sich zur Entwicklung eines Datenschutzkonzeptes oder bei sonstigen Fragen zum Datenschutz deshalb bitte an die Stabsstelle Recht. Im Folgenden finden Sie einige Ressourcen und Fragen, die Ihnen bei der Orientierung und Vorbereitung helfen können.

Vorgehensweise

Diese Fragen wird Ihnen die Stabsstelle Recht stellen, um die Situation beurteilen zu können. Schicken Sie entsprechende Angaben gern schon in Ihrer Anfrage mit, um direkt in eine zielführende Beratung einzusteigen.

  • Arbeiten Sie mit personenbezogenen Daten?
  • Brauchen Sie diese Daten, um Ihr Forschungsziel zu erreichen? (Prinzip der Datensparsamkeit)
  • Dürfen Sie diese Daten verarbeiten? (Rechtsgrundlage)
  • Ist es eine Kooperation? (Kooperationsverträge enthalten meist einen Absatz zum Datenschutz. Ist ein Vertrag über die Verantwortlichkeiten nötig?)

Genauere Informationen zu diesen Fragen finden Sie im Überblick über die Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten weiter unten auf dieser Seite, die von der Stabsstelle Recht zusammengestellt wurden.

Für Sie an der Philipps-Universität Marburg steht als Werkzeug zur Dokumentation der Datenschutzmaßnahmen der Research Data Management Organiser (RDMO) zur Verfügung. Der darin enthaltene Datenschutz-Fragebogen wurde in Zusammenarbeit mit der Stabsstelle Recht der Universität Marburg entwickelt. Er führt Sie durch die relevanten Fragen und erstellt ein Dokument mit Ihren Antworten. Mit diesem Dokument, das Sie vor Projektbeginn anlegen und während des Projektes laufend aktualisieren, bedienen Sie die grundlegenden Dokumentationsanforderungen des Standard-Datenschutzmodells.

Externe Informationen

Die Informationen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit entsprechen dem in Hessen gültigen Rechtsstand und sind daher auch für alle an der Philipps-Universität Marburg Forschenden zutreffend.

Die Kurzpapiere der Datenschutzkonferenz informieren kurz und übersichtlich zu einzelnen Aspekten des Datenschutzes; auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit sitzt in der Datenschutzkonferenz.

Überblick über die Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten

von Nina Raschke

Wer personenbezogene Daten verarbeitet, benötigt eine Rechtsgrundlage und muss die Grundsätze des Datenschutzrechtes einhalten.
Aber was genau bedeutet das?

  • Inhalt ausklappen Inhalt einklappen Was sind personenbezogene Daten?Was sind personenbezogene Daten?

    „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

    Art. 4 Nr. 1 DSGVO

    Maßgeblich ist stets die Frage, ob anhand der Daten Rückschlüsse auf die Person gezogen werden können. Schutzziel des Datenschutzrechtes ist das informationelle Selbstbestimmungsrecht der Betroffenen, also die freie Entscheidung darüber was mit den eigenen Daten geschieht. Ist die betroffene Person hinter den Daten nicht länger identifizierbar, muss sie nicht mehr geschützt werden, weshalb anonymisierte Daten nicht dem Datenschutzrecht unterfallen. Pseudonymisierte Daten hingegen fallen in den Anwendungsbereich des Datenschutzrechtes.

  • Inhalt ausklappen Inhalt einklappen Wann werden personenbezogene Daten verarbeitet?Wann werden personenbezogene Daten verarbeitet?

    „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

    Art. 4 Nr. 2 DSGVO

    Solange die Daten einen Personenbezug aufweisen, gibt es nichts, was Sie mit diesen Daten machen können, ohne dass es sich um eine Verarbeitung im Sinne der DSGVO handelt. Das Datenschutzrecht deckt den gesamten Datenzyklus ab, es beginnt bei der Erhebung und endet mit der Vernichtung. Selbst wenn Sie die Daten nicht aktiv nutzen, müssen die datenschutzrechtlichen Vorschriften eingehalten werden, weshalb das Speichermedium verschlüsselt oder der Schrank abgeschlossen sein sollte. Selbst beim letzten Schritt müssen Sie an den Schutz der Proband*innen denken, da auch die unsachgemäße Entsorgung Risiken für die Rechte der Betroffenen birgt.

  • Inhalt ausklappen Inhalt einklappen In welchen Fällen darf ich die Daten verarbeiten?In welchen Fällen darf ich die Daten verarbeiten?

    (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
    a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
    b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
    c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
    d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
    e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
    Art. 6 Abs. 1 DSGVO

    Die Verarbeitung personenbezogener Daten bedarf immer einer Rechtsgrundlage. In sehr vielen Fällen ist das die Einwilligung. Für die Wirksamkeit der Einwilligung sind einige Voraussetzungen zu erfüllen. Besonders wichtig ist die Dokumentation (am besten immer schriftlich), die Herstellung der Transparenz und die Aufklärung über die Rechte der Betroffenen. Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind endlich, so kann sich beispielsweise eine Einwilligung nur auf einen bestimmten Zeitraum oder einen bestimmten Verarbeitungszweck beziehen, oder widerrufen werden. Läuft die Einwilligung ab, endet auch die Befugnis zur Verarbeitung der Daten. Es sei denn, es liegt eine andere Rechtsgrundlage vor. So kann beispielsweise das Bestehen einer gesetzlichen Aufbewahrungsfrist eine Grundlage dafür liefern, dass die Daten trotz Einwilligungswiderruf (zum Zweck der Einhaltung der Frist) weiter aufbewahrt werden. Ob die Daten tatsächlich gelöscht werden sollten, muss daher immer sorgfältig geprüft werden.

  • Inhalt ausklappen Inhalt einklappen Welche Grundsätze sind bei der Verarbeitung zu beachten?Welche Grundsätze sind bei der Verarbeitung zu beachten?

    Bei der Verarbeitung personenbezogener Daten sind die Grundsätze des Datenschutzrechts stets einzuhalten. Diese Grundsätze finden Sie in Art. 5 DSGVO:

    (1) Personenbezogene Daten müssen
    a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
    Die bereits beschriebene Notwendigkeit einer Rechtsgrundlage findet sich hier genauso wie die Transparenz gegenüber den Betroffenen. Die Transparenz wird in der Regel dadurch geschaffen, dass die Probanden zu Beginn eine Datenschutzerklärung oder eine Patienteninformation erhalten, in denen die Verarbeitung ihrer Daten beschrieben wird.

    b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; (…) („Zweckbindung“);
    Daten werden zu einem bestimmten Zweck erhoben und sollen für diesen festgelegten Zweck verarbeitet werden. Nachnutzung oder die Erstellung von Datenbanken sind für Forschungszwecke unter bestimmten Voraussetzungen möglich. Diese Voraussetzungen müssen gründlich geprüft werden, häufig muss in diesen Fällen auch ein Datenschutzkonzept erstellt werden.

    c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
    Prüfen Sie stets, ob Sie die Daten tatsächlich benötigen um Ihr Forschungsziel zu erreichen, und verarbeiten Sie nur das notwendige Mindestmaß. Bei allen verarbeiteten Daten müssen Sie die Erforderlichkeit begründen können.

    d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
    Die Daten müssen stets korrekt sein. Ist das einmal nicht der Fall, müssen sie umgehend berichtigt werden.

    e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; (…) („Speicherbegrenzung“);
    Werden die Daten nicht mehr benötigt, dürfen sie nicht länger verarbeitet werden. Daher ist der Personenbezug in der Regel nach Abschluss der Studie zu entfernen. Ausnahmen zu Gunsten der Forschung sind möglich, müssen jedoch einzeln geprüft und freigegeben werden.

    f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
    Bei der Verarbeitung personenbezogener Daten sind stets angemessene Sicherheitsmaßnahmen einzuhalten. Diese Maßnahmen verhindern, dass die Rechte der Betroffenen geschützt werden, aber sichern auch Ihre Forschung, da diese Maßnahmen sicherstellen sollen, dass Daten nicht verloren oder kompromittiert werden und Sie Ihr Forschungsprojekt erfolgreich zum Abschluss bringen können.

    (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
    Die Einhaltung datenschutzrechtlicher Vorgaben muss stets dokumentiert werden, weshalb Einwilligungserklärungen schriftlich eingeholt werden. In manchen Fällen muss ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden, dass die Verarbeitung der Daten dokumentiert. Aber auch bei Kooperationen mit anderen Einrichtungen muss dokumentiert werden, wer welche Pflichten übernimmt und welche Maßnahmen für die Einhaltung des Datenschutzes ergriffen werden, weshalb in einigen Fällen Auftragsverarbeitungsverträge oder Vereinbarungen über die gemeinsame Verantwortlichkeit geschlossen werden sollen.

Bei der Erstellung dieser Dokumente und sämtlichen Fragen zum Thema Datenschutz unterstützt Sie das Referat für Datenschutz.

IT-Sicherheit

Ziel von IT-Sicherheitsmaßnahmen ist die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit jeder Art von Daten. Je sensibler die Daten sind, umso leistungsfähiger müssen die Schutzmaßnahmen sein. Die Schutzbedürftigkeit der Daten hängt dabei nicht zwingend vom Personenbezug ab: Personenbezogene Daten können einen niedrigen Schutzbedarf aufweisen, gleichzeitig können Daten ohne Personenbezug aus anderen Gründen einen hohen Schutzbedarf haben. Die im Folgenden beschriebene Vorgehensweise ist daher für unterschiedliche Daten anwendbar und beinhaltet auch eine Ermittlung des Schutzbedarfs.

Allgemeine Informationen und Vorgehensweise

IT-Grundschutz des BSI / Wonach kann ich mich richten?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet unter anderem Orientierung bei der Arbeit mit schutzbedürftigen Daten.
Der BSI-Standard 200-2: IT-Grundschutz-Methodik beschreibt den Prozess hin zu mehr IT-Sicherheit mit Schritt-für-Schritt-Anleitungen und Beispielen. Er beinhaltet drei Prozesse, die zur Umsetzung des Grundschutzes angewendet werden können: Basisabsicherung, Kernabsicherung und Standardabsicherung. Die Vorgehensweise der Kernabsicherung (Kapitel 7) hat die Absicherung besonders kritischer Assets, das wären in Ihrem Fall sensible personenbezogene Forschungsdaten, zum Ziel. 
Konkrete Schutzmaßnahmen zu einzelnen Themen werden in den Bausteinen des IT-Grundschutz-Kompendiums beschrieben. Diese Bausteine bieten eine Orientierung zu den einzelnen Sicherheitsmaßnahmen.

Strukturanalyse / Wie bekomme ich einen Überblick?

Die Entscheidung für und Etablierung von geeigneten Maßnahmen beim Umgang mit personenbezogenen Forschungsdaten kann anhand einer sogenannten Strukturanalyse erfolgen. Eine genaue Anleitung zur Durchführung einer Strukturanalyse finden Sie im BSI-Standard 200-2, Kapitel 8.1.
Bei der Arbeit mit schutzbedürftigen Daten (siehe Abschnitt Schutzbedarf) sollten Sie sich immer vor Augen führen, an welchen Stellen und mit welchen Systemen Ihre Informationen verarbeitet werden. Alle infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die in Ihrem Forschungsprojekt Informationen verarbeiten gehören zu Ihrem Informationsverbund. Der Informationsverbund ist also das gesamte Umfeld der Daten: Geräte, auf denen die Daten liegen, Kanäle, über die sie transportiert werden, Personen, die mit ihnen umgehen, Räume, in denen sich die Geräte befinden. Ziel einer Strukturanalyse ist die Erfassung und Visualisierung des Informationsverbunds für Ihr Forschungsprojekt.

Nehmen Sie sich also die Zeit und gehen Sie in Ihrer Projektgruppe alle Schritte durch, die Ihre Daten durchlaufen. Wo werden sie erhoben, wie und wohin werden sie transportiert, wo werden sie analysiert, was geschieht im Projektverlauf und nach Abschluss mit ihnen? Erstellen Sie ein Schema und prüfen Sie während des Projekts regelmäßig (z. B. einmal jährlich), ob es noch den Tatsachen entspricht. Eine solche Dokumentation zeigt Ihnen die kritischen Stellen in Ihrem Informationsverarbeitungsprozess und ist in der Beratung eine enorm hilfreiche Grundlage.

Erstellen Sie auch einen Datenmanagementplan für Ihr Projekt. Der Research Data Management Organiser (RDMO) bietet einen Datenschutzfragebogen, der an der Philipps-Universität in Kooperation mit dem/der Datenschutzbeauftragten erarbeitet wurde. Der Datenmanagementplan ergänzt die Dokumentation des Informationsverarbeitungsprozesses und ist ebenfalls ein lebendes Dokument, das im Projektverlauf mehrmals aktualisiert werden kann.

Unterstützung bei der Erstellung eines Datenschutzkonzepts bekommen Sie bei der Stabsstelle Recht. Bei Fragen zur Strukturanalyse hilft Ihnen die Stabsstelle Informationssicherheit weiter. Wenn Sie nicht sicher sind, wer für Ihre Fragen die geeignete Ansprechperson ist, wenden Sie sich an das Servicezentrum digital gestützte Forschung.

Schutzbedarf / Wie sensibel sind meine Daten?

Im Anschluss an die Strukturanalyse ermitteln Sie den Schutzbedarf Ihrer Forschungsdaten. Eine detaillierte Anleitung finden Sie im BSI-Standard 200-2, Kapitel 8.2. Der ermittelte Schutzbedarf Ihrer Daten vererbt sich auf die Objekte aus der Strukturanalyse (z. B. IT-Systeme und Räume).
 Da der Schutzbedarf der Daten nicht quantifizierbar ist, wird er anhand selbstgewählter Kategorien bewertet. Die im BSI-Standard 200-2 verwendeten Standardkategorien "normal", "hoch" und "sehr hoch" können individuell abgewandelt werden, um die eigene Situation besser zu erfassen. Sie beziehen sich immer auf das Schadensausmaß im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit. Der BSI-Standard 200-2 enthält auch Hinweise zur Einschätzung: so ist etwa die Schutzbedarfskategorie "hoch" zu wählen, wenn bei einer Verletzung von Vertraulichkeit, Integrität oder Verfügbarkeit "der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann" (Quelle: BSI-Standard 200-2, Kapitel 8.2, Tabelle 3: Schutzbedarfskategorie "hoch").
Nachdem auf diese Art der Schutzbedarf der Daten geschätzt wurde, wird dieser Schutzbedarf auf alle Objekte im Informationsverbund vererbt. Ist der Schutzbedarf der Daten beispielsweise "hoch", so ist auch der Schutzbedarf jedes Computers, jedes Büros, jeder Netzwerkverbindung etc. "hoch", auf denen diese Daten liegen oder über die sie transportiert werden.
Als letzter Schritt wird nun der Schutzbedarf der Objekte im Informationsverbund in konkrete Sicherheitsanforderungen übersetzt. Für jedes Objekt können die geeigneten Maßnahmen zur ermittelten Schutzbedarfskategorie dem passenden IT-Grundschutz-Baustein entnommen werden.

Beachten Sie, dass diese Schutzbedarfsermittlung zum Thema IT-Sicherheit gehört und unabhängig vom Datenschutz zu betrachten ist. Personenbezogene Daten können unter Umständen wenig schutzbedürftig sein  oder Daten, die keinerlei Personenbezug aufweisen, können sehr schutzbedürftig sein. Für eine individuelle Beratung wenden Sie sich bitte an das Servicezentrum digital gestützte Forschung oder bei konkreten Anliegen direkt an die Stabsstelle Informationssicherheit und/oder die Stabsstelle Recht.

Risikoanalyse / Was kommt danach?

An die Struktur- und Schutzbedarfsanalyse muss sich eine Risikoanalyse anschließen, wenn Sie in Ihrem Forschungsprojekt Informationen mit hohem oder sehr hohem Schutzbedarf verarbeiten. Eine Risikoanalyse kann ein sehr aufwändiger Prozess sein. Planen Sie daher in Ihrem Projekt idealerweise Mittel für eine Unterstützung durch externe Partner ein.
Genauere Informationen zur Risikoanalyse finden Sie im BSI-Standard 200-2 Kap. 8.5 und im BSI-Standard 200-3.
Bei einer Risikoanalyse stellen Sie eine Liste möglicher Risiken auf, etwa "Eine unberechtigte Person gelangt in die Büroräume und stiehlt den Computer, auf dem die Daten gespeichert sind".

Dann bewerten Sie, wie wahrscheinlich das Eintreten des Ereignisses ist und wie gravierend die Folgen wären,
etwa "Sehr wahrscheinlich, da die Büroräume zentral in der Innenstadt liegen und tagsüber unverschlossen sind"  und "Die Folgen wären schwerwiegend, da die Person dadurch Zugriff auf sensible medizinische Daten erhalten würde".

Schließlich entscheiden Sie sich für angemessene Maßnahmen, um dem ermittelten Risiko zu begegnen, etwa "Die Büroräume sind verschlossen zu halten (plus geeigneter Plan zur Umsetzung dieses Vorhabens in der Praxis), an allen Computern wird eine Bildschirmsperre nach 5 Minuten eingerichtet, und der Computer selbst wird mit einem Schloss der Sicherheitsklasse XY angeschlossen. Schlüssel erhalten nur die Projektleitungen.".

Eine solche Risikoanalyse können Sie mit einem externen Partner durchführen - beantragen Sie entsprechende Mittel frühzeitig im Projekt! Sie können die Risikoanalyse auch selbst durchführen. Es kommt vor allem darauf an, die möglichen Risiken und Maßnahmen einmal gründlich durchzugehen und die beschlossenen Maßnahmen konsequent umzusetzen. Bei Fragen unterstützt Sie die Stabsstelle Informationssicherheit.

IT-Sicherheit als kontinuierlicher Prozess

Zusammenfassend noch ein paar Empfehlungen:

  • Führen Sie eine Strukturanalyse durch! Dokumentieren Sie Ihre Prozesse.
  • Setzen Sie Aufwand und Ertrag in ein gesundes Verhältnis. Überlegen Sie sich, welches Risiko Sie tragen möchten.
  • Preisen Sie IT-Sicherheit in Ihre Projektkosten ein, insbesondere dann, wenn Sie planen, langfristig mit sensiblen personenbezogenen Daten zu arbeiten.
  • Lagern Sie Teile Ihres Informationsverbundes an Dienstleister aus, die Ihnen zertifizierte Infrastrukturen anbieten, wenn besonders sensible personenbezogene Daten verarbeitet werden.
  • Sehen Sie IT-Sicherheit als kontinuierlichen Prozess.
  • Lassen Sie sich von der Stabsstelle Informationssicherheit unterstützen.

Informationen zu Einzelthemen

In diesem Abschnitt haben wir einige Informationen zu konkreten Themen zusammengestellt.

Ansprechpersonen von A bis Z