In den qualitativen Sozialwissenschaften wird oft mit sensiblen Daten von Studienteilnehmenden geforscht. Forschungsethische Aspekte und datenschutzrechtliche Vorgaben verlangen, dass hierbei die Identitäten der beforschten Personen geschützt werden. Es ist daher wichtig, sich möglichst frühzeitig bzw. wiederholt im Forschungsprozess mit dem Datenschutz auseinanderzusetzen und sich Strategien zu überlegen, um personenbezogenePersonenbezogene Daten sind: 'alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;...' (EU-DSGVO Artikel 4 Nr. 1, 2016; BDSG §46 Abs. 1, 2018; BlnDSG §31, 2020). Weiterlesen und besonders sensible DatenEinen eigenen Teilbereich innerhalb der personenbezogenen Daten bilden die sog. besonderen Kategorien personenbezogener Daten. Ihre Definition geht auf den EU-DSGVO Artikel 9 Abs. 1, 2016 zurück, der besagt, dass es sich hierbei um Angaben über Weiterlesen der Forschungsteilnehmenden zu schützen.

Werden personenbezogene Daten im Forschungsprozess verarbeitet, also jegliche Form der Arbeit mit personenbezogenen Daten von der Erhebung bis zur Löschung, gelten die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten (§ 32 BlnDSG, 2018). Die Grundsätze besagen:

• Für eine Verarbeitung (besonderer Kategorien) personenbezogener Daten muss zwingend eine Einwilligung der betroffenen Person eingeholt werden (vgl. Artikel zur informierten Einwilligung). Die Verarbeitung darf nur zu festgelegten und eindeutigen ZweckenDie Verarbeitung personenbezogener Daten darf nur zu festgelegten und eindeutigen Zwecken erfolgen. Diese sollten möglichst schon vor der Erhebung so präzise wie möglich bestimmt werden und im Forschungsvorhaben - wenn möglich - in einer Einwilligungserklärung hinterlegt werden. Weitere Verarbeitungsschritte sind an diesen Zweck gebunden. Ändern oder erweitern sich Zwecke während des Forschungsvorhabens, wenn sich z. B. bei der Analyse der Forschungsdaten neue Fragestellungen ergeben, muss ggf. erneut eine Einwilligung der betroffenen Personen eingeholt werden. Die Daten sind zu löschen, sobald der Zweck erreicht ist. Weiterlesen erfolgen. Diese sollten möglichst schon vor der Erhebung so präzise wie möglich bestimmt und im Forschungsvorhaben und – wenn möglich – in einer EinwilligungserklärungInformierte Einwilligung (informed consent) meint die Zustimmung der Forschungsteilnehmenden zur Teilnahme an einem Forschungsvorhaben auf der Basis umfangreicher und verständlicher Informationen. Die Ausgestaltung einer informierten Einwilligung muss dabei sowohl ethische Grundsätze als auch datenschutzrechtliche Anforderungen adressieren. Weiterlesen hinterlegt werden. Weitere Verarbeitungsschritte sind an diesen Zweck gebunden. Ändern oder erweitern sich Zwecke während des Forschungsvorhabens, wenn sich z. B. bei der Analyse der Forschungsdaten neue Fragestellungen ergeben, muss ggf. erneut eine Einwilligung der betroffenen Personen eingeholt werden.
• Der Umfang der Verarbeitung personenbezogener Daten muss dem Zweck angemessen sein. Das bedeutet, so wenig personenbezogene Daten wie nötig und möglich zu erheben und zu verarbeiten.
• Personenbezogene Daten haben zudem den Anspruch auf Richtigkeit. Die Betroffenen haben das Recht, falsche Daten berichtigen zu lassen (§44 BlnDSG, 2018).
• Die Verantwortlichen müssen die Sicherheit der personenbezogenen Daten garantieren. Das betrifft den Schutz vor unrechtmäßigem Zugriff oder Datenverlust und kann durch eine Speicherung auf sicheren Servern, Backups und Zugangsbeschränkungen gewährleistet werden (vgl. Artikel Datenspeicherung und Datensicherheit).
• Personenbezogene Daten müssen gelöscht werden, wenn sie nach Verarbeitung ihren Forschungszweck erfüllt haben. Hiervon ausgenommen sind die Daten, die der Forschung zur Nachnutzung bereitgestellt werden sollen. Um die Identität der Forschungsteilnehmenden zu schützen, müssen diese Daten jedoch vorher anonymisiert oder pseudonymisiert werden, wenn keine ausdrückliche Einwilligung zur Speicherung und Nachnutzung nichtanonymisierter Daten gegeben wurde (vgl. Artikel zur Anonymisierung und Pseudonymisierung).

Mit dem Einholen von schriftlichen Einwilligungserklärungen selbst fallen jedoch im engen Sinn schon personenbezogene Daten an (der Name beim Unterzeichnen). Die Einwilligungserklärungen sind daher getrennt von den eigentlichen Forschungsdaten aufzubewahren.

Wenn eine Einwilligung nicht zu gewährleisten ist, müssen personenbezogene Daten schon mit der Erhebung so aufbereitet werden, z. B. durch AnonymisierungLaut Bundesdatenschutzgesetz (BDSG § 3, Abs. 6 in der bis 24.05.2018 gültigen Fassung) versteht man unter Anonymisierung alle Maßnahmen der Veränderung personenbezogener Daten derart, 'dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.' Anonymisierte Daten sind demnach Daten, die keinen Rückschluss (mehr) auf die betroffene Person geben. Sie unterliegen damit nicht dem Datenschutz bzw. der Datenschutz-Grundverordnung (DSGVO). Weiterlesen, dass die Identifikation so weit wie möglich ausgeschlossen werden kann. Dabei besteht generell die Herausforderung, möglichst umfassende und genaue Daten zu erheben, deren Ergebnisse später nachvollziehbar sind, und gleichzeitig den Schutz der forschungsteilnehmenden Personen zu gewähren (RatSWD, 2020).

Nachweise in Data Affairs

Datenschutz