Datenschutz in der Forschung
Personendaten sind für die Forschung wichtig. Um ein Gleichgewicht zwischen den Interessen der Forschung und den Rechten der betroffenen Personen zu gewährleisten, sind Kenntnisse der anwendbaren Vorschriften entscheidend. Nachfolgende Erklärungen richten sich an Forscherinnen und Forscher sowie Bundesorgane, die im Rahmen von Forschungsprojekten Personendaten bearbeiten. Sie liefern die notwendigen Informationen, um die Anforderungen des Datenschutzes zu erfüllen.
Die nachfolgenden Erklärungen richten sich an Forscherinnen und Forscher, die privat tätig sind oder im Auftrag eines Bundesorgans arbeiten, sowie an Bundesorgane, die selbst forschen, Dritte damit beauftragen oder Personendaten an Forscherinnen und Forscher weitergeben. Datenbearbeitungen durch kantonale oder kommunale öffentliche Organe wie Universitäten (mit Ausnahme der ETH) und Kantons-, Universitäts-, Regional- oder Gemeindespitäler fallen grundsätzlich in die Kompetenz der für den Datenschutz zuständigen kantonalen oder kommunalen Behörden und werden von den nachfolgenden Erläuterungen nicht abgedeckt.
Das Datenschutzgesetz (DSG) ist auch nicht anwendbar auf die Bearbeitung anonymisierter Daten, wenn eine Re-Identifikation durch Dritte unmöglich ist (die Daten wurden vollständig und endgültig anonymisiert) oder mit unverhältnismässigem Aufwand verbunden wäre. Man darf jedoch nicht vergessen, dass der technologische Fortschritt aktuell die Verarbeitung grosser Datenmengen und auch unterschiedlichste Datenabgleiche ermöglicht, sodass die bearbeiteten Daten letztendlich nicht oder nur unzureichend anonymisiert sind. Ausserdem kann das, was heute als anonym gilt, aufgrund der technologischen Entwicklung unter Umständen in Zukunft ohne grosse Schwierigkeiten einer bestimmten Person zugeordnet werden.
Das DSG enthält zwei Bestimmungen zur Bearbeitung von Personendaten in der Forschung, eine für private Personen (Art. 31 Abs. 2 Bst. e DSG) und die andere für Bundesorgane (Art. 39 DSG).
Der Zweck der Bearbeitung von Personendaten darf nicht personenbezogen sein. Das bedeutet, dass die Identität der Person, deren Daten bearbeitet werden, für die Bearbeitung keine Rolle spielt und dass anonymisierte oder zumindest pseudonymisierte Daten für denselben Zweck verwendet werden könnten. So profitieren sowohl private Personen als auch Bundesorgane von Erleichterungen, wenn die Bedingungen in den erwähnten Bestimmungen erfüllt sind. Wichtig ist, dass personenbezogene (zum Beispiel historische oder genealogische) Forschung nicht unter diese beiden Bestimmungen fällt.
Die Daten müssen somit anonymisiert werden, sobald es der Bearbeitungszweck erlaubt, und die Forschungsresultate müssen so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind. Die Bekanntgabe von Personendaten an Dritte muss ebenfalls so erfolgen, dass die betroffenen Personen nicht bestimmbar sind. Empfänger von Daten eines Bundesorgans dürfen diese Daten nur mit der Zustimmung des entsprechenden Bundesorgans an Dritte weitergeben. Wenn Bundesorgane über die Voraussetzungen von Art. 39 DSG hinaus Personendaten im Rahmen ihres eigenen Forschungsprojekts selbst bearbeiten wollen, müssen sie sich nach dem Legalitätsprinzip (Art. 34 DSG) auf eine gesetzliche Grundlage stützen können, die ihnen die Bearbeitung von Personendaten zu Forschungszwecken erlaubt (z. B. Bundesgesetz über die Förderung der Forschung und Innovation, ETH-Gesetz usw.).
Anforderungen
Jeder Fall ist im jeweiligen Forschungskontext und in seiner Besonderheit einzeln zu betrachten. Vor diesem Hintergrund müssen Forscherinnen und Forscher als Verantwortliche für den Datenschutz bei der Bearbeitung von Personendaten im Rahmen ihrer Forschungsprojekte in erster Linie die folgenden Punkte einhalten:
Anonymisierung
Sie müssen anonymisierte Daten verwenden, wenn das Projekt dies ermöglicht. Das bedeutet, dass Daten nicht oder nur mit unverhältnismässig grossem Aufwand einer identifizierten oder identifizierbaren Person zugeordnet werden können.Sie müssen Daten kodieren oder verschlüsseln (pseudonymisierte Daten), wenn die Art oder der Zweck der Forschung anonymisierte Daten nicht zulässt, zum Beispiel, weil die betroffenen Personen periodisch kontaktiert werden müssen.Sie müssen die Daten so schnell wie möglich anonymisieren und die Forschungsresultate so veröffentlichen, dass die betroffenen Personen nicht bestimmbar sind.
Informationspflicht und Einwilligung
Wenn eine Person freiwillig an einem Forschungsprojekt teilnimmt, ist ihre Einwilligung für die Bearbeitung ihrer Daten erforderlich. Sie kann diese Einwilligung widerrufen (siehe entsprechenden Abschnitt für die medizinische Forschung).Die Einwilligung der betroffenen Person ist nur gültig, wenn letztere vorgängig vollständig und objektiv über die beabsichtigte Datenbearbeitung informiert wird. Die Information muss transparent, verständlich und einfach zugänglich sein. Ausnahmen sind möglich.
Datenschutz-Folgenabschätzung
Nach Artikel 22 DSG muss der Verantwortliche (Universität, Forschungszentrum, privates Unternehmen usw.) vorgängig eine Datenschutz-Folgenabschätzung erstellen, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, zum Beispiel bei der umfangreichen Bearbeitung besonders schützenswerter Daten oder bei Datenabgleichen wie jenen im Rahmen von medizinischen Forschungsprojekten. Ausnahmen sind möglich.
Meldung von Verletzungen der Datensicherheit
Der Verantwortliche muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, melden. Er muss zudem die betroffene Person informieren, wenn es zu ihrem Schutz erforderlich ist.
Verzeichnis der Bearbeitungstätigkeiten
Private Forscherinnen und Forscher sowie Bundesorgane sind verpflichtet, ein Verzeichnis über ihre Bearbeitungstätigkeiten zu führen und dieses dem EDÖB zu melden (Art. 12 DSG). Es versteht sich von selbst, dass die Grundsätze und die weiteren Bestimmungen des DSG (u. a. zur Sicherheit, zur Bekanntgabe von Personendaten ins Ausland, zu den Rechten der betroffenen Personen, zur Bearbeitung durch Auftragsbearbeiter usw.) auf Forschungsaktivitäten ebenso anwendbar sind.
Weitere Themen
Letzte Änderung 26.07.2023