Datenschutz und Forschung im Allgemeinen

Diese Erläuterungen richten sich an Personen, die privat oder für ein Bundesorgan Forschung betreiben, und an Bundesorgane, die selbst eine Forschungstätigkeit ausüben, Dritte damit beauftragen oder Forscherinnen und Forschern Personendaten weiterleiten. Sie gelten nicht für öffentliche Stellen der Kantone und Gemeinden, wie die Universitäten (mit Ausnahme der ETH), die Kantons-, Universitäts-, Regional- und Kommunalspitäler. Diese fallen in den Zuständigkeitsbereich der kantonalen und kommunalen Datenschutzbehörden.

Das Bundesgesetz über den Datenschutz (DSG) enthält zwei Bestimmungen zur Datenbearbeitung zu Forschungszwecken: die eine gilt für Privatpersonen (Art. 13 Abs. 2 Bst. e DSG) und die andere für Bundesorgane (Art. 22 DSG). Sowohl Privatpersonen als auch Bundesorgane unterstehen unter folgenden Voraussetzungen einer weniger strengen Regelung:

  1. Die Personendaten werden zu nicht personenbezogenen Zwecken verwendet. Das bedeutet, dass die Identität der Person, deren Daten bearbeitet werden, keine Rolle für die Bearbeitung spielt und anonymisierte oder doch wenigstens pseudonymisierte Daten für den angestrebten Zweck ausreichen.
  2. Die Forschungsergebnisse werden in einer Form publiziert, die keine Rückschlüsse auf die betroffenen Personen zulässt.

Für Bundesorgane sieht Artikel 22 DSG weitere Anforderungen und Erleichterungen vor. In Anwendung des Legalitätsprinzips (Art. 17) müssen sie sich auf eine gesetzliche Grundlage stützen, um Personendaten zu Forschungszwecken zu bearbeiten (beispielsweise auf das Forschungs- und Innovationsförderungsgesetz).

Bei der Bearbeitung anonymisierter Daten muss man sich nicht auf die Artikel 13 Absatz 2 Buchstabe e und 22 DSG abstützen. Da es sich dabei nicht um Personendaten handelt, untersteht deren Bearbeitung nicht dem DSG. Personendaten gelten dann als anonymisiert, wenn die Person nicht mehr bestimmbar ist. Unter «anonymisieren» versteht man jeglichen Vorgang, durch den die Zuordnung von Daten zu einer konkreten Person verhindert wird oder nur noch mit aussergewöhnlichem Aufwand möglich ist. Bei der Pseudonymisierung hingegen werden alle identifizierenden Daten durch einen neutralen Datensatz (Pseudonym) ersetzt. Die Pseudonymisierung lässt sich rückgängig machen (solange eine Korrespondenztabelle besteht und zugänglich ist, die eine Zusammenführung der beiden Datenteile ermöglicht). Die Anonymisierung indes ist endgültig. Nur vollkommen anonymisierte Daten gelten nicht mehr als Personendaten.

Die Artikel 13 Absatz 2 Buchstabe e und 22 DSG gelten also für die Verwendung nicht anonymisierter Daten zu nicht personenbezogenen Zwecken, was die Forschung zu identifizierbaren Personen ausschliesst (betrifft vor allem Historiker und Genealogen).

Die folgenden Erläuterungen sollen Forscherinnen und Forschern und Bundesorganen, die im Rahmen eines Forschungsprojekts Daten weiterleiten müssen, die nötigen Informationen liefern, um datenschutzkonform zu handeln und die Interessen der betroffenen Personen zu wahren.

Ein Hinweis: Daten, die für medizinische Forschungsprojekte gesammelt werden, dürfen nur bearbeitet werden, wenn die betroffenen Personen vorgängig zugestimmt haben oder eine Bewilligung zur Offenbarung des Berufsgeheimnisses nach Artikel 321bis des Schweizerischen Strafgesetzbuches und nach Humanforschungsgesetz vorliegt (HFG, SR 810.30). Dieses ist am 1. Januar 2014 in Kraft getreten. Hier interessiert vor allem das 4. Kapitel «Weiterverwendung von biologischem Material und gesundheitsbezogenen Personendaten für die Forschung».

 
Anforderungen an die Forschenden

Forscherinnen und Forscher sind bei der Bearbeitung von Personendaten für den Datenschutz zuständig. Auch wenn jeder Einzelfall im Forschungskontext und im Lichte seiner Besonderheiten betrachtet werden muss, sollten sie sich im Rahmen ihrer Forschungsprogramme insbesondere an folgende Grundsätze halten:

Anonymisierung

Sie verwenden in ihrem Projekt bevorzugt anonymisierte Daten. Das heisst, sie stellen sicher, dass Daten nicht oder nur mit aussergewöhnlichem Aufwand einer konkreten Person zugeordnet werden können.

Wenn wegen der Art oder des Zwecks der Forschung nicht mit anonymisierten Daten gearbeitet werden kann, weil es beispielsweise wichtig ist, die betroffenen Personen regelmässig kontaktieren zu können, müssen die Forscherinnen und Forscher die Daten kodieren oder verschlüsseln (pseudonymisierte Daten). So können sie anstelle des Namens und der anderen identifizierenden Daten einen Code/Referenznummer verwenden, sodass es nicht mehr möglich ist, ohne die Referenznummer bestimmte Daten mit einer bestimmten Person in Beziehung zu setzen. Dieses Vorgehen ist heute bereits stark verbreitet. Die Korrespondenztabelle mit den identifizierenden Daten und der Code selbst dürfen nur einem beschränkten und dazu autorisierten Personenkreis zugänglich sein und müssen sicher und verschlüsselt aufbewahrt werden. Je nach Umfang und Sensibilität des Projekts kann man die Korrespondenztabelle auch bei einer externen, nicht in das Forschungsprojekt involvierten und vertrauenswürdigen Drittperson aufbewahren.

Die Daten sind so rasch als möglich zu anonymisieren.

Das Forschungsergebnis ist in anonymisierter Form zu publizieren.

Begründung und vorgängige Information

Die Verwendung nicht anonymisierter Personendaten zu Forschungszwecken kann auch ohne Zustimmung der betroffenen Personen gerechtfertigt sein, wenn die Ziele einer Studie nicht personenbezogen sind und die Ergebnisse keine Rückschlüsse auf einzelne Personen zulassen. Da die Teilnahme an Forschungsprojekten freiwillig ist, muss die betroffene Person der Bearbeitung ihrer Daten zustimmen und zumindest ein Widerspruchsrecht haben. Die Forscher müssen die Zustimmung zwingend einholen, wenn sie Daten verwenden, die dem Berufsgeheimnis, beispielsweise dem Arztgeheimnis, unterliegen. Fehlt die Zustimmung, so kann nach einem besonderen Verfahren eine Bewilligung eingeholt werden, die es erlaubt, dieses Geheimnis unter bestimmten Voraussetzungen zu offenbaren.

Gemäss Legalitätsprinzip (Art. 17 DSG) dürfen für Bundesorgane tätige Forscher Personendaten zu Forschungszwecken nur bearbeiten, wenn eine gesetzliche Grundlage besteht (z. B. auf das Forschungs- und Innovationsförderungsgesetz (FIFG; SR 420.1).

Dieses Forschungsprivileg entbindet aber nicht von der Pflicht, über die Datenbearbeitung zu informieren. Die betroffenen Personen müssen im Voraus alle Informationen über die geplanten Datenbearbeitungen erhalten.

Zu informieren ist insbesondere über:

  • den Autor bzw. die für die Datenbearbeitung zuständige Person
  • Art und Umfang der gesammelten/bearbeiteten Daten
  • den Zweck der Datenbearbeitung
  • die Weitergabe der Daten an Dritte / Adressatenkategorien / die grenzüberschreitende Bekanntgabe von Daten und die Garantien nach Artikel 6 Absatz 2 Buchstabe a DSG
  • die Freiwilligkeit der Teilnahme am Projekt und die Möglichkeit, die Zustimmung jederzeit zu widerrufen
  • die Folgen für die betroffene Person im Falle eines Widerrufs (ihr sollten keine erheblichen Nachteile daraus erwachsen)
  • das Zugangsrecht und das Recht auf Berichtigung

Empfehlenswert ist es zudem, über Folgendes zu informieren:

  • die Anonymisierung / Pseudonymisierung der Daten (besteht eine Möglichkeit, auf die Person zu schliessen? in welchen Fällen? wer bewahrt die Korrespondenz­tabelle auf und wer darf wann darauf zugreifen?)
  • die Aufbewahrung der Daten (Form und Dauer) und deren Weiterverwendung
  • den Vertrag mit Dritten und deren Geheimhaltungspflichten
  • die Möglichkeiten der betroffenen Person, über die Forschungsergebnisse informiert zu werden

Im Bereich der medizinischen Forschung gibt es zahlreiche gesetzliche Bestimmungen, die festlegen, welche Angaben im Rahmen der Information vor der Einwilligung zur Teilnahme an einem Versuch gemacht werden müssen, so beispielsweise im Humanforschungsgesetz (HFG; SR 810.30), der dazugehörenden Verordnung (HFV; SR 810.301) und in der Verordnung über klinische Versuche in der Humanforschung (KlinV; SR 810.305).

Zweckbestimmung und Verhältnismässigkeit

Die Daten dürfen nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde (Prinzip der Zweckbestimmung).

Es dürfen nur diejenigen Daten bearbeitet werden, die erforderlich sind, um den vorgesehenen Forschungszweck zu erfüllen (Verhältnismässigkeitsprinzip).

Sicherheit

Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Dies gilt für die Bearbeitung ebenso wie für die Aufbewahrung. Die Datensicherheit muss gewährleistet sein (für Private vgl. Art. 7 DSG; Art. 8-12 VDSG; für die Bundesorgane vgl. Art. 20 und 21 VDSG). So müssen die Daten an einem sicheren Ort aufbewahrt und - wenn sie in elektronischer Form vorliegen - verschlüsselt werden. Zudem darf nur eine kleine Gruppe klar definierter Personen Zugang zu den Daten erhalten; die Bearbeitung der Daten ist streng vertraulich.

Es muss festgelegt sein, wie lange die Daten aufbewahrt werden. Die Aufbewahrungsfrist endet grundsätzlich mit dem Erreichen des Forschungsziels. Anschliessend müssen die Daten vernichtet oder anonymisiert werden.

Handelt es sich um nichtanonymisierte Daten, so muss den betroffenen Personen Zugang zu den Daten gewährt und die Person bezeichnet werden, bei der dieses Zugangsrecht ausgeübt werden kann.

Anforderungen für Bundesorgane

Bevor Bundesorgane auf Antrag von Forschenden Personendaten weiterleiten, haben sie zu prüfen, ob dem nicht eine allfällige Geheimhaltungspflicht entgegensteht. Sie sind nur dann verpflichtet, Daten bekannt zu geben, wenn eine Auskunftspflicht besteht. Geben sie Daten bekannt, so sind sie für die Gewährleistung des Datenschutzes verantwortlich. Bundesorgane, die Personendaten zu Forschungszwecken liefern wollen, sollten zuvor einen Datenschutzvertrag erarbeiten. Dieser hat insbesondere folgende Punkte zu beinhalten:

  • Bezeichnung der für das Projekt verantwortlichen Person
  • Kurzbeschreibung des Projekts und dessen Zweck
  • Beschreibung der Daten, um deren Bekanntgabe ersucht wird: Personendaten, besonders schützenswerte Personendaten, Persönlichkeitsprofile
  • Pflicht, die Daten nur zu dem Zweck zu bearbeiten, für den sie bekannt gegeben wurden - die Forscherinnen und Forscher dürfen sie ohne Zustimmung des Bundesorgans, das ihnen die Daten übermittelt hat, weder zu einem anderen Zweck verwenden noch weiterleiten noch anderweitig nutzen.
  • Pflicht, die Daten so rasch als möglich, das heisst, sobald der Bearbeitungszweck dies zulässt, zu anonymisieren. Soweit dies für den Zweck des Forschungsprojekts möglich ist, werden nur bereits anonymisierte oder verschlüsselte Daten bekannt gegeben. Der Entschlüsselungscode wird nicht weitergegeben.
  • Umschreibung des von der Datenbearbeitung betroffenen Personenkreises (sind sie informiert worden, mit welchen Mitteln, wann, haben sie eingewilligt, in welcher Form?)
  • Bezeichnung der Personen mit Recht auf Datenzugang (z. B. innerhalb eines Forschungsteams) und deren Unterstellung unter die Pflicht zur Vertraulichkeit und zur Einhaltung der Datenschutzbestimmungen
  • Verbot, die Daten ohne vorgängige Zustimmung des Bundesorgans an Dritte weiterzuleiten
  • Verbot, die Daten des Bundesorgans mit den Forschungsdaten oder anderen individuellen Daten des Forschers oder von Drittpersonen zu verknüpfen
  • Aufbewahrung (Angabe von Dauer, Form und Ort der Datenaufbewahrung) - Begrenzung der Aufbewahrungsdauer auf den Zeitpunkt, zu dem das im Forschungsprojekt vorgesehene Ziel erreicht sein soll
  • Ort der Bearbeitung und der Aufbewahrung der Daten (werden die Garantien nach Art. 6 DSG gewährleistet?)
  • Massnahmen zur Sicherung des Datenschutzes und der Vertraulichkeit
  • Sicherheit (angemessene technische und organisatorische Massnahmen treffen, damit die Personendaten sicher bearbeitet werden können, und Zugang zu den Daten durch unbefugte Dritte verhindern) vgl. Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes
  • Rückgabe / Vernichtung / Anonymisierung der Daten (die Personendaten, einschliesslich der Sicherheitskopien, müssen nach der Bearbeitung zurückgegeben und vernichtet oder vollständig anonymisiert werden. Dafür ist eine Frist vorzusehen. Eine schriftliche, an das Bundesorgan einzureichende Erklärung bestätigt die vollständige und unwiederbringliche Vernichtung der Daten)
  • Veröffentlichung der Forschungsergebnisse in anonymisierter Form
  • Gewährleistung der Rechte der betroffenen Personen (Recht auf Zugang zu den Daten, auf deren Berichtigung und Löschung)
  • Haftung / Konventionalstrafen bei Verletzung der vertraglichen Pflichten, einer gesetzlichen Bestimmung zum Datenschutz oder der Geheimhaltungspflicht

Im Einzelfall können weitere Bedingungen und Auflagen vorgesehen werden.

Für die grenzüberschreitende Weitergabe nichtanonymisierter Daten zu Forschungszwecken gilt Artikel 6 DSG.

Die Datensammlungen von Privaten und von Bundesorganen, deren Daten insbesondere im Rahmen der Forschung nicht personenbezogen verwendet werden, sind in der Erklärung nicht zu erfassen (Art. 11 Abs. 5 Bst. b DSG, Art. 4 Abs. 1 Bst. b und 18 Abs. 2 Bst. c VDSG).

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/statistik--register-und-forschung/forschung/datenschutz-und-forschung-im-allgemeinen.html