Brüssel, 16. April – Der EDSA hat auf seiner letzten Plenartagung Leitlinien für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken angenommen. Darüber hinaus hat der Ausschuss ein Team geschaffen, um die Fertigstellung der Leitlinien zur Anonymisierung zu beschleunigen. Der EDSA hat auch zwei Stellungnahmen zu den beiden Sätzen der Europrivacy-Zertifizierungskriterien für die Genehmigung als Europäische Datenschutzsiegel angenommen, von denen eines als Instrument für Übermittlungen verwendet werden soll.
Viele Bereiche der wissenschaftlichen Forschung beruhen auf der Verarbeitung personenbezogener Daten von Einzelpersonen, was zu bedeutenden wissenschaftlichen Durchbrüchen geführt hat, die der Gesellschaft zugutekommen. Der Aufstieg neuer Technologien, wie künstliche Intelligenz, trägt auch zum wissenschaftlichen Fortschritt bei, indem es Forschern ermöglicht wird, Daten auf innovative Weise zu nutzen und zu analysieren.
Das Hauptziel der Leitlinien des EDSA zur wissenschaftlichen Forschung besteht darin, Forschern mehr Klarheit zu verschaffen und die Einhaltung der DSGVO zu erleichtern und gleichzeitig den Schutz der Grundrechte des Einzelnen zu gewährleisten.
„Wissenschaftliche Forschung kann den gesellschaftlichen Fortschritt vorantreiben und unser tägliches Leben verbessern.
Unsere Leitlinien erleichtern innovative Forschung, indem sie Forschern helfen, sich in der DSGVO zurechtzufinden.
Der EDSA setzt sich dafür ein, die wissenschaftliche Gemeinschaft zu unterstützen und das Potenzial der wissenschaftlichen Forschung in der EU voll auszuschöpfen und gleichzeitig die Datenschutzrechte zu wahren.“
EDSA-Vorsitzender, Anu Talus
In seinen Leitlinien erläutert der Ausschuss den Begriff „wissenschaftliche Forschung“. Um festzustellen, ob die Verarbeitung zu wissenschaftlichen Forschungszwecken im Sinne der DSGVO erfolgt, stellt der Ausschuss sechs Schlüsselindikatoren zur Verfügung, die neben der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung berücksichtigt werden sollten. Dabei handelt es sich um: 1) methodischer und systematischer Ansatz, 2) Einhaltung ethischer Standards, 3) Überprüfbarkeit und Transparenz, 4) Autonomie und Unabhängigkeit, 5) Ziele der Forschung und 6) Potenzial, zu bestehenden wissenschaftlichen Erkenntnissen beizutragen oder vorhandene Kenntnisse auf neuartige Weise anzuwenden. Wenn die Forschungsaktivitäten diese sechs Faktoren erfüllen, kann davon ausgegangen werden, dass sie wissenschaftliche Forschung darstellen. Andernfalls sollte der Verantwortliche begründen und nachweisen können, warum die Tätigkeiten als wissenschaftliche Forschung im Sinne der DSGVO anzusehen sind.
Es wird davon ausgegangen, dass die Weiterverarbeitung zu wissenschaftlichen Forschungszwecken mit dem ursprünglichen Zweck der Erhebung personenbezogener Daten von Einzelpersonen vereinbar ist. Daher sind die Verantwortlichen nicht verpflichtet, den Zweckkompatibilitätstest nach der DSGVO durchzuführen, um festzustellen, ob die neue Verarbeitung mit dem ursprünglichen Zweck der Erhebung vereinbar ist. Die Verantwortlichen müssen jedoch weiterhin sicherstellen, dass die Rechtsgrundlage der Erstverarbeitung auch für die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken geeignet ist.
Verantwortliche können sich auf eine „breite Zustimmung“ stützen, wenn die Forschungszwecke zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig bekannt sind. In diesem Fall sollten die Forscher ethische Standards für die wissenschaftliche Forschung einhalten und zusätzliche Schutzvorkehrungen treffen, um die fehlende Zweckspezifikation auszugleichen. Die Verantwortlichen können auch Einzelpersonen auffordern, verschiedenen einzelnen Forschungsprojekten gesondert zuzustimmen, sobald die Zwecke dieser Projekte bekannt werden (dynamische Zustimmung). Eine Kombination aus breiter und dynamischer Zustimmung ist ebenfalls möglich.
Darüber hinaus präzisiert der EDSA die Rechte natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten für wissenschaftliche Zwecke. Dies schließt die Rechte auf Löschung und Widerspruch ein, für die Einschränkungen gelten können, wenn personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden. Der Ausschuss liefert Beispiele, um zu erläutern, wann davon ausgegangen werden kann, dass das Recht auf Löschung das Ziel der wissenschaftlichen Forschung unmöglich macht oder ernsthaft beeinträchtigt. Der EDSA erläutert auch, wann die für die Verarbeitung Verantwortlichen den Widerspruch einer Person gegen die Verarbeitung ihrer personenbezogenen Daten zu wissenschaftlichen Forschungszwecken ablehnen können. Dies kann der Fall sein, wenn die Verarbeitung für die Erfüllung einer Aufgabe erforderlich ist, die aus Gründen des öffentlichen Interesses ausgeführt wird.
Der Ausschuss erinnert daran, dass, wenn mehrere Einrichtungen an der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken beteiligt sind, bewertet und dokumentiert werden muss, wie die Zuständigkeiten zwischen den Einrichtungen aufgeteilt werden. In diesem Zusammenhang liefern die Leitlinien nützliche Beispiele, um klarzustellen, in welchen Situationen Einrichtungen als Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter gelten können.
Schließlich erläutert der Ausschuss, wie die für die Verarbeitung Verantwortlichen bei der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken geeignete technische und organisatorische Maßnahmen wie Anonymisierung oder Pseudonymisierung bewerten können. Der EDSA nennt Beispiele für andere Schutzvorkehrungen, die je nach den mit den durchgeführten Forschungstätigkeiten verbundenen Risiken umgesetzt werden könnten. Dazu gehören eine unabhängige oder ethische Aufsicht, sichere Verarbeitungsumgebungen, Technologien zur Verbesserung der Privatsphäre, Schutzmaßnahmen für die Veröffentlichung von Forschungsergebnissen, Vertraulichkeitsvereinbarungen und Bedingungen für die weitere Verwendung.
Die Leitlinien werden bis zum 25. Juni Gegenstand einer öffentlichen Konsultation sein und den Interessenträgern Gelegenheit zur Stellungnahme und Rückmeldung geben.
Ein „Sprint-Team“ für den Abschluss der Arbeiten zur Anonymisierung
Um die Fertigstellung der anstehenden Richtlinien zur Anonymisierung zu beschleunigen, hat der Vorstand ein spezielles "Sprint-Team" eingerichtet, das die Arbeit bis zum Sommer abschließen wird.
Europrivacy-Stellungnahmen
Der EDSA nahm eine Stellungnahme an, in der er die aktualisierten Europrivacy-Zertifizierungskriterien als Europäisches Datenschutzsiegel* gemäß Artikel 42 Absatz 5 DSGVO billigte. Der Ausschuss hatte die Europrivacy-Zertifizierungskriterien erstmals am 10. Oktober 2022 im Rahmen der Stellungnahme 28/2022 des EDSA als erstes Europäisches Datenschutzsiegel gebilligt. Der Anwendungsbereich des Europrivacy-Zertifizierungssystems wurde auf außerhalb Europas niedergelassene Verantwortliche und Auftragsverarbeiter ausgeweitet, die Artikel 3 Absatz 2 DSGVO unterliegen, entweder weil sie Waren oder Dienstleistungen für Einzelpersonen in Europa bereitstellen oder weil sie ihr Verhalten überwachen.
Darüber hinaus nahm der Ausschuss erstmals eine Stellungnahme an, in der er die Europrivacy-Zertifizierungskriterien als Europäisches Datenschutzsiegel anerkennt, das als Instrument für Übermittlungen gemäß den Artikeln 42 und 46 DSGVO verwendet werden soll. Datenimporteure außerhalb Europas, die nicht der DSGVO unterliegen, können sich nun für die Übermittlung von Daten, die sie erhalten, an das Europrivacy-Zertifizierungssystem wenden. Diese Zertifizierung wird die Erfüllung der Verpflichtung der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter in Europa erleichtern, nachzuweisen, dass sie angemessene Garantien für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen bieten.
Diese Genehmigungen bringen ein weiteres Licht auf die DSGVO-Zertifizierungsmechanismen und bestätigen ihre Schlüsselrolle als DSGVO-Compliance-Tool.
Hinweis für Redakteure
*Das Europäische Datenschutzsiegel ist ein in ganz Europa anerkannter DSGVO-Zertifizierungsmechanismus. Das Siegel muss bestimmte vom EDSA genehmigte Kriterien erfüllen und von einer nach Artikel 43 DSGVO akkreditierten Zertifizierungsstelle ausgestellt werden, um die Einhaltung der DSGVO-Standards nachzuweisen.
Die hier veröffentlichte Pressemitteilung wurde automatisch aus dem Englischen übersetzt. Der EDSA übernimmt keine Gewähr für die Richtigkeit der Übersetzung. Bitte beachten Sie den offiziellen Text in seiner englischen Fassung, falls Zweifel bestehen.