Datenschutz in der qualitativen Forschung
Grundzüge des Datenschutzrechts in der (qualitativen) Forschung
In der Forschung werden personenbezogene Daten erhoben und verarbeitet. Daher stellt sich die Frage, wie rechtlich mit diesen personenbezogenen Daten umzugehen ist.
1. Gesetzliche Regelungen
Wichtige gesetzliche Regelungen zum Datenschutz sind die Datenschutzgrundverordnung (DSGVO[1]) der EU und die Datenschutzgesetze der BRD, wie das Bundesdatenschutzgesetz (BDSG[2]) sowie die Landesdatenschutzgesetze. Dabei ist die grundlegende Vorschrift die der DSGVO.
Ziel der datenschutzrechtlichen Regelungen ist der Schutz personenbezogener Daten natürlicher Personen (Menschen). Deshalb fallen in den Schutzbereich keine Daten von Unternehmen, auch keine Geschäftsgeheimnisse (diese werden teilweise von anderen Vorschriften geschützt).
2. Grundbegriffe des Datenschutzrechts
Wichtige Grundbegriffe im Bereich des Datenschutzrechts, die in den gesetzlichen Vorschriften verwendet werden sind:
a) Personenbezogene Daten
Der absolute Grundbegriff ist der, der personenbezogenen Daten. Diese sind nach Art. 4 Nr. 1 DSGVO Daten, die sich auf eine bekannte oder identifizierbare Person beziehen. Das bedeutet, dass nicht zwingend eine Person namentlich genannt werden muss, es reicht aus, wenn sie anhand von genannten Merkmalen (ggf. anhand einer Triangulation) identifizierbar ist.
b) Betroffene Person
Die betroffene Person ist nach Art. 4 Nr. 1 DSGVO die Person, auf die sich die personenbezogen Daten beziehen, also die Person, die mit den personenbezogenen Daten in Zusammenhang steht.
c) Verarbeitung
Der Begriff der Verarbeitung von personenbezogenen Daten ist nach Art. 4 Nr. 3 DSGVO weit gefasst. Erfasst sind alle Bereiche vom Erheben der Daten über deren ‚Verarbeitung‘ (z. B. organisieren, kategorisieren oder ordnen), speziell deren Speicherung, die Veränderung und Löschung oder die Weitergabe.
d) Verantwortliche Person
Die verantwortliche Person ist nach Art. 4 Nr. 7 DSGVO eine natürliche oder juristische Person, die über die Verarbeitung von personenbezogenen Daten entscheidet. Dieses ist in der Forschung in der Regel der Forscher (speziell bei Qualifikationsarbeiten) oder die forschende Institution.
e) Verletzung personenbezogener Daten
Die Verletzung personenbezogener Daten liegt nach Art. 4 Nr. 12 DSGVO vor, wenn die personenbezogenen Daten in unzulässiger Weise verarbeitet worden sind.
f) Einwilligung
Mit einer Einwilligung können personenbezogene Daten in zulässiger Weise verarbeitet werden. Allerdings muss die Einwilligung nach Art. 4 Nr. 14 DSGVO freiwillig abgegeben werden. Zudem muss die betroffene Person über die beabsichtigte Nutzung umfassend informiert worden sein. Es handelt sich um eine sog. informierte Einwilligung.
3. Grundsätze des Datenschutzrechts
Anhand der Grundsätze des Datenschutzrechts kann ein erster Eindruck gewonnen werden, ob der angestrebte Umgang mit personenbezogenen Daten zulässig ist oder nicht. Dazu sollte eine eher kritische Betrachtung erfolgen. Wenn der erste Eindruck zu dem Ergebnis führt, dass eine unzulässige Verarbeitung vorliegen könnte, kann eine genauere Prüfung vorgenommen oder in Auftrag gegeben werden.
a) Transparenzgebot
Nach dem Transparenzgebot nach Art. 5 Abs. 1 a) DSGVO muss für die betroffene Person nachvollziehbar sein, wo und wie mit ihren personenbezogenen Daten umgegangen wird. Hieraus resultiert eine umfassende Informationspflicht.
b) Zweckbindung
Nach Art. 5 Abs. 1 b) DSGVO dürfen personenbezogene Daten nur zweckgebunden erhoben und verarbeitet werden. Dieser Zweck ergibt sich aus dem Gesetz oder der erteilten Einwilligung.
c) Datenminimierung
Die Verarbeitung und Erhebung von Daten soll nach Art. 5 Abs. 1 c) DSGVO auf das Minimum beschränkt werden. Hierdurch soll erreicht werden, dass Daten nur sparsam erhoben werden und dadurch weniger Daten missbraucht werden können.
d) Richtigkeit
Die personenbezogenen Daten sollen nach Art. 5 Abs. 1 d) DSGVO richtig sein, daher besteht ein Anspruch nach Art. 16 DSGVO auf Berichtigung der falschen Daten.
e) Speicherbegrenzung
Die personenbezogenen Daten sollen nach Art. 5 Abs. 1 e) DSGVO nur solange wie nötig gespeichert werden.
f) Integrität und Vertraulichkeit
Personenbezogene Daten sollen nach Art. 5 Abs. 1 f) DSGVO vor dem Zugriff unbefugter Personen geschützt werden, wozu organisatorische und technischen Maßnahmen ergriffen werden müssen. Dieses bedeutet, dass ein möglichst hoher Schutz vor unberechtigtem Zugriff hergestellt werden muss (z. B. Passwortschutz, verschlossene Behältnisse).
g) Rechenschaftspflicht
Die verantwortliche Person hat nach Art. 5 Abs. 2 DSGVO die Einhaltung der o. g. Grundsätze zu verantworten und nachzuweisen. Hierzu sind Verarbeitungsverzeichnisse zu erstellen, anhand dieser können die Verarbeitungsprozesse nachvollzogen werden.
4. Verarbeitung personenbezogener Daten
Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten. Ausnahmsweise dürfen personenbezogene Daten verarbeitet werden, wenn das Gesetz dieses erlaubt oder wenn die betroffene Person einwilligt (was nach der DSGVO eine gesetzliche Erlaubnis darstellt).
Nach Art. 6 Abs. 1 Satz 1 a) DSGVO kann die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Die Voraussetzungen für die Einwilligung sind in Art. 7 DSGVO geregelt. Danach muss die verantwortliche Person nach Art. 7 Abs. 1 DSGVO nachweisen, dass eine (wirksame) Einwilligung vorliegt. Die betroffene Person kann ihre Einwilligung nach Art. 7 Abs. 3 Satz 1 DSGVO jederzeit widerrufen, wobei die Verarbeitung der personenbezogenen Daten bis zum Zeitpunkt des Widerrufs unberührt bleibt. Die Einwilligung muss freiwillig sein und die betroffene Person muss umfassend aufgeklärt worden sein.
5. Folgen von Verstößen
Zunächst steht jeder betroffen Person nach Art. 77 DSGVO das Recht zu, sich bei den entsprechenden Aufsichtsbehörden zu beschweren.
Eine wichtige Sanktion ist die der Haftung und des Schadensersatzes nach Art. 82 DSGVO. Der Schadensersatz in Deutschland bestimmt sich nach den §§ 249 ff. BGB. Danach ist der Zustand herzustellen, der bestehen würde, wenn das schädigende Ereignis nicht eingetreten wäre. Dieses bedeutet zunächst, dass es um eine Wiederherstellung eines Zustandes geht. Erst im zweiten Schritt kann nach § 249 Abs. 2 BGB ein Geldbetrag verlangt werden, wenn die Wiederherstellung des Zustandes nicht möglich ist. Daher wird im datenschutzrechtlichen Bereich eher der Geldersatz der Regelfall. Dabei ist es auch denkbar, dass nach § 253 BGB ein Schmerzensgeld (immaterieller Schaden) zu begleichen ist.
Zudem sind nach Art. 83 DSGVO Geldbußen (bis zu 20.000 €) möglich. die Höhe der Geldbuße richtet sich nach der Schwere des Verstoßes.
6. Fazit
Die Verarbeitung personenbezogener Daten ist prinzipiell als schwierig einzuschätzen. Mit entsprechenden Einwilligungen der betroffenen Personen ist dieses in der Regel weitgehend unproblematisch durchführbar. Dennoch sollte der Umgang mit personenbezogenen Daten sensibel durchgeführt werden und im Zweifel auch rechtlicher Rat eingeholt werden.
Datenschutzrechtliche Hinweise in Bezug auf qualitative Forschungsvorhaben
1. Einwilligung
Für eine Einwilligung muss die betroffene Person umfangreich über die beabsichtigte Nutzung verständlich informiert werden. Sollten Interviews nicht von der erhebenden Person transkribiert werden, sondern durch einen Auftragsverarbeiter, so muss die betroffene Person auch hierin einwilligen, da andere Personen mit den personenbezogenen Daten in Kontakt kommen.
Eine automatisierte Transkription ist prinzipiell erlaubt. Eine Schwierigkeit kann sich ergeben, wenn Daten (z. B. in Form von Dateien) extern transkribiert werden und die Daten vervielfältigt werden. Dabei gibt der Forscher die Herrschaft über die erhobenen vervielfältigten Daten auf und kann nicht sicherstellen, dass diese im datenschutzrechtlichen Sinne geschützt sind. Problematisch (je nach Ausgestaltung der Software) kann der Einsatz von KI zur Transkription oder Auswertung sein. Auch hier gilt, dass die Herrschaft über die Daten beim Forscher verbleiben muss. Daher ist genau zu prüfen, ob eine KI Daten speichert (dieses müsste sie eigentlich tun, da sie in der Regel durch Daten lernt), dieses wäre unzulässig oder müsste in der Einwilligungserklärung ausdrücklich aufgenommen werden. Dieses ist aber nur möglich, wenn bekannt ist, wie und in welchem Umfang die KI Daten verarbeitet, speziell speichert oder weiterleitet.
Ein Problem der Einwilligung ist, dass diese jederzeit widerrufbar ist. Allerdings dürfen die bis zum Widerruf erfolgten Verarbeitungen bestehen bleiben (wobei der Nachweis, wann welche Verarbeitung erfolgt ist schwierig sein könnte). Nach dem Widerruf darf keine Verarbeitung mehr erfolgen.
2. Datenminimierung
Die Datenminimierung ist bei quantitativen Studien eher weniger problematisch als bei qualitativen Studien, da durch das Erhebungsinstrument bereits eine Reduzierung vorhanden ist. Bei qualitativen Studien, speziell narrativen Interviews sollen gerade Daten erhoben werden, die noch nicht als relevant bekannt sind und daher eine Vielzahl von Informationen und daher auch personenbezogene Daten erlangt werden. Dabei liegt es auch an der betroffenen Person, welche und wie viele Daten sie selber preisgibt.
3. Richtigkeit der Daten
Für die Richtigkeit der Daten spielt es eine große Rolle, dass nach der Erhebung von personenbezogenen Daten und einer Transkription die Daten (also die Transkription) an die betroffenen Personen mit der Bitte um Durchsicht gegeben werden, damit diese Korrekturen vornehmen können. Dieses wiederspricht der Spontanität eines Interviews, ist aber zur rechtlichen Absicherung erforderlich. Zudem wird eine wertschätzende Atmosphäre geschaffen.
4. Speicherbegrenzung
Bei wissenschaftlichen Arbeiten ist zu differenzieren zwischen den Qualifikationsarbeiten, die in der Regel zu einem Zertifikat führen und anderen wissenschaftlichen Arbeiten, die teilweise im Auftrag von Institutionen erfolgen. Die Speicherung ist bis zum Abschluss des entsprechenden Prüfungsprozesses (zur möglichen Überprüfung) nötig. In jedem Fall dürfen die Daten nicht länger aufbewahrt werden als diese benötigt werden. Zudem müssen sie gelöscht werden, wenn die Einwilligung widerrufen wurde.
5. Integrität und Vertraulichkeit
Es muss ein angemessener Schutz der personenbezogenen Daten gewährleistet werden. Dieses bedeutet, dass ein möglichst hoher Schutz vor unberechtigtem Zugriff hergestellt werden muss (z. B. Passwortschutz, verschlossene Behältnisse). Auch ein Zugriff von Mitarbeitern oder im Haushalt lebenden Personen muss vermieden werden.
6. Sekundärverwertung
In der Fachcommunity wird über eine Sekundärverwertung von qualitativ erhobenen Daten diskutiert (siehe u. a.: Richter/Mojescik 2021). Eine Sekundärverwertung von erhobenen Daten kann aufgrund der Zweckbindung schwierig sein. Ist die Zweitverwertung vor der Erhebung der Daten bekannt, muss diese in die Einwilligung mit aufgenommen werden. Entsteht die Idee einer Zweitverwertung später, müssen die betroffenen Personen angefragt werden, ob sie dieser Zweitverwertung zustimmen. Eine Sekundärverwertung ist aus diesem Grund schwierig, da entweder der gesetzliche Zweck oder die Einwilligung eine Sekundärverwertung in der Regel nicht abdecken.
7. Mögliche Folgen von datenschutzrechtlichen Verstößen
Neben möglichen Beschwerden, Geldbußen und Schadensersatz, können im Rahmen der wissenschaftlichen Forschung weitere Folgen eintreten.
Möglich ist der Anspruch auf eine Unterlassung der Verarbeitung der personenbezogenen Daten, was zur Folge haben kann, dass Forschungs- oder Qualifikationsarbeiten die Daten nicht enthalten dürfen.
8. Verarbeitungsverzeichnisse
Um dem Gebot der Transparenz gerecht zu werden, sollte - soweit mehrere Personen personenbezogene Daten verarbeiten - ein Verarbeitungsverzeichnis angelegt werden, in dem dokumentiert wird, wer wann welche Daten wie verarbeitet hat.
9. Handlungshinweise
Forschungsvorhaben sollten im Vorhinein auf mögliche datenschutzrechtliche Problemkreise kritisch reflektiert werden. Bei Zweifeln sollte ein rechtlicher Rat eingeholt werden oder von dem Forschungsvorhaben Abstand genommen werden.
Bei quantitativen Studien sollten die Fragen reflektiert werden, ob diese für das Forschungsvorhaben relevant sind oder nicht (z. B. die Frage nach dem Alter, wenn dieses für die Forschung irrelevant ist).
Um auf einem sicheren Weg der zulässigen Verarbeitung personenbezogener Daten zu sein, sollten Daten pseudonymisiert werden, d. h. die verwendeten (veröffentlichten) Daten können nur unter Hinzuziehung weiterer Daten trianguliert werden, um eine Person zu identifizieren. Der beste Weg ist es die Daten zu anonymisieren. Dieses ist dann der Fall, wenn kein Bezug (auch nicht unter Hinzuziehung weiterer Daten) zu einer Person hergestellt werden kann, denn dann liegen keine personenbezogenen Daten mehr vor. Dieser Weg kann - je nach der Intensität der erhobenen Daten - schwierig sein.
Im Rahmen von wissenschaftlichen Arbeiten ist es erforderlich, entsprechend sorgfältig im datenschutzrechtlichen Bereich zu arbeiten, um mögliche negative Folgen zu vermeiden.
10. Quelle
Richter, Caroline/Mojescik, Katharina (Hrsg.) (2021) Qualitative Sekundäranalysen, Springer Fachmedien, Wiesbaden.
Artikel verfasst von Klaus Hebrank (2024).
Zitation: Klaus Hebrank (2024). Datenschutzrecht in der qualitativen Forschung. QUASUS. Qualitatives Methodenportal zur Qualitativen Sozial-, Unterrichts- und Schulforschung. URL https://www.ph-freiburg.de/quasus/wie-kann-ich-vorgehen/forschungsprozess-organisieren/datenschutz-in-der-qualitativen-forschung.html#c48241.
[1] Erreichbar unter: dejure.org/gesetze/DSGVO (eingesehen: 24.01.2024).
[2] Erreichbar unter: www.gesetze-im-internet.de/bdsg_2018/ (eingesehen: 24.01.2024).