In einem gerade erschienenen Artikel in der Zeitschrift "Forschung" https://docs.wixstatic.com/ugd/7bac3c_90802a0e8e4c4a62a3c23657cd8069f7.pdf beschäftigen sich Katrin Schaar und Loris Bennett mit Implikationen der DSGVO auf außeruniversitäre Forschungseinrichtungen und Hochschulen. Im ersten Abschnitt geben sie dazu einen Überblick über die wesentlichen für die Forschung relevanten Änderungen durch die DS-GVO. Hierzu gehören beispielsweise Änderungen bei den Meldepflichten, Dokumentationspflichten und dem neuen Instrument der Datenschutzfolgenabschätzung. Im zweiten Abschnitt wird der daraus resultierende spezifische Handlungsbedarf für  Hochschulen und außeruniversitäre Forschungseinrichtungen in den Blick genommen. Hierzu gehören die Implikationen für die empirische Forschung, Anforderungen an die Anonymisierung von Forschungsdaten sowie den Betrieb von Infrastrukturen des High Performance Computing (HPC). Abschließend finden sich Überlegungen dazu, wie Verantwortlichkeiten in Institutionen spezifiziert und Strukturen umgestaltet werden könnten.

 

Schaar, K., & Bennett, L. (2018). Mehr Nachweispflichten, sichere (technische) Infrastrukturen und transparente Verfahrensregeln: Hochschulen und außeruniversitäre Forschungseinrichtungen müssen die Verarbeitung von Forschungsdaten durch Inkrafttreten der EU-Datenschutz-Grundverordnung (DS-GVO) neujustieren. In: Forschung: Politik - Strategie - Management, 11, 9-15.

Mit dem Inkrakttreten der Datenschutzgrundverordnung gibt es in vielen Kontexten die Pflicht, eine "Datenschutz-Folgenabschätzung" (DSFA) durchzuführen  und ihre Nichtexistenz kann mit Strafen belegt werden (DS-GVO Art. 35). Mit  einer DSFA sollen Risiken bei der Datenverarbeitung erkannt und Maßnahmen zur Begrenzung von Risiken getroffen und dokumentiert werden. Verantwortlich sind einer oder mehrere für die Datenverarbeitung „Verantwortliche“ unter Hinzuziehung des/der Datenbeauftragten, der die Datenschutz-Folgeabschätzung überwachen muss. Die Datenschutz-Folgenabschätzung nach Art. 35 der DS-GVO muss zum einen für technische Systeme (z.B. für Datenbanken, in denen sensible Informationen gehalten werden) durchgeführt werden, zum anderen auch für Studien, die mit umfangreichen sensiblen Daten arbeiten oder neue Technologien verwenden, und in allen Fällen, in denen es größere Risiken für die Rechte und Freiheiten betroffener Personen gibt. Da Forschungsprojekte, seien sie medizinisch, psychologisch oder sozialwissenschaftlich, häufig mit sensiblen Daten wie Gesundheitsdaten, genetischen Daten aber auch Daten, die Aufschluss über die politische Orientierung geben sollen, arbeiten, ist es auch in diesem Kontext erforderlich, eine Datenschutz-Folgenabschätzung durchzuführen.

HIer finden Sie Links zu aktuellen Materialien zur Datenschutz-Folgenabschätzung, in denen auch praktische Anregungen zur Umsetzung gegeben werden.