standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen

Die Zweckänderung für Forschungszwecke unter der DSGVO

/von

Bei der Verarbeitung personenbezogener Daten gilt schon seit jeher das Prinzip der Zweckbindung. Die Zwecke der Verarbeitung sind zu dokumentieren, beispielsweise im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit. b DSGVO). Darüber hinaus sind sie der betroffenen Person im Zuge der Erhebung mitzuteilen, bzw. bei Erhebung bei Dritten im Nachgang zu dieser Erhebung (Art. 13 und 14 jew. Abs. 1 lit. c DSGVO). Die Zwecke von Verarbeitungen sind also eigentlich festgeschrieben und können nicht „mal eben so“ geändert oder erweitert werden.

Was, wenn die Zwecke erweitert werden müssen?

Nun kommt es aber durchaus vor, dass solche Zweckänderungen oder -erweiterungen sinnvoll oder sogar notwendig werden. In solchen Fällen sieht die DSGVO vor, dass der neue bzw. zusätzliche Zweck kompatibel sein muss. Hierbei handelt es sich um die konsequente Fortführung des Prinzips der Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a).

Forschung geht (fast) immer

Art. 5 Abs. 1 lit. b. definiert die Zweckbindung. Allerdings wird dort ebenfalls definiert, dass eine Weiterverarbeitung unter anderem für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO nicht als unvereinbar mit dem ursprünglichen Zweck gilt. Diese Definition schränkt die Art der Daten auch nicht auf „normale“ Daten (also keine besonderen Kategorien gem. Art. 9 DSGVO) ein. Im Gegenteil, Art. 9 Abs. 2 lit. j erlaubt die Verarbeitung solcher hochsensibler Daten für wissenschaftliche oder historische Forschungszwecke sowie für statistische Zwecke explizit – zumindest unter den Auflagen des Art. 89 DSGVO.

Pseudonymisierung wäre schön

Dort wird hauptsächlich festgelegt, dass die Daten soweit möglich vor der Verarbeitung zu pseudonymisieren sind. Darüber hinaus erlaubt Art 89 Abs. 2 DSGVO die Einschränkung der Betroffenenrechte, allerdings nur der Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch sofern diese dem Zweck entgegenstehen.

Der Forschung werden also weitgehende Rechte eingeräumt, die betroffenen Personen erfahren von dieser Nutzung ihrer personenbezogenen Daten in vielen Fällen nichts.

Stehen Sie vor der Herausforderung, die Zwecke Ihrer Verarbeitungen zu erweitern oder zu ändern? Sprechen Sie uns an, wir ermitteln gemeinsam mit Ihnen, was geht und was nicht.

Das könnte Sie auch interessieren
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bStartet nun die prophezeite DSGVO Bußgeldwelle?
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenSerie zu den neuen Standardvertragsklauseln – Teil 3: Datenübermittlung zwischen Auftragsverarbeitern (P2P)
bußgeld dsgvoEin Bußgeldrechner für die DSGVO: Wird es berechenbar(er) und teu(r)er?
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageInformationspflichten nach der DSGVO
fotos datenschutz kugFotos und der Datenschutz – ein Dauerbrenner
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaKosten für Kontrollen im Rahmen der Auftragsverarbeitung
Das Verzeichnis von Verarbeitungstätigkeitenaufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61beinwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoInformationspflichten – Teil 2