Der Legal Help Desk bei NFDI4Culture - Juni 2021
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Der Legal Help Desk bei NFDI4Culture 10. Juni 2021
Tätigkeit des Help Desk
• Bearbeitung von Anfragen aus der NFDI4Culture-Community
• Erstellung eigener Informationsmaterialien (anfragebasiert / »community driven«)
• Kuratieren externer Informationsmaterialien für die Website
• Formulierung von Vertragsmodulen für das Forschungsdatenmanagement
• Beobachtung laufender Gesetzgebungsverfahren und aktueller Urteile (»Law Monitor«)
• Beratung zu Policyfragen (Open Access) für Institutionen und Politik
Der Legal Help Desk bei NFDI4Culture
Leitfaden zur Retrodigitalisierung
• wird verschiedene Perspektiven abdecken (Verlag / Archiv)
• wird anlässlich der Änderungen im Urheberrecht (»nicht verfügbare Werke«) ausgebaut
Der Legal Help Desk bei NFDI4Culture
Datenschutzrecht und Forschungsdaten
• „sichtbare“ und „unsichtbare“ personenbezogene Daten
• Metadaten: Forschungsdaten als Trojanisches Pferd
• Zweigleisigkeit von Urheberpersönlichkeitsrecht und Datenschutzrecht
• Standards für Datentypen und -felder?
Datenschutzkonformes internes Teilen von Forschungsdatensätzen
Oliver Vettermann, NFDI4culture – Legal Helpdesk
Ja, als unbearbeitete Es handelt sich um anonyme
Enthält der Forschungsdatensatz Ja, als Fotografien von Datenschutzrecht ist nicht
Datensätze oder pseudonyme oder rein technikbezogene
personenbezogene Daten? Personen. anwendbar.
Daten. Datensätze.
Datenschutz und Persönlichkeitsrechte nur wenn Verarbeitung ≠ Veröffentlichung
Datenschutzrecht
Verarbeitung beider Verarbeitung beider Verarbeitung nur durch eine
Forschungseinrichtungen zu Forschungseinrichtungen zu Forschungseinrichtung auf
Wer verarbeitet die Datensätze? einem gemeinsamen Zweck. einem unterschiedlichen Zweck. Anfrage.
1. Enthält der Forschungsdatensatz personenbezogene Daten?
Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) sind alle Datensätze mit Informationen,
die sich unmittelbar oder mittelbar einer Information zuordnen lassen. Mittelbar bedeutet,
dass sich beispielsweise (rechtskonformer) Hilfsmittel oder Informationen von Dritten Ja, da direkt erhoben – die Ja, aber nicht direkt bei Person Interne Weitergabe der
Ist die Information der Betroffenen im Informationen gem. Art. 13 erhoben – Informationen gem. Nein. Forschungsdaten ist nicht
bedient werden kann. Gemeint sind jedoch nicht jede dritte (natürliche oder juristische Vorfeld ausreichend erfolgt? DSGVO wurden erteilt. Art. 14 DSGVO wurden erteilt. datenschutzkonform.
Person), sondern nur die die eine Nähe zur Institution aufweisen und üblicherweise auch
für derartige Fragen konsultiert werden können. Dabei kann es sich z.B. um
Forschungspartner in einem Konsortium oder anderen verbündeten
Forschungsinstituten im selben Fachbereich handeln.
Einwilligung der betroffenen
Beruht die ursprüngliche Verarbeitung auf Berechtigtes Interesse, Art. 6 Abs.
Person, Art. 6 Abs. 1 S. 1 a)
einer gültigen Rechtsgrundlage? 1 S. 1 f) DSGVO
Wegen dieses weiten Begriffes zählen auch Pseudonyme bzw. pseudonymisierte DSGVO
Daten als personenbezogene Daten im Sinne des Datenschutzrechts. Pseudonyme
zeichnen sich gerade dadurch aus, dass das originale Datum durch eine Chiffrierung
ersetzt wird, die allerdings aufgelöst werden kann – sei es durch die eigene Institution Anforderungen an Einwilligungen
oder einen Dritten. Sofern mit plausiblen Mitteln, also z.B. eine Anfrage bei eben diesem
Der Legal Help Desk bei NFDI4Culture
Prüfungsschritte bei berechtigtem Interesse
1. Die Einwilligung ist freiwillig und ohne eine
Dritten, die Pseudonymisierung aufgelöst werden kann, ist von der Anwendbarkeit des Verknüpfung mit anderen Zwecken (also 1. Art des berechtigten Interesses
Die Ausnahme der Forschung, (zunächst) granular) oder Zwängen erteilt worden. regelmäßig Forschung
Datenschutzrechts auszugehen. Dies ist bei Pseudonymen der Regelfall. keinen konkreten Zweck angeben zu müssen
oder mehrere Verarbeitungen unter einem
allgemeinen Zweck zusammenzufassen 2. Die Erklärung ist für den konkreten 2. Erforderlichkeit der Datenverarbeitung für die
(sog. broad consent, vgl. ErwGr 33) ist Anwendungsfall bzw. Verarbeitungszweck Erfüllung des berechtigten Interesses
Kontakt & Roadmap
Bildrechte Datenschutz und Persönlichkeitsrechte
in der kunst- Forschungsdaten veröentlichen? Handelt es sich bei den Diese Entscheidungshilfe
dient lediglich zur Informa-
Datenschutzrecht
1. Enthält der Forschungsdatensatz personenbezogene Daten?
historischen
Die wichgsten rechtlichen Aspekte Daten um eine Datenbank tion und Orientierung. Die
Informationen sind nicht Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) sind alle Datensätze mit Informationen,
mit wesentlicher Inveson? rechtlich verbindlich. Ver-
träge, Richtlinien und Ord- die sich unmittelbar oder mittelbar einer Information zuordnen lassen. Mittelbar bedeutet, Datenschutzkonformes internes Teilen von Forschungsdatensätzen
JA NEIN nungen können ergänzend dass sich beispielsweise (rechtskonformer) Hilfsmittel oder Informationen von Dritten Oliver Vettermann, NFDI4culture – Legal Helpdesk
Praxis – ein
weitere Einschränkungen bedient werden kann. Gemeint sind jedoch nicht jede dritte (natürliche oder juristische
UrhG Wer könnte die Rechte daran haben? aufzeigen und sind eben- Person), sondern nur die die eine Nähe zur InstitutionEnthält
aufweisen und üblicherweise auch
Ja, als unbearbeitete Es handelt sich um anonyme
Icons from the Noun Project: database by Shmidt Sergey, contract by Maxim Kulikov, Three Users by DesignBite, university by Fizae, locked by Paisan, Diploma by Maxim Kulikov, search people by ProSymbols, people pattern by Eliricon, queen elizabeth by Enrico Chialastri.
der Forschungsdatensatz Ja, als Fotografien von Datenschutzrecht ist nicht
§ 87 a Erlaubnis vom Arbeitgeber einholen. falls zu beachten. Im Zwei- personenbezogene Daten?
Datensätze oder pseudonyme
Daten.
Personen.
oder rein technikbezogene
Datensätze.
anwendbar.
felsfall ist eine rechtliche für derartige Fragen konsultiert werden können. Dabei kann es sich z.B. um
nur wenn Verarbeitung ≠ Veröffentlichung
Beratung sinnvoll. Forschungspartner in einem Konsortium oder anderen verbündeten
Stand: Juli 2019
Leitfaden
Forschungsinstituten im selben Fachbereich handeln.
Gibt es Daten, die von Drien erhoben/bereitgestellt wurden? Verarbeitung beider
Forschungseinrichtungen zu
Verarbeitung beider
Forschungseinrichtungen zu
Verarbeitung nur durch eine
Forschungseinrichtung auf
Wer verarbeitet die Datensätze?
Bzw. haben Drie Urheberrechte an den Daten (z.B. durch Wegen dieses weiten Begriffes zählen auch Pseudonyme bzw. pseudonymisierte einem gemeinsamen Zweck. einem unterschiedlichen Zweck. Anfrage.
Kooperaon mit Unternehmen, Nachnutzung anderer Datensets)? Daten als personenbezogene Daten im Sinne des Datenschutzrechts. Pseudonyme
zeichnen sich gerade dadurch aus, dass das originale Datum durch eine Chiffrierung
NEIN JA ersetzt wird, die allerdings aufgelöst werden kann Ist– diesei es durch
Information dieim eigene Institution
der Betroffenen
Ja, da direkt erhoben – die
Informationen gem. Art. 13
Ja, aber nicht direkt bei Person
erhoben – Informationen gem. Nein.
Interne Weitergabe der
Forschungsdaten ist nicht
Vorfeld ausreichend erfolgt? DSGVO wurden erteilt. Art. 14 DSGVO wurden erteilt. datenschutzkonform.
UrhG oder einen Dritten. Sofern mit plausiblen Mitteln, also z.B. eine Anfrage bei eben diesem
§1 Haben Sie die schri(liche Erlaubnis,
Dritten, die Pseudonymisierung aufgelöst werden kann, ist von der Anwendbarkeit des
die Daten zu verö+entlichen?
NEIN Datenschutzrechts auszugehen. Dies ist bei Pseudonymen der Regelfall.
JA Beruht die ursprüngliche Verarbeitung auf
Einwilligung der betroffenen
Person, Art. 6 Abs. 1 S. 1 a)
Berechtigtes Interesse, Art. 6 Abs.
Nicht vom Datenschutzrecht erfasst sind anonyme bzw. anonymisierte Daten. Bei einer gültigen Rechtsgrundlage? DSGVO
1 S. 1 f) DSGVO
UrhG Sind die Daten während Ihres diesen kann das Datum nicht mehr auf die Person zurückgeführt werden, weshalb kein
To:
§ 43 Dienstverhältnisses angefallen? persönlichkeitsrechtliches Risiko oder eine Gefahr für die Privatsphäre besteht. Hier ist
Anforderungen an Einwilligungen
jedoch darauf zu achten, dass das gewählte Verfahren zur Anonymisierung möglichst
1. Die Einwilligung ist freiwillig und ohne eine
Prüfungsschritte bei berechtigtem Interesse
JA, als ich Prof. war NEIN JA, als ich nicht Prof. war sicher bzw. robust ist gegen Angriffe der Aggregation und Linkage
Die Ausnahme der Forschung, von
(zunächst)Daten. Auch sollteerteilt worden.
Verknüpfung mit anderen Zwecken (also
granular) oder Zwängen
1. Art des berechtigten Interesses
regelmäßig Forschung
keinen konkreten Zweck angeben zu müssen
es sich um aktuelle Algorithmen handeln, deren Verschlüsselung noch nicht
oder mehrere Verarbeitungen unter einem
allgemeinen Zweck zusammenzufassen 2. Diegebrochen
Erklärung ist für den konkreten 2. Erforderlichkeit der Datenverarbeitung für die
(sog. broad consent, vgl. ErwGr 33) ist Anwendungsfall bzw. Verarbeitungszweck Erfüllung des berechtigten Interesses
Haben Sie die wurde – z.B. wenn Hash-Algorithmen zur Anwendung soweitkommen. Auch
nicht mit dem Schutzniveau ausgeschlossen
der DSGVO
vereinbar und daher zu vermeiden. Eher ist
formuliert. Beachtung der Zweck-Mittel-Relation, unter
Berücksichtigung der engen Zweckbindnung
sind alle technischen Daten, sofern sie keine persönliche Prägung aufweisen – ist ausreichend über
nach Möglichkeit das Informationsniveau zu
Zusmmung des erhöhen und die Einwilligung granular
ermöglichen.
zu 3. Die einwilligende Person
die Datenverarbeitung selbst und mögliche
und Datenminimierung
Arbeitgebers? NEIN beispielsweise können Lenkmuster eines Traktors noch Rückschlüsse auf die Person
Folgen informiert. 3. Überwiegendes Interesse der betroffenen
Person?
4. Die Einwilligung ist unmissverständlich
des Fahrers enthalten, anders dagegen bloße Messdaten. einzelfallbezogenes Abwägen der Privatheit
Dear Legal Help
geäußert worden. und informationellen Selbstbestimmung der
betroffenen Person vs. Forschungsinteresse;
JA 5. Die Einwilligungshandlung ist derart technische und organisatorische Maßnahmen
BDSG Institut M übergibt Forschungsstelle P einen Forschungsdatensatz zur Anonymisierung,
dokumentiert worden, dass sie auf Nachfrage
(z.B. betroffene Person oder Datenschutzbehörde)
können Betroffeneninteresse minimieren
§1 bittet aber um das Vorhalten der verknüpften Daten für einen bestimmten Zeitraum.
auch nachweisbar ist.
Gibt es Daten, die unter die JA
Dadurch kann Forschungsstelle P auf Anfrage Rückschlüsse vom anonymisierten
Geheimhaltung fallen könnten? Details klären. Datensatz auf die Klardaten ziehen. Für diesen Zeitraum handelt es sich wegen der
Interne Weitergabe der
ERFOLGREICH ERFOLGLOS möglichen Auflösbarkeit für M nicht um anonymeBeruhtbzw. anonymisierte, sondern Ja.um
die Verarbeitung auf einem Nein, der Zweck hat sich
NEIN Nein. Forschungsdaten ist nicht
Desk…
gleichbleibenden Zweck? geändert.
datenschutzkonform.
pseudonymisierte Daten.
PatG
§1 Haben Sie einen Kooperaonspartner, Besonderheiten treten auf, wenn es sich um besondere personenbezogene Daten (Art. Vereinbarkeitsprüfung bei Zweckänderungen
Forschungsprivileg des Art. 89 DSGVO entbindet
nicht von Vereinbarkeitsprüfung zwischen altem
der Geschä(sgeheimnisse oder Patente 9 Abs. 1 DSGVO) handelt. Als solche sind alle personenbezogenen Daten einzuordnen, und neuem Zweck → Art. 6 Abs. 4 DSGVO:
geltend machen könnte? „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder ⁃ Sind alter und neuer Zweck miteinander
von Veronika Fischer unter
verbunden? →
DSGVO weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, ⁃ Ist bei der Erhebung oder aus dem
ursprünglichen Zweck heraus bereits mit einer
Art. 5 sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Zweckänderung zu rechnen gewesen? →
Mitarbeit von Grischka Petri, §1 NEIN JA
Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben
⁃ Führt die Zweckänderung zu einer Anreicherung
des Informationsgehalts, zulasten der
betroffenen Person? → ▼
herausgegeben vom Verband
⁃ Führt der neue Verarbeitungszweck zu einem
Haben Ihre Daten Erlaubnis für die oder der sexuellen Orientierung einer natürlichen Person“ hervorgeht. Dies erscheint sonstigen erhöhten Risiko für die betroffene
Person? → ▼ ▼ = wirkt sich negativ auf
bei kunsthistorischen Werken allerdings nicht relevant; insoweit wird auf die ⁃ Wurden technische oder organisatorische die Einschätzung aus, also
Deutscher Kunsthistoriker e. V. NEIN Personenbezug? Verö+entlichung einholen. besonderen Verarbeitungsgrundlagen des Art. 9 DSGVO verzichtet.
Vorkehrungen zum Schutz der betroffenen
Person und zur Gewährleistung
datenschutzrechtlicher Garantien (insbes.
keine Vereinbarkeit
= wirkt sich positiv auf
die Einschätzung aus,
Pseudo-/Anonymisierung) getroffen? → also für eine Vereinbarkeit
JA ERLAUBNIS ERHALTEN KEINE ERLAUBNIS
Sind die Daten vollständig
Veröffent- Nicht Werden die übrigen Betroffenenrechte Ja, in Rücksprache mit der
lichen!
anonymisierbar veröffent- durch eigene Maßnahmen ermöglicht? anderen Einrichtung.
Nein.
JA (anonymisieren) (intellektuell, automasiert)? lichen!
Vorzusehende Betroffenenrechte
NEIN ⁃ Recht auf Information über die
Datenverarbeitung, Art. 12-14 DSGVO,
insbesondere im Falle der Zweckänderung und
DSGVO hinsichtlich der Argumentation des berechtigten
Haben Sie die gülge schri(liche Erlaubnis aller Art. 6 Interne Weitergabe der
Forschungsdaten ist ⁃
Interesses
bei automatisierter Entscheidungsfindung:
§1a datenschutzkonform. zusätzliche Informationen zur
beteiligten Personen (bei Kindern die und ⁃
Entscheidungslogik etc., Art. 22 Abs. 1 DSGVO
ggf. Information über Datenverarbeitung im
Drittland, Art. 46 DSGVO
der Erziehungsberechgten) die Daten Art. 7 ⁃ Auskunftsrecht, Art. 15 DSGVO
JA (dennoch ⁃ Möglichkeit der Berichtigung der Daten, Art.
zu verarbeiten (inkl. Verö+entlichung)? 16 DSGVO
möglichst ⁃
⁃
Recht auf Löschung, Art. 17 DSGVO
Recht auf Einschränkung der Verarbeitung,
Art. 18 DSGVO
pseudony- BDSG ⁃ Möglichkeit der Datenportabilität, Art. 20
NEIN § 27 DSGVO
⁃ Widerspruchsrecht gegen die Verarbeitung
misieren) Abs. 4 ⁃
gem. Art. 21 DSGVO
Widerruf der Einwilligung, Art. 7 Abs. 4 DSGVO
Ist der Personenbezug der Daten für die
Darstellung von Forschungsergebnissen über
JA Ereignisse der Zeitgeschichte unerlässlich? NEIN (personen-
bez. Daten en=ernen?)
Leitfaden: Bildrechte Flowchart: Forschungsdaten
Der „heiße Draht“ zum Helpdesk: Alle erwähnten Materialien werden zeitnah veröffentlichen
eine E-Mail an auf der Webseite von NFDI4Culture zur
…sind schon jetzt verfügbar.
coordination-office@nfdi4culture.de. Verfügung gestellt.
Ausbau des Helpdesk Aufbau der NFDI-Sektion Recht Verknüpfung mit GAIA-X
Prozesse optimieren Synergien nutzen Infrastrukturen vernetzen
Der Legal Help Desk bei NFDI4CultureDas Legal Help Desk-Team
Prof. Dr. Franziska Boehm
– Teamleitung Immaterialgüterrechte, FIZ Karlsruhe
Vielen Dank für
Ihre Aufmerksamkeit!
Co-Spokesperson,
Leitung der Task Area 5
Fabian Rack
– Wissenschaftlicher Mitarbeiter, FIZ Karlsruhe
Urheberrecht
Schwerpunkt: Creative Commons
Dr. Dr. Grischka Petri
– Wissenschaftlicher Mitarbeiter, FIZ Karlsruhe
Urheberrecht, Bildrechte mit kunsthistorischen Bezügen
Oliver Vettermann
– Wissenschaftlicher Mitarbeiter, FIZ Karlsruhe
Datenschutzrecht, IT-Sicherheitsrecht,
Grundrechte und ethische AspekteSie können auch lesen
