Datum des Workshops: 10.05.2023
đź“‹ Themen und Ablauf
Im Rahmen des Workshops wurden zunächst einige grundsätzliche Informationen zur Initiative “Stärkung von CRIS” wiederholt.
Anschließend wurden Erfahrungen und Fragen zum Datenschutz bei der Verwendung von CRIS auf Grundlage zweier Präsentationen vorgestellt und diskutiert.
Außerdem wurde eine Mentimeter-Umfrage zum fachlichen Hintergrund der Teilnehmenden, zur Relevanz des Themas “Datenschutz” im jeweiligen beruflichen Alltag und zu möglicherweise beim Thema Datenschutz entstehenden Schwierigkeiten durchgeführt.
📚 Präsentationen und Dokumente
Die im Rahmen des Workshops präsentierten Folien finden Sie hier in einem PDF-Dokument:
Zum Workshop gab es zwei Beiträge zum Thema “Datenschutz und CRIS” von:
Dr. Sophie Biesenbender von der Kommission fĂĽr Forschungsinformationen in Deutschland (KFiD) und
Dr. Malte Kramer von der Landesinitiative CRIS.NRW.
Die Fragen und Ergebnisse der im Rahmen des Workshops durchgefĂĽhrten Mentimeter-Umfrage finden Sie hier:
đź’ˇ Fragen und Antworten
Hier finden Sie einige im Verlauf des Workshops aufgeworfene Fragen und Antworten zum Thema “Datenschutz und CRIS”. Klicken Sie auf die Pfeilsymbole neben den Fragen, um die jeweiligen Antworten anzuzeigen.
❗ Der Datenschutz gilt ausschließlich für personenbezogene Daten. In der Praxis sind dies jedoch meist sämtliche Daten in einem Forschungsinformationssystem, da alle Einträge in der Regel mit Personen verknüpft werden (z. B. Verknüpfung von Projekten mit den Projektleitungen, Publikationen mit den Autorinnen und Autoren usw.)
❗ Für außeruniversitäre Forschungseinrichtungen sind in der Regel die EU-Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) relevant. Je nach Einrichtung und Sitzland können weitere gesetzliche Grundlagen gelten.
Im Rahmen der geltenden Regelungen ist zu beachten, dass personenbezogene Daten nur fĂĽr festgelegte und eindeutige Zwecke verarbeitet werden dĂĽrfen. Die Notwendigkeit, solche Daten zu verarbeiten, ergibt sich z. B. aus den Pflichten zur Berichtslegung (etwa im Rahmen des Pakts fĂĽr Forschung und Innovation).
❗ Aus der Regelung, dass die Verarbeitung personenbezogener Daten einer strengen Zweckbindung unterliegt, ergibt sich ein grundsätzliches Problem: Ein CRIS ist darauf ausgelegt, Daten für verschiedene Zwecke vorzuhalten und sie miteinander zu verknüpfen, bestenfalls in einer Form, die sie jederzeit abrufbar und vielseitig einsetzbar macht. Der Effizienzgedanke (einmalige Erfassung von Daten für eine mehrfache Nutzung) steht letztlich im Konflikt zur Forderung nach der Zweckbindung bei der Verarbeitung personenbezogener Daten. Der Betrieb eines CRIS kann demnach als eine datenschutzrechtlich problematische Vorratsdatenspeicherung betrachtet werden.
Dieses Problem besteht auch dann, wenn Daten aus dem CRIS nur in aggregierter Form und ohne Personenbezug ausgegeben werden. Die datenschutzrechtlichen Regelungen beziehen sich auf die grundsätzliche Speicherung und Verarbeitung der Daten, die in einem CRIS immer mit Personenbezug stattfindet, nicht auf die Form des Datenexports.
Letztlich liegen die in einem CRIS dargestellten personenbezogenen Daten auch ohne CRIS-Nutzung bereits in irgendeiner Form vor (z. B. in verschiedenen Dateien und Datenbanken der Einrichtung oder zu großen Teilen sogar in öffentlichen Publikations- und Autor/innen-Datenbanken). Datenschutzrechtlich gesehen dürfen sie aber nicht für die längerfristige Nutzung in ein CRIS aufgenommen werden, wenn dies nicht unbedingt erforderlich ist.
Für die längerfristige Verarbeitung und Speicherung personenbezogener Daten in CRIS besteht momentan noch keine belastbare gesetzliche Grundlage. Klar ist, dass offizielle Berichtsanlässe (z. B. die Berichtslegung im Rahmen des Pakts für Forschung und Innovation oder im Rahmen von Verwendungsnachweisen) nachvollziehbare und voraussichtlich auch legitime Zwecke für die Verarbeitung personenbezogener Daten darstellen. Rechtlich gesehen müssten die Daten jedoch für jeden einzelnen Berichtsanlass neu erhoben, zusammengestellt und anschließend wieder gelöscht werden, sobald der Berichtszweck erreicht wurde.
Viele Berichts- und Auswertungsanlässe werden zudem erst im laufenden Betrieb eines CRIS offenbar (z. B. Auswertungen für interne Zwecke, die nicht vom ursprünglich definierten Zweck des CRIS abgedeckt sind). Datenschutzrechtlich ist eine solche über die eigentlich definierten Zwecke hinausgehende Nutzung nicht legitimierbar, da man sich hiermit ebenfalls in den Bereich der Vorratsdatenspeicherung begibt.
❗ Aufgrund des Fehlens einer allgemeinen gesetzlichen Grundlage liegt die Verantwortlichkeit zur Schaffung einer solchen bei den CRIS-nutzenden Einrichtungen selbst. Es wird empfohlen, die Funktionen und Zwecke des CRIS bereits im Voraus eindeutig und nachvollziehbar zu dokumentieren und eine Ordnung zu verabschieden, welche den CRIS-Betrieb für diese Zwecke ausdrücklich erlaubt und die Notwendigkeit begründet. Das kann z.B. auch in Form einer Dienst- bzw. Betriebsvereinbarung erfolgen. So kann definiert werden, dass interne wie externe Evaluierungen der Institutsarbeit, Berichtslegung in klar definierten Kontexten, öffentliche Verfügbarmachung von Forschungsinformationen usw. “hoheitliche” Aufgaben der Einrichtung darstellen, die ausschließlich durch den Betrieb eines mit anderer Software integrierten CRIS zufriedenstellend erfüllt werden können. Hierbei ist unbedingt zu beachten, dass die Nutzung des CRIS für Zwecke, die über diese fest definierten Anlässe hinausgehen, rechtlich weiterhin problematisch ist. Daher sollten Planung und Dokumentation sehr detailliert sein. Unabhängig davon kann eine datenschutzrechtlich einwandfreie Rechtsgrundlage immer durch die Erklärung einer persönlichen Einwilligung in die beabsichtigte Datenerhebung und -verarbeitung geschaffen werden. Diese Erklärung muss freiwillig erfolgen. Hier wäre in Bezug auf den Betrieb eines CRIS möglicherweise zu fragen, inwieweit in Arbeitskontexten aufgrund der Abhängigkeit der Beschäftigten von deren Freiwilligkeit ausgegangen werden kann.
Im Rahmen der Dokumentation der Funktionen und der Nutzung eines CRIS unbedingt erforderlich sind:
- Ein Löschkonzept mit Angaben zu Fristen und zum Recht auf Löschung der Daten (im Regelfall sind personenbezogene Daten zu löschen, wenn die Person aus dem Institut ausscheidet; in der Praxis kann es sich anbieten, diese Daten stattdessen zu anonymisieren/pseudonymisieren, um bestehende Datenverknüpfungen im CRIS zu erhalten)
- Ein Protokollierungskonzept, um festzuhalten, welche Daten von welchen Personen wann geändert wurden (auch diese Protokolldaten unterliegen einer Löschfrist)
- Ein Berechtigungskonzept, das festlegt, welche Personen(-kreise) zu welchen Zwecken auf welche Daten zugreifen dĂĽrfen
- Angaben zu den technischen und organisatorischen Maßnahmen, welche die Einhaltung der dokumentierten Konzepte gewährleisten
- Angaben dazu, welche personenbezogenen Daten zu welchen Zwecken im CRIS verarbeitet werden, woher diese kommen und was jeweils die Rechtsgrundlage fĂĽr deren Verarbeitung ist
- Definition von Verantwortlichkeiten fĂĽr den Betrieb des CRIS und fĂĽr das Einhalten der Regelungen
❗ Im Rahmen der Dokumentation von Funktionsweise und Verwendungszwecken des CRIS sollte auf jeden Fall eine frühzeitige (also bereits in der Konzeptionsphase beginnende) Abstimmung mit der/dem Datenschutzbeauftragten und dem Betriebsrat bzw. Personalrat der Einrichtung stattfinden. Spätestens mit dem Beginn des Produktivbetriebs eines CRIS muss eine Einrichtung ihre eigenen Datenverarbeitungsverzeichnisse aktualisieren.
❗ Solange personenbezogene Daten vollkommen freiwillig zur Verfügung gestellt werden, können sie problemlos verarbeitet und verwendet werden. Voraussetzung dafür ist, dass die zur Verfügung stellende Person im Voraus über alle Nutzungszwecke ausreichend informiert wurde und dass tatsächliche Freiwilligkeit vorliegt und diese am besten auch in Form einer schriftlichen Einwilligungserklärung dokumentiert ist. Da sich die Mitarbeitenden einer Forschungseinrichtung als Beschäftigte jedoch in einem Abhängigkeitsverhältnis befinden, kann angezweifelt werden, inwieweit hier volle Freiwilligkeit gegeben ist. Mitarbeitende könnten möglicherweise einer Datenverarbeitung auch gegen ihren eigentlichen Willen zustimmen, um Schwierigkeiten mit dem Arbeitgeber zu vermeiden.
Eine nur auf tatsächlicher Freiwilligkeit basierende Datenerfassung im CRIS kann sich zudem in der Praxis als ungeeignet herausstellen, da die auf diese Weise gewonnenen Daten möglicherweise nicht vollständig sind.
❗ Das bloße Nennen weiterer Autorinnen und Autoren ist datenschutzrechtlich unproblematisch. Tatsächlich ist die Nennung aller an einer Publikation beteiligten Personen sogar unbedingt erforderlich, um mögliche Plagiatsvorwürfe zu vermeiden; damit wird den Forderungen und Regeln guter wissenschaftlicher Praxis gefolgt. Allerdings dürfen die Namen der weiteren Autorinnen und Autoren nicht ohne deren Einwilligung zusätzlich auch mit anderen Daten verknüpft werden.
❗ Momentan liegt diesbezüglich leider noch nichts vor. Die Initiative “Stärkung von CRIS” betrachtet das Thema “Datenschutz” jedoch als einen wichtigen Arbeitsbereich und wird für die Zukunft entsprechende Aktivitäten planen. Weitere Informationen hierzu werden zu gegebener Zeit folgen.
In der Zwischenzeit können die Beispiele für Betriebs- bzw. Dienstvereinbarungen aus dem ersten Workshop zurate gezogen werden, die bereits auf einige der erforderlichen Punkte eingehen (z.B. Zwecke des Betriebs eines CRIS, Zwecke der Berichterstattung). Ein Link zu diesen Dokumenten ist auf der Ergebnisseite des ersten Workshops verfügbar.
Falls Sie noch Fragen haben, zu denen Sie die Antwort hier nicht finden konnten, schreiben Sie uns gerne eine Nachricht an cris@leibniz-gemeinschaft.de.