Die DSC werden ein begründetes Verlangen auf Datenzugang bei den VLOPs gemäß Art. 40 Abs. 4, 8 Digital Services Act (DSA) nur einreichen, sofern die Forscher gem. Art. 40 Abs. 8 DSA bestimmte Informationen mitteilen und Umstände nachweisen, u.a. dass sie
in der Lage sind, die mit jedem Verlangen verbundenen besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen, und sie in ihrem Verlangen die angemessenen technischen und organisatorischen Maßnahmen beschreiben, die sie hierzu getroffen haben.
Forschende müssen mit ihrem Antrag dem DSC so zuarbeiten, dass dieser in der Lage ist das begründete Ersuchen zu stellen. Die Dokumente, die Forschende mit unserem Webtool hier erstellen können, müssen im Data Access Portal hochgeladen werden.
Der delegierte Rechtsakt (DA) (C(2025) 4340 final) legt besondere Bedingungen fest, nach denen Forschenden im Einklang mit der Datenschutz-Grundverordnung (DSGVO) Zugriff gewährt werden kann, wenn personenbezogene Daten (pbD) enthalten sind. Laut Erwägungsgrund 14 und 15 des DA können Forschende z.B. durch einen “commitment letter from the research organisation” oder eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO darlegen, dass sie die Risiken bewertet und angemessene Sicherheitsmaßnahmen getroffen haben.
In der Regel werden die Antragsdokumente auch von der zuständigen Datenschutzbehörde (DPA) gesichtet und (vor)bewertet.
Konsequenzen für die Antragstellung:
Wenn die begehrten Daten Personenbezug i.S.v. Art. 4 Nr. 1 DSGVO haben, müssen Forschende überlegen, ob die Verarbeitung im Rahmen des Forschungsprojekts aufgrund der Form der Verarbeitung, insbesondere der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist u.a. bei einer umfangreichen Verarbeitung besonderer Kategorien von pbD gemäß Art. 9 Abs. 1 DSGVO anzunehmen (sog. sensitive Daten). Diese Vorprüfung wird auch als Schwellwertanalyse bezeichnet (es gibt eine offizielle Liste an Verarbeitungstätigkeiten, bei denen in jedem Fall ein hohes Risiko anzunehmen ist und die zur Orientierung herangezogen werden kann: www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf.).
Wenn für ein Forschungsprojekt keine personenbezogenen Daten benötigt werden, sind Ausführungen hinsichtlich Risikoabwägung und Schutzmaßnahmen nach der DSGVO entbehrlich. Das ist denkbar, wenn Forschende nur aggregierte Statistiken auswerten. In diesem Fall muss dem DSC stattdessen fundiert dargelegt werden, dass es sich wirklich um anonyme Daten im datenschutzrechtlichen Sinne (nicht lediglich pseudonyme Daten) handelt – hier reicht kein allgemeiner Hinweis, dass die Forschenden nicht wissen, zu welchem Nutzer die Daten gehören.
Wenn ein hohes Risiko nicht besteht, kann auf die aufwändige Risikobewertung verzichtet werden, es reicht darzulegen, dass angemessene technische und organisatorische Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO ergriffen wurden. Forschende müssen in diesem Fall im Rahmen des Antrags dann aber zusätzlich fundiert darlegen, warum trotz der großen Datenmengen etc. kein hohes Risiko i.S.v. Art. 35 DSGVO besteht. Hier reicht kein allgemeiner Hinweis.
Wenn beim konkreten Forschungsprojekt von einem hohen Risiko auszugehen ist, muss eine sog. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchgeführt werden. Hierbei handelt es sich um ein Instrument, um wesentliche Risiken für die Rechte und Freiheiten einer natürlichen Person, die aus einem Datenverarbeitungsvorgang hervorgehen können, strukturiert zu identifizieren, zu bewerten und einzudämmen. In einer DSFA müssen mindestens folgende Punkte enthalten sein:
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen,
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
eine Risikobewertung und
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.
An dieser Stelle muss ausführlich dargelegt werden, warum Forschende nicht in der Lage sind, die hinter den Daten stehenden Personen zu identifizieren. Sie sollten konkret darlegen, dass sie keinen Zugriff auf zusätzliche Informationen haben, mit denen man eine Person erkennen könnte. Außerdem müssen sie zeigen, dass sie selbst nicht über die technischen oder organisatorischen Mittel verfügen, um die Identität einer Person herauszufinden. Auch sollten sie erklären, dass sie nicht mit Personen oder Institutionen zusammenarbeiten, die solche Informationen besitzen könnten. Es ist sinnvoll, dabei auch auf den Zeit- und Kostenaufwand einzugehen, der nötig wäre, um eine Identifizierung mit bestimmten Technologien zu ermöglichen. Wenn dieser Aufwand unrealistisch hoch ist, kann das ein starkes Argument sein. Ob die VLOP die Daten bestimmten Personen zuordnen kann, ist hingegen unerheblich.
Zudem muss dargelegt werden, welche Sicherheitsmaßnahmen getroffen wurden, und zwar mit Blick auf mögliche Betriebs- und Geschäftsgeheimnisse der VLOP. Dafür müssen Maßnahmen dargelegt werden, die die Vertraulichkeit der Inhalte sicherstellen. Dafür sollte der Teil „1. Maßnahmen zur Gewährleistung der Vertraulichkeit der Daten“ der Mustervorlage für technische und organisatorische Maßnahmen (TOMs) ausgefüllt werden.
Zunächst sollte das Forschungsprojekt, die hierfür benötigten Daten und die Umgebung, in der die Daten verarbeitet werden, beschrieben werden. Damit alle relevanten datenschutzrechtlichen Aspekte strukturiert, voneinander getrennt und leicht nachvollziehbar dokumentiert sind, ist dieser erste Teil in mehrere Unterfragen gegliedert.
Es gibt keine gesetzlichen Anforderungen, wie detailliert die Beschreibung sein muss, sodass die Darstellung auch in Stichworten, mit Bulletpoints etc. erfolgen kann. Wichtig ist, dass die Fragen in einer Weise beantwortet werden, dass eine fachlich unkundige Person sich leicht ein Bild davon machen kann, wer welche Daten zu welchem Zweck wie lange benötigt, in welche (technische) Umgebung die Daten gelangen, nachdem der VLOP/die VLOSE Zugang gewährt hat. Wenn der Weg, den die Daten nehmen, komplex ist, z.B. weil viele verschiedene Forschungsorganisationen, Abteilungen innerhalb einer Organisation oder technische Systeme beteiligt sind, sollte ein Datenflussdiagramm beigefügt werden.
Forschende müssen zunächst beschreiben, zu welchen Zwecken sie die Daten verarbeiten. Dies hat auch an anderer Stelle nochmal Bedeutung, denn eine Datenverarbeitung ist nur zulässig, wenn hierfür eine Rechtsgrundlage besteht. Die Rechtsgrundlage orientiert sich am Zweck (sogleich unter 2.). Die Zwecke sind beim Datenzugangsanspruch nach Art. 40 Abs. 4 DSA beschränkt, und zwar auf:
„Forschungsarbeiten, die zur Aufspürung, zur Ermittlung und zum Verständnis systemischer Risiken in der Union gem. Art. 34 Abs. 1 DSA beitragen, auch in Bezug auf die Bewertung der Angemessenheit, der Wirksamkeit und der Auswirkungen der Risikominderungsmaßnahmen gem. Art. 35 DSA“.
Orientierungshilfe: Wurden für das Projekt schon Förderanträge o.Ä. gestellt? Dann kann z.B. auf die Beschreibung der Forschungszwecke aus solchen Anträgen zurückgegriffen werden.
Eine Hilfestellung, wie eine Forschungsfrage (und damit die Zwecke) sowie die Auswahl von Daten eingegrenzt werden kann, bieten Goanta et al., The Great Data Standoff: Researchers vs. Platforms Under the Digital Services Act, 2.5.2025, https://arxiv.org/abs/2505.01122v1.
Fragen, auf die hier mindestens eingegangen werden sollte, und die auch an anderer Stelle im Data Access Portal relevant sein werden:
Welche systemischen Risiken sollen mit dem Forschungsprojekt untersucht werden?
Soll ein systemisches Risiko erforscht werden, das explizit in Art. 34 Abs. 1 DSA genannt ist (es sind auch mehrere gleichzeitig möglich)? Dazu gehören:
Verbreitung rechtswidriger Inhalte über ihre Dienste;
etwaige tatsächliche oder vorhersehbare nachteilige Auswirkungen auf die Ausübung der Grundrechte, insbesondere des in Artikel 1 der Charta verankerten Grundrechts auf Achtung der Menschenwürde, des in Artikel 7 der Charta verankerten Grundrechts auf Achtung des Privat- und Familienlebens, des in Artikel 8 der Charta verankerten Grundrechts auf Schutz personenbezogener Daten, des in Artikel 11 der Charta verankerten Grundrechts auf die Meinungs- und Informationsfreiheit, einschließlich Medienfreiheit und -pluralismus auf das in Artikel 21 der Charta verankerte Grundrecht auf Nichtdiskriminierung, die in Artikel 24 der Charta verankerten Rechte des Kindes und den in Artikel 38 der Charta verankerten umfangreichen Verbraucherschutz;
alle tatsächlichen oder absehbaren nachteiligen Auswirkungen auf die gesellschaftliche Debatte und auf Wahlprozesse und die öffentliche Sicherheit;
alle tatsächlichen oder absehbaren nachteiligen Auswirkungen in Bezug auf geschlechtsspezifische Gewalt, den Schutz der öffentlichen Gesundheit und von Minderjährigen sowie schwerwiegende nachteilige Folgen für das körperliche und geistige Wohlbefinden einer Person.
Falls das zu erforschende Risiko nicht in Art. 34 Abs. 1 DSA benannt ist: Warum handelt es sich trotzdem um ein systemisches Risiko?
Falls Plattformdaten außerhalb der EU angefragt werden: Wieso sind Daten außerhalb der EU nötig, um systemische Risiken in der EU zu erforschen?
Inwiefern könnten sich diese Risiken aus der Konzeption oder dem Betrieb der Dienste der Plattform/Suchmaschine und damit verbundenen Systemen, einschließlich algorithmischer Systeme, oder der Nutzung ergeben? (gemeint ist nicht die Vorwegnahme der Forschungsergebnisse, aber es muss sichergestellt sein, dass das Risiko einen Bezug zum Plattformbetrieb hat, also nicht also Datenquelle für Forschung, die damit in keinem Zusammenhang steht)
Inwiefern trägt das Forschungsprojekt dazu bei, dieses Risiko aufzuspüren, zu ermitteln und zu verstehen? Also welche Chancen bietet das Forschungsprojekt hierfür?
Die Einhaltung der datenschutzrechtlichen Anforderungen obliegt gem. Art. 4 Nr. 7 DSGVO der natürlichen oder juristischen Person oder Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet (sog. Verantwortlicher). Es ist möglich, dass es für einen Datenverarbeitungsprozess mehrere Verantwortliche nebeneinander gibt (sog. gemeinsame Verantwortlichkeit, Art. 26 DSGVO), oder der Verantwortliche einen Dienstleister beauftragt, Daten für ihn ausschließlich auf Weisung zu verarbeiten (sog. Auftragsverarbeiter, Art. 28 DSGVO).
Wenn mehrschrittige Prozessen ineinandergreifen muss für jeden einzeln betrachtet werden, wer die Verantwortlichkeit trägt. Im Zusammenhang mit Art. 40 Abs. 4 DSA müssen daher die Phase der Zusammenstellung von Daten in der Sphäre der VLOP, die Übergabephase an Forschende und schließlich die Forschungstätigkeit unterschieden werden. Es ist denkbar, dass zwischen VLOP und Forschenden in der Übergabephase der Daten eine gemeinsame Verantwortlichkeit besteht, insbesondere wenn der Zugriff innerhalb eines vom VLOP betriebenen Datenraums erfolgt. In diesem Fall müsste eine entsprechende Vereinbarung zwischen den gemeinsam Verantwortlichen geschlossen werden. Ob dies der Fall ist, wird entscheidend von den Zugangsmodalitäten abhängen, die von der DSC erst noch festgelegt werden. Hier unter 1.2. ist dies nicht weiter zu klären, da an dieser Stelle nur von Bedeutung ist, wer die verantwortliche Einheit in der Phase der späteren Forschungstätigkeit ist.
In Fällen, in denen ein Beschäftigungsverhältnis zwischen der Forschungsorganisation und einzelnen Forschenden besteht, ist davon auszugehen, dass die Organisation, der die Forschenden angehören, der Verantwortliche ist, und nicht der einzelne Forschende. Ist die Verbindung zwischen der Organisation und dem Forschenden eher lose oder kompliziert, sollten einzelne Forschende prüfen, ob sie persönlich als Verantwortliche im Sinne der DSGVO gelten (d. h. ob sie unabhängig von ihrer Einrichtung über die Zwecke und wesentlichen Mittel der Verarbeitung entscheiden). Wenn einzelne Forschende pbD für ihre eigenen Zwecke außerhalb der von einer Einrichtung festgelegten Grenzen und Kontrollregelungen verwenden, sind sie ebenfalls für die Verarbeitung verantwortlich (s. hierzu auch EDMO, Report of the European Digital Media Observatory’s Working Group on Platform-to-Researcher Data Access, 31.05.2022, Rn. 26 ff., https://edmo.eu/wp-content/uploads/2022/02/Report-of-the-European-Digital-Media-Observatorys-Working-Group-on-Platform-to-Researcher-Data-Access-2022.pdf).
Fragen, auf die hier mindestens eingegangen werden sollte:
Wer legt die Zwecke und Mittel der Datenverarbeitung für die Phase der Forschungstätigkeit fest?
Findet die Forschung eingegliedert in eine übergeordnete Forschungsorganisation (Universität etc.) statt, die die Infrastruktur zur Datenverarbeitung betreibt?
In welchem organisatorischen und rechtlichen Verhältnis stehen die einzelnen Forschenden zu der übergeordneten Forschungsorganisation (z.B. Beschäftigungsverhältnis)?
Wenn mehrere Forschungsorganisationen, ggf. aus verschiedenen Ländern, zusammenwirken: Wie sind die einzelnen Organisationen an der Forschung und der Festlegung der Zwecke und Mittel beteiligt? Agieren die verschiedenen Organisationen als gemeinsam Verantwortliche und wurde hierfür eine Vereinbarung nach Art. 26 DSGVO geschlossen?
Wer ist als (interner oder externer) Datenschutzbeauftragter i.S.v. Art. 37 DSGVO benannt und wie ist er in das Projekt eingebunden (z.B. beratend, hat Dokumente miterstellt o.Ä.)?
Welche Personen sind in welcher Rolle und welchem Umfang an der Datenverarbeitung beteiligt?
Haben die beteiligten Forschenden eine Datenschutz-Schulung o.Ä. Sensibilisierungsmaßnahmen durchgeführt?
Sind Sponsoren in einer Weise beteiligt, dass sie auf die Zwecke und Mittel der Datenverarbeitung Einfluss nehmen oder (teilweise) Zugriff auf die pbD erhalten?
Bereits bei der Auswahl, zu welchen Daten sie Zugang benötigen, müssen Forschende unbedingt den Grundsatz der Datenminimierung berücksichtigen. Kurzgesagt sollten so wenig Klardaten (z.B. Namen, Adressen) und sensitive Daten i.S.v. Art. 9 DSGVO verarbeitet werden, wie möglich. Unter sensitiven Daten fallen alle personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Das ist auch zu berücksichtigen, wenn die Rohdaten zwar neutral scheinen, es den Forschenden aber gerade darum geht, hieraus Rückschlüsse auf sensitive Umstände i.S.v. Art. 9 DSGVO zu ziehen (s. das Beispiel im EDMO Report S. 81: „to infer users´political ideology“).
Forschende können tabellarisch darstellen, welche Daten sie verarbeiten wollen. Die in der nachfolgenden Tabelle aufgelisteten Beispiele an potenziellen Datenkategorien/Arten orientieren sich an den Beispielen aus ErwGr. 13 des DA sowie Goanta et al., The Great Data Standoff, 2.5.2025. VLOPs müssen dafür Datenkataloge vorhalten. Zu welchen Daten Forschende Zugang benötigen, müssen sie auch an anderer Stelle im Antragsportal angeben. Darauf kann an dieser Stelle zurückgegriffen werden.
Unter 1.5. ist der gesamte Lebenszyklus von der Datenerhebung bis zur Löschung zu beschreiben, d.h. durch welche Hände und Systeme fließen die Daten (siehe zu unterschiedlichen Konstellationen CESSDA Data Management Expert Guide (DMEG), Stand Januar 2020, https://dmeg.cessda.eu/).
Die Ausführungen müssen sich auf die beantragte Zugangsmodalität beziehen. In Betracht kommt:
Übermittlung über eine Schnittstelle/einen Datenspeicher, sodass die Daten innerhalb der Infrastruktur der Forschungsorganisation verarbeitet werden.
innerhalb einer sicheren Verarbeitungsumgebung (Virtual Clean Room), die von der VLOP oder dessen Dienstleister betrieben wird. In dieser Variante verarbeiten die Forschenden die Daten also nicht in der eigenen Infrastruktur, sodass die Beschreibung des Lebenszyklus viel kürzer ausfallen würde.
Für diesen Punkt kann Folgendes hilfreich sein:
Hat das Forschungsteam zuvor bereits Projekte in derselben Organisation durchgeführt, bei denen eine datenschutzrechtliche Dokumentation angefertigt wurde?
Verfügt die Forschungsorganisation über ein VVT für ihren allgemeinen Forschungsbetrieb, eine Dokumentation technisch-organisatorischer Maßnahmen (TOM) für den allgemeinen Forschungsbetrieb oder stellt ihren Forschenden Musterdokumentationen zur Verfügung? Diese Dokumente sind teilweise auf der öffentlichen Website der IT-Stellen oder im Intranet der Organisation zu finden oder werden auf Nachfrage herausgegeben. Solche Dokumente der Forschungsorganisation sind gleichzeitig ein geeignetes Mittel, um i.S.v. ErwGr 14 des DA zu dokumentieren, dass Forscher Zugang zu ausreichenden Schutzmaßnahmen haben.
Falls ja, kann erstmal auf die Inhalte dieser Dokumente zurückgegriffen werden, wenn sichergestellt ist, dass die Angaben noch aktuell sind und soweit sie für das konkrete Forschungsprojekt zutreffen. Im Regelfall wird es erforderlich sein, zusätzlich die organisationsinterne IT-Stelle und den internen/externen Datenschutzbeauftragten hinzuzuziehen, um sicherzustellen, dass die nachfolgende Beschreibung richtig, aktuell und vollständig ist.
Unter 1.5.1 ist zu beschreiben, welche Geräte und Systeme genutzt und welche Software, Hoster und Dienstleister dabei eingesetzt werden (tabellarisch möglich). Zusätzlich sind in einer Anlage die technischen und organisatorischen Maßnahmen (TOM) darzustellen, die zur Sicherung ergriffen wurden.
Umstände, auf die hier in der Regel eingegangen werden sollte: Wo und wie werden die Daten gespeichert? Welche Sicherheitsmaßnahmen wurden getroffen?
„on premises“, d.h. in der Forschungsorganisation, oder „off premises“,
Standort und räumliche/technische Bedingungen der Hardware (Dedizierte Hardware/ Virtuelle Hardware (VM-Ware/Solaris LDOM) / Partitionierte Hardware (Logical Domains, IBM Tape Library) etc.)
Details externer Infrastruktur (Public Cloud, Private Cloud etc), Zertifizierung der Dienstleister (ISO 27001, BSI Grundschutz, ISO 27001 mit ISO 27017, BSI C5 etc.)
Details zu Clients (Laptops, Smartphones, Scanner, Drucker) und Verwaltung (zentral, lokal)
verwendete Betriebssysteme, spezifische Forschungsinformationssysteme, Forschungsdatenmanagementsysteme, Office suites (M365) etc.
wenn vorhanden: eine schematische Darstellung der Informationsverarbeitung (Netze, Client, Server, Kommunikation /Datenverbindungen)
wenn vorhanden: Schematische Darstellung des Datenflusses pbD zwischen den IT-Systemen
S. auch MUSTER-Vorlage – „Anlage X zum Antrag auf Gewährung von Zugang nach Art. 40 Abs. 4 DSA: Technische und organisatorische Maßnahmen (TOM)“
Dieser Teil ist nur auszufüllen, wenn es einen Auftragsverarbeiter gibt, ansonsten ist der Abschnitt zu löschen.
Für jeden Auftragsverarbeiter (AV), der in den Lebenszyklus der Datenverarbeitung eingebunden ist, ist anzugeben, zu welchem Zweck, Dauer, Umfang er tätig wird und wie/wo Verarbeitungsanweisungen dokumentiert sind (Vereinbarung über die Auftragsverarbeitung (AVV) gem. Art. 28 DSGVO, E-Mails etc.). Wenn die Forschungsorganisation hinsichtlich ihres Forschungsbetriebs über ein VVT verfügt, müssten die relevanten Informationen darin zu finden sein. Andernfalls sollte der Datenschutzbeauftragte der Forschungsorganisation diesbezüglich hinzugezogen werden.
Im Kontext des Forschungsdatenzugang nach Art. 40 Abs. 4 DSA besteht im Vergleich zu anderen Forschungsprojekten die Besonderheit, dass eine Einwilligung als Rechtsgrundlage per se ausscheidet, da die Daten einerseits nicht durch die Forscher direkt bei den betroffenen Personen erhoben werden und andererseits die VLOPs bei der Datenerhebung keine Forschungszwecke verfolgt haben. Laut DA kommen als mögliche Rechtsgrundlagen in Betracht:
Für normale Datenkategorien
Art. 6 Abs. 1 lit. e DSGVO, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt.
Art. 6 Abs. 1 lit. f DSGVO, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Für sensitive Daten
Art. 9 Abs. 2 lit. g DSGVO, wenn die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, […] aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.
Art. 9 Abs. 2 lit. j DSGVO, wenn die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, […] für wissenschaftliche Forschungszwecke gemäß Art. 89 Abs. 1 erforderlich ist.
Bei Art. 6 Abs. 1 lit. f DSGVO muss das Ergebnis der Interessensabwägung begründet werden. Zur Orientierung: Legitimate Interest Assessment Template im EDMO Report (S. 102 ff.).
Bei Art. 6 Abs. 1 lit. e, Art. 9 Abs. 2 lit. g und lit. j DSGVO begründet Art. 40 DSA das öffentliche Interesse. Es reicht es aus, Art. 40 DSA als Begründung zu benennen und darauf hinzuweisen, dass der Gesetzgeber konkret diese Forschungstätigkeit im DSA selbst als im öffentlichen Interesse liegend anerkannt hat. Forscher*innen können mehrere der o.g. Rechtsgrundlagen anführen.
Erwägungsgrund 30 des Delegated Act, der hinsichtlich des data provider und dessen Rechtsgrundlagen sagt: "Where special categories of personal data within the meaning of Article 9 GDPR are to be processed, [Art. 40 (4) DSA] meets the requirement of Article 9 (2), point (g) GDPR". Ich würde daher zusätzlich zur Norm eine kurze Begründung hinschreiben, die sich aber darauf beschränken kann, dass der Gesetzgeber konkret diese Forschungstätigkeit im DSA selbst als im öffentlichen Interesse liegend anerkannt hat.
Wenn unter 1.3 festgestellt wurde, dass es im nationalen Recht zusätzliche Anforderungen gibt, die zu beachten sind, ist hier unter 2.1. darzulegen, dass auch diese zusätzlichen Bedingungen erfüllt sind.
Gem. Art. 5 Abs. 1 lit. c DSGVO müssen pbD dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung). Dass dieser Grundsatz kein nice-to-have ist, wird im DSA und DA klargestellt, wonach die DSC bei der Entscheidung, ein begründetes Verlangen an die VLOP zu senden auch „information on the necessity and proportionality of the access to the data“ berücksichtigen muss.
Eine Verarbeitung pbD ist insbesondere dann nicht erforderlich i.S.d. DSGVO, wenn ein bestimmtes Forschungsvorhaben von Anfang an auch mit anonymisierten Daten umgesetzt werden kann. Eine Datenverarbeitung ist vielmehr nur dann im konkreten Umfang erforderlich, wenn kein gleich geeignetes, weniger belastendes Mittel zur Erreichung des jeweiligen Forschungszwecks zur Verfügung steht.
An dieser Stelle müssen Forschende daher beschrieben, warum es für ihr Forschungsvorhaben nicht ausreicht, die Daten zu verarbeiten, die auf den Plattformen ohnehin frei einsehbar sind oder zu denen auch über die bereits existierenden Research API Zugang beantragt werden kann. Eingegangen werden kann dabei auch auf den Umstand, dass scraping aufgrund der Nutzungsbedingungen der Plattformen oder technischer Sicherungsvorkehrungen häufig nicht (im nötigen Umfang) möglich ist und über die Research API keine/nicht alle Informationen verfügbar sind, die für die Zweckerreichung benötigt werden.
In Bezug auf den Umfang der beantragten Daten sollte angegeben werden, wie viele Daten verarbeitet werden sollen, wie viele Personen davon betroffen wären, welche geografischen Bereiche betroffen sind.
Warum kann die Forschung nur durch den Zugang zu den Daten durchgeführt werden?
Warum kann das Forschungsziel nicht mit anonymen Daten erreicht werden?
Warum kann Forschungsziel nicht mit (vollständig) pseudonymen Daten erreicht werden?
Werden all unter 1.4 aufgeführten personenbezogenen Daten für das Forschungsprojekt benötigt oder könnten einige Variablen entfernt werden, ohne das Projekt zu beeinträchtigen?
Bei der Entscheidung, ein begründetes Verlangen an die VLOP zu senden, muss der DSC gem. Art. 8 lit. d DA auch die Laufzeit des Forschungsvorhabens berücksichtigen. Die DSGVO sieht diesbezüglich vor, dass pbD in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Grundsatz der Speicherbegrenzung); pbD dürfen länger gespeichert werden, soweit die pbD vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen ausschließlich für wissenschaftliche Forschungszwecke gem. Art. 89 Abs. 1 DSGVO verarbeitet werden.
Zur Orientierung: In der wissenschaftlichen Praxis wird regelmäßig von einer allgemeinen Aufbewahrungsfrist von 10 Jahren bis zur Löschung angenommen, es sei denn aus rechtlichen oder ethischen Gründen sind kürzere oder längere Frist erforderlich (s. z.B. Max-Planck-Gesellschaft, Regeln zur Sicherung guter wissenschaftlicher Praxis, Stand 20. März 2009, S. 4; DMEG, S. 101).
Zu beachten ist zudem, dass Forschungsdaten, die sensitive pbD gem. Art. 9 DSGVO enthalten, grundsätzlich zu anonymisieren sind, sobald dies nach dem Forschungszweck möglich ist. Falls die Daten nicht direkt anonymisiert werden, sondern zunächst pseudonymisiert verarbeitet werden, müssen die Teile des Datensatzes, die die Reidentifizierung ermöglichen, in einem seperaten System gespeichert werden (dies ergibt sich je nach Art der Organisation aus anderen Normen, s. z.B. § 17 Abs. 2 BlnDSG). In diesem Fall muss auch dargelegt werden, wann die Daten, die die Reidentifzierung ermöglichen, vernichtet werden.
Wann ist der voraussichtliche Beginn des Projekts?
Wie lange wird das Projekt voraussichtlich laufen?
Wie lange sollen welche Daten anschließend aufbewahrt werden?
Startpunkt des Fristlaufs?
Falls keine Möglichkeit besteht eine konkrete Löschregel anzugeben, sind Kriterien für die Festlegung der Speicherdauer anzugeben, bspw. Löschung X Monate/Jahre nach Abschluss der Forschungsarbeit/ der letzten Veröffentlichung von Ergebnissen etc.
Falls einschlägig: Wann werden Daten zur Reidentifizierung gelöscht?
Wenn Daten in irgendeiner Weise außerhalb der EU gelangen könnten (z. B. Nutzung eines Cloud-Services, Zusammenarbeit mit Forschungsorganisationen im EU-Ausland), sind nachfolgend konkrete Angaben zu machen zu den Ländern, in denen pbD im Lebenszyklus der Forschungsarbeit verarbeitet werden, und ob diese anerkanntermaßen ein angemessenes Datenschutzniveau bieten oder welche Garantien für den Transfer einschlägig sind (vgl. Art. 44, 49 DSGVO).
Betroffenen Personen stehen eine Fülle an Rechten zu, die dazu dienen Datenverarbeitungsprozesse für sie transparent zu machen und zu einem gewissen Grad intervenieren zu können. Grundsätzlich sind diese Rechte auch im Rahmen der Forschungstätigkeit zu wahren und darzulegen, wie die Rechte erfüllt werden. Art. 89 Abs. 2 DSGVO schafft jedoch einen Regelungsspielraum dafür, dass bestimmte Betroffenenrechte in nationalem Recht der Mitgliedstaaten zugunsten von Forschung eingeschränkt werden können.
In diesem Abschnitt sind die konkret einschlägigen gesetzlichen Regeln zu benennen, aus denen sich ergibt, dass die Betroffenenrechte im konkreten Forschungsprojekt nicht erfüllt werden können/müssen. Da die gesetzlichen Einschränkungen in der Regel davon abhängen, dass über die allgemeine Forschungstätigkeit hinaus zusätzliche Merkmale erfüllt sind (z.B. unverhältnismäßiger Aufwand, Unmöglichkeit, Risiko für Zweckerreichung), muss grds. eine Begründung angegeben werden.
Die Tabelle enthält Beispielsnormen aus der DSGVO. Es muss im Einzelfall geprüft werden, ob und welche Einschränkungen im nationalen Recht des jeweiligen Mitgliedstaates geregelt sind.
Hier kann grds. auf Dokumentationen aus vorherigen Forschungsprojekten oder Dokumente aus dem allgemeinen Forschungsbetrieb der Organisation zurückgegriffen werden (s. unter 1.5).
Laut DA soll der DSC „ verify that the data access application contains sufficient indication that the researchers have assessed risks to personal data protection.“ Vor diesem Hintergrund ist zu erwarten, dass der DSC und insbesondere die zuständige DPA ein großes Augenmerk auf die Risikobeurteilung legen werden.
Risikobewertung und Sicherheitsmaßnahmen stehen dabei in einem Wechselverhältnis: Die DSGVO knüpft das Maß an TOMs an das mit der Verarbeitung der pbD verbundene Risiko für die Rechte und Freiheiten betroffener Personen. Bei der Risikobewertung können auch schon die – unter 1.5 dargestellten – Basis-Sicherheitsmaßnahmen berücksichtigt werden, die die Forschungsorganisation ohnehin implementiert hat.
Ergibt die Schwellwertanalyse, dass kein hohes Risiko besteht, kann auf die aufwändige Risikobewertung verzichtet werden, es reicht darzulegen, dass angemessene technische und organisatorische Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO ergriffen wurden (4.2). Forschende müssen in diesem Fall im Rahmen des Antrags dann aber zusätzlich fundiert darlegen, warum trotz der großen Datenmengen etc. kein hohes Risiko i.S.v. Art. 35 DSGVO besteht (4.1). Hier reicht kein allgemeiner Hinweis.
Laut DA soll der DSC „ verify that the data access application contains sufficient indication that the researchers have assessed risks to personal data protection.“ Vor diesem Hintergrund ist zu erwarten, dass der DSC und insbesondere die zuständige DPA ein großes Augenmerk auf die nachfolgende Risikobeurteilung legen werden.
Um ein Risiko fundiert beurteilen und entsprechend angemessene Sicherungsmaßnahmen treffen zu können, müssen zunächst potenzielle Risikoquellen identifiziert, mögliche Risikoszenarien analysiert und das Eintrittsrisiko und der Schweregrad eines Schadens bestimmt werden. Anhand einer Risikomatrix kann anschießend ein Risikoindex berechnet werden. Entsprechend des einschlägigen Risikos müssen Forscher gem. Art. 40 Abs. 8 DSA in der Lage sein, die mit jedem Verlangen verbundenen besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und pbD zu schützen, und die angemessenen TOM beschreiben, die sie hierzu getroffen haben.
Risikobewertung und Sicherheitsmaßnahmen stehen dabei in einem Wechselverhältnis: Die DSGVO knüpft das Maß an TOMs an das mit der Verarbeitung der pbD verbundene Risiko für die Rechte und Freiheiten betroffener Personen. Gleichzeitig können bei der Risikobewertung auch schon die – unter 1.5 dargestellten – Basis-Sicherheitsmaßnahmen berücksichtigt werden, die die Forschungsorganisation ohnehin implementiert hat. Nur wenn trotz der Basismaßnahmen noch ein zu hoher Risikoindex besteht, sind zusätzliche Maßnahmen zu ergreifen, die die Eintrittswahrscheinlichkeit und damit den Risikoindex senken. Verbleibt ein Restrisiko ist zu beurteilen, ob dies vertretbar ist.
Für die Darstellung der Risikobeurteilung gibt es verschiedene Möglichkeiten, wobei ratsam ist, sich an etablierten Methoden der Aufsichtsbehörden zu orientieren. Detailergebnisse der Risikoanalyse sollten tabellarisch wiedergegeben werden, wofür die MUSTER-Vorlage zur Risikobewertung (Excel-Tabelle) genutzt werden kann.
Forschende müssen im Rahmen des Antrags fundiert darlegen, warum kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Maßgeblich dafür ist die Form der Verarbeitung, die Verwendung bestimmter Technologien, Art, Umfang, Umstände und Zweck der Verarbeitung. Es sollte insbesondere dargelegt werden, dass die beantragten Daten keine oder nur wenige sensitive Daten beinhalten.
Art. 40 Abs. 8 DSA, Art. 8 DA legen dem Wortlaut nach den Schwerpunkt auf das Thema Vertraulichkeit und Datensicherheit. Es müssen daher Schwachstellen identifiziert werden, die Risiken insbesondere für die Vertraulichkeit (= kein unrechtmäßiger Zugriff auf Daten), Verfügbarkeit (= kein Verlust von Daten) und Integrität der Daten (= keine unerwünschte Veränderung von Daten) begründen. Die übrigen datenschutzrechtliche Grundsätze, u.a. Transparenz, Datenminimierung und Speicherbegrenzung, gewährleistet werden, wurde bereits unter 2. und 3. berücksichtigt.
Die identifizierten und analysierten Risiken sind mittels Abhilfemaßnahmen einzudämmen. Hierzu regelt Art. 32 DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Um zu beurteilen, was im Forschungskontext „angemessen“ – und damit über die Basis-Sicherheitsmaßnahmen erforderlich – ist, enthalten Art. 9 Abs. 4 und 5 DA sowie ggf. die einschlägigen nationalen Besonderheiten (s. unter 1.3.) Anhaltspunkte. Das heißt es sollte sichergestellt werden, dass die zusätzlich ergriffenen TOM alle Elemente abdecken, die der DSC potenziell berücksichtigen muss, wenn er die Zugriffsmodalitäten festlegt, z.B. spezifische fest zugeordnete Institutionsgeräte, spezifische Zugangsbeschränkungen.
Dazu gehören nach Art. 9 Abs. 4, 5 DA:
Relevante Netzwerksicherungsmaßnahmen
Verschlüsselung
Zugangskontrollmechanismen
Backup Policies
Mechanismen zur Gewährleistung der Datenintegrität
Notfallpläne
Vorgesehene Aufbewahrungsfristen und entsprechende Pläne zur Datenvernichtung
Organisatorische Maßnahmen, wie interne Review-Prozesse, Rollen- und Rechtekonzepte, Verschwiegenheitsverpflichtungen
Vertragliche Vereinbarungen zwischen VLOP und Forschenden
Durchgeführte Trainings der Forschenden zu Datensicherheit und Datenschutz.
Wenn ein gesichertes Verarbeitungsumfeld erforderlich ist, muss nachgewiesen werden, dass der Betreiber der Verarbeitungsumgebung
spezifische Zugangsbeschränkungen für diese Umgebung etabliert hat, um das Risiko für einen unberechtigten Zugriff, Kopie, Veränderung oder Entfernung zu minimieren,
sicherstellt, dass Forschende nur Zugriff auf Daten haben, die vom Antrag umfasst sind, durch individuelle und einzigartige IDs und confidential access modes,
Zugangs-Logs protokolliert, um alle Zugriffe überprüfen und verifizieren zu können,
Sicherstellt, dass die Rechenleistung der Forschenden ausreichend und angemessen ist für das Forschungsprojekt
Wenn sich das Risiko realisiert, können die wesentlichen Auswirkungen für betroffene Person physischer, materieller und immaterieller Natur sein, wobei Erwägungsgrund 75 der DSGVO als Beispiele nennt:
Für jede identifizierte möglichen Schadenskategorie wurden die Ereignisse ermittelt, die zu seiner Verwirklichung führen können. Diese bestehen insbesondere in
Beim Risikomanagement hat ein Risiko grundsätzlich zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Bei der Risikobewertung in Anlage [bitte Nummer der Anlage zu TOMs eintragen] werden die Eintrittswahrscheinlichkeit und die Schweregrad des Schadens wie folgt abgestuft:
Die Eintrittswahrscheinlichkeit für Schäden wird in vier Stufen eingeschätzt:
Grad
Bezeichnung des Grads
Eintrittswahrscheinlichkeit
Beschreibung
Beispiel
1
Selten/ vernach-lässigbar
Schaden kann nach derzeitigem Erwartungshorizont nicht eintreten.
Befall durch Schadsoftware bei einem Stand-Alone Rechner, der an keinem Netzwerk angeschlossen ist und an dem keine weiteren Medien angeschlossen werden können.
2
Mittel/ begrenzt
Schaden kann zwar eintreten, aus bislang gemachten Erfahrungen bzw. aufgrund der gegebenen Umstände scheint der Eintritt aber unwahrscheinlich zu sein.
Befall durch Schadsoftware bei einem Rechner, der aktuell gehalten, mit aktueller Antivirensoftware ausgestattet und nur mit einem BSI zertifizierten Firmennetzwerk verbunden ist.
3
Häufig/ wesentlich
Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände zwar möglich, aber nicht sehr wahrscheinlich zu sein.
Befall durch Schadsoftware bei einem Rechner, der aktuell gehalten, mit aktueller Antivirensoftware ausgestattet und direkt mit dem Internet verbunden ist.
4
Sehr häufig
Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände möglich und sehr wahrscheinlich zu sein.
Befall durch Schadsoftware bei einem veralteten Windows-XP Rechner ohne Antivirensoftware, der direkt mit dem Internet verbunden ist.
Der Schweregrad von Schäden wird in vier Intensitätsstufen klassifiziert:
Schwere der Folgen / möglicher Schaden
geringfügig
Betroffene erleiden eventuell kleine Unannehmlichkeiten, die sie aber mit einigen Problemen überwinden können.
immateriell: leichte Verärgerung materiell: Zeitverlust physisch: vorübergehende Kopfschmerzen
überschaubar
Betroffene erleiden eventuell größere Unannehmlichkeiten, die sie aber mit einigen Schwierigkeiten überwinden können.
immateriell: geringe, aber objektiv nachweisbare psychische Beschwerden materiell: deutlich spürbarer Verlust an privatem Komfort physisch: minderschwere körperliche Schäden (z. B. leichte Krankheit)
substanziell
Betroffene erleiden eventuell wesentliche Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können.
immateriell: schwere psychische Beschwerden materiell: finanzielle Schwierigkeiten physisch: schwere körperliche Beschwerden
groß
Betroffene erleiden eventuell signifkante oder sogar irreversible Konsequenzen, die sie nicht überwinden können.
immateriell: dauerhafte, schwere psychische Beschwerden materiell: erhebliche Schulden physisch: dauerhafte, schwere körperliche Beschwerden
Zur Risikoanalyse wird aus den festgelegten Einstufungen für die Eintrittswahrscheinlichkeit und für die Schwere der Auswirkung ein Risikoindex entsprechend der folgenden Matrix berechnet:
Detailergebnisse der Risikoanalyse und Bewertung beim konkreten Forschungsvorhaben sind in Anlage [bitte Nummer der Anlage zu TOMs eintragen] unter II. wiedergegeben.
In der nachfolgenden Tabelle sind die Anlagen aufzulisten. Nicht alle der aufgelisteten Beispiele müssen zwangsläufig vorliegen.
Das fertige Dokument wird Ihnen per E-Mail zu gesendet.
