Rechtmäßigkeit von Datenübermittlungen an Förder- oder Auftraggeber DSGVO Art 5, 6, 9, 82, 83
Voraussetzungen für rechtmäßige Datenübermittlungen im Rahmen von Projekten oder Studien - Welche Bestimmungen müssen beachtet werden? - Welche Rolle spielen Einwilligungen - Wann liegen berechtigte Interessen vor? - Geldstrafe und Schadenersatz
Sowohl im Rahmen von öffentlich geförderten Projekten, als auch bei privatwirtschaftlichen Studien, wollen Auftraggeber oft umfangreiche Daten über diejenigen Personen erhalten, die Leistungen in Anspruch nehmen bzw. an Studien teilgenommen haben.
Neben Name, Alter und Geschlecht sind Förder- bzw. Auftraggeber oft auch an der Sozialversicherungsnummer, der Staatsbürgerschaft, sowie je nach Projekt / Studie an Daten über die berufliche Qualifikation oder den Gesundheitszustand von Personen interessiert.
Oftmals ist nicht klar ob die gewünschten Daten tatsächlich übermittelt werden müssen bzw. überhaupt übermittelt werden dürfen.
Rechtmäßigkeit von Datenübermittlungen
Eine rechtmäßige Datenübermittlung liegt vor, wenn mindestens eine, der in Art 6 der Datenschutz-Grundverordnung, festgelegten Voraussetzungen erfüllt ist.
Im Rahmen von Studien oder Projekten kommen dabei vor allem folgende drei Gründe in Betracht:
- Es gibt eine rechtliche Verpflichtung zur Datenübermittlung.
- Die Übermittlung erfolgt aufgrund der Einwilligung der Betroffenen.
- Die Übermittlung erfolgt aufgrund berechtigter Interessen des Förder- bzw. Auftraggebers.
1: rechtliche Verpflichtung
Sofern rechtliche Verpflichtungen (Gesetz, Urteil, Bescheid) dies vorsehen, sind Daten zu übermitteln.
2: Einwilligung der Betroffenen
Projekt oder Studienteilnehmer können der Übermittlung ihrer personenbezogenen Daten an Dritte (Förder- bzw. Auftraggeber) grundsätzlich einwilligen. Zu beachten ist aber, dass eine Einwilligung ausschließlich gültig ist, sofern diese ohne Zwang und in Kenntnis der Sachlage abgegeben wurde. Zwang liegt beispielsweise vor, wenn eine Person ausschließlich durch die Einwilligung zur Datenübermittlung in den Genuss einer Förderung kommt. In wie weit Betroffene über die Sachlage zu informieren sind, hängt im Einzelfall vom Umfang des Projekts oder der Studie ab.
Darüber hinaus muss beachtet werden, dass Einwilligungen jederzeit widerrufen werden können. Im Fall eines Widerrufs wäre sodann die Verarbeitung der Daten - auch beim Übermittlungsempfänger - unzulässig. Bei Studien die Publikationen nach sich ziehen, kann dies große Probleme verursachen, weshalb besonders darauf geachtet werden muss welche Daten aufgrund welcher Rechtsgrundlage verarbeitet werden.
3: Berechtigte Interessen
Ohne Zweifel haben Förder- bzw. Auftraggeber ein berechtigtes Interesse daran zu erfahren, ob ihre Geldmittel ordnungsgemäß verwendet werden. Nichts desto trotz müssen die Grundsätze des Art 5 DSGVO beachtet werden. So dürfen Daten ausschließlich „für festgelegte, eindeutige und legitime Zwecke ermittelt“ werden (Zweckbindung) und auch nur wenn sie für den angestrebten „Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Prinzip der Datenminimierung).
Besteht der Zweck einer angestrebten Datenübermittlung darin, festzustellen ob vereinbarte Projekt- bzw. Studienziele erreicht wurden, können sich in der Praxis je nach Projekt oder Studie verschiedene Lösungen anbieten.
In vielen Fällen wird es beispielsweise ausreichend sein lediglich anonymisierte Daten über die Anzahl der Teilnehmer, deren Geschlecht, Alter, etc. zu übermitteln. Ist die Übermittlung von personenbezogenen Daten unbedingt notwendig, so könnten detaillierte Informationen darüber, welche Leistungen in Anspruch genommen wurden, in anonymisierter Form übermittelt werden.
Jedenfalls beachtet werden muss, dass an der Übermittlung von besonders geschützten Daten gemäß Art 9 DSGVO, beispielsweise über den Gesundheitszustand von Projekt- oder Studienteilnehmern, kein berechtigtes Interesse bestehen kann - besonders geschützte Daten dürfen aus diesem Grund keinesfalls personenbezogen übermittelt werden.
Geldstrafe und Schadenersatz
Verstöße gegen die Bestimmungen betreffend die Rechtmäßigkeit der Verarbeitung werden mit Geldstrafen von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des letzten globalen Jahresumsatzes bedroht (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde entscheidet über die Höhe der Strafe. Neben der Geldstrafe haben Betroffene für den tatsächlich erfolgten materiellen und/oder immateriellen Schaden das Recht auf Schadenersatz (Art 82 DSGVO). Die Zivilgerichte sind für Schadenersatzklagen zuständig.
mehr --> Auftragsverarbeitung gemäß DSGVO mehr --> Wie hat ein Verzeichnis der Verarbeitungstätigkeiten auszusehen? mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt? mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|