Skip to content
This repository has been archived by the owner on Mar 23, 2020. It is now read-only.

Home

Jump to bottom
Bassbiest edited this page Feb 14, 2019 · 12 revisions

Welcome to the rdmo-catalog-uaruhr wiki!

changes to GDPR relatet questions in the uaruhr-rdmo-catalogs

Old Question (german)

New Question (german)

New Question (english)

Enthält dieser Datensatz personenbezogene Daten?

Europäisches Recht kann Geltung haben.

Das Bundesdatenschutzgesetz definiert personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (BDSG, §3 Abs. 1)

Dabei wird von einer „bestimmten Person“ gesprochen, wenn eindeutig erkennbar ist, zu welcher Person die Daten gehören. Um eine „bestimmbare Person“ handelt es sich, wenn mittels Zusatzinformationen ermittelt werden kann, um welche Person es geht. (Vgl. Häder 2009, S. 7).

Der Umgang mit solchen Daten ist gesetzlich geregelt. Mehr Informationen (zwar auf bestimmte Disziplinen / Datentypen fokussiert, aber übertragbar) zum Thema bieten bspw.:

Enthält dieser Datensatz personenbezogene Daten?

Der Umgang und die Verarbeitung personenbezogener Daten ist gesetzlich geregelt. Die EU-weit einheitliche Anwendung erfolgt nach der EU-Datenschutz-Grundverordnung (DSGVO) [1]. Es gestattet Regelungsspielräume auf nationaler Ebene. In Deutschland regelt dies das Bundesdatenschutzgesetz (BDSG-neu) [2], bzw. für Hochschulen gelten die individuellen Datenschutzgesetze der Länder, z.B. Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) [3].

Die europäische DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 DSGVO, Abs. 1).

Identifiziert ist eine Person, wenn eindeutig erkennbar ist, zu welcher Person die Daten gehören.

Identifizierbar wird eine Person, wenn sie mittels Zusatzinformationen identifiziert werden kann.

Mehr Informationen zum Thema finden Sie auf der Webseite des Datenschutzbeauftragten der Ruhr-Universität Bochum.

[1] Verordnung (EU) 2016/679 eur-lex.europa.eu

[2] bfdi.bund.de

[3] Im Zuge der Anwendung der DSGVO liegt ein Referentenentwurf für ein Nordrhein-Westfälisches Datenschutz-Anpassungs- und Umsetzungsgesetz EU NRWDSAnpUG-EU) vor. landtag.nrw.de

Does this dataset contain personal data?

The handling and processing of personal data is regulated by law. The uniform application throughout the EU is based on the EU General Data Protection Regulation (GDPR) [1]. It allows for regulatory leeway at national level. In Germany, this is regulated by the Federal Data Protection Act (BDSG-neu) [2], and for universities, the individual data protection laws of the individual federal states apply, e.g. data protection law of North Rhine-Westphalia (DSG NRW) [3].

The european GDPR defines personal data as all information relating to an identified or identifiable natural person (Art. 4(1) GPDR).

A person is “identified” if it is clearly identifiable to whom the data belongs.

A person becomes identifiable if it can be identified by means of additional information.

More information (in German only) can be found on the website of the data protection officer of the Ruhr-University Bochum.

[1] Regulation (EU) 2016/679 eur-lex.europa.eu

[2] bfdi.bund.de

[3] In the course of the application of the GDPR, there is a draft proposal for a North Rhine-Westphalian Data Protection Adaptation and Implementation Act (EU NRWDSAnpUG-EU). landtag.nrw.de

Welches Gesetz ist bezüglich der Fragen des Datenschutzes für das Projekt maßgeblich?

Für öffentliche Stellen sowie private Unternehmen ist das Bundesdatenschutzgesetz (BDSG) maßgeblich, für öffentlichen Stellen der Länder (z.B. Universitäten) das entsprechende Landesdatenschutzgesetz. (Vgl. Michael Häder (2009): Der Datenschutz in den Sozialwissenschaften. RatSWD Working Paper No. 90), S. 6 f. In bestimmten Bereichen gelten bereichsspezifische Gesetze, die über dem Bundesdatenschutzgesetz bzw. den Landesdatenschutzgesetzen stehen. Für medizinischen Daten ist bspw. das Zehnte Sozialgesetzbuch (SBG X) anwendbar, für Daten des Mikrozensus das Bundesstatistikgesetz (BStatG). (Vgl. Uwe Jensen (2012): Leitlinien zum Management von Forschungsdaten. Sozialwissenschaftliche Umfragedaten. 2012. S. 14.)

  • Bundesdatenschutzgesetz (BDSG)
  • Landesdatenschutzgesetz Baden-Württemberg
  • Landesdatenschutzgesetz Bayern
  • Landesdatenschutzgesetz Berlin
  • Landesdatenschutzgesetz Bremen
  • Landesdatenschutzgesetz Brandenburg
  • Landesdatenschutzgesetz Hamburg
  • Landesdatenschutzgesetz Mecklenburg-Vorpommern
  • Landesdatenschutzgesetz Hessen
  • Landesdatenschutzgesetz Nordrhein-Westfalen
  • Landesdatenschutzgesetz Rheinland-Pfalz
  • Landesdatenschutzgesetz Niedersachse
  • Landesdatenschutzgesetz Saarland
  • Landesdatenschutzgesetz Sachsen
  • Landesdatenschutzgesetz Sachsen-Anhalt
  • Landesdatenschutzgesetz Schleswig-Holstein
  • Landesdatenschutzgesetz Thüringen
  • Sozialgesetzbuch X (z.B. für medizinische Daten)
  • Bundesstatistikgesetz (z.B. für Zensusdaten)
  • Sonstiges:

Welche Gesetze sind neben der europäischen DSGVO [1] bezüglich der Fragen des Datenschutzes für das Projekt zu beachten?

Die europäische Datenschutz-Grundverordnung (DSGVO) [1] hat Vorrang vor nationalem Recht. Sie findet seit dem 25.05.2018 Anwendung.

Für Hochschulen finden weiterhin die Landesdatenschutzgesetze Anwendung, die bestimmte Regelungen der DSGVO ausgestalten können, z.B. Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) [3]

In bestimmten Bereichen gelten spezifische Gesetze, die über den Landesdatenschutzgesetzen bzw. Bundesdatenschutzgesetz (BDSG-neu) [2] stehen.

  • Für medizinischen Daten ist bspw. das Zehnte Sozialgesetzbuch (SBG X) anwendbar,

  • Für Daten des Mikrozensus das Bundesstatistikgesetz (BStatG).

  • Für Forschung in Schulen in NRW das Schulgesetz NRW (SchulG NRW)

Demzufolge können je nach Forschungsprojekt auch mehrere Gesetze betroffen sein.

  • Landesdatenschutzgesetz Baden-Württemberg
  • Landesdatenschutzgesetz Bayern
  • Landesdatenschutzgesetz Berlin
  • Landesdatenschutzgesetz Bremen
  • Landesdatenschutzgesetz Brandenburg
  • Landesdatenschutzgesetz Hamburg
  • Landesdatenschutzgesetz Mecklenburg-Vorpommern
  • Landesdatenschutzgesetz Hessen
  • Landesdatenschutzgesetz Nordrhein-Westfalen
  • Landesdatenschutzgesetz Rheinland-Pfalz
  • Landesdatenschutzgesetz Niedersachse
  • Landesdatenschutzgesetz Saarland
  • Landesdatenschutzgesetz Sachsen
  • Landesdatenschutzgesetz Sachsen-Anhalt
  • Landesdatenschutzgesetz Schleswig-Holstein
  • Landesdatenschutzgesetz Thüringen
  • Sozialgesetzbuch X (z.B. für medizinische Daten)
  • Bundesstatistikgesetz (z.B. für Zensusdaten)
  • Sonstiges:

Which laws are to be considered beside the European GDPR regarding data protection issues for the research project?

The European General Data Protection Regulation (GPDR) [1] takes precedence over national law. It applies since 25.05.2018.

For universities, state data protection laws continue to apply, which may be designed to comply with certain provisions of the GDPR, e. G. NRW [3]

In certain areas, specific laws apply. These override the State Federal and Federal Data Protection Acts

  • The Social Security Act X for medical data

  • The Federal Statistics Act for census data

  • For educational research in NRW the education act NRW

A research project might be affected by multiple laws.

  • Bundesdatenschutzgesetz (BDSG, Federal Data Protection Act)
  • Landesdatenschutzgesetz Baden-Württemberg (State Data Protection Act of Baden-Württemberg)
  • Landesdatenschutzgesetz Bayern (State Data Protection Act of Bavaria)
  • Landesdatenschutzgesetz Berlin (State Data Protection Act of Berlin)
  • Landesdatenschutzgesetz Bremen (State Data Protection Act of Bremen)
  • Landesdatenschutzgesetz Brandenburg (State Data Protection Act of Brandenburg)
  • Landesdatenschutzgesetz Hamburg (State Data Protection Act of Hamburg)
  • Landesdatenschutzgesetz Mecklenburg-Vorpommern (State Data Protection Act of Mecklenburg-Vorpommern)
  • Landesdatenschutzgesetz Hessen (State Data Protection Act of Hesse)
  • Landesdatenschutzgesetz Nordrhein-Westfalen (State Data Protection Act of North Rhine-Westphalia)
  • Landesdatenschutzgesetz Rheinland-Pfalz (State Data Protection Act of Rhineland-Palatinate)
  • Landesdatenschutzgesetz Niedersachsen (State Data Protection Act of Lower Saxony)
  • Landesdatenschutzgesetz Saarland (State Data Protection Act of Saarland)
  • Landesdatenschutzgesetz Sachsen (State Data Protection Act of Saxony)
  • Landesdatenschutzgesetz Sachsen-Anhalt (State Data Protection Act of Saxony-Anhalt)
  • Landesdatenschutzgesetz Schleswig-Holstein (State Data Protection Act of Schleswig-Holstein)
  • Landesdatenschutzgesetz Thüringen (State Data Protection Act of Thuringia)
  • Sozialgesetzbuch X (Social Security Act X), e.g. for medical data
  • Bundesstatistikgesetz (Federal Statistics Act), e.g. for census data
  • Other:

Enthält der Datensatz "Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben" (BDSG §3, Abs.9)?

Solche Daten gelten als besonders sensibel und erfordern noch strengere Schutzmaßnahmen, als bei personenbezogenen Daten generell bereits erforderlich sind. Wenn Sie diese Frage mit "Ja" beantworten, informieren Sie sich bei der/dem Datenschutzbeauftragten Ihrer Institution, welche zusätzlichen Schutzmaßnahmen notwendig sind.

Enthält der Datensatz personenbezogene Daten besonderer Kategorien?

Hierunter fallen laut DSGVO personenbezogene „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person “ (Art. 9 DSGVO, Abs. 1) [1].

Solche Daten gelten als besonders sensibel und erfordern noch strengere Schutzmaßnahmen, als bei personenbezogenen Daten generell bereits erforderlich sind.

Wenn Sie diese Frage mit "Ja" beantworten, informieren Sie sich bei der/dem Datenschutzbeauftragten Ihrer Institution, welche zusätzlichen Schutzmaßnahmen notwendig sind.

Does the dataset contain personal data of special categories?

According to the GDPR, this includes “personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation“ (Art. 9(1) GPDR) [1].

Such data is considered to be particularly sensitive and requires even more stringent protective measures than are generally required for personal data.

If you answer "Yes" to this question, please contact the data protection officer of your institution to find out what additional protection measures are necessary.

In welchem Umfang wird die "informierte Einwilligung" der Betroffenen eingeholt?

Grundsätzlich gilt, dass eine Erhebung, Verarbeitung, Archivierung und Veröffentlichung personenbezogener Daten nur zulässig ist, wenn eine entsprechende "informierte Einwilligung" der Betroffenen vorliegt. Nur in ganz wenigen, jeweils in den Datenschutzgesetzen definierten Ausnahmefällen wird diese nicht benötigt (vgl., auch für mehr Information, Informationen zu rechtlichen Aspekten bei der Handhabung von Sprachkorpora, S. 6).

In welchem Umfang wird die "informierte Einwilligung" der Betroffenen eingeholt?

Grundsätzlich gilt, dass eine Erhebung, Verarbeitung, Archivierung und Veröffentlichung personenbezogener Daten nur zulässig ist, wenn eine entsprechende "informierte Einwilligung" der Betroffenen vorliegt. Nur in ganz wenigen Ausnahmefällen wird diese nicht benötigt.

Bitte informieren Sie sich ggf. bei der/dem Datenschutzbeauftragten Ihrer Institution, über die notwendigen Bedingungen für die Einwilligung.

To what extent is the 'informed consent' of the persons concerned obtained?

As a general rule, the collection, processing, archiving and publication of personal data is only admissible, if there is a corresponding 'informed consent' of the person concerned. Only in very few exceptional cases, this is not needed.

Where required please get in touch with the data protection officer of your institution for further information on the necessary conditions for consent.
Clone this wiki locally