AP Recht - KoLaWiss
Teilen Einbetten Melden
ePaper herunterladen

AP Recht - KoLaWiss

AP Recht - KoLaWiss AP Recht - KoLaWiss

kolawiss.uni.goettingen.de
von kolawiss.uni.goettingen.de Mehr von diesem Publisher
05.04.2013 Aufrufe

KoLaWiss-Gutachten AP 4: Recht Seite 148 von 163 LZA-Verbund bzw. die Universität die erforderlichen Maßnahmen trifft, um zu verhindern, dass Unbefugte Zugriff auf die zur Identifizierung der Betroffenen erforderlichen Merkmale erlangen. Diese Anforderungen würden jedoch auch dann bestehen, wenn Daten und perso- nenbezogene Merkmale bei unterschiedlichen Einrichtungen gespeichert würden. 3. Zwischenergebnis Sowohl der Wortlaut als auch der Sinn und Zweck der §§ 25 Abs. 4 NDSG und § 3a BDSG sprechen demzufolge nicht dagegen, dass eine Speicherung innerhalb desselben LZA- Verbundes erfolgt. B. Organisationspflichten der Universität gem. § 7 NDSG Zu beachten ist in diesem Zusammenhang ferner § 7 NDSG, wonach öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um ein den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzus- tellen. Eine automatisierte Datenverarbeitung ist dabei in § 3 Abs. 5 NDSG als eine „Verar- beitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“ definiert. Da in den vorliegenden Fällen stets eine elektronische Archivierung im Mittelpunkt steht, ist eine automatisierte Datenverarbeitung stets gegeben, so dass § 7 NDSG auf die vorliegend relevanten Fälle Anwendung findet. Auch wenn es sich beim dem LZA-Verbund nicht um eine öffentliche Stelle handeln wird, so wird durch § 7 NDSG doch die Universität verpflich- tet, da diese den Verbund mit der Archivierung beauftragen und deshalb wohl gem. § 3 Abs. 3 NDSG Daten verarbeitende Stelle sein wird. Insofern hat sie sicherzustellen, dass der LZA- Verbund die entsprechenden technischen und organisatorischen Maßnahmen trifft 334 . C. Ergebnis Personenbezogene Daten pseudonymisierter medizinischer Forschungsdaten dürfen demzu- folge zumindest dann durch den gleichen Langzeitarchivierungsverbund gespeichert werden, wenn die nicht-personenbezogenen und personenbezogenen medizinischen Forschungsdaten bei unterschiedlichen Institutionen innerhalb des Verbunds langzeitarchiviert werden. Die Universität muss jedoch aufgrund der Bestimmungen in § 7 NDSG die technischen und orga- nisatorischen Maßnahmen treffen, die erforderlich sind, um eine den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzustellen. 334 Kommentar zum NDSG, § 7 Zu Abs. 1 Nr. 3; zu den erforderlichen technischen und organisatorischen Maß- nahmen im Einzelnen siehe Frage 14. Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist

KoLaWiss-Gutachten AP 4: Recht Seite 149 von 163 Frage 14: Müssen für die Langzeitarchivierung medizinischer Forschungsdaten besondere techni- sche sowie organisatorische Zugangssicherungsmaßnahmen getroffen werden? Wie stellt sich dies im Kontext bei Daten mit und ohne Personenbezug dar? A. Rechtliche Grundlagen für technische und organisatorische Zugangssicherungs- maßnahmen Wie bereits in den Ausführungen zu Frage 13 dargelegt, gilt hinsichtlich der Verarbeitung personenbezogener Daten der Grundsatz der Erforderlichkeit 335 . Aus diesem Grund müssen gem. § 25 Abs. 4 Hs. 2 NDSG die Merkmale, die einen Bezug von personenbezogenen For- schungsdaten zu den Betroffenen ermöglichen, gelöscht werden, sobald der Forschungszweck dies gestattet. Sofern dies nicht der Fall ist, sind die Merkmale, mit deren Hilfe ein Personen- bezug hergestellt werden kann, gesondert zu speichern. Dabei ist nicht erforderlich, dass diese Merkmale bei einem anderen LZA-Verbund gespeichert werden, als der nicht- personenbezogene Teil der Daten 336 . Da § 25 NDSG aber keine weiteren Aussagen hinsich- tlich der Anforderungen an eine rechtmäßige Speicherung der Daten enthält, stellt sich die Frage, welchen Anforderungen die gesonderte Speicherung genügen muss. Wie bereits im Rahmen von Frage 13 erläutert, hat die Universität als Daten verarbeitende öffentliche Stelle gem. § 7 NDSG die technischen und organisatorischen Maßnahmen zu treffen, die erforder- lich sind, um eine den Vorschriften des NDSG entsprechende Verarbeitung personenbezoge- ner Daten sicherzustellen. Grundsätzlich sind dabei technische Sicherungsmaßnahmen gege- nüber organisatorischen Maßnahmen zu bevorzugen. Dabei muss gem. § 7 Abs. 1 S. 2 NDSG der Aufwand für die Maßnahmen unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen. Dabei sind unter dem „Stand der Technik“ Produkte und Verfahren zu verstehen, die ausreichend erpr obt und damit 335 Siehe Frage 13 S. 151 336 Siehe Frage 13 S. 153. Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist

<strong>KoLaWiss</strong>-Gutachten <strong>AP</strong> 4: <strong>Recht</strong> Seite 148 von 163<br />

LZA-Verbund bzw. die Universität die erforderlichen Maßnahmen trifft, um zu verhindern,<br />

dass Unbefugte Zugriff auf die zur Identifizierung der Betroffenen erforderlichen Merkmale<br />

erlangen. Diese Anforderungen würden jedoch auch dann bestehen, wenn Daten und perso-<br />

nenbezogene Merkmale bei unterschiedlichen Einrichtungen gespeichert würden.<br />

3. Zwischenergebnis<br />

Sowohl der Wortlaut als auch der Sinn und Zweck der §§ 25 Abs. 4 NDSG und § 3a BDSG<br />

sprechen demzufolge nicht dagegen, dass eine Speicherung innerhalb desselben LZA-<br />

Verbundes erfolgt.<br />

B. Organisationspflichten der Universität gem. § 7 NDSG<br />

Zu beachten ist in diesem Zusammenhang ferner § 7 NDSG, wonach öffentliche Stellen die<br />

technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um ein<br />

den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzus-<br />

tellen. Eine automatisierte Datenverarbeitung ist dabei in § 3 Abs. 5 NDSG als eine „Verar-<br />

beitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“ definiert.<br />

Da in den vorliegenden Fällen stets eine elektronische Archivierung im Mittelpunkt steht, ist<br />

eine automatisierte Datenverarbeitung stets gegeben, so dass § 7 NDSG auf die vorliegend<br />

relevanten Fälle Anwendung findet. Auch wenn es sich beim dem LZA-Verbund nicht um<br />

eine öffentliche Stelle handeln wird, so wird durch § 7 NDSG doch die Universität verpflich-<br />

tet, da diese den Verbund mit der Archivierung beauftragen und deshalb wohl gem. § 3 Abs. 3<br />

NDSG Daten verarbeitende Stelle sein wird. Insofern hat sie sicherzustellen, dass der LZA-<br />

Verbund die entsprechenden technischen und organisatorischen Maßnahmen trifft 334 .<br />

C. Ergebnis<br />

Personenbezogene Daten pseudonymisierter medizinischer Forschungsdaten dürfen demzu-<br />

folge zumindest dann durch den gleichen Langzeitarchivierungsverbund gespeichert werden,<br />

wenn die nicht-personenbezogenen und personenbezogenen medizinischen Forschungsdaten<br />

bei unterschiedlichen Institutionen innerhalb des Verbunds langzeitarchiviert werden. Die<br />

Universität muss jedoch aufgrund der Bestimmungen in § 7 NDSG die technischen und orga-<br />

nisatorischen Maßnahmen treffen, die erforderlich sind, um eine den Vorschriften des NDSG<br />

entsprechende Verarbeitung personenbezogener Daten sicherzustellen.<br />

334 Kommentar zum NDSG, § 7 Zu Abs. 1 Nr. 3; zu den erforderlichen technischen und organisatorischen Maß-<br />

nahmen im Einzelnen siehe Frage 14.<br />

Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!