AP Recht - KoLaWiss
AP Recht - KoLaWiss AP Recht - KoLaWiss
KoLaWiss-Gutachten AP 4: Recht Seite 148 von 163 LZA-Verbund bzw. die Universität die erforderlichen Maßnahmen trifft, um zu verhindern, dass Unbefugte Zugriff auf die zur Identifizierung der Betroffenen erforderlichen Merkmale erlangen. Diese Anforderungen würden jedoch auch dann bestehen, wenn Daten und perso- nenbezogene Merkmale bei unterschiedlichen Einrichtungen gespeichert würden. 3. Zwischenergebnis Sowohl der Wortlaut als auch der Sinn und Zweck der §§ 25 Abs. 4 NDSG und § 3a BDSG sprechen demzufolge nicht dagegen, dass eine Speicherung innerhalb desselben LZA- Verbundes erfolgt. B. Organisationspflichten der Universität gem. § 7 NDSG Zu beachten ist in diesem Zusammenhang ferner § 7 NDSG, wonach öffentliche Stellen die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um ein den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzus- tellen. Eine automatisierte Datenverarbeitung ist dabei in § 3 Abs. 5 NDSG als eine „Verar- beitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“ definiert. Da in den vorliegenden Fällen stets eine elektronische Archivierung im Mittelpunkt steht, ist eine automatisierte Datenverarbeitung stets gegeben, so dass § 7 NDSG auf die vorliegend relevanten Fälle Anwendung findet. Auch wenn es sich beim dem LZA-Verbund nicht um eine öffentliche Stelle handeln wird, so wird durch § 7 NDSG doch die Universität verpflich- tet, da diese den Verbund mit der Archivierung beauftragen und deshalb wohl gem. § 3 Abs. 3 NDSG Daten verarbeitende Stelle sein wird. Insofern hat sie sicherzustellen, dass der LZA- Verbund die entsprechenden technischen und organisatorischen Maßnahmen trifft 334 . C. Ergebnis Personenbezogene Daten pseudonymisierter medizinischer Forschungsdaten dürfen demzu- folge zumindest dann durch den gleichen Langzeitarchivierungsverbund gespeichert werden, wenn die nicht-personenbezogenen und personenbezogenen medizinischen Forschungsdaten bei unterschiedlichen Institutionen innerhalb des Verbunds langzeitarchiviert werden. Die Universität muss jedoch aufgrund der Bestimmungen in § 7 NDSG die technischen und orga- nisatorischen Maßnahmen treffen, die erforderlich sind, um eine den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzustellen. 334 Kommentar zum NDSG, § 7 Zu Abs. 1 Nr. 3; zu den erforderlichen technischen und organisatorischen Maß- nahmen im Einzelnen siehe Frage 14. Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist
KoLaWiss-Gutachten AP 4: Recht Seite 149 von 163 Frage 14: Müssen für die Langzeitarchivierung medizinischer Forschungsdaten besondere techni- sche sowie organisatorische Zugangssicherungsmaßnahmen getroffen werden? Wie stellt sich dies im Kontext bei Daten mit und ohne Personenbezug dar? A. Rechtliche Grundlagen für technische und organisatorische Zugangssicherungs- maßnahmen Wie bereits in den Ausführungen zu Frage 13 dargelegt, gilt hinsichtlich der Verarbeitung personenbezogener Daten der Grundsatz der Erforderlichkeit 335 . Aus diesem Grund müssen gem. § 25 Abs. 4 Hs. 2 NDSG die Merkmale, die einen Bezug von personenbezogenen For- schungsdaten zu den Betroffenen ermöglichen, gelöscht werden, sobald der Forschungszweck dies gestattet. Sofern dies nicht der Fall ist, sind die Merkmale, mit deren Hilfe ein Personen- bezug hergestellt werden kann, gesondert zu speichern. Dabei ist nicht erforderlich, dass diese Merkmale bei einem anderen LZA-Verbund gespeichert werden, als der nicht- personenbezogene Teil der Daten 336 . Da § 25 NDSG aber keine weiteren Aussagen hinsich- tlich der Anforderungen an eine rechtmäßige Speicherung der Daten enthält, stellt sich die Frage, welchen Anforderungen die gesonderte Speicherung genügen muss. Wie bereits im Rahmen von Frage 13 erläutert, hat die Universität als Daten verarbeitende öffentliche Stelle gem. § 7 NDSG die technischen und organisatorischen Maßnahmen zu treffen, die erforder- lich sind, um eine den Vorschriften des NDSG entsprechende Verarbeitung personenbezoge- ner Daten sicherzustellen. Grundsätzlich sind dabei technische Sicherungsmaßnahmen gege- nüber organisatorischen Maßnahmen zu bevorzugen. Dabei muss gem. § 7 Abs. 1 S. 2 NDSG der Aufwand für die Maßnahmen unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen. Dabei sind unter dem „Stand der Technik“ Produkte und Verfahren zu verstehen, die ausreichend erpr obt und damit 335 Siehe Frage 13 S. 151 336 Siehe Frage 13 S. 153. Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist
- Seite 97 und 98: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 99 und 100: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 101 und 102: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 103 und 104: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 105 und 106: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 107 und 108: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 109 und 110: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 111 und 112: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 113 und 114: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 115 und 116: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 117 und 118: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 119 und 120: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 121 und 122: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 123 und 124: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 125 und 126: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 127 und 128: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 129 und 130: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 131 und 132: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 133 und 134: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 135 und 136: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 137 und 138: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 139 und 140: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 141 und 142: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 143 und 144: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 145 und 146: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 147: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 151 und 152: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 153 und 154: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 155 und 156: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 157 und 158: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 159 und 160: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 161 und 162: KoLaWiss-Gutachten AP 4: Recht Seit
- Seite 163: KoLaWiss-Gutachten AP 4: Recht Seit
<strong>KoLaWiss</strong>-Gutachten <strong>AP</strong> 4: <strong>Recht</strong> Seite 148 von 163<br />
LZA-Verbund bzw. die Universität die erforderlichen Maßnahmen trifft, um zu verhindern,<br />
dass Unbefugte Zugriff auf die zur Identifizierung der Betroffenen erforderlichen Merkmale<br />
erlangen. Diese Anforderungen würden jedoch auch dann bestehen, wenn Daten und perso-<br />
nenbezogene Merkmale bei unterschiedlichen Einrichtungen gespeichert würden.<br />
3. Zwischenergebnis<br />
Sowohl der Wortlaut als auch der Sinn und Zweck der §§ 25 Abs. 4 NDSG und § 3a BDSG<br />
sprechen demzufolge nicht dagegen, dass eine Speicherung innerhalb desselben LZA-<br />
Verbundes erfolgt.<br />
B. Organisationspflichten der Universität gem. § 7 NDSG<br />
Zu beachten ist in diesem Zusammenhang ferner § 7 NDSG, wonach öffentliche Stellen die<br />
technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um ein<br />
den Vorschriften des NDSG entsprechende Verarbeitung personenbezogener Daten sicherzus-<br />
tellen. Eine automatisierte Datenverarbeitung ist dabei in § 3 Abs. 5 NDSG als eine „Verar-<br />
beitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen“ definiert.<br />
Da in den vorliegenden Fällen stets eine elektronische Archivierung im Mittelpunkt steht, ist<br />
eine automatisierte Datenverarbeitung stets gegeben, so dass § 7 NDSG auf die vorliegend<br />
relevanten Fälle Anwendung findet. Auch wenn es sich beim dem LZA-Verbund nicht um<br />
eine öffentliche Stelle handeln wird, so wird durch § 7 NDSG doch die Universität verpflich-<br />
tet, da diese den Verbund mit der Archivierung beauftragen und deshalb wohl gem. § 3 Abs. 3<br />
NDSG Daten verarbeitende Stelle sein wird. Insofern hat sie sicherzustellen, dass der LZA-<br />
Verbund die entsprechenden technischen und organisatorischen Maßnahmen trifft 334 .<br />
C. Ergebnis<br />
Personenbezogene Daten pseudonymisierter medizinischer Forschungsdaten dürfen demzu-<br />
folge zumindest dann durch den gleichen Langzeitarchivierungsverbund gespeichert werden,<br />
wenn die nicht-personenbezogenen und personenbezogenen medizinischen Forschungsdaten<br />
bei unterschiedlichen Institutionen innerhalb des Verbunds langzeitarchiviert werden. Die<br />
Universität muss jedoch aufgrund der Bestimmungen in § 7 NDSG die technischen und orga-<br />
nisatorischen Maßnahmen treffen, die erforderlich sind, um eine den Vorschriften des NDSG<br />
entsprechende Verarbeitung personenbezogener Daten sicherzustellen.<br />
334 Kommentar zum NDSG, § 7 Zu Abs. 1 Nr. 3; zu den erforderlichen technischen und organisatorischen Maß-<br />
nahmen im Einzelnen siehe Frage 14.<br />
Prof. Dr. Gerald Spindler/Dipl.-Jur. Tobias Hillegeist