METHODE: FORSCHUNGSETHIK

Fragen in Bezug auf die Forschungsethik sind für alle drei Dimensionen der Leistungsmessung relevant. Die Regeln und Normen für die Forschungsethik sind Teil der TGM und müssen bei der Planung des Trials berücksichtigt werden. Immer wenn Menschen an den Aktivitäten beteiligt sind, müssen die Regeln und Anforderungen des Datenschutzes befolgt werden, um ihre Privatsphäre zu schützen und ihre Teilnahme zu regeln. Diese Verpflichtungen sind vor allem in der allgemeinen Datenschutzgrundverordnung (DSGVO) der EU definiert. Die DSGVO ist nach einigen Datenschutzprinzipien gegliedert, die nachfolgend kurz beschrieben sind. Dieser Leitfaden führt die wesentlichen Anforderungen und Empfehlungen für jede der drei Trial-Phasen auf der Grundlage dieser Prinzipien auf: Vorbereitung, Durchführung und Auswertung. Nach der neuen Vorschrift kann gegen ein Unternehmen eine Geldstrafe von 2 % des Jahresumsatzes verhängt werden, wenn seine Aufzeichnungen nicht in Ordnung sind (Artikel 28 DSGVO), wenn die Aufsichtsbehörde und das Datensubjekt nicht über eine Datenschutzverletzung informiert wurden oder wenn keine Folgenabschätzung durchgeführt wurde. Soweit es um die Durchführung eines Trials geht, betreffen die Änderungen, die mit dieser neuen Regelung einhergehen, hauptsächlich die Bürgerrechte. In der DSGVO werden die Rechte des Datensubjekts in Kapitel III beschrieben. Obwohl die neuen Regeln für Unternehmen auch im Trial-Kontext relevant sind, liegt die Einführung und Durchsetzung der DSGVO bei den einzelnen Unternehmen/Firmen/Organisationen, die am Trial teilnehmen. Zusammengefasst ist dieser ethische Leitfaden (als Teil der TGM) nicht darauf ausgerichtet, Unternehmen bei der Annahme der DSGVO zu unterstützen, sondern er wird vor allem die Rechte der Datensubjekte, die möglicherweise an den Trial-Aktivitäten teilnehmen werden, berücksichtigen.  

Die folgenden Richtlinien enthalten die bei einem Trial am häufigsten erwarteten Probleme und Konzepte, sind jedoch nicht vollständig. Der Grund dafür ist, dass zur genauen Bestimmung der ethischen Fragen, die für einen Trial relevant sein könnten, mehr Informationen über den Aufbau, wie Szenario und das Ausmaß der Beteiligung externer Teilnehmenden, bspw. Freiwilligen, erforderlich sind. Die Richtlinien geben jedoch eine gute Vorstellung davon, was die wichtigsten Probleme sein könnten und wie diese gelöst werden können.

Rechtmäßigkeit, Fairness und Transparenz: Die DSGVO besagt eindeutig, dass die Verarbeitung von Daten nur dann rechtmäßig ist, wenn mindestens eine von mehreren Bedingungen erfüllt ist [Artikel 6 DSGVO]. Zu diesen Bedingungen gehören u. a., dass das Datensubjekt der Verarbeitung seiner bzw. ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt hat. Die Zustimmungsbedingungen wurden gestärkt und die Zustimmungserklärung muss in einer verständlichen und leicht zugänglichen Form und in einer klaren Sprache gegeben werden.

Erfassung, Verarbeitung und Zweckbeschränkungen: Die DSGVO gibt an, dass personenbezogene Daten nur für „festgelegte, eindeutige und rechtmäßige Zwecke“ erhoben werden dürfen [Artikel 5, Absatz 1 (b) DSGVO]. Die DSGVO gibt auch vor, dass Datensubjekte in der Lage sein sollten, die „Zustimmung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten zu geben soweit es der beabsichtigte Verwendungszweck zulässt“. Artikel 17 gibt jedem Datensubjekt das Recht auf Löschung seiner bzw. ihrer personenbezogenen Daten, wenn er/sie die Zustimmung widerruft oder der Verarbeitung widerspricht und auch, wenn die Daten für den Zweck, für den sie ursprünglich erfasst wurden, nicht weiter benötigt werden. Nach der DSGVO ist es nicht notwendig, Benachrichtigungen/Registrierungen über Verarbeitungsaktivitäten an jede lokale Datenschutzbehörde zu übermitteln. Stattdessen besteht die Verpflichtung, interne Aufzeichnungen zu führen. In bestimmten Fällen ist die Ernennung eines Datenschutzbeauftragten obligatorisch.

Genauigkeit: Die DSGVO besagt, dass die Daten „sachlich richtig sein und erforderlichenfalls aktualisiert werden“ müssen [Artikel 5, Absatz 1(d) DSGVO].

Datenminimierung und eingebauter Datenschutz: Die DSGVO gibt vor, dass über ein Datensubjekt erfasste Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sein müssen [Artikel 5, Absatz 1 (c) DSGVO]. Eingebauter Datenschutz ist eine neue Anforderung der DSGVO und erfordert, dass bei der Gestaltung der Systeme der Datenschutz von Anfang an einbezogen wird und keine Ergänzung darstellt. Artikel 23 erfordert von den Datenverantwortlichen, nur solche Daten zu speichern und zu verarbeiten, die für die Erfüllung ihrer Aufgaben absolut notwendig sind (Datenminimierung) und den Zugriff auf personenbezogene Daten auf diejenigen zu begrenzen, die für die Verarbeitung notwendig sind.

Speicherbegrenzung/Integrität und Vertraulichkeit:Die DSGVO erfordert, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifikation der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist“ [Artikel 5, Absatz 1 (e) DSGVO]. Die DSGVO erfordert auch, dass die Datenverarbeitenden die Daten „in einer Weise verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ [Artikel 5, Absatz 1 (f) DSGVO]. Das Recht auf Vergessenwerden, auch als Datenlöschung bekannt, gibt dem Datensubjekt das Recht, den Datenverantwortlichen anzuweisen, seine bzw. ihre personenbezogenen Daten zu löschen, eine weitere Verbreitung der Daten einzustellen und potenzielle Dritte anzuweisen, die Datenverarbeitung einzustellen. Zu den in Artikel 17 aufgeführten Bedingungen für die Löschung gehören u. a., dass die Daten für die ursprünglichen Zwecke der Verarbeitung nicht länger relevant sind oder wenn ein Datensubjekt die Zustimmung zurückzieht.

Anforderungen und Empfehlungen der DSGVO für die Vorbereitungsphase

Entscheiden Sie, ob eine Datenschutz-Folgenabschätzung notwendig ist [siehe Teil 3, Artikel 35 DSGVO]. Insbesondere bei folgenden Arten der Verarbeitung ist eine Datenschutz-Folgenabschätzung notwendig:

• Eine systematische und umfassende Evaluation persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; 
• Verarbeitung besonderer Datenkategorien in großem Umfang [siehe Artikel 9 (1)] oder personenbezogener Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten [siehe Artikel 10]; oder 
• Eine systematische Überwachung eines öffentlich zugänglichen Bereichs im großen Umfang.
• Sorgen Sie dafür, dass Daten für festgelegte, eindeutige und rechtmäßige Zwecke erfasst werden und nicht auf eine mit diesen Zwecken nicht zu vereinbarende Weise weiterverarbeitet werden [Artikel 5, Absatz 1 (b) DSGVO].
• Teilen Sie dem Datensubjekt (der Person, deren personenbezogene Daten erfasst werden) die Identität des Datenverantwortlichen und die Kontaktinformationen mit und informieren Sie sie über die Art der Daten, die erfasst und verarbeitet werden, und wie das Ergebnis ihres Beitrags verwendet wird. Sorgen Sie dafür, dass die erfassten Daten wirklich dieser Beschreibung entsprechen. Informieren Sie über den Zweck der Forschung, wer Zugriff auf die Daten erhalten wird und wie lange die Materialien gespeichert werden. Diese Informationen sollten auf einer Einverständniserklärung, die das Datensubjekt vor der Datenerfassung zu unterzeichnen hat, enthalten sein.
• Machen Sie die Durchführung der Beobachtung oder Aufzeichnung unmissverständlich deutlich. Geben Sie allen, die möglicherweise davon betroffen sind, die Möglichkeit, der Beobachtung und Aufzeichnung zu widersprechen.
• Informieren Sie immer alle Teilnehmenden und möglichen Zuschauer sorgfältig und weit im Voraus der durchzuführenden Untersuchung. Wenn Zuschauer von der Aktivität betroffen sein könnten, z. B. indem Sie einem Trial-Szenario mit einer Feldkomponente ausgesetzt sind, sollten ihnen vorab so viele Informationen wie möglich gegeben werden. Das kann z. B. durch das Aufhängen von Informationspostern in der Nähe des Trial-Bereichs erfolgen. Das würde als gute Praxis angesehen werden, auch wenn die Zuschauer keine „Datensubjekte“ sind. Das hängt jedoch von der Situation ab. Wenn es durch die Anbieter innovativer Lösungen zur Videoüberwachung oder zum Tracking von Zuschauern kommt, werden diese möglicherweise Datensubjekte.

• Bei Bedarf wenden Sie sich bitte an die lokalen Datenschutzbehörden, um sicherzustellen, dass die Regeln und Vorschriften, welche die Datenschutzrechte sicherstellen, befolgt werden. Wo es erforderlich ist, muss die Registrierung bei nationalen Behörden erfolgen. Gemäß der DSGVO besteht kein Erfordernis mehr, eine Datenschutzbehörde über die Datenverarbeitung zu informieren. Es gelten jedoch andere Verpflichtungen, welche die Rechte der Teilnehmenden betreffen können, wie z. B. das Erfordernis, eine Datenschutz-Folgenabschätzung und vorherige Konsultationen durchzuführen (Beschreibungen, wann das relevant ist, befinden sich in Artikel 35 und 36 DSGVO).
• Das Datensubjekt hat das Recht, einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung, die ihm oder ihr gegenüber rechtliche Wirkung entfaltet oder ihn oder sie in ähnlicher Weise erheblich beeinträchtigt, nicht unterworfen zu werden [Artikel 22 DSGVO]. Ist eine solche Verarbeitung bei Trials (z. B. für die „potenziell automatisierte“ Leistungsbemessung und das Logging mithilfe einer technischen Infrastruktur) notwendig, muss die Entscheidung auf der ausdrücklichen Einwilligung des Datensubjekts beruhen [Artikel 22, Absatz 2 (c)) DSGVO].  
• Planen Sie die Datenminimierung ein, d. h., vermeiden Sie das Erfassen unnötiger Daten.  
• Planen und sorgen Sie dafür, dass die erfassten personenbezogenen Daten sicher gespeichert werden, z. B. mithilfe der Standards nach ISO/IEC 27000 oder der Richtlinien des britischen Nationalen Zentrums für Cyber-Sicherheit (National Cyber Security Centre). 
• Verschlüsseln und anonymisieren Sie personenbezogene Daten grundsätzlich.  
• Setzen Sie für die Datenerfassung Technologie nur ein, wenn es notwendig ist. Begründen Sie es.  

Anforderungen & Empfehlungen zur DSGVO für die Durchführungsphase

• Wenn Server gehackt werden oder personenbezogene Daten auf andere Weise von jemandem ohne Zugangsberechtigung erlangt werden, sind bei Verstößen Benachrichtigungen in allen Mitgliedsstaaten obligatorisch. Das gilt für Fälle, in denen ein Verstoß wahrscheinlich zu „einem Risiko für die Rechte und Freiheiten von Personen“ führen wird. Das muss innerhalb von  
• 72 Stunden, nachdem der Verstoß erstmals bemerkt wurde, erfolgen.
• Sorgen Sie dafür, dass die erfassten personenbezogenen Daten sicher gespeichert werden, z. B. mithilfe der Standards nach ISO/IEC 27000 oder der Richtlinien des britischen Nationalen Zentrums für Cyber-Sicherheit (National Cyber Security Center).  
• Setzen Sie für die Datenerfassung Technologie nur ein, wenn es notwendig ist. Begründen Sie es.
• Minimieren Sie die Daten, d. h., vermeiden Sie das Erfassen unnötiger Daten. Erfasste Daten, die nicht länger benötigt werden, sollten gelöscht werden. Im Falle eines Verstoßes gegen die Datensicherheit wird so die Anzahl der betroffenen Personen reduziert.
• Verzichten Sie auf die Verarbeitung von Daten, die nicht aktuell sind.
• Verschlüsseln und anonymisieren Sie personenbezogene Daten grundsätzlich.
• Beachten Sie, dass gemäß der DSGVO alle Personen, die sich in der EU befinden (alle, die in der EU ansässig sind, nicht nur EU-Bürger) verlangen können, dass ihre personenbezogenen Daten aus Unternehmensdatenbanken entfernt werden oder die Gründe erfragen können, warum das nicht geschehen kann.
• Das Datensubjekt hat das Recht, einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung, die ihm oder ihr gegenüber rechtliche Wirkung entfaltet oder ihn oder sie in ähnlicher Weise erheblich beeinträchtigt, nicht unterworfen zu werden [Artikel 22 DSGVO]. Ist eine solche Verarbeitung für die Durchführung eines Trials (z. B. für die „potenziell automatisierte“ Leistungsbemessung und das Logging mithilfe der Test-bed Technical Infrastructure) notwendig, muss die Entscheidung auf der ausdrücklichen Einwilligung des Datensubjekts beruhen [Artikel 22, Absatz 2 (c)) DSGVO].
• Sorgen Sie dafür, dass Daten für festgelegte, eindeutige und rechtmäßige Zwecke erfasst werden und nicht auf eine mit diesen Zwecken nicht zu vereinbarende Weise weiterverarbeitet werden [Artikel 5, Absatz 1 (b) DSGVO].

Anforderungen & Empfehlungen zur DSGVO für die Evaluationsphase

• Wenn Server gehackt werden oder personenbezogene Daten auf andere Weise von jemandem ohne Zugangsberechtigung erlangt werden, sind bei Verstößen Benachrichtigungen in allen Mitgliedsstaaten obligatorisch. Das gilt für Fälle, in denen ein Verstoß wahrscheinlich zu „einem Risiko für die Rechte und Freiheiten von Personen“ führen wird. Das muss innerhalb von 72 Stunden, nachdem der Verstoß erstmals bemerkt wurde, erfolgen.  
• Verwenden Sie Daten nicht ohne schriftliche Zustimmung wieder. Wenn der Datenverantwortliche die Daten für weitere Zwecke verarbeiten möchte, muss vom Datensubjekt eine unterschriebene aktualisierte Einverständniserklärung eingeholt werden.
• Verzichten Sie auf die Verarbeitung von Daten, die nicht aktuell sind.
• Erfasste Daten, die nicht länger benötigt werden, sollten gelöscht werden. Im Falle eines Verstoßes gegen die Datensicherheit wird so die Anzahl der betroffenen Personen reduziert.
• Verschlüsseln und anonymisieren Sie personenbezogene Daten grundsätzlich. Personenbezogene Daten sollten „in einer Form gespeichert werden, die die Identifikation der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist“ [Artikel 5, Absatz 1 (e) DSGVO].  
• Von den Personen, die die personenbezogenen Daten verarbeiten/analysieren, sollten die Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ [Artikel 5, Absatz 1 (f) DSGVO].
• Beachten Sie, dass gemäß der DSGVO alle Personen, die sich in der EU befinden (alle, die in der EU ansässig sind, nicht nur EU-Bürger) verlangen können, dass ihre personenbezogenen Daten aus Unternehmensdatenbanken entfernt werden oder die Gründe erfragen können, warum das nicht geschehen kann.
• Wenn in der Beschreibung der Trial-Ergebnisse, die im Portfolio of Solutions gespeichert sind, personenbezogene Daten enthalten sind, sollte das begründet werden.
• Sorgen Sie nicht nur dafür, dass die personenbezogenen Daten für festgelegte, eindeutige und rechtmäßige Zwecke erfasst werden, sondern auch, dass diese nicht auf eine mit diesen Zwecken nicht zu vereinbarende Weise weiterverarbeitet werden [Artikel 5, Absatz 1 (b) DSGVO].