Freie Inhalte
Datenschutz in Lehre & Forschung
Was gilt es bei der Erhebung und Verarbeitung von personenbezogenen Daten im Rahmen der Forschung (inkl. studentischer Arbeiten) aus datenschutzrechtlicher Perspektive zu beachten?
Forschungsvorhaben basieren in der Regel auf dem Erheben und Analysieren von umfangreichen Daten, wobei nicht immer offensichtlich ist, dass personenbezogene Daten verarbeitet werden und folglich bestimmte datenschutzrechtliche Aspekte berücksichtigt werden müssen (z.B. Informierte Einwilligung (PDF, KB 188)); erfahren Sie dazu mehr im Unterkapitel "Grundlagen der Datenbearbeitung".
Mit Hilfe der ethischen Selbstbeurteilung klären Sie, ob Ihr Forschungsprojekt eine Bewilligung der Universitären Ethikkommission (UEK), oder der Ethikkommission Nordwest- und Zentralschweiz (EKNZ) benötigt. Allenfalls reicht aber auch eine Überprüfung auf Einhaltung der Datenschutzvorschriften (Datenschutzprüfung).
Nachstehend finden Sie zudem Informationen über die unterschiedlichen Vereinbarungen, die für eine Übertragung und/oder Nutzung von personenbezogenen Daten und/oder (biologischem) Material erforderlich sind (sog. Auftragsdatenverarbeitung).
Das Team der Datenschutzbeauftragten unterstützt und berät Sie bei der Einhaltung der datenschutzrechtlichen Vorgaben bei Forschungsprojekten.
Kontakt: datenschutz@unibas.ch
-
Grundlagen der Datenbearbeitung
Für die Bearbeitung (d.h. erheben, speichern, bekanntgeben, löschen, etc.) von personenbezogenen Daten durch die Universität als öffentlich-rechtliche Anstalt, bedarf es entweder einer gesetzlichen Grundlage (z.B. § 7 Studierendenordnung; § 42 Personalordnung) oder der gesetzlichen Zuweisung einer Aufgabe an die Universität, für deren Erfüllung das Bearbeiten von Personendaten notwendig ist (z.B. allgemeiner Forschungsauftrag § 1 Universitätsstatut).
Während die gesetzliche Grundlage die generelle Bearbeitung abdeckt, bedarf es für die konkrete, auf die einzelne Person bezogene Bearbeitung, grundsätzlich einer zusätzlichen informierten Einwilligung der betroffenen Personen.
Im Weiteren darf eine Datenbearbeitung immer nur auf einen bestimmten Zweck hin erfolgen, sie muss zudem verhältnismässig sein und es gilt das Gebot der Transparenz zu befolgen. Bei Projekten mit vulnerablen Personen (z.B. Kindern) oder in speziellen Settings (z.B. anonyme Datenerhebung) gilt es zudem weitere Besonderheiten zu beachten.Mehr dazu erfahren Sie in den entsprechenden Merkblättern.
Für die Bearbeitung (d.h. erheben, speichern, bekanntgeben, löschen, etc.) von personenbezogenen Daten durch die Universität als öffentlich-rechtliche Anstalt, bedarf es entweder einer gesetzlichen Grundlage (z.B. § 7 Studierendenordnung; § 42 Personalordnung) oder der gesetzlichen Zuweisung einer Aufgabe an die Universität, für deren Erfüllung das Bearbeiten von Personendaten notwendig ist (z.B. allgemeiner Forschungsauftrag § 1 Universitätsstatut).
Während die gesetzliche Grundlage die generelle Bearbeitung abdeckt, bedarf es für die konkrete, auf die einzelne Person bezogene Bearbeitung, grundsätzlich einer zusätzlichen informierten Einwilligung der betroffenen Personen.
Im Weiteren darf eine Datenbearbeitung immer nur auf einen bestimmten Zweck hin erfolgen, sie muss zudem verhältnismässig sein und es gilt das Gebot der Transparenz zu befolgen. Bei Projekten mit vulnerablen Personen (z.B. Kindern) oder in speziellen Settings (z.B. anonyme Datenerhebung) gilt es zudem weitere Besonderheiten zu beachten.Mehr dazu erfahren Sie in den entsprechenden Merkblättern.
-
Datenschutzrechtliche Prüfungen
Die datenschutzrechtliche Prüfung hat zum Ziel, mögliche Risiken bereits vor der Erhebung und Bearbeitung von personenbezogenen Daten zu identifizieren und gegebenenfalls zu minimieren. Im universitären Alltag sind datenschutzrechtliche Prüfungen insbesondere vor der Durchführung eines Forschungsprojektes oder vor der Einführung eines neuen digitalen Dienstes für die Lehre, Forschung oder Administation von Relevanz. Dabei gilt es insbesondere zu eruieren, ob die Art der Daten oder deren Bearbeitung ein hohes Risiko für die Rechte und Freiheit der betroffenen Personen birgt.
Erfahren Sie mehr dazu auf der Seite zu den datenschutzrechtlichen Prüfungen.Die datenschutzrechtliche Prüfung hat zum Ziel, mögliche Risiken bereits vor der Erhebung und Bearbeitung von personenbezogenen Daten zu identifizieren und gegebenenfalls zu minimieren. Im universitären Alltag sind datenschutzrechtliche Prüfungen insbesondere vor der Durchführung eines Forschungsprojektes oder vor der Einführung eines neuen digitalen Dienstes für die Lehre, Forschung oder Administation von Relevanz. Dabei gilt es insbesondere zu eruieren, ob die Art der Daten oder deren Bearbeitung ein hohes Risiko für die Rechte und Freiheit der betroffenen Personen birgt.
Erfahren Sie mehr dazu auf der Seite zu den datenschutzrechtlichen Prüfungen. -
Auftragsdatenverarbeitung
Die Universität Basel ist für die Bearbeitung von personenbezogenen Daten in Lehre, Forschung und Verwaltung verantwortlich (sog. „Verantwortliche“ oder „Controller“).
Dazu dürfen in der Regel universitätsexterne Dritte beigezogen werden (sog. „Auftragsdatenbearbeiter" oder „Processor“); die Universität bleibt jedoch für die Datenbearbeitung verantwortlich und muss den Umgang mit den Daten folglich durch einen Auftragsdatenverarbeitungsvertrag (AVV) absichern.
Umgekehrt kann die Universität Basel auch Auftragsdatenverarbeiterin für einen anderen Verantwortlichen sein, in diesem Fall wird sie selbst mittels eines AVV verpflichtet.Eine Auftragsdatenbearbeitung liegt bspw. bei Nutzung einer Cloud vor, bei IT-Support durch einen externen Anbieter, bei Nutzung einer Transkriptionssoftware oder der Datenerhebung durch ein externes Marktforschungsinstitut. Im Bereich der Forschung wird der Austausch von (Gesundheits-)Daten und (biologischem) Material zwischen universitären oder anderen Institutionen ebenfalls durch vertragliche Vereinbarungen geregelt (vgl. dazu u.a. Unitectra, SPHN oder GrantsOffice).
Aufgrund der Komplexität gewisser Kollaborationen und der unterschiedlichen Ausgangslagen sollte in jedem Fall eine individuelle Beratung und Vertragserstellung erfolgen.
Kontaktieren Sie das Team der Datenschutzbeauftragten per E-Mail: datenschutz@unibas.chDie Universität Basel ist für die Bearbeitung von personenbezogenen Daten in Lehre, Forschung und Verwaltung verantwortlich (sog. „Verantwortliche“ oder „Controller“).
Dazu dürfen in der Regel universitätsexterne Dritte beigezogen werden (sog. „Auftragsdatenbearbeiter" oder „Processor“); die Universität bleibt jedoch für die Datenbearbeitung verantwortlich und muss den Umgang mit den Daten folglich durch einen Auftragsdatenverarbeitungsvertrag (AVV) absichern.
Umgekehrt kann die Universität Basel auch Auftragsdatenverarbeiterin für einen anderen Verantwortlichen sein, in diesem Fall wird sie selbst mittels eines AVV verpflichtet.Eine Auftragsdatenbearbeitung liegt bspw. bei Nutzung einer Cloud vor, bei IT-Support durch einen externen Anbieter, bei Nutzung einer Transkriptionssoftware oder der Datenerhebung durch ein externes Marktforschungsinstitut. Im Bereich der Forschung wird der Austausch von (Gesundheits-)Daten und (biologischem) Material zwischen universitären oder anderen Institutionen ebenfalls durch vertragliche Vereinbarungen geregelt (vgl. dazu u.a. Unitectra, SPHN oder GrantsOffice).
Aufgrund der Komplexität gewisser Kollaborationen und der unterschiedlichen Ausgangslagen sollte in jedem Fall eine individuelle Beratung und Vertragserstellung erfolgen.
Kontaktieren Sie das Team der Datenschutzbeauftragten per E-Mail: datenschutz@unibas.chLinks & Downloads
-
Universitäre Ethikkommission (UEK)
Die Universitäre Ethikkommission (UEK) ist eine ständige Kommission der Regenz mit dem Auftrag, die Prinzipien der Forschungsethik an der Universität Basel optimal zu gewährleisten.
Die UEK beurteilt auf Anfragen der Forschenden die ethische Vertretbarkeit von Forschungsvorhaben an der Universität Basel, mit Ausnahme von Forschungsprojekten, die unter das Humanforschungsgesetz fallen und von der Ethikkommission Nordwest- und Zentralschweiz (EKNZ) bewilligt werden müssen.
Mit Hilfe der ethischen Selbstbeurteilung klären Sie, ob Ihr Projekt eine Bewilligung der UEK bzw. EKNZ benötigt oder, ob allenfalls eine Überprüfung auf Einhaltung der Datenschutzvorschriften durch die Datenschutzbeauftragte der Universität ausreicht (Antrag auf Datenschutzprüfung).
Die Universitäre Ethikkommission (UEK) ist eine ständige Kommission der Regenz mit dem Auftrag, die Prinzipien der Forschungsethik an der Universität Basel optimal zu gewährleisten.
Die UEK beurteilt auf Anfragen der Forschenden die ethische Vertretbarkeit von Forschungsvorhaben an der Universität Basel, mit Ausnahme von Forschungsprojekten, die unter das Humanforschungsgesetz fallen und von der Ethikkommission Nordwest- und Zentralschweiz (EKNZ) bewilligt werden müssen.
Mit Hilfe der ethischen Selbstbeurteilung klären Sie, ob Ihr Projekt eine Bewilligung der UEK bzw. EKNZ benötigt oder, ob allenfalls eine Überprüfung auf Einhaltung der Datenschutzvorschriften durch die Datenschutzbeauftragte der Universität ausreicht (Antrag auf Datenschutzprüfung).
-
Datenschutzerklärung für Webseiten & Formulare
Für Webseiten
Wer eine Webseite betreibt, sammelt und bearbeitet Personendaten der Webseitenbesucher*innen. Daher braucht eine Webseite immer eine Datenschutzerklärung, die darüber Auskunft gibt, welche Personendaten, zu welchem Zweck, wie lange und von wem bearbeitet (z.B. Hostingprovider, Webanalyse, etc.) werden. Darüber hinaus muss die Datenschutzerklärung die Webseitenbesucher*innen auch auf ihre Rechte hinweisen (z.B. Auskunftsrechte oder Widerruf einer allfälligen Einwilligung).
Beachten Sie hierzu, dass für die jeweilige Webseite u.U. auch spezifische Nutzungsbestimmungen zu erstellen sind.
Das Team der Datenschutzbeauftragten unterstützt Sie bei der Ausarbeitung und Überprüfung entsprechender Dokumente; kontaktieren Sie uns per E-Mail: datenschutz@unibas.ch.
Für Formulare
Neben den automatisierten Daten (Logfiles), welche von jeder Webseite erhoben werden, können weitere personenbezogene Daten mittels Webformularen wie Kontakt- oder Anmeldeformulare für Newsletter oder Events erhoben werden. Wenn Sie solche Webformulare – auch nur temporär – verwenden, benötigen Sie dafür einen zusätzlichen Datenschutz-Hinweis. Beachten Sie hierzu das zum Download zur Verfügung stehende Merkblatt.
Bei weiteren Fragen erreichen Sie das Team der Datenschutzbeauftragten jederzeit per E-Mail: datenschutz@unibas.ch.
Für Webseiten
Wer eine Webseite betreibt, sammelt und bearbeitet Personendaten der Webseitenbesucher*innen. Daher braucht eine Webseite immer eine Datenschutzerklärung, die darüber Auskunft gibt, welche Personendaten, zu welchem Zweck, wie lange und von wem bearbeitet (z.B. Hostingprovider, Webanalyse, etc.) werden. Darüber hinaus muss die Datenschutzerklärung die Webseitenbesucher*innen auch auf ihre Rechte hinweisen (z.B. Auskunftsrechte oder Widerruf einer allfälligen Einwilligung).
Beachten Sie hierzu, dass für die jeweilige Webseite u.U. auch spezifische Nutzungsbestimmungen zu erstellen sind.
Das Team der Datenschutzbeauftragten unterstützt Sie bei der Ausarbeitung und Überprüfung entsprechender Dokumente; kontaktieren Sie uns per E-Mail: datenschutz@unibas.ch.
Für Formulare
Neben den automatisierten Daten (Logfiles), welche von jeder Webseite erhoben werden, können weitere personenbezogene Daten mittels Webformularen wie Kontakt- oder Anmeldeformulare für Newsletter oder Events erhoben werden. Wenn Sie solche Webformulare – auch nur temporär – verwenden, benötigen Sie dafür einen zusätzlichen Datenschutz-Hinweis. Beachten Sie hierzu das zum Download zur Verfügung stehende Merkblatt.
Bei weiteren Fragen erreichen Sie das Team der Datenschutzbeauftragten jederzeit per E-Mail: datenschutz@unibas.ch.
Links & Downloads
