Datenschutz

Der Datenschutz unter Beachtung der sich weiter­entwickelnden gesetzlichen Regelungen beginnt bei Synthesis Forschung bereits zum Zeitpunkt der Übernahme von Daten. Synthesis Forschung vergewissert sich, ob die daten­über­gebende Stelle das Recht besitzt, die Daten zu erheben, zu speichern und in einem Analysekontext weiterzu­geben. Eine solche Berechtigung mag direkt auf ausdrücklicher gesetzlicher Ermächtigung (wie etwa im Fall des Arbeitsmarkt­service oder der Statistik Austria) oder auf Einhaltung der einschlägigen Melde- und Genehmigungs­pflichten beruhen.

 

Im zweiten Schritt geht es darum, in den für eine Übergabe an Synthesis Forschung in Betracht gezogenen Daten zwei Typen von Datenfeldern von­einander zu trennen:

  • Datenfelder, die der Identifikation natürlicher/juristischer Personen dienen;
  • Datenfelder, die Informationen über natürliche/juristische Personen enthalten.

Die Datenfelder, die der Identifikation dienen, werden durch Anonym­nummern der datenübergebenden Einrichtung ersetzt. Die Konkordanzliste zwischen der Anonymnummer und den ursprünglichen Identifikatoren verbleibt bei einer »dritten« Einrichtung, dem funktionellen »Datentreu­händer«. Dieser Treuhänder hat sich verpflichtet, keine rückwirkende Identifikation durch Synthesis Forschung zuzulassen. Synthesis Forschung geht noch einen Schritt weiter, indem die übergebenen Anonymnummern noch durch Synthesis-Nummern ersetzt werden. Die Konkordanzliste zwischen Anonym­nummer und Synthesis-Nummer wird in einem Medium verwahrt, auf das weder über das externe Netz noch von Synthesis-Mitarbeitern/Mitarbeiter­innen über das interne Netz zugegriffen werden kann (Stichwort: Stand-alone-Server). Schließlich werden in datenschutzrechtlich besonders sensiblen Kontexten sämtliche Konkordanzlisten gelöscht.

 

Im dritten Schritt geht es um die Bearbeitung der in den Datenfeldern erfassten Informationen (nachdem die Identifikationsinformation bereits gelöscht ist). Für diesen dritten Schritt gilt es, folgende drei Ausgangskonstellationen zu unterscheiden:

  • Die Information soll nach Durchführung der Analyse sofort gänzlich gelöscht werden;
  • die Information soll für weitere Analysen vorerst im Auftrag der daten­übergebenden Stelle erhalten bleiben, kann aber durch Bearbeitung transformiert werden;
  • die Information ist so zu bearbeiten, dass statistisch gewonnene Impu­tationen die ursprünglichen Datenfelder weitgehend so überschreiben, dass die nun entstehenden statistischen Repräsentanten keinen natürlichen/ juristischen Personen mehr entsprechen.

Unter der ersten Ausgangslage (»Analyse durchführen, Informationen löschen«) bleibt mit der Ausführung der Analyse kein weiterer datenschutz­relevanter Sachverhalt über die bereits skizzierten Schritte hinausgehend offen.

 

Unter der zweiten Ausgangslage (»doppelt anonymisiert aufbewahren und durch Transformation vor zufälligem Wiedererkennen schützen«) nimmt Synthesis Forschung explizit die Rolle eines EDV-Dienstleisters gegenüber der datenübergebenden Stelle ein; diese Rolle setzt voraus, dass die beauftragende Stelle die Ermächtigung/Genehmigung zur Führung eines einschlägigen Registers besitzt (obwohl die Daten anonymisiert und zahlreiche Informationsfelder überschrieben sind).

 

Die dritte Ausgangsvariante (»statistische Repräsentanten«) erfordert die Auflösung jeglicher Schnittstellen zwischen Identifikator/Anonym­nummer, Anonymnummer/­Synthesis-Nummer, Synthesis-Nummer/­Repräsentanten­nummer. Nur damit ist sichergestellt, dass sich kein systematischer Zusammenhang zwischen den statistischen Repräsentanten und natürlichen/­juristischen Personen herstellen lässt. Dies ist der Regelfall in der Synthesis-Eigenforschung, die mit informationsrobusten Imputationen statt mit personen­spezifisch erfassten Datenfeldern arbeitet.

 

Im Regelfall bestimmen schriftliche Verträge mit den datenübermittelnden Einrichtungen von welchen der drei Varianten von Synthesis Forschung aus­zugehen hat; dies gilt insbesondere für den häufigen Fall einer »Dienstleister­vereinbarung« gem. §10 DSG 2000.