Übersetzungen dieser Seite:
 

Personenbezogene Daten

Dieses Kapitel gibt einen ersten Überblick, was bei der Verarbeitung personenbezogener Daten nach DSGVO zu beachten ist und wann ein Auftragsverarbeitungsvertrag (AVV) erforderlich ist.

Für die Verarbeitung personenbezogener Daten gilt die EU-Datenschutzgrundverordnung (EU-DSGVO oder kurz DSGVO), welche in Deutschland stellenweise noch durch das Bundesdatenschutzgesetz (BDSG neu) konkretisiert wird. Personenbezogene Daten unterliegen damit einem besonderen Schutz – und deren Verarbeitung ist mit einer Reihe von Auflagen und Pflichten verbunden.

Wichtig: Die Bußgelder und Pflichten nach DSGVO gelten auch für Privatpersonen, Studierende und Wissenschaftler (z.B. Erhebung von Daten im Rahmen einer wissenschaftlichen Studie oder Abschlussarbeit).

Sind die Daten meiner Befragung personenbezogen?

Die DSGVO definiert personenbezogene Daten wie folgt:

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Ob die in einer Onlinebefragung erhobenen Daten personenbezogen sind, lässt sich nicht pauschal sagen. Aber wenn man die Grundgesamtheit der Befragten und die vorliegenden Informationen in Relation setzt, lässt sich die Frage meist klar beantworten:

  • Wenn man die Teilnehmer mit personalisierten Links oder Teilnahmecodes einlädt und die Zuordnung von Adressen zu Datensätzen klar erkennbar ist, dann hat man es sicherlich mit personenbezogenen Daten zu tun.
  • Wenn aus den Daten (zumindest für einige Datensätze) eindeutig hervorgeht, um welche Person es sich handelt, hat man es mit personenbezogenen Daten zu tun, z.B.
    • wenn nur ein kleiner Kreis von Personen (z.B. Mitarbeiter eines Unternehmens) befragt wird und anhand der Angaben (z.B. Abteilung, Geschlecht und Alter) einzelne Personen identifiziert werden können.
    • wenn in offenen Textantworten Namen oder E-Mail-Adressen genannt werden.
  • Wenn man einen sehr großen (z.B. alle deutschsprachigen Facebook-User) oder sehr homogenen (z.B. alle Studierenden eines Studiengangs) potenziellen Teilnehmerkreis hat, und keine Namen und E-Mail-Adressen erfragt, dann lassen ist der RÜckschluss auf einzelne Personen in aller Regle nicht möglich. Die meisten wissenschaftlichen Befragungen sind schon aus forschungsethischen Gründen als anonyme Befragungen ausgelegt.

SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), welche die Zuordnung zu einzelnen Personen erlauben und bietet Möglichkeiten, z.B. auch Kontaktdaten getrennt von den restlichen Daten zu erheben (Datenschutz in der Onlinebefragung). Allerdings haben Projektleiter die Möglichkeit, solche Daten zu sammeln (mit dem Fragetyp „Gerät und übermittelte Variablen“), mit offenen Texteingaben nach Namen zu fragen, und es ist möglich, die Serienmail-Funktion so zu nutzen, dass eine Zuordnung von erhobenen Daten zu Adressdaten möglich ist. In diesen Fällen muss man von personenbezogenen Daten ausgehen.

Was ist mit Adressdaten?

Adressdaten (z.B. E-Mail-Adressen oder Postadressen) sind fast immer personenbezogen. In SoSci Survey können solche Daten getrennt von den Befragungsdaten gespeichert werden, z.B.

Auflagen und Pflichten

Welche Auflagen und Pflichten genau mit der Verarbeitung personenbezogener Daten einher gehen, kann der eigene Datenschutzbeauftragte beantworten oder die Suchmaschine des Vertrauens. Erfüllt man die Auflagen nicht, können die Aufsichtsbehörden empfindliche Bußgelder verhängen.

Nachfolgend einige wesentliche Punkte:

  • Zunächst benötigt man eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Dies kann eine wirksame Einwilligung durch die Betroffenen sein (sehr hilfreich!) aber auch die Erfüllung hoheitlicher Aufgaben im Rahmen wissenschaftlicher Tätigkeit an Hochschulen. Eine Verarbeitung ohne Rechtsgrundlage ist verboten.
  • Wenn man personenbezogene Daten durch einen Drittanbieter verarbeiten lässt (z.B. durch die SoSci Survey GmbH), dann ist dafür ein Auftragsverarbeitungsvertrag zwingend erforderlich.
  • Man hat Informationspflichten gegenüber den Betroffenen (=Personen, deren Daten man verarbeitet), z.B. muss man diese über die Verwendung der Daten und über ihre Rechte informieren. Weil diese Information für jede Studie anders ist, gibt es dafür keine fertige Standardvorlage in SoSci Survey.
  • Man muss durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die personenbezogenen Daten sicher sind und nicht anders genutzt werden, als im Verarbeitungsverfahren vorgesehen (und evtl. von den Betroffenen eingewilligt).
  • Sollten die Daten doch einmal an Dritte gelangen oder anders genutzt werden als erlaubt, dann muss die zuständige Aufsichtsbehörde kurzfristig (i.d.R. binnen 72 Stunden) informiert werden.
  • Außerdem muss man jederzeit belegen können, dass man die personenbezogenen Daten rechtmäßig verarbeitet. Dazu gehört ein Verfahrensverzeichnis und eine umfangreiche Sammlung an Dokumenten.

Kurzum: Seit Inkrafttreten der DSGVO ist die Verarbeitung personenbezogener Daten nur noch unter Auflagen und mit einem respektablen Verwaltungsaufwand möglich. Daher sollte frühzeitig geklärt werden, ob im Fragebogen tatsächlich personenbezogene Daten erforderlich sind.

Weiterhin ist das erforderliche Schutzniveau für die Daten vom potenziellen Risiko für den Betroffenen abhängig. Wenn man nur E-Mail-Adressen für Einladungsmails verarbeitet, so sind diese Daten viel weniger sensibel (risikobehaftet) als wenn detaillierte Informationen zu Kaufgewohnheiten, politischen Einstellungen oder zur beruflichen Tätigkeit personenbeziehbar vorliegen.

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag zwischen der für die Verarbeitung verantwortlichen Partei (Ihnen) und der SoSci Survey GmbH ist erforderlich, …

  • wenn personenbezogene Daten verarbeitet werden und
  • wenn dies nicht auf dem eigenen Befragungsserver erfolgt (Lizenz für den eigenen Befragungsserver), sondern (b) auf einem Server der SoSci Survey GmbH.

Die SoSci Survey GmbH betreibt zwei unterschiedliche Befragungsserver: Den Standard-Server www.soscisurvey.de und den Pro-Server s2survey.net (Befragungsserver im Vergleich).

  • Der Standard-Server www.soscisurvey.de ist nur dafür ausgelegt, personenbezogene Adressdaten (Adressliste für Serienmails und getrennt erhobene Kontaktdaten) zu verarbeiten. Auf diesem Server dürfen keine personenbezogenen Daten im Fragebogen erhoben werden.
  • Der Pro-Server s2survey.net ist für die Erhebung und Verarbeitung personenbezogener Daten ausgelegt. Hier können auch personenbezogene Daten im Fragebogen erfragt oder verarbeitet werden (z.B. Serienmails mit Datenschutzmodus „personenbezogen“).

Verarbeitung von Adressdaten

Wenn Sie lediglich Adressdaten (Adressliste für Serienmails, getrennt erhobene Kontaktdaten) erheben, dann können Sie einen AVV mit der SoSci Survey GmbH elektronisch vereinbaren unter BefragungsprojektProjekt-Einstellungen → Karteireiter DatenschutzDSGVOAVV online vereinbaren.

Der elektronische AVV wird durch einen Klick vereinbart und ist unmittelbar gültig. Der AVV sowie die technischen und organisatorischen Maßnahmen (TOM) können unter dem oben genannten Menüpunkt auch jederzeit heruntergeladen werden.

Damit der AVV nicht übersehen wird, kann die Serienmail-Funktion erst nach Vereinbarung eines AVV genutzt werden.

Wichtig: Die Vereinbarung eines AVV ist nur eine von mehreren Auflagen. Die anderen Pflichten nach DSGVO müssen unabhängig davon erfüllt werden.

Erhebung von personenbezogenen Daten in der Befragung

Wenn im Rahmen der Befragung personenbezogene Daten erhoben werden, ist dies ausschließlich auf dem kostenpflichtigen Pro-Server s2survey.net möglich. Aktuell berechnet die SoSci Survey GmbH für die Vereinbarung eines AVV keine zusätzlichen Kosten.

Da es sich hierbei oftmals um Daten handelt, von denen ein mittleres oder hohes Risiko für die Betroffenen ausgeht, vereinbart die SoSci Survey GmbH einen AVV in diesem Fall in Schriftform. Das Vorgehen ist wie folgt:

  • Sie rufen unser Portal für AVVs auf und laden dort die AVV-Vertragsvorlage von SoSci Survey sowie die technischen und organisatorischen Maßnahmen (TOM) herunter. Die allgemeinen Geschäftsbedingungen (der zur Datenverarbeitung gehörende „Hauptvertrag“) sind jederzeit über die SoSci Survey Homepage einsehbar.
  • Sie bzw. Ihr/e Datenschutzbeauftragte/r (DSB) prüfen die Vertragsvorlage und TOM. Die Dokumente wurden in Abstimmung mit zahlreichen Datenschutzbeauftragten optimiert, sodass weitere Änderungen nur in sehr gut begründeten Ausnahmefällen und auch nur kostenpflichtig vorgenommen werden können. Im Allgemeinen schließen wir einen AVV nur auf Basis unserer Vertragsvorlage ab. Andere Verträge können wir ausschließlich nach juristischer Prüfung und Freigabe unterzeichnen. Die dafür anfallenden Kosten (ca. 2.500 bis 5.000 €, je nach Umfang und zu klärenden Fragen) trägt der Auftraggeber. Sofern der Vertrag der SoSci Survey GmbH weitere Pflichten aufbürdet als in unserer AVV-Vorlage vorgesehen, fallen je nach Risiko erhöhte Nutzungsentgelte an.
  • Wenn Sie SoSci Survey auf Basis der vorgenannten Dokumente nutzen möchten, füllen Sie das Formular im Portal für AVVs aus. Bitte stellen Sie sicher, dass alle Informationen vollständig vorliegen. Wichtig: Tragen Sie als spätestes Ende der Verarbeitung nicht das Ende der Erhebung ein, sondern den Zeitpunkt, wann die Daten vom Befragungsserver gelöscht werden sollen.
  • Falls Sie noch keine Kundennummer haben (ersichtlich im SoSci Survey Benutzerkonto), kaufen Sie bitte im SoSci Survey Shop zunächst eine Nutzungslizenz für den Pro-Server. Dadurch erhalten Sie automatisch eine Kundennummer.
  • Nach Übermittlung der Informationen zum AVV erstellen wir die Dokumente uns senden Ihnen diese postalisch in doppelter Ausfertigung zu. Dies kann bis zu 7 Tage in Anspruch nehmen.
  • Nach Gegenzeichnung der Verträge senden Sie eine Kopie an die SoSci Survey GmbH zurück. Anschließend kann die Datenverarbeitung beginnen.

Falls Sie einen AVV in Schriftform vereinbaren, ist diese nicht automatisch in allen Befragungsprojekten hinterlegt – oftmals bezieht er sich ja nur ein eines oder eine Reihe von Befragungsprojekten. Deshalb wird SoSci Survey beim Aufruf der Serienmail-Funktion weiterhin nach einem AVV verlangen. Bitte senden Sie in diesem Fall eine kurze E-Mail an info@soscisurvey.de und teilen Sie mit, für welches Befragungsprojekt der bestehende AVV eingetragen werden soll.

de/general/dsgvo.txt · Zuletzt geändert: 14.09.2019 12:09 von admin
 
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
Driven by DokuWiki