[[Personenbezogene Daten]]
Sie befinden sich hier: start » Übersicht » Allgemeine technische Informationen » Personenbezogene Daten
 
Zuletzt angesehen:

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste ÜberarbeitungBeide Seiten der Revision
de:general:dsgvo [17.04.2019 09:22] – angelegt adminde:general:dsgvo [17.04.2019 09:39] admin
Zeile 16: Zeile 16:
   * Wenn man die Teilnehmer mit personalisierten Links oder Teilnahmecodes einlädt und die Zuordnung von Adressen zu Datensätzen klar erkennbar ist, dann hat man es sicherlich mit personenbezogenen Daten zu tun.   * Wenn man die Teilnehmer mit personalisierten Links oder Teilnahmecodes einlädt und die Zuordnung von Adressen zu Datensätzen klar erkennbar ist, dann hat man es sicherlich mit personenbezogenen Daten zu tun.
   * Wenn aus den Daten (zumindest für einige Datensätze) eindeutig hervorgeht, um welche Person es sich handelt, hat man es mit personenbezogenen Daten zu tun, z.B.   * Wenn aus den Daten (zumindest für einige Datensätze) eindeutig hervorgeht, um welche Person es sich handelt, hat man es mit personenbezogenen Daten zu tun, z.B.
-    * ... wenn nur ein kleiner Kreis von Personen (z.B. Mitarbeiter eines Unternehmens) befragt wird und anhand der Angaben (z.B. Abteilung, Geschlecht und Alter) einzelne Personen identifiziert werden können. +    * wenn nur ein kleiner Kreis von Personen (z.B. Mitarbeiter eines Unternehmens) befragt wird und anhand der Angaben (z.B. Abteilung, Geschlecht und Alter) einzelne Personen identifiziert werden können. 
-    * ... wenn in offenen Textantworten Namen oder E-Mail-Adressen genannt werden.+    * wenn in offenen Textantworten Namen oder E-Mail-Adressen genannt werden.
   * Wenn man einen sehr großen (z.B. alle deutschsprachigen Facebook-User) oder sehr homogenen (z.B. alle Studierenden eines Studiengangs) potenziellen Teilnehmerkreis hat, und keine Namen und E-Mail-Adressen erfragt, dann lassen ist der RÜckschluss auf einzelne Personen in aller Regle nicht möglich. Die meisten wissenschaftlichen Befragungen sind schon aus forschungsethischen Gründen als anonyme Befragungen ausgelegt.   * Wenn man einen sehr großen (z.B. alle deutschsprachigen Facebook-User) oder sehr homogenen (z.B. alle Studierenden eines Studiengangs) potenziellen Teilnehmerkreis hat, und keine Namen und E-Mail-Adressen erfragt, dann lassen ist der RÜckschluss auf einzelne Personen in aller Regle nicht möglich. Die meisten wissenschaftlichen Befragungen sind schon aus forschungsethischen Gründen als anonyme Befragungen ausgelegt.
  
 SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), welche die Zuordnung zu einzelnen Personen erlauben und bietet Möglichkeiten, z.B. auch Kontaktdaten getrennt von den restlichen Daten zu erheben ([[:de:general:privacy]]). Allerdings haben Projektleiter die Möglichkeit, solche Daten zu sammeln (mit dem Fragetyp "Gerät und übermittelte Variablen"), mit offenen Texteingaben nach Namen zu fragen, und es ist möglich, die [[:de:survey:mailing|Serienmail-Funktion]] so zu nutzen, dass eine Zuordnung von erhobenen Daten zu Adressdaten möglich ist. In diesen Fällen muss man von personenbezogenen Daten ausgehen. SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), welche die Zuordnung zu einzelnen Personen erlauben und bietet Möglichkeiten, z.B. auch Kontaktdaten getrennt von den restlichen Daten zu erheben ([[:de:general:privacy]]). Allerdings haben Projektleiter die Möglichkeit, solche Daten zu sammeln (mit dem Fragetyp "Gerät und übermittelte Variablen"), mit offenen Texteingaben nach Namen zu fragen, und es ist möglich, die [[:de:survey:mailing|Serienmail-Funktion]] so zu nutzen, dass eine Zuordnung von erhobenen Daten zu Adressdaten möglich ist. In diesen Fällen muss man von personenbezogenen Daten ausgehen.
 +
 +
 +===== Was ist mit Adressdaten? =====
 +
 +Adressdaten (z.B. E-Mail-Adressen oder Postadressen) sind fast immer personenbezogen. In SoSci Survey können solche Daten getrennt von den Befragungsdaten gespeichert werden, z.B.
 +
 +  * Als Adressliste für den [[:de:survey:mailing|Versand von Serienmails]], wenn der [[:de:survey:mailing#datenschutz-modus|Datenschutz-Modus]] "anonym" oder "pseudonym" gewählt wird.
 +  * Dies eventuell in Verbindung mit dem Fragetyp [[:de:create:questions:opt-in]].
 +  * Mit dem Fragetyp [[:de:create:questions:contact]], z.B. für Gewinnspiele.
 +
 +
 +===== Auflagen und Pflichten =====
 +
 +Welche Auflagen und Pflichten genau mit der Verarbeitung personenbezogener Daten einher gehen, kann der eigene Datenschutzbeauftragte beantworten oder die Suchmaschine des Vertrauens. Erfüllt man die Auflagen nicht, können die Aufsichtsbehörden empfindliche Bußgelder verhängen.
 +
 +Nachfolgend einige wesentliche Punkte:
 +
 +  * Zunächst benötigt man eine **Rechtsgrundlage** für die Verarbeitung personenbezogener Daten. Dies kann eine wirksame Einwilligung durch die Betroffenen sein (sehr hilfreich!) aber auch die Erfüllung hoheitlicher Aufgaben im Rahmen wissenschaftlicher Tätigkeit an Hochschulen. Eine Verarbeitung ohne Rechtsgrundlage ist verboten.
 +  * Wenn man personenbezogene Daten durch einen Drittanbieter verarbeiten lässt (z.B. durch die SoSci Survey GmbH), dann ist dafür ein **Auftragsverarbeitungsvertrag** zwingend erforderlich.
 +  * Man hat Informationspflichten gegenüber den Betroffenen (=Personen, deren Daten man verarbeitet), z.B. muss man diese über die Verwendung der Daten und über ihre Rechte informieren. Weil diese Information für jede Studie anders ist, gibt es dafür __keine__ fertige Standardvorlage in SoSci Survey.
 +  * Man muss durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die personenbezogenen Daten sicher sind und nicht anders genutzt werden, als im Verarbeitungsverfahren vorgesehen (und evtl. von den Betroffenen eingewilligt).
 +  * Sollten die Daten doch einmal an Dritte gelangen oder anders genutzt werden als erlaubt, dann muss die zuständige Aufsichtsbehörde kurzfristig (i.d.R. binnen 72 Stunden) informiert werden.
 +  * Außerdem muss man jederzeit belegen können, dass man die personenbezogenen Daten rechtmäßig verarbeitet. Dazu gehört ein Verfahrensverzeichnis und eine umfangreiche Sammlung an Dokumenten.
 +
 +Kurzum: Seit Inkrafttreten der DSGVO ist die Verarbeitung personenbezogener Daten nur noch unter Auflagen und mit einem respektablen Verwaltungsaufwand möglich. Daher sollte frühzeitig geklärt werden, ob im Fragebogen tatsächlich personenbezogene Daten erforderlich sind.
 +
 +Weiterhin ist das erforderliche Schutzniveau für die Daten vom potenziellen Risiko für den Betroffenen abhängig. Wenn man nur E-Mail-Adressen für Einladungsmails verarbeitet, so sind diese Daten viel weniger sensibel (risikobehaftet) als wenn detaillierte Informationen zu Kaufgewohnheiten, politischen Einstellungen oder zur beruflichen Tätigkeit personenbeziehbar vorliegen.
de/general/dsgvo.txt · Zuletzt geändert: 09.07.2023 18:08 von admin
 
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
Driven by DokuWiki