Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste ÜberarbeitungBeide Seiten der Revision | |||
de:general:dsgvo [17.04.2019 09:22] – angelegt admin | de:general:dsgvo [17.04.2019 09:39] – admin | ||
---|---|---|---|
Zeile 16: | Zeile 16: | ||
* Wenn man die Teilnehmer mit personalisierten Links oder Teilnahmecodes einlädt und die Zuordnung von Adressen zu Datensätzen klar erkennbar ist, dann hat man es sicherlich mit personenbezogenen Daten zu tun. | * Wenn man die Teilnehmer mit personalisierten Links oder Teilnahmecodes einlädt und die Zuordnung von Adressen zu Datensätzen klar erkennbar ist, dann hat man es sicherlich mit personenbezogenen Daten zu tun. | ||
* Wenn aus den Daten (zumindest für einige Datensätze) eindeutig hervorgeht, um welche Person es sich handelt, hat man es mit personenbezogenen Daten zu tun, z.B. | * Wenn aus den Daten (zumindest für einige Datensätze) eindeutig hervorgeht, um welche Person es sich handelt, hat man es mit personenbezogenen Daten zu tun, z.B. | ||
- | * ... wenn nur ein kleiner Kreis von Personen (z.B. Mitarbeiter eines Unternehmens) befragt wird und anhand der Angaben (z.B. Abteilung, Geschlecht und Alter) einzelne Personen identifiziert werden können. | + | * wenn nur ein kleiner Kreis von Personen (z.B. Mitarbeiter eines Unternehmens) befragt wird und anhand der Angaben (z.B. Abteilung, Geschlecht und Alter) einzelne Personen identifiziert werden können. |
- | * ... wenn in offenen Textantworten Namen oder E-Mail-Adressen genannt werden. | + | * wenn in offenen Textantworten Namen oder E-Mail-Adressen genannt werden. |
* Wenn man einen sehr großen (z.B. alle deutschsprachigen Facebook-User) oder sehr homogenen (z.B. alle Studierenden eines Studiengangs) potenziellen Teilnehmerkreis hat, und keine Namen und E-Mail-Adressen erfragt, dann lassen ist der RÜckschluss auf einzelne Personen in aller Regle nicht möglich. Die meisten wissenschaftlichen Befragungen sind schon aus forschungsethischen Gründen als anonyme Befragungen ausgelegt. | * Wenn man einen sehr großen (z.B. alle deutschsprachigen Facebook-User) oder sehr homogenen (z.B. alle Studierenden eines Studiengangs) potenziellen Teilnehmerkreis hat, und keine Namen und E-Mail-Adressen erfragt, dann lassen ist der RÜckschluss auf einzelne Personen in aller Regle nicht möglich. Die meisten wissenschaftlichen Befragungen sind schon aus forschungsethischen Gründen als anonyme Befragungen ausgelegt. | ||
SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), | SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), | ||
+ | |||
+ | |||
+ | ===== Was ist mit Adressdaten? | ||
+ | |||
+ | Adressdaten (z.B. E-Mail-Adressen oder Postadressen) sind fast immer personenbezogen. In SoSci Survey können solche Daten getrennt von den Befragungsdaten gespeichert werden, z.B. | ||
+ | |||
+ | * Als Adressliste für den [[: | ||
+ | * Dies eventuell in Verbindung mit dem Fragetyp [[: | ||
+ | * Mit dem Fragetyp [[: | ||
+ | |||
+ | |||
+ | ===== Auflagen und Pflichten ===== | ||
+ | |||
+ | Welche Auflagen und Pflichten genau mit der Verarbeitung personenbezogener Daten einher gehen, kann der eigene Datenschutzbeauftragte beantworten oder die Suchmaschine des Vertrauens. Erfüllt man die Auflagen nicht, können die Aufsichtsbehörden empfindliche Bußgelder verhängen. | ||
+ | |||
+ | Nachfolgend einige wesentliche Punkte: | ||
+ | |||
+ | * Zunächst benötigt man eine **Rechtsgrundlage** für die Verarbeitung personenbezogener Daten. Dies kann eine wirksame Einwilligung durch die Betroffenen sein (sehr hilfreich!) aber auch die Erfüllung hoheitlicher Aufgaben im Rahmen wissenschaftlicher Tätigkeit an Hochschulen. Eine Verarbeitung ohne Rechtsgrundlage ist verboten. | ||
+ | * Wenn man personenbezogene Daten durch einen Drittanbieter verarbeiten lässt (z.B. durch die SoSci Survey GmbH), dann ist dafür ein **Auftragsverarbeitungsvertrag** zwingend erforderlich. | ||
+ | * Man hat Informationspflichten gegenüber den Betroffenen (=Personen, deren Daten man verarbeitet), | ||
+ | * Man muss durch geeignete technische und organisatorische Maßnahmen sicherstellen, | ||
+ | * Sollten die Daten doch einmal an Dritte gelangen oder anders genutzt werden als erlaubt, dann muss die zuständige Aufsichtsbehörde kurzfristig (i.d.R. binnen 72 Stunden) informiert werden. | ||
+ | * Außerdem muss man jederzeit belegen können, dass man die personenbezogenen Daten rechtmäßig verarbeitet. Dazu gehört ein Verfahrensverzeichnis und eine umfangreiche Sammlung an Dokumenten. | ||
+ | |||
+ | Kurzum: Seit Inkrafttreten der DSGVO ist die Verarbeitung personenbezogener Daten nur noch unter Auflagen und mit einem respektablen Verwaltungsaufwand möglich. Daher sollte frühzeitig geklärt werden, ob im Fragebogen tatsächlich personenbezogene Daten erforderlich sind. | ||
+ | |||
+ | Weiterhin ist das erforderliche Schutzniveau für die Daten vom potenziellen Risiko für den Betroffenen abhängig. Wenn man nur E-Mail-Adressen für Einladungsmails verarbeitet, |