Dies ist eine alte Version des Dokuments!
Dieses Kapitel gibt einen ersten Überblick, was bei der Verarbeitung personenbezogener Daten nach DSGVO zu beachten ist und wann ein Auftragsverarbeitungsvertrag (AVV) erforderlich ist.
Für die Verarbeitung personenbezogener Daten gilt die EU-Datenschutzgrundverordnung (EU-DSGVO oder kurz DSGVO), welche in Deutschland stellenweise noch durch das Bundesdatenschutzgesetz (BDSG neu) konkretisiert wird. Personenbezogene Daten unterliegen damit einem besonderen Schutz – und deren Verarbeitung ist mit einer Reihe von Auflagen und Pflichten verbunden.
Die DSGVO definiert personenbezogene Daten wie folgt:
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Ob die in einer Onlinebefragung erhobenen Daten personenbezogen sind, lässt sich nicht pauschal sagen. Aber wenn man die Grundgesamtheit der Befragten und die vorliegenden Informationen in Relation setzt, lässt sich die Frage meist klar beantworten:
SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), welche die Zuordnung zu einzelnen Personen erlauben und bietet Möglichkeiten, z.B. auch Kontaktdaten getrennt von den restlichen Daten zu erheben (Datenschutz in der Onlinebefragung). Allerdings haben Projektleiter die Möglichkeit, solche Daten zu sammeln (mit dem Fragetyp „Gerät und übermittelte Variablen“), mit offenen Texteingaben nach Namen zu fragen, und es ist möglich, die Serienmail-Funktion so zu nutzen, dass eine Zuordnung von erhobenen Daten zu Adressdaten möglich ist. In diesen Fällen muss man von personenbezogenen Daten ausgehen.
Adressdaten (z.B. E-Mail-Adressen oder Postadressen) sind fast immer personenbezogen. In SoSci Survey können solche Daten getrennt von den Befragungsdaten gespeichert werden, z.B.
Welche Auflagen und Pflichten genau mit der Verarbeitung personenbezogener Daten einher gehen, kann der eigene Datenschutzbeauftragte beantworten oder die Suchmaschine des Vertrauens. Erfüllt man die Auflagen nicht, können die Aufsichtsbehörden empfindliche Bußgelder verhängen.
Nachfolgend einige wesentliche Punkte:
Kurzum: Seit Inkrafttreten der DSGVO ist die Verarbeitung personenbezogener Daten nur noch unter Auflagen und mit einem respektablen Verwaltungsaufwand möglich. Daher sollte frühzeitig geklärt werden, ob im Fragebogen tatsächlich personenbezogene Daten erforderlich sind.
Weiterhin ist das erforderliche Schutzniveau für die Daten vom potenziellen Risiko für den Betroffenen abhängig. Wenn man nur E-Mail-Adressen für Einladungsmails verarbeitet, so sind diese Daten viel weniger sensibel (risikobehaftet) als wenn detaillierte Informationen zu Kaufgewohnheiten, politischen Einstellungen oder zur beruflichen Tätigkeit personenbeziehbar vorliegen.