Personenbezogene Daten

Dieses Kapitel gibt einen ersten Überblick, was bei der Verarbeitung personenbezogener Daten nach DSGVO zu beachten ist und wann ein Auftragsverarbeitungsvertrag (AVV) erforderlich ist.

Für die Verarbeitung personenbezogener Daten gilt die EU-Datenschutzgrundverordnung (EU-DSGVO oder kurz DSGVO), welche in Deutschland stellenweise noch durch das Bundesdatenschutzgesetz (BDSG neu) konkretisiert wird. Personenbezogene Daten unterliegen damit einem besonderen Schutz – und deren Verarbeitung ist mit einer Reihe von Auflagen und Pflichten verbunden.

Die DSGVO definiert personenbezogene Daten wie folgt:

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Ob die in einer Onlinebefragung erhobenen Daten personenbezogen sind, lässt sich nicht pauschal sagen. Aber wenn man die Grundgesamtheit der Befragten und die vorliegenden Informationen in Relation setzt, lässt sich die Frage meist klar beantworten:

• Wenn man die Teilnehmer mit personalisierten Links oder Teilnahmecodes einlädt und die Zuordnung von Adressen zu Datensätzen klar erkennbar ist, dann hat man es sicherlich mit personenbezogenen Daten zu tun.
• Wenn aus den Daten (zumindest für einige Datensätze) eindeutig hervorgeht, um welche Person es sich handelt, hat man es mit personenbezogenen Daten zu tun, z.B.
  • wenn nur ein kleiner Kreis von Personen (z.B. Mitarbeiter eines Unternehmens) befragt wird und anhand der Angaben (z.B. Abteilung, Geschlecht und Alter) einzelne Personen identifiziert werden können.
  • wenn in offenen Textantworten Namen oder E-Mail-Adressen genannt werden.
• Wenn man einen sehr großen (z.B. alle deutschsprachigen Facebook-User) oder sehr homogenen (z.B. alle Studierenden eines Studiengangs) potenziellen Teilnehmerkreis hat, und keine Namen und E-Mail-Adressen erfragt, dann lassen ist der RÜckschluss auf einzelne Personen in aller Regle nicht möglich. Die meisten wissenschaftlichen Befragungen sind schon aus forschungsethischen Gründen als anonyme Befragungen ausgelegt.

SoSci Survey speichert standardmäßig keine Zusatzinformationen (namentlich IP-Adressen), welche die Zuordnung zu einzelnen Personen erlauben und bietet Möglichkeiten, z.B. auch Kontaktdaten getrennt von den restlichen Daten zu erheben (Datenschutz in der Onlinebefragung). Allerdings haben Projektleiter die Möglichkeit, solche Daten zu sammeln (mit dem Fragetyp „Gerät und übermittelte Variablen“), mit offenen Texteingaben nach Namen zu fragen, und es ist möglich, die Serienmail-Funktion so zu nutzen, dass eine Zuordnung von erhobenen Daten zu Adressdaten möglich ist. In diesen Fällen muss man von personenbezogenen Daten ausgehen.

Adressdaten (z.B. E-Mail-Adressen oder Postadressen) sind fast immer personenbezogen. In SoSci Survey können solche Daten getrennt von den Befragungsdaten gespeichert werden, z.B.

• Als Adressliste für den Versand von Serienmails, wenn der Datenschutz-Modus „anonym“ oder „pseudonym“ gewählt wird.
• Dies eventuell in Verbindung mit dem Fragetyp Opt-In für E-Mail-Verteiler.
• Mit dem Fragetyp Kontaktdaten getrennt erheben, z.B. für Gewinnspiele.

Welche Auflagen und Pflichten genau mit der Verarbeitung personenbezogener Daten einher gehen, kann der eigene Datenschutzbeauftragte beantworten oder die Suchmaschine des Vertrauens. Erfüllt man die Auflagen nicht, können die Aufsichtsbehörden empfindliche Bußgelder verhängen.

Nachfolgend einige wesentliche Punkte:

• Zunächst benötigt man eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Dies kann eine wirksame Einwilligung durch die Betroffenen sein (sehr hilfreich!) aber auch die Erfüllung hoheitlicher Aufgaben im Rahmen wissenschaftlicher Tätigkeit an Hochschulen. Eine Verarbeitung ohne Rechtsgrundlage ist verboten.
• Wenn man personenbezogene Daten durch einen Drittanbieter verarbeiten lässt (z.B. durch die SoSci Survey GmbH), dann ist dafür ein Auftragsverarbeitungsvertrag zwingend erforderlich.
• Man hat Informationspflichten gegenüber den Betroffenen (=Personen, deren Daten man verarbeitet), z.B. muss man diese über die Verwendung der Daten und über ihre Rechte informieren. Weil diese Information für jede Studie anders ist, gibt es dafür keine fertige Standardvorlage in SoSci Survey.
• Man muss durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die personenbezogenen Daten sicher sind und nicht anders genutzt werden, als im Verarbeitungsverfahren vorgesehen (und evtl. von den Betroffenen eingewilligt).
• Sollten die Daten doch einmal an Dritte gelangen oder anders genutzt werden als erlaubt, dann muss die zuständige Aufsichtsbehörde kurzfristig (i.d.R. binnen 72 Stunden) informiert werden.
• Außerdem muss man jederzeit belegen können, dass man die personenbezogenen Daten rechtmäßig verarbeitet. Dazu gehört ein Verfahrensverzeichnis und eine umfangreiche Sammlung an Dokumenten.

Kurzum: Seit Inkrafttreten der DSGVO ist die Verarbeitung personenbezogener Daten nur noch unter Auflagen und mit einem respektablen Verwaltungsaufwand möglich. Daher sollte frühzeitig geklärt werden, ob im Fragebogen tatsächlich personenbezogene Daten erforderlich sind.

Weiterhin ist das erforderliche Schutzniveau für die Daten vom potenziellen Risiko für den Betroffenen abhängig. Wenn man nur E-Mail-Adressen für Einladungsmails verarbeitet, so sind diese Daten viel weniger sensibel (risikobehaftet) als wenn detaillierte Informationen zu Kaufgewohnheiten, politischen Einstellungen oder zur beruflichen Tätigkeit personenbeziehbar vorliegen.