Willkommen im Online-Support von SoSci Survey.

Hier bekommen Sie schnelle und fundierte Antworten von anderen Projektleitern und direkt von SoSci Survey.

→ Eine Frage stellen


Welcome to the SoSci Survey online support.

Simply ask a question to quickly get answers from other professionals, and directly from SoSci Survey.

→ Ask a Question

+1 vote

Hallo,

In unserer Studie haben wir drei Experimentalgruppen und eine Kontrollgruppe. Wir möchten längsschnittlich Daten zu den jeweiligen Bedingungen erheben und haben 3 Messzeitpunkte.
Die Personen werden zu t1 randomisiert bei Aufrufen des Links auf SoSci-Survey einer der Bedingungen zugewiesen. Nun haben wir folgendes datenschutzrechtliches Problem:

Um infolge des Ausfüllens des ersten Fragebogens zu t1 weitere Serienmails zu t2 und t3 verschicken zu können, die zu der jeweilig zugewiesenen Bedingung passen, benötigen wir Adressdaten (E-Mail-Adressen). Diese Adressdaten werden also Messzeitpunkten t1, t2, t3 sowie Bedingungen zugeordnet (eine der drei Experimentalgruppen, oder der Kontrollgruppe).

  1. Reicht es, auf dem dem Standard-Server von SoSci-Survey eine AVV zu vereinbaren und wenn ja, wie sind dann die weiteren Schritte?

  2. Wie läuft das Ganze im Vergleich auf dem Pro-Server von SoSci-Survey ab?
    Ich habe gelesen, dass sich dort Serienmails mit Datenschutzmodus
    „personenbezogen" einstellen lassen. Wie sind da die Schritte?

Über eine Antwort würden wir uns sehr freuen.

Vielen herzlichen Dank.

in SoSci Survey (dt.) by s187401 (115 points)

1 Answer

0 votes

Ich kann hier nur eine juristischen Laien-Meinung mitteilen, für eine verbindliche Auskunft müssen Sie sich bitte an den Datenschutzbeauftragten Ihrer Hochschule werden.

Wenn Sie die Adressdaten (E-Mail-Adressen) in SoSci Survey hochladen, übermitteln Sie personenbezogene Daten an SoSci Survey. Ein AVV ist also auf alle Fälle erforderlich.

Wenn Sie den Datenschutz-Modus pseudonym verwenden, dann speichert SoSci Survey intern die Zuordnung zwischen Adresseinträgen und Interview-Datensätzen. Dies ist technisch erforderlich, damit jeder Datensatz dieselbe Personenkennung bzw. dasselbe Pseudonym (SERIAL) erhalten kann und Sie am Ende die Datensätze einander zuordnen können.

Im Datenschutz-Modus pseudonym tritt SoSci Survey als Treuhänder auf und verwahrt diese Zuordnung zwischen Adressen und Datensätzen für Sie, gibt diese aber nicht heraus. Das bedeutet, Sie können mit anonymen Datensätzen arbeiten.

Die DSGVO und die zugehörige Rechtsprechung behandelt pseudonyme Daten aber ähnlich (nicht ganz gleich) wie personenbezogene Daten. Das bedeutet, Sie müssen z.B: denselben Informationspflichten nachkommen wie bei personenbezogenen Daten und auch sicherstellen, dass Sie eine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten haben.

Was die Wahl des Servers angeht: Nur der Pro-Server s2survey.net wurde explizit für die Verarbeitung personenbezogener Daten eingerichtet. Dort werden Sicherheitskopien bereits nach 1 Monat gelöscht, auf www.soscisurvey.de erst nach 12 Monaten (was leider mehrfach pro Jahr auch benötigt wird, weil Projektleiter:innen ihre Daten löschen oder vor der Archivierung nicht herunterladen). Dies dürfte mit den Betroffenenrechten nach DSGVO, insbesondere mit dem Recht auf Datenlöschung nicht vereinbar sein.

Was auch auf www.soscisurvey.de nach 1 Monat gelöscht wid, sind die Sicherheitskopien von Adressdaten und getrennt erhobenen Kontaktdaten. Das bedeutet - wir sprechen hier von dem Fall, dass Sie einen Fall aus Ihrem Datensatz aufgrund der Betroffenenrechte gelöscht haben - dass diese Daten anonym und auch über die Sicherheitskopien nicht mehr personenbeziehbar sind, selbst wenn die Daten selbst noch nicht aus den Sicherheitskopien gelöscht wurden.

Dennoch sehen manche Datenschutzbeauftragte es als kritisch, ob dies nun dem Sinn der DSGVO entspricht oder nicht. Aus diesem Grunde vereinbaren wir einen AVV, welcher über die Verarbeitung von Adressdaten hinausgeht, nur für den Pro-Server s2survey.net.

Wenn Sie also die pseudonymen Daten, welche Sie in Ihrer Befragung erheben als personenbezogene Daten im Sinne der DSGVO betrachten (was die DSGVO nahelegt), dann müssten Sie auch für diese Datenkategorien einen AVV vereinbaren, und dann bräuchten Sie den "großen" AVV, den Sie nur für den Pro-Server vereinbaren können.

Aber Sie sehen, die Konstellation mit pseudonymen Daten und Sicherheitskopien ist ein wenig komplizierter. Deshalb muss ich nochmal auf den Datenschutzbeauftragten Ihrer Einrichtung verweisen, um das korrekte vorgehen mit diesem zu klären.

by SoSci Survey (194k points)
...