Aus Sicht des Datenschutzes ist es nicht ganz unerheblich, wo die Entblindungsliste liegt.
Wenn diese (zusammen mit den Daten) auf dem Befragungsserver liegt, hätte ein:e Angreifer:in im Fall eines erfolgreichen (virtuellen) Einbruchs Zugriff auf personenbezogene Daten.
Wenn die Entblindungsliste auf einem anderen System liegt, würde die Pseudonymisierung auch im Fall eines erfolgreichens Einbruchs gesichert. Zugleich erfordert diese Trennung aber zusätzliche Organisation und Koordination - und sie bedeutet, dass man entweder eine Dritte Person benötigt, welche die Pseudoynme treuhänderisch verwaltet oder dass die Forscher:in im Prinzip jederzeit Datensätze entblinden kann.
Wir haben also drei Rollen: Technischer Betrieb (SoSci), Forscher:in und Treuhänder:in (und natürlich die Befragten) - und je nach Projekt und Anforderungen muss man überlegen, wer diese Rollen übernimmt. Und entsprechend müssen dann mehr oder weniger Daten koordiniert werden.
Weil beim Versand der Links zu weiteren Fragebögen ist das Vorgehen bei beiden Möglichkeiten doch an sich dasselbe?
Wesentlich ist der Unterschied, wer die Links verschickt. Denn diese Person muss im Besitz der Entblindungsliste sein.