Unklarheit in Bezug auf Voraussetzungen und Personenbezogenheit

Question

Guten Tag,

ich habe eine Frage in Bezug auf die kostenlose Version Ihrer Plattform im Rahmen meiner Thesis an einer Universität. Den AVV Ihres kostenlosen Servers bin ich mit dem Datenschutzbeauftragten dieser Universität durchgegangen und dieser wäre laut ihm datenschutztechnisch ausreichend für meine geplante Studie (ich habe noch nicht mit der tatsächlichen Erhebung begonnen). Allerdings verwies dieser mich darauf, Sie in Bezug auf die Kosten zu fragen, um mich abzusichern:

Ich erfülle zwar an sich auch alle Voraussetzungen der "Checkliste" für den kostenlosen Server, war mir allerdings beim Punkt, dass ich keine personenbezogenen Daten erheben würde, nicht sicher: denn FÜR MICH ist die individuelle Zuordnung einzelner Datensätze zwar nicht einsehbar, Sie (SoSci Survey) verfügen jedoch über diese Zuordnung - wie zählt das dann? Ist diese Angabe nicht widersprüchlich zum Inhalt des AVV? Ich beschreibe Ihnen dahingehend kurz, was ich alles erheben werde und bitte Sie um Ihre Einschätzung: war es in Ordnung, als Voraussetzung anzugeben "Nein, die individuelle Zuordnung ist ausgeschlossen."?

Die Datensätze werden pseudonymisiert gespeichert. Es werden alle Probanden randomisiert einer von drei Teilgruppen zugeteilt, nicht alle nehmen an allen Abschnitten teil. Die Links zu den nächsten jeweiligen Befragungen werden mit der Serienmail Funktion über SoSci Survey "automatisiert" versendet. Der Versand wird jeweils bei Abschluss des entsprechend vorherigen Fragebogens für den jeweiligen Probanden vorbereitet (nach einem festgelegten Zeitintervall, z.B. 7 Tage nach Abschluss des vorherigen Fragebogens). Das heißt wenn z.B. jemand später an etwas teilnimmt, als er es erhält, erhält er auch den Link zu seiner nächsten Befragung dementsprechend später, usw. In der Studie erhoben werden: Aufklärungsbogen und Erklärung zum Datenschutz, Angabe der E-Mail-Adresse (Fragetyp = Opt-In für E-Mail-Verteiler), Psychologische Fragebögen, sowie demographische Variablen die keine eindeutigen Schlüsse auf einzelne Personen zulassen, ein Selbstreflexionstraining (für 2 Teilgruppen), bei dem imaginäre dargestellte Fallbeispiele von den Versuchspersonen selbst reflektiert werden , wobei sie darauf hingewiesen werden, keine Namen oder anderen Attribute zu nennen, die Rückschlüsse auf sie selbst oder andere Personen zulassen würden, ein Selbstreflexionstagebuch, das die Versuchspersonen sieben Mal zu jeweils einem kürzlichen Ereignis ihres persönlichen Lebens führen, wobei sie darauf hingewiesen werden, keine Namen oder anderen Attribute zu nennen, die Rückschlüsse auf sie selbst oder andere Personen zulassen würden (für 1 Teilgruppe), Kontaktdaten (Fragetyp = getrennte Erhebung von Kontaktdaten), um mir ausgeben zu lassen, welche E-Mail-Adressen Ergebnisse und/oder eine Teilnahmemöglichkeit an einem Gewinnspiel erhalten möchten. Zudem können sich die Versuchspersonen dort einen persönlichen Versuchspersonencode nach gewissen Kriterien erstellen und ich werde eine Liste mit allen Codes erstellen und diese dem Studienbüro aushändigen.

Planmäßig erhalte ich weder durch die Fragebögen, noch durch die Interventionen Daten, die eindeutige Rückschlüsse auf einzelne Personen zulassen und versuche das den Versuchspersonen auch so zu vermitteln, aber bei den freien Antwortfeldern der Interventionen ist das leider auch nicht auszuschließen, da ich ja nicht kontrollieren kann, ob jemand dennoch mehr über sich preisgibt. Selbst das wird aber anscheinend auch durch diesen AVV abgedeckt, obwohl ich dachte, dieser AVV würde sich eben nicht auf personenbezogene Daten beziehen, was mich etwas verwirrte, vielleicht können Sie hier Klarheit schaffen.

Kann ich denn alles wie oben beschrieben einsetzen, bei der Nutzung Ihres kostenlosen Servers, wenn der AVV passend ist? Gilt das auch, wenn Sie (SoSci Survey) über die Zuordnung der pseudonymisierten Datensätze zu den E-Mail-Adressen verfügen?

Liebe Grüße und herzlichen Dank Ihnen schonmal!

Answer 1

Wenn die Daten pseudonym gespeichert werden, dann betrachtet die DSGVO dies als personenbezogene Daten. Denn der Personenbezug wäre wiederherstellbar.

Demnach würden Sie personenbezogene Daten erheben. Die Nutzung des Standard-Servers ist damit nicht zulässig, denn dieser ist nicht auf die Verarbeitung personenbezogener Daten ausgelegt - insbesondere geht es da um die Speicherdauer der Sicherheitskopien, welche dem Recht auf Löschung entgegenstünden.

Wenn Sie eine mehrwellige Erhebung planen, und nicht mit persönlichen Codes arbeiten möchten, kommen Sie m.E. um personenbezogene Daten im Sinne der DSGVO nicht ganz umhin. Das gilt auch für die Verwendung von Erinnerungsmails.

In einwelligen Erhebungen wählen Sie beim Import der Adressdaten bitte den Datenschutz-Modus "anonym", sodass der Bezug zwischen Adressaten und erhobenen Daten zu keinem Zeitpunkt hergestellt werden kann.

Comments

Vielen Dank für Ihre schnelle Rückmeldung!

Da ich die Nutzung des kostenlosen Standardservers als besser für mich einschätze, würde ich auf die Verwendung von Serienmails und Erinnerungsmail gänzlich verzichten und die randomisierte Zuteilung der E-Mail-Adressen in drei Teilgruppen, sowie den E-Mail-Versand der öffentlichen Fragebogenlinks (über mein Hochschul-E-Mail-Konto) selbst vornehmen. Auch würde ich die Versuchspersonen alle im ersten Fragebogen, den sie beantworten, einen persönlichen Code erstellen lassen und sie diesen ab dann bei jedem weiteren Fragebogen, den sie beantworten, angeben lassen (die weiteren Fragebögen variieren je nach Teilgruppe, nur den allerletzten Fragebogen beantworten nochmal alle).
Meine Frage hierzu wäre noch: Gibt es einen Weg, auf dem man verhindern kann, dass bei diesem Vorgehen jemand einfach irgendeinen Code angibt der den Kriterien entsprechen würde, den Fragebogen schließt, wieder öffnet und dann seinen „richtigen“ persönlichen Code angibt und den Fragebogen absolviert, während er die Inhalte bereits kennt? Also lässt es sich z.B. irgendwie datenschutzkonform mit dem Standardserver programmieren, dass ab dem 2. Fragebogen bei keinem Fragebogen ein Code teilnehmen kann, der nicht schonmal eingegeben wurde? Oder gibt es diesbezüglich einen anderen Weg?

Besten Dank und Liebe Grüße!

---

> und die randomisierte Zuteilung der E-Mail-Adressen in drei Teilgruppen

Naja, eine randomisierte Zuteilung können Sie ja auch im Fragebogen erledigen (s. Randomisierung), das muss in aller Regel nicht auf Adressbasis erfolgen.

>  Gibt es einen Weg, auf dem man verhindern kann, dass bei diesem Vorgehen jemand einfach irgendeinen Code angibt

Nein. Aber Sie können anhand der Bearbeitungszeiten zumindest auffällige Fälle identifizieren.

> dass ab dem 2. Fragebogen bei keinem Fragebogen ein Code teilnehmen kann, der nicht schonmal eingegeben wurde?

Ja, Sie können mit der Datenbank für Inhalte (a) einmal prüfen, ob der Code Runde 1 angegeben wurde und (b) ggf. auch Informationen dazu hinterlegen.

---

Vielen Dank für Ihre Rückmeldung. Ich muss anhand der Teilgruppen, in die die Adressen eingeteilt werden, unterschiedliche Fragebögen verschicken (KG, EG1, EG2. Nicht jeder erhält (alle) Interventionen). Falls ich die Randomisierung dann doch intern integrieren sollte, würde ich die Mailadressen immer innerhalb eines "Extra-Fragebogens" vor den eigentlichen Erhebungs-Fragebögen angeben lassen, welcher nur Einverständniserklärung und E-Mail-Erhebung und Gruppenzuteilung der Versuchspersonen (letzteres sehe nur ich) enthält. Wäre dann die Verwendung des Fragetyps "Opt-In für E-Mail-Verteiler" mit den Einstellungen "Direkt speichern (keine Bestätigungsmail)" und "Anonym" denn auf Ihrem kostenlosen Standardserver, wobei ich drei Opt-In-Fragen generieren würde, wovon je nach durch die Urne zugeteilter Teilgruppe eine andere erscheint, in Ordnung? So würden die Mailadressen ja in einer getrennten Liste gespeichert werden, mit Vermerk der Teilgruppe, jedoch nicht mit Vermerk des (jetzigen und vor allem auch nicht zukünftigen) Teilnahmestatus.

In Bezug auf das Problem mit möglichen Mehrfachteilnahmen hätte ich noch zwei Fragen:

1) Wären als Alternative denn URL-Listen zulässig auf dem kostenlosen Standardserver, um den Versuchspersonen selbst personalisierte Links zu schicken?

2) In Bezug auf die Datenbank für Inhalte: Verstehe/lese ich das richtig, dass ich im ersten Fragebogen, nachdem der Code eingegeben wurde, diesen in die Datenbank ablegen lassen kann und danach bei jedem weiteren Fragebogen prüfen lassen kann, ob der Code schon in der Datenbank liegt? Könnten Sie mir sagen, was ich falsch mache, da dies nicht funktioniert? Als Schlüssel wird lediglich "PC" in der Datenbank vermerkt und nicht die tatsächliche Eingabe.

Anbei der aktuelle Code hierfür (T116 ist die erste Frage nach dem Code, beim letzten Fragebogen wäre das z.B. T210, wofür die "2" steht verstehe ich leider nicht, ST07 ist ein Text, dass die Eingabe falsch war. Beim caseSerial bin ich mir nicht sicher, wodurch ich dieses ersetzen soll, es gibt ja keine Seriennummern bei mir, nur cases):

Nach der ersten Angabe:
 $sender = getItems('T116', 'is', 2);
$key = 'PC-'.caseSerial();
dbSet($key, $sender);

In den weiteren Fragebögen:
$key = 'PC-'.caseSerial();
$data = dbGet($key);
if ($data) {
  $group = $data[0];
} else {
  show('ST07');
}

Neben der Anzeige eines Textes, dass der Code falsch war, wäre es natürlich super, den weiter-Button solang auszublenden.
Ich freue mich auf Ihre Rückmeldung und danke Ihnen schonmal!

---

> Nicht jeder erhält (alle) Interventionen

Es ist üblich in Experimenten, dass die Befragten unterschiedliche Inhalte zu sehen bekommen. Ob Sie dies über unterschiedliche Fragebögen erledigen oder dadurch, dass Sie Inhalte innerhalb eines Fragebogen ein-/ausblenden, das ist Ihnen überlassen.

> alls ich die Randomisierung dann doch intern integrieren sollte, würde ich die Mailadressen immer innerhalb eines "Extra-Fragebogens" vor den eigentlichen Erhebungs-Fragebögen angeben lassen

Vielleicht möchten Sie sich dazu folgende Anleitung durchlesen: https://www.soscisurvey.de/help/doku.php/de:survey:opt-in-live

In Ihrem Fall würden Sie dann zufällig variiert unterschiedliche Serienmail versenden. Tatsächlich bin ich aber nicht sicher, ob der automatisierte Mailversand funktioniert, wenn die Opt-In-Frage die Adressen als "anonym" ablegt - ich habe hier Zweifel. Das müssten Sie bitte ausprobieren.

> 1) Wären als Alternative denn URL-Listen zulässig auf dem kostenlosen Standardserver, um den Versuchspersonen selbst personalisierte Links zu schicken?

Eventuell wäre die Funktion "E-Mail an persönlichen Kontakt" für Ihren Zwekc besser geeignet. Über Zufallsgenerator und Platzhalter sollte es da möglich sein, zufällig einen Teilnahmelink zu ziehen, und diesen an die angegeben Mailadresse zu versenden. Gute Idee.

> 2) In Bezug auf die Datenbank für Inhalte: Verstehe/lese ich das richtig, dass ich im ersten Fragebogen, nachdem der Code eingegeben wurde, diesen in die Datenbank ablegen lassen kann und danach bei jedem weiteren Fragebogen prüfen lassen kann, ob der Code schon in der Datenbank liegt?

Ja.

> Könnten Sie mir sagen, was ich falsch mache, da dies nicht funktioniert?

Sie verwenden caseSerial() - aber stattdessen müssten Sie den eingegebenen persönlichen Code als Schlüssel verwenden. Ich schlage vor, dass wir das in einer separaten Frage klären, weil es hier unten langsam unübersichtlich wird.

---

Ich danke Ihnen für die Rückmeldung. Die Funktion "E-Mail an persönlichen Kontakt" würde wohl nur für den jeweils nächsten Fragebogen funktionieren, aber die Versuchspersonen sollen je nach Teilgruppe (3 Teilgruppen) noch mehr weitere Fragebögen erhalten, in zeitlich jeweils vorgegebenen Abständen. Allerdings funktioniert das mit dem Code (Weg 2) nun, um Mehrfachteilnahmen ab der 2. Eingabe des persönlichen Codes entgegenzuwirken und ich könnte öffentliche Links für die Fragebögen verwenden.

Ich glaube, dass der automatisierte Mailversand nicht funktioniert, wenn die Opt-In-Frage die Adressen als "anonym" ablegt, aber das wäre für mein Projekt nicht relevant, da ich die E-Mails ohnehin selbst über mein Hochschul-E-Mail-Konto versenden würde. Die drei Opt-In-Fragen wären also "nur" zur Adresslisten-Erstellung und Gruppeneinteilung da. Ich habe dies getestet und es würde funktionieren, wie oben beschrieben, die Mailadressen werden so in einer getrennten Adressliste gespeichert, mit dem Vermerk, welchen Adressen welche Teilgruppe zugeteilt wurde (was ich für das Versenden der entsprechenden Links benötige).

Allerdings ist mir aufgefallen, dass ich ja z.B. nachvollziehen können muss, ob irgendjemand, von dem nur zwei Erhebungsfragebögen eingereicht wurden, eigentlich mehr als zwei Erhebungsfragebögen hätte absolvieren müssen. Ich müsste also auch noch wissen, welche persönlichen Codes zu welcher Teilgruppe zählen und würde daher die persönlichen Codes von den Versuchspersonen bereits im erwähnten Extra-Fragebögen (neben Einverständniserklärung, E-Mail-Adressen-Angabe und randomisierter Teilgruppen-Zuteilung) kreieren lassen, was auch insofern hilfreich wäre, dass nun schon ab dem ersten Erhebungsfragebogen niemand mehrfach (=mit unterschiedlichen persönlichen Codes) teilnehmen könnte. Ich fände es dann aber sinnvoll, die Zeitstempel für diesen kurzen Fragebogen nicht zu erhalten, die ich sonst jedoch benötige. Kann ich diesen Fragebogen dann einfach in einem getrennten Projekt erstellen, in welchem ich diese ausschalte? In Bezug auf die Daten-Auswertung später wäre das kein Problem. Und wären die beiden beschriebenen Absätze dann so auf dem Standardserver/Hochschulserver in Ordnung?

---

Falls das vom Datenschutz her dort nicht erlaubt sein sollte, mir E-Mail-Adresse und Teilgruppe in der Adressliste ausgeben zu lassen und im Datensatz Teilgruppe und Pseudonym zu erhalten (das hatte ich davor nicht so spezifiziert formuliert, Entschuldigung), dürfte ich selbst dann personalisierte Links (mit URL-Listen erstellt) zu bestimmten Zeitabständen an die jeweiligen Teilgruppen verschicken? So könnte ja wenigstens ausgeschlossen werden, dass jemand an mehr(!) Fragebögen teilnimmt, als für seine Teilgruppe vorgesehen. Also bei diesem Weg würden die Versuchspersonen ihren persönlichen Code erst ab dem ersten "richtigen" Fragebogen angeben und nicht schon in dem Extra-Fragebogen mit der Einverständniserklärung/E-Mail-Adresse/Randomisierung.

---

> Kann ich diesen Fragebogen dann einfach in einem getrennten Projekt erstellen, in welchem ich diese ausschalte?

Wenn Sie eine Adresse in Projekt A importieren (also z.B. durch Opt-In), dann können Sie keine Serienmails mit personalisierten Links (einmalige Teilnahme) für ein anderes Projekt versenden. Falls das Ihre Frage war?!

> Falls das vom Datenschutz her dort nicht erlaubt sein sollte, mir E-Mail-Adresse und Teilgruppe in der Adressliste ausgeben zu lassen

Was der Datenschutz unter welchen Voraussetzungen erlaubt, das müssten Sie bitte mit dem Datenschutzbeauftragten Ihrer Einrichtung klären.

> dürfte ich selbst dann personalisierte Links (mit URL-Listen erstellt) zu bestimmten Zeitabständen an die jeweiligen Teilgruppen verschicken?

Damit würden Sie die Mehrfachteilnahme verhindern, sofern Sie jeder Person nur einen Link senden, korrekt.

Viele Hochschulen betreiben übrigens einen eigenen Befragungsserver auf Basis von SoSci Survey (https://www.soscisurvey.de/de/campus) - das erleichtert vieles in Hinblick auf die Einhaltung der DSGVO. Wobei die generelle Problematik natürlich bleibt, dass man viele Verpflichtungen hat, sobald man mit personenbezogenen Daten arbeitet.