Hallo,
danke, dass Sie es als erste/r wagen, im brandneuen Support-System zu fragen!
Wenn wir per Email selber die individualisierten Links verschicken,
bestünde grundsätzlich die Möglichkeit, dass wir selber die Umfrage
verfälschen könnten
Meines Erachtens ist die keine Frage des Datenschutzes. Es bestehen zweifelsohne viele Möglichkeiten, Daten zu manipulieren, wenn man das als Forscher möchte.
Seit kurzem gibt es sogar explizit eine Funktion unter Erhobene Daten -> Ausgefüllten Fragebogen ändern, um selbst abgeschlossene Fragebögen nochmals zu reaktivieren und ggf. Änderungen vorzunehmen. Es kommt häufig genug vor, dass Teilnehmer den Fragebogen zu schnell durchklicken und nachträglich dann doch noch einmal auf ihre Daten zugreifen möchten.
Kurzum: SoSci Survey dient vor allem als Werkzeug - es ist nicht darauf ausgelegt, die Nutzer spezifisch einzuschränken. Aber natürlich wäre es denkbar, dass ein vertrauenswürdiger Mitarbeiter die Seriennummern für den Zugriff erzeugt und verteilt und alle anderen Mitarbeiter keinen Zugriff darauf haben. Dies würde auch die (für den Datenschutz absolut relevante) Problematik entschärfen, dass die zugeordneten Seriennummern die Daten eindeutig identifizierbar machen.
In dieser Hinsicht kann auch die Verwendung von Serienmails anstatt Seriennummern hilfreich sein, weil in dem Fall SoSci Survey als Treuhänder für die Pseudonyme auftritt. Dies gilt natürlich nur eingeschränkt, wenn man einen eigenen Befragungsserver nutzt.
... könnten wir uns vorstellen, dass die Teilnehmer, nachdem Sie auf
den personalisierten Link geklickt haben (damit wir die
Teilnehmernummer bekommen), zusätzlich noch ein individuelles Passwort
eingeben müssen
Eine Frage wäre, wann die Teilnehmer das Passwort wieder eingeben müssen... Wenn sie z.B. länger als 10 Minuten keine Seite mehr abgeschickt haben? Und was passiert, wenn ein Teilnehmer sein Passwort vergessen hat? Ist der Datensatz dann verloren oder soll es doch eine Hintertüre geben?
Prinzipiell bin ich der Implementierung neuer Funktionen gegenüber stets aufgeschlossen, aber im vorliegenden Fall scheint mir der Nutzen der Funktion noch zweifelhaft.
Eine Überlegung wäre es sicher wert, unter Befragungsprojekt -> Projekt-Einstellungen -> Karteireiter Datenschutz -> Erweiterte Dokumentation -> "Änderung von Daten (Angaben im Fragebogen) protokollieren". Wenn diese Funktionalität aktiviert ist, wären nachträgliche Änderungen zumindest nachvollziehbar. Ob sie der Teilnehmer selbst vorgenommen hat oder ein "Angreifer", ginge aus den Protokollen allerdings nicht hervor.
Ginge man soweit, dass man alle Daten-Vorgänge protokolliert, ließe sich vermutlich auch dieser Unterschied anhand der Zeitstempel noch rekonstruieren.
Nichts desto trotz wird es immer Möglichkeiten geben, solche Maßnahmen zu umgehen. Für den konkreten Fall am einfachsten: Der Teilnehmer bekommt überhaupt gar keine Einladung, sondern der Forscher würde alle Fragebögen gleich selbst ausfüllen. Da würde auch kein Passwort helfen - und einen anonymisierten Internetzugang und Browser vorausgesetzt, könnte man es auch nicht mittels IP-Adresse, Cookie oder Fingerprinting nachvollziehen...
Viele Grüße
Dominik Leiner