0 votes
in SoSci Survey (dt.) by s081613 (575 points)

Sehr geehrtes SocSci Survey Support-Team,
wir vom Lehrstuhl für Personal befinden uns gerade noch in einem sehr frühen Stadium der Erprobungsstufe, ob SoSciSurvey alle Funktionalitäten und Anforderungen an den Datenschutz mitbringt, die wir für unsere Onlineumfrage brauchen.

Wir wollen über einen längeren Zeitraum kontinuierlich den gleichen Personenkreis hinsichtlich ihres Einkommens befragen, weswegen ein individualisierter Zugriff gewährleistet sein muss, damit eine Teilnehmernummer fest zugeordnet werden kann (Stichwort: individualisierte Teilnehmerlinks per Serienmail).

Nun hat unser Datenschutzbeauftragter bedenken: Wenn wir per Email selber die individualisierten Links verschicken, bestünde grundsätzlich die Möglichkeit, dass wir selber die Umfrage verfälschen könnten, indem wir selber, anstatt der Teilnehmer, die Umfrage ausfüllen bzw. wenn die Beantwortung von den Teilnehmern unterbrochen wird, deren zuvor gemachten Eingaben ändern könnten. Um dieses Datenschutzproblem zu umgehen, könnten wir uns vorstellen, dass die Teilnehmer, nachdem Sie auf den personalisierten Link geklickt haben (damit wir die Teilnehmernummer bekommen), zusätzlich noch ein individuelles Passwort eingeben müssen, damit Sie teilnehmen dürfen. Allerdings habe ich diese Funktion nicht gefunden. Ist dies im SoSci Survey nicht vorgesehen?

Kann die Funktion, nachdem der Fragebogen von uns Online erstellt worden ist, zusätzlich noch eingefügt werden, wenn wir über die Server-Lizenz verfügen? Oder ist die Auswahl an Funktionen mit ihrem Standard-Server Angebot für die Testphase identisch?

Vielen Dank schon mal für ihren Support.

1 Answer

0 votes
by SoSci Survey (302k points)

Hallo,

danke, dass Sie es als erste/r wagen, im brandneuen Support-System zu fragen!

Wenn wir per Email selber die individualisierten Links verschicken,
bestünde grundsätzlich die Möglichkeit, dass wir selber die Umfrage
verfälschen könnten

Meines Erachtens ist die keine Frage des Datenschutzes. Es bestehen zweifelsohne viele Möglichkeiten, Daten zu manipulieren, wenn man das als Forscher möchte.

Seit kurzem gibt es sogar explizit eine Funktion unter Erhobene Daten -> Ausgefüllten Fragebogen ändern, um selbst abgeschlossene Fragebögen nochmals zu reaktivieren und ggf. Änderungen vorzunehmen. Es kommt häufig genug vor, dass Teilnehmer den Fragebogen zu schnell durchklicken und nachträglich dann doch noch einmal auf ihre Daten zugreifen möchten.

Kurzum: SoSci Survey dient vor allem als Werkzeug - es ist nicht darauf ausgelegt, die Nutzer spezifisch einzuschränken. Aber natürlich wäre es denkbar, dass ein vertrauenswürdiger Mitarbeiter die Seriennummern für den Zugriff erzeugt und verteilt und alle anderen Mitarbeiter keinen Zugriff darauf haben. Dies würde auch die (für den Datenschutz absolut relevante) Problematik entschärfen, dass die zugeordneten Seriennummern die Daten eindeutig identifizierbar machen.

In dieser Hinsicht kann auch die Verwendung von Serienmails anstatt Seriennummern hilfreich sein, weil in dem Fall SoSci Survey als Treuhänder für die Pseudonyme auftritt. Dies gilt natürlich nur eingeschränkt, wenn man einen eigenen Befragungsserver nutzt.

... könnten wir uns vorstellen, dass die Teilnehmer, nachdem Sie auf
den personalisierten Link geklickt haben (damit wir die
Teilnehmernummer bekommen), zusätzlich noch ein individuelles Passwort
eingeben müssen

Eine Frage wäre, wann die Teilnehmer das Passwort wieder eingeben müssen... Wenn sie z.B. länger als 10 Minuten keine Seite mehr abgeschickt haben? Und was passiert, wenn ein Teilnehmer sein Passwort vergessen hat? Ist der Datensatz dann verloren oder soll es doch eine Hintertüre geben?

Prinzipiell bin ich der Implementierung neuer Funktionen gegenüber stets aufgeschlossen, aber im vorliegenden Fall scheint mir der Nutzen der Funktion noch zweifelhaft.

Eine Überlegung wäre es sicher wert, unter Befragungsprojekt -> Projekt-Einstellungen -> Karteireiter Datenschutz -> Erweiterte Dokumentation -> "Änderung von Daten (Angaben im Fragebogen) protokollieren". Wenn diese Funktionalität aktiviert ist, wären nachträgliche Änderungen zumindest nachvollziehbar. Ob sie der Teilnehmer selbst vorgenommen hat oder ein "Angreifer", ginge aus den Protokollen allerdings nicht hervor.

Ginge man soweit, dass man alle Daten-Vorgänge protokolliert, ließe sich vermutlich auch dieser Unterschied anhand der Zeitstempel noch rekonstruieren.

Nichts desto trotz wird es immer Möglichkeiten geben, solche Maßnahmen zu umgehen. Für den konkreten Fall am einfachsten: Der Teilnehmer bekommt überhaupt gar keine Einladung, sondern der Forscher würde alle Fragebögen gleich selbst ausfüllen. Da würde auch kein Passwort helfen - und einen anonymisierten Internetzugang und Browser vorausgesetzt, könnte man es auch nicht mittels IP-Adresse, Cookie oder Fingerprinting nachvollziehen...

Viele Grüße
Dominik Leiner

Willkommen im Online-Support von SoSci Survey.

Hier bekommen Sie schnelle und fundierte Antworten von anderen Projektleitern und direkt von SoSci Survey.

→ Eine Frage stellen


Welcome to the SoSci Survey online support.

Simply ask a question to quickly get answers from other professionals, and directly from SoSci Survey.

→ Ask a Question

...