In Rahmen von diversen, empirischen Arbeiten zur Erlangung des Grades eines Bachelors wie auch eines Masters, für die eine Probandenumfrage geplant ist, ist es aufgrund der vielfach verfügbaren Web-Dienste möglich geworden, Online-Umfragen in kurzer Zeit aufzusetzen und auszuwerten. Dabei ist aber aus Datenschutzsicht Etliches zu beachten. Was genau, erklärt der Hessische Datenschutzbeauftragte.
SOFTWARE FÜR ONLINE-UMFRAGEN
Datenschutzbeauftragte empfehlen keine Software oder Web-Applikationen, aus denen sich per Klick Umfragen zusammenstellen lassen. Denn die Entwicklungen schreiten fort, so dass eine informationstechnische Realisierung die den gesetzlichen Anforderungen heute entspricht, beim nächsten Update nicht mehr den Anforderungen des Datenschutzes genügen muss. – Im Folgenden sind Empfehlungen zusammengestellt, die eine datenschutzkonforme Online-Umfrage erfüllen soll. Betroffene möchten Transparenz.
TIPP 1 – RECHENZENTRUM
Prüfen Sie, ob das Rechenzentrum Ihrer Universität, Ihrer Hochschule oder einer im Verbund befindlichen Einrichtung ein Werkzeug zur Online-Umfrage bereitstellt. Die behördlichen Datenschutzbeauftragten vor Ort beraten die Rechenzentren zu diesen oder vergleichbaren Mindeststandards, um Online-Umfragen durchzuführen.
TIPP 2 – WENIGER DATEN
Überlegen Sie genau, ob Sie personenbezogene Daten brauchen. Wenn ja, dann überlegen Sie, welche personenbezogenen Daten Sie benötigen. Dringend ist zu empfehlen, keine direkte Identifikation der Personen vorzunehmen. – Berücksichtigen Sie, dass durch manche Kombinationen von Antworten eine Person bestimmbar wird, obwohl eine einzelne Frage nicht zwingend auf die Person führt.
TIPP 3 – EINWILLIGUNG IST PFLICHT
Aus Gründen der Bedienfreundlichkeit lassen Sie sich die Einwilligung im Online-Prozess zuerst geben. Um deutlich zu erkennen, wann die/der Befragte ihre/seine Antworten abgeschlossen hat, lassen Sie diese durch zum Beispiel einen zu klickenden Button freigeben. – Nur freigegebene Antworten dürfen gespeichert werden. Geben Sie den Zweck ihrer Umfrage und die verantwortliche Stelle an! Die Angabe der verantwortlichen Stelle findet sich zum Beispiel im Impressum. Auch wenn die Überprüfung des Impressums nicht Teil des Datenschutzes ist, erhöht es die Seriosität Ihrer Online-Umfrage. Im Impressum müssen der Name einer natürlichen Person und eine Mail-Adresse stehen und es muss eine zustellfähige Postadresse enthalten sein. Eine Telefonnummer kann angegeben werden; sie ist aber nicht erforderlich. Vermeiden Sie eine Auftragsdatenverarbeitung, für die Sie einen speziellen Vertrag abschließen müssen (vgl. TIPP 1)!
TIPP 4 – ABSCHLUSSDATEN FESTLEGEN
Geben Sie deutlich bekannt, wann die Online-Umfrage endet! Geben Sie an, ab wann und wie Interessierte die Ergebnisse der Online-Umfrage erfahren können; d.h. wann Ihre Auswertung abgeschlossen ist.
TIPP 5 – KEINE ZUORDNUNG
Soweit möglich keine Zuordnung von Antworten und Personen herstellen. Zu unterscheiden sind Online-Umfragen mit und ohne Registrierung. Online-Umfragen ohne Registrierung sind möglichst so zu gestalten, dass die Antworten insgesamt keine Rückschlüsse auf die Personen zulassen, die geantwortet haben. Ein Bereich kann gesichert werden, ohne dass personenbezogene Daten der Antwortenden selbst gespeichert werden, in dem die Online-Umfrage zum Beispiel nur innerhalb des Rechnernetzes der Hochschule beantwortet werden kann; zum Beispiel lassen sich IP-Adressen prüfen (diese sind aber nicht zu speichern), ob sie zu diesem Netz gehören (oder nicht). Verfahren mit Registrierung erlauben die Erhebung in einem in sich geschlossenen Bereich. Ob ein solcher Bereich erforderlich ist und in wie weit er gesichert ist, hängt davon ab, was Sie erfragen wollen. Die informationstechnische Realisierung von Registrierungsverfahren sind im jeweiligen Kontext des Schutzbedarfs der zu erhebenden, personenbezogenen Daten zu betrachten und in Übereinstimmung der informationstechnischen Möglichkeiten vorzunehmen. In der Regel wird zwischen drei Schutzbedarfskategorien unterschieden8: normaler, hoher oder sehr hoher Schutzbedarf. So liegt ein hoher Schutzbedarf vor, wenn personenbezogene Daten erhoben werden, die zum Beispiel einen Schluss auf den Gesundheitszustand einer Person zulassen, bei deren unrechtmäßiger Verarbeitung oder im Schadensfall die betroffene Person erheblich beeinträchtigt werden kann.
TIPP 6 – SCHUTZBEDARF ERMITTELN
Der Schutzbedarf ist im Einzelfall vor der Bereitstellung der Online-Umfrage zu ermitteln! Dabei ist auch eine entscheidende Frage, ob die Inhalte der Fragen auf sensible Daten zielen.
TIPP 7 – ZUGANG UND ZUGRIFF SCHÜTZEN
Für eine Online-Umfrage ist darauf zu achten, dass die Zugangs- und Zugriffsmechanismen geschützt sind und danach getrennt wird, ob eine Person Fragen beantwortet oder eine Person mit administrativen Aufgaben auf die Umfrage-Ergebnisse und deren Auswertungen zugreift. Personen, die antworten, dürfen ausschließlich ihre eigenen Angaben verwalten und damit keinen Zugriff auf Antworten anderer Personen haben. Personen, die eine Online-Umfrage auswerten, sind gesondert zu benennen und ihre Zugänge sind in besonderer Weise zu verwalten – sie haben so genannte Administrationsrechte. In Abhängigkeit des Schutzbedarfs der mit den Antworten gegebenen Informationen ist zu unterscheiden, welche Kontrollmechanismen zusätzlich zu implementieren sind, wenn auf die personenbezogenen Daten und/oder Ergebnisse der Auswertungen zugegriffen wird. – Wenn zum Beispiel der Schutzbedarf hoch ist, dann bedarf es eines sehr eingeschränkten Kreises von berechtigten Personen. Des Weiteren ist zu überlegen, in welcher Art und Weise Zugriffe protokolliert werden.
TIPP 8 – PSEUDONYMISIERUNG
Eine Pseudonymisierung ist zu empfehlen, um eine nachträgliche Zuordnung von Antworten wiederum zu Personen zu erschweren. Im Allgemeinen gibt es verschiedene Verfahren zur Pseudonymisierung. Im Folgenden sind ein paar Ideen genannt, die im Zusammenhang mit anderen Empfehlungen stehen. – Andere Verfahren zur Pseudonymisierung, als die im Folgenden vorgestellten, können ebenfalls gewählt werden. Eine Pseudonymisierung sollte umgesetzt werden, wenn nach personenbezogenen Daten mit hohem oder sehr hohem Schutzbedarf gefragt wird. Eine Pseudonymisierung ist auch ohne Registrierung möglich. Interessierte erhalten beim Aufruf der Online-Umfrage ein so genanntes Token. Dieses Token dient der einmaligen Identifizierung und dem berechtigten Zugriff, um die Online-Umfrage auszufüllen. Das Token repräsentiert das Pseudonym und dient informationstechnisch als Stellvertreter für denjenigen, der eine Umfrage beantwortet. Nur hiermit wird der Zugriff ermöglicht. Damit müssen schon beim Zugriff die tatsächlichen, personenbezogenen Daten nicht mehr bekannt sein. Das Pseudonym ersetzt die personenbezogene Identifikation. Somit findet eine Trennung zwischen personenbezogenen Daten und den Antworten statt. Zudem sollte dieses Token nur für einen sehr begrenzten Zeitraum gültig sein. In diesem Zeitraum müssen alle Antworten geben werden. Eine spätere Fortsetzung der Befragung oder Änderungen sind nicht möglich. Eine Pseudonymisierung bei einer durchgeführten Registrierung erfordert in der Software-Systemarchitektur eine strikte Trennung zwischen Login-Daten, die in der Regel aus einer Kennung und einem Passwort bestehen, und damit die minimalen, eindeutig identifizierenden Daten sind, der Ersetzung in das entsprechende Pseudonym und den gegebenen Antworten. Die Transformation der eindeutig identifizierenden Daten zu einem Pseudonym wird oftmals mit einer Tabelle vorgenommen, die die entsprechenden Zuordnungen enthält. Diese Tabelle ist besonders zu schützen. Die Transformation von Kennung in ein Pseudonym und die Weiterleitung zur Online-Umfrage soll systemintern automatisiert erfolgen. Die Zuordnung zwischen eindeutig identifizierendem Datum zu einer natürlichen Person – zumeist einer Kennung – zum Pseudonym ist an einem anderen Speicherort – geschützt, am besten verschlüsselt – zu speichern, als die Daten zur Authentifizierung und auch die entsprechend, gegebenen Antworten. Die Auflösung des Pseudonyms darf nur durch eine Person mit Administrationsrechten durchgeführt werden; das heißt auf diesen Speicherort darf nur unter Verwendung eines entsprechenden Zugangs und damit verbundener Berechtigung zugegriffen werden. Wenn es möglich ist, dann ist dieser Zugriff nachvollziehbar zu dokumentieren. Auch bei Umfragen ohne Registrierung sollten erhobene Daten beziehungsweise Antworten pseudonymisiert werden; das heißt ein Satz von Antworten ist getrennt vom jeweiligen Pseudonym zu speichern.
TIPP 9 – QUALITÄTSSICHERUNG
Die Ergebnisse der Online-Umfrage müssen für unabhängige Dritte in einer Prüfungssituation in der Regel nachvollziehbar und auch (nach-)prüfbar sein; das heißt aus Gründen der nachträglichen Qualitätssicherung kann eine De-Pseudonymisierung erforderlich werden. Mögliche Kriterien einer nachträglichen Qualitätssicherung können Fragen auf die Anzahl der Teilnehmerinnen und Teilnehmer beziehen und ob tatsächlich natürliche Personen, die Fragen der Online-Umfrage beantwortet haben. Eine gegebenenfalls erforderliche De-Pseudonymisierung muss den Betroffenen innerhalb der Einwilligungserklärung aus Gründen der Transparenz mitgeteilt werden; das heißt die Antwortenden können innerhalb der durchgeführten Qualitätssicherung befragt werden, ob sie teilgenommen haben. – Geben Sie die Mechanismen der Qualitätssicherung Ihrer Untersuchung bekannt, auch wenn eine durchzuführende Überprüfung nur stichprobenartig erfolgt. Selbstverständlich sind auch andere Verfahren der Qualitätssicherung möglich, auch wenn sie hier nicht genannt sind. In jedem Fall ist eine Einwilligung der Betroffenen erforderlich! Ebenso sind die qualitätssichernden Maßnahmen zu dokumentieren!
TIPP 10 – VERSCHLÜSSELUNG
Verschlüsseln Sie die Übertragung im Web und im Internet! Verschlüsseln Sie die Speicherorte der Antworten!
TIPP 11 – KORREKTUREN ZULASSEN
Die oftmals einfachste Implementierung ist, einen eingegangenen Satz von Antworten anhand des Pseudonyms komplett zu überschreiben, damit immer nur die letzte vollständige Abgabe nach Versand gilt (vgl. Tipp 3). Bei einer Pseudonymisierung ohne Registrierung können mehrfache Antworten der gleichen Person nicht eindeutig zugeordnet14 beziehungsweise eine oder mehrfache Eingaben getrennt werden (vgl. Empfehlung 5). Anhand der Kriterien für eine Qualitätssicherung ist zu entscheiden, wie valide die gegebenen Antworten sind. Typische Verfahren sind voneinander abhängige Fragen, die gegebenenfalls bei inkorrekten Antworten auf erkennbare Widersprüche führen. Oder es ist eine Fehler- und Ausgleichsrechnung in der unterliegenden Messung vorzunehmen. Wenn eine Registrierung und eine Pseudonymisierung kombiniert werden, ist es mittels der Registrierung möglich, eine Änderungsfunktion für bereits gegebene Antworten vor dem Abschluss der Online-Umfrage vorzusehen. Dabei ist zu beachten, dass die Transformation von Kennung in ein dazugehöriges Pseudonym mehrfach, automatisiert durchführbar sein muss und dass die Änderung einer oder mehrerer Antworten, eine möglicherweise schon erfolgte Auswertung verfälscht bzw. die Auswertung erneut durchzuführen ist. – In Abhängigkeit der von Komplexität der zu erwartenden Antworten ist es infolgedessen zu empfehlen, sowohl das Verfahren zur Erhebung streng vom Verfahren zur Auswertung zu trennen, als auch den Zeitpunkt einer Auswertung oder die Zeitpunkte mehrerer Auswertungen genau zu bestimmen.
TIPP 12 – ANONYMISIEREN?
Falls Rückschlüsse möglich sind, die eine Personenidentifikation erlauben können, dann ist die Auswertung zu anonymisieren. Folglich sind innerhalb der auswertenden Verfahren der Online-Umfrage die ausgewerteten und zumeist auch aggregierten Daten zu anonymisieren. – Dabei ist das Auswerten und das Anonymisieren ein Teil der Verfahren, die datenschutzrechtlich zu dokumentieren sind.
TIPP 13 – ZWECKBINDUNG UND LÖSCHUNG
Antworten sind entsprechend der jeweiligen Online-Umfrage zweckgebunden und sind nach Abschluss der Umfragen mit angemessener Frist zu löschen! Das Gebot des frühestmöglichen Löschens des Personenbezugs gilt: Dieses Löschen ist auch im Interesse der Erstellenden von Online-Umfragen, weil mit dem Wegfall der personenbezogenen Daten die Datenschutz-Gesetze keine weitere Anwendung mehr finden.