Anonyme Umfragen gestalten

Worauf sollte geachtet werden, damit anonyme Umfragen wirklich anonym sind. Die aufgeführte Checkliste kann geprüft werden.

Es genügt nicht, nur auf die Erhebung von Namen und Kontaktdaten zu verzichten:

Die abgefragten Daten sollen keine Zuordnung zu natürlichen Personen ermöglichen.

Eine anonyme Umfrage sollte datensparsam sein:

Abhängig von Zweck und Ziel einer Befragung sollten keine personenbeziehbaren Daten eingeholt werden – oder zumindest nur so viel wie erforderlich und so wenig wie möglich.

Typischerweise werden demographische Daten erhoben, je weniger granular diese sind um so schwieriger wird eine potentielle Re-Identifizierung.

Die Anonymisierung dient der Entfernung bzw. Verhinderung des Personenbezugs. Anonymität von Daten wird bereits angenommen, wenn ein Re-Identifizierung nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft denkbar ist, wobei dafür der aktuelle Stand der Technik in Betracht gezogen wird.

Sofern für eine Umfrage doch Personenbezüge erforderlich sind oder die Anonymität nicht sichergestellt werden kann, sollte vorab ein Datenschutzkonzept erstellt werden, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten. Die Datenschutzbeauftragten beraten, wie das gelingen kann.

Ein offensichtlicher Vorteil anonymer Daten ist, dass sie entsprechend Erwägungsgrund 26 DSGVO nicht unter die Regelungen des Datenschutzrechts fallen. Aus datenschutzrechtlicher Sicht ist eine frühzeitige Anonymisierung auch bei personenbezogenen Umfragen generell zu empfehlen.

Checkliste: Worauf sollte bei anonymen Umfragen geachtet werden?

    1. Es werden keine personenbezogenen Daten abgefragt, wie Namen oder E-Mail-Adressen.
      • Bei Erfassung von Kontaktdaten für Gewinnspiel/Teilnahmeprämie oder Feedback
        => sollte getrennt von den Umfragedaten erhoben werden, z.B. über separates Formular
    2. Demographische Merkmale wie Alter werden in Kategorien/Gruppen zusammengefasster Werte Gruppen/Bereichen abgefragt:
      • zeitliche Einordnung (Geburtsjahr/Alter, Studienbeginn und -abschluss) => Altersgruppen und Zeiträume abfragen
      • örtliche Daten (Wohnort, Geburtsort)
        => (Bundes-)Länder, Gemeindegröße abfragen statt Orte und PLZ. Ggf. Staaten zu Gruppen zusammenfassen (z.B. Kontinente abfragen)
      • Geschlecht, Bildungsstand/Abschlüsse, Herkunft
        => nur wenige Fälle erfragen
      • Zugehörigkeit zu Studienrichtung oder Einrichtung
        => Zusammenfassung in Kategorien (z.B. max. 7 Auswahlfelder)
      • Generell bei demographischen Daten:
        • Auswahlfelder nutzen
        • auf Freitexteingaben verzichten (z.B. Auswahlfelder „Sonstige“ und „keine Angabe“ nutzen)
        • keine „seltenen“ Werte abfragen (sofern nicht zwingend für Zweck/Auswertung erforderlich), bspw. „transgender“ bei GeschlechtOffene Fragen / Freitextfelder so formulieren, dass typischerweise keine personenbeziehbaren Inhalte eingegeben werden (bei der Auswertung sollten ggf. versehentlich doch enthaltene Personenbezüge unbedingt anonymisiert werden). Insbesondere bei Schilderung persönlicher Betroffenheit oder Umstände ist ein Personenbezug kaum zu vermeiden.
    3. Der Kreis der potentiell Umfrageteilnehmenden sollte ausreichend groß und nicht namentlich bekannt sein (bei kleineren Gruppen sollte auf demographische Merkmale und andere potentiell identifizierende Fragen verzichtet werden).
      Dieses ist typischerweise nicht bei Umfragen zu Veranstaltungen erfüllt oder falls Sie Personen direkt anschreiben (beachten Sie unsere Hinweise zu E-Mail-Versand und Token-basierten Umfragen weiter unten)
    4. Eine Re-Identifizierung sollte aus den erhobenen Merkmalskombinationen weitestgehend ausgeschlossen sein, auch wenn weitere verfügbare Daten über den Personenkreis hinzugezogen werden.
    5. Vermeiden Sie die Erhebung von Gesundheitsdaten u.a. besonderen Kategorien personenbezogener Daten entsprechend Art. 9 DSGVO in anonymen Umfragen (d.h. Daten zu ethnischer Herkunft, politischen Meinungen, religiöser oder weltanschaulicher Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung):
      • Explizite Einwilligung nach Art 9 erforderlich!
      • Sollte bei anonymen Umfragen vermieden/minimiert werden
      • Personenbeziehbarkeit ist häufig nicht sicher auszuschließen (gute Erklärung erforderlich, wenn doch)
    6. Die Verkehrsdaten (IP-Adressen in Logfiles o.ä.) werden getrennt verarbeitet und eine Zuordnung zu den Umfragedaten ist nicht möglich, insbesondere werden diese Daten nicht in den Umfragedaten gespeichert.

Nutzung der Checkliste

Bewerten Sie die obigen Punkte. Falls alle Anforderungen erfüllt sind, sollten die Umfrage und damit auch die erhobenen Umfragedaten anonym sein.

Falls Sie sich unsicher sind, bitten Sie eine unabhängige dritte Person um ihre Einschätzung oder fragen Sie bei den Datenschutzbeauftragten nach.

Schätzen Sie letztlich das Risiko für Ihre Umfrage ein, dass ein Personenbezug aus den Umfragedaten herstellbar ist. Falls dieser nicht auszuschließen ist, verringern Sie das Risiko durch eine Anpassung der Fragen bzw. Antwortkombinationen.

Beispiele für datensparsame Umfragen

  1. Befragung von Professor*innen einer Einrichtung:
    Wenn es nur einige Professorinnen gibt, sind diese aus den Daten potentiell identifizierbar.
  • Geschlecht sollte ggf. nicht abgefragt werden
  1. Befragung von Masterabsolvent*innen:
    Falls wenn es wenige Studierende je (Kombination von) Studiengang, Jahrgang, Spezialisierung/Fachgebiet der Abschlussarbeit, Note oder Fachsemester gibt, können aus den Daten möglicherweise Rückschlüsse auf einzelne Personen gezogen werden.
  • Merkmale nicht erheben oder zumindest in der Auswertung die seltenen Fälle schwärzen
  1. Feedback für Kursteilnahme:
    Re-Identifizierung ist potentiell möglich bei Einblick in Teilnahmeliste
  • Keine Fragen mit Personenbezug stellen,
  • keine demographischen Merkmale erheben

Phasen der Umsetzung

Die mit Asterix (*) markierten Punkte betreffen nur nicht-anonyme Umfragen.

  1. Umfrageentwurf und -ausgestaltung
  • Toolauswahl
    => für Mitglieder der TU Berlin wird LimeSurvey angeboten
  • Umfrage datensparsam gestalten: Welche Informationen sind erforderlich, was kann weggelassen werden?
  • Fragenkatalog hinsichtlich Anonymität abklopfen
  • Checkliste durchgehen
  • bei Bedarf Beratung durch Datenschutzbeauftragte einholen!
  • (*) Ggf. Risikobetrachtung für Betroffene (z.B. bei Beschäftigtenbefragungen)
  • Festlegung, wie lange Umfrage-Rohdaten aufbewahrt werden oder ob anonymisierte Daten genügen (z.B. 10 Jahre entsprechend der Empfehlungen der DFG zur guten wissenschaftlichen Praxis)
  1. Einladung zur (Online-)Umfrage
  • (*) Personalisiert mit Token vs. offener Link
  • Webseite / Plakat mit QR-Code / E-Mail-Verteiler
  • Datenschutzhinweise formulieren und bereitstellen
  1. Durchführung und Auswertung
  • Der*die Auswertende aggregiert Inhalte geeignet (Kategorien/Merkmalskombinationen mit nur 5-7 Einträgen/Datensätzen werden nicht veröffentlicht oder weitergegeben)
  • Die Daten werden sicher von der Umfrageplattform gelöscht
  1. Weitere Speicherung der Umfragedaten und Löschung/Anonymisierung (Schutzmaßnahmen und Dauer festlegen)
  • Wie und wo erfolgt Speicherung und wie werden die Daten geschützt (u.a. wer erhält Zugriff)
  • (*) Ist eine Aufbewahrung der Umfragerohdaten erforderlich oder (*) Wann werden alle Kopien der personenbezogenen Daten gelöscht?

=> genauen Zeitpunkt festlegen

Datenschutzhinweise

Geben Sie Hinweise zur Verarbeitung personenbezogener Daten bei der Umfrage an Teilnehmende.

Weisen Sie bei anonymen Umfragen auf Folgendes hin:

  • auf die Anonymität und dass in Freitextfeldern keine Personenbezüge angegeben werden sollen.
  • führen Sie auf, welche personenbezogenen Daten zu welchem Zweck erhoben werden und wann sie gelöscht werden (bei anonymen Umfragen nur Verkehrsdaten!)
  • nennen Sie die Rechtsgrundlage, zumeist ist es die informierte Einwilligung nach Art. 6 (1) lit a DSGVO
  • auf Betroffenenrechte: Diese sind nur wahrnehmbar, wenn eine Zuordnung einer Person zum Datensatz existiert, z.B. über einen zufälligen oder generierten Code, der ausschließlich den Teilnehmer*innen bekannt ist. Der Code ermöglicht Löschbegehren nach Art 17 DSGVO (und, sofern bei späterer erneuter Befragung eine Datensatz-Zuordnung angedacht ist, kann der Code erneut abgefragt werden um Veränderungen auswerten zu können).

Verteilung des Umfragelinks – E-Mailversand an potentiell Teilnehmende

Wie können Sie Ihre Zielgruppe für die Umfrage erreichen?

Sie können den Link zur Umfrage auf einer Webseite publizieren und zur Verteilung andere Kanäle wie Mailinglisten nutzen, fragen Sie am Besten in Ihrem Bereich nach, welche Möglichkeiten für Ihre Umfrage bestehen.

Sofern Sie Einladungen zur Umfrage direkt per E-Mail versenden, ist die Anonymität der Umfrage nur gewährleistet, wenn aus den abgefragten Merkmalen eine Zuordnung der Eingeladenen ausgeschlossen werden kann (s. obige Checkliste). Achten Sie dabei darauf, dass die Eingeladenen nicht die E-Mail-Adressen der anderen Empfänger sehen, also diese insbesondere nicht in das „An“- oder „Kopie an“-Feld aufnehmen, sondern besser „Blindkopie / BCC“ nutzen.

An der TU Berlin gibt es dank der Adressweitergabeverordnung (AWO) die Möglichkeit, Mitglieder der TU Berlin über zentrale Verteilerlisten anzuschreiben. Der Versand ist auch für wissenschaftliche Forschungsvorhaben möglich und kann vom Fachgebiet beantragt werden, siehe https://www.tu.berlin/abt2-it/e-mailversendung .

Exkurs: Personalisierte anonyme Umfragen mit Teilnahmecode (Token)

Wenn nur bestimmte Personen an einer Umfrage teilnehmen sollen, sind geschlossene bzw. personalisierte anonyme Umfragen ein geeignetes Mittel. Außerdem wird ein mehrfaches Ausfüllen der Umfrage verhindert. Das kann bspw. bei Evaluationen sinnvoll sein.

Im Umfragetool werden dafür individuelle Token (Teilnahmecodes) generiert, die per E-Mail oder ausgedruckt den potentiellen Teilnehmer*innen übergeben werden. Die Token sind dabei ein Zugangsschlüssel, je Token kann die Umfrage nur einmalig ausgefüllt werden. Der Token wird nicht mit den Umfragedaten gespeichert, eine Zuordnung der Umfrageteilnehmenden zu den Token ist damit nicht möglich, so dass anonyme Umfragen damit umsetzbar sind.

Sofern die E-Mail-Adressen der Teilnehmer*innenliste im Umfragetool  erfasst werden, können Einladungsmails mit Link auf Umfrage und Token direkt versandt werden (in Limesurvey siehe z.B. https://manual.limesurvey.org/Survey_participants/de). Vor der Speicherung ist die Rechtsgrundlage zu klären, aufgrund derer die personenbezogenen Daten im Umfragetool gespeichert werden, bspw. über eine Einwilligung oder einen Vertrag bei Veranstaltungsteilnahme. Spätestens zum Ende der Befragung sind sowohl die Teilnehmerliste als auch die gesendeten E-Mails zu löschen.

Die Verarbeitung der E-Mail-Adressen in der Teilnehmer*innenliste ist in die Datenschutzhinweise zur Umfrage aufzunehmen.

Weitere Informationen

Stiftung Datenschutz – Praxisthemen: Anonymisierung personenbezogener Daten

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert