PrEval Datenschutzkonzept

Das Datenschutzkonzept dient den Verbund- und Netzwerkpartnern als Richtlinie. Alle Verbundpartner haben sich diesem Datenschutzkonzept verpflichtet. Die Verantwortung zur Umsetzung des Datenschutzes liegt bei den Verbund- und Netzwerkpartnern. Wie im Konzept betont wird, ist die DSGVO rechtlich bindend.

 

Projektbeschreibung und Ziele

Das Projekt „Evaluationsdesigns für Präventionsmaßnahmen“ (PrEval) ist ein Forschungs- und Transfervorhaben zur Erhebung von Evaluationsbedarfen und -kapazitäten in der Extremismusprävention in Deutschland, sowie zur Entwicklung (multimethodischer) Evaluationsdesigns und zur Durchführung entsprechender Pilotstudien. Das Vorhaben ist gekennzeichnet durch einen engen Dialog von Akteur*innen aus Wissenschaft und Fachpraxis und zielt darauf ab, Fragen der Qualitätssicherung und Evaluation stärker als bisher in der zu evaluierenden Präventionslandschaft zu verankern. PrEval befasst sich dabei mit einem weiten Phänomenbereich, der politische und religiöse Extremismen umfasst und Maßnahmen aus der politischen Bildung, der primären, sekundären und tertiären Prävention sowie Schnittstellen zur Kriminalprävention adressiert.

An PrEval beteiligt sind insgesamt fünf Verbundpartner: Das Leibniz-Institut Hessische Stiftung Friedens- und Konfliktforschung (HSFK), welche als koordinierende und leitende Einrichtung fungiert, das Institut für interdisziplinäre Konflikt- und Gewaltforschung (IKG) an der Universität Bielefeld, das Leibniz-Institut für Bildungsforschung und Bildungsinformation (DIPF), das Global Public Policy Institute (GPPi) und das Violence Prevention Network (VPN). PrEval wird durch das Bundesministerium des Innern, für Bau und Heimat (BMI) mit einer Laufzeit von März 2020 bis Dezember 2021 aus Mitteln des „Nationalen Präventionsprogramms gegen islamistischen Extremismus“ (NPP) gefördert.

Unterstützt wird der Verbund von Netzwerkpartnern, zu denen das Institut für Demokratie und Zivilgesellschaft – Thüringer Dokumentations- und Forschungsstelle gegen Menschenfeindlichkeit (IDZ), ufuq.de e.V., das Bundesministerium für Familie, Senioren,  Frauen und Jugend (BMFSFJ), das Bundesamt für Migration und Flüchtlinge (BAMF), die Bundeszentrale für politische Bildung (BpB) und das Deutsche Jugendinstitut (DJI) zählen. Dieses Netzwerk ist im Verlauf von PrEval erweiterbar.

 

Grundsätze zum Datenschutz

Im Rahmen von PrEval kommen verschiedene Datenerhebungs- und Analysemethoden sowie Programmformate zum Einsatz. Die Daten werden zum Beispiel durch Interviews, (Online-)Befragungen, Monitoring-Workshops, Fokusgruppengespräche, Beobachtungen oder das Heranziehen administrativer Statistiken, Datensätze und Dokumente erhoben. Hierbei werden auch personenbezogene Daten verarbeitet und, wo zur gemeinsamen Verfolgung des Forschungsvorhabens notwendig, unter PrEval-Verbund- und Netzwerkpartnern geteilt. Die Verarbeitung dieser Daten dient ausschließlich den wissenschaftlichen Zwecken von PrEval. Wo es möglich ist, ohne dass dadurch die Beantwortung der wissenschaftlichen Fragen des Projekts behindert wird, erfolgt die gemeinsame Verarbeitung und Nutzung der Daten pseudonymisiert, wobei die Informationen zur späteren Identifizierung möglichst bei dem PrEval-Verbund- oder Netzwerkpartner verbleiben, welcher sie erhoben hat.

Die rechtlichen Grundlagen aus der EU Datenschutz-Grundverordnung (DSGVO) sowie den jeweiligen Landesdatenschutzgesetzen der beteiligten Verbund- und Netzwerkpartner (Berlin, Hessen, Nordrhein-Westfalen) werden angewendet. Alle PrEval-Verbund- und Netzwerkpartner tragen Sorge, dass die bei ihnen PrEval-bezogen tätigen Projektmitarbeiter*innen auf diese Regeln und die daraus folgenden Maßnahmen zum Schutz personenbezogener Daten hingewiesen werden. Im Folgenden werden die Aspekte der DSGVO, die für PrEval besondere Relevanz haben, aufgeführt. Diese Ausführungen ersetzen dabei nicht den Originaltext der DSGVO, der für die PrEval-Verbund- und Netzwerkpartner insgesamt bindend ist.

Für das Feld der Programmevaluation ist der Schutz personenbezogener Daten, und der damit verbundene Vertrauensschutz im Personenkreis der Fachpraxis und der Klient*innen von Präventionsmaßnahmen, von herausgehobener Bedeutung. Insbesondere die im Rahmen von Pilotstudien erhobenen Daten sind in besonderem Maße sensibel und schützenswert, da der Zugang zu diesen Daten auf langfristigen Vertrauensbildungsprozessen mit Programmträgern aufbaut. Für die Dialogformate mit der Fachpraxis – u.a. im Rahmen von Monitoring-Workshops – gilt es in ähnlicher Weise Vertrauen zu bilden, nur hier unter Umständen mit dem Ziel, den Schutz der personenbezogenen Daten abzusenken. Es handelt sich hier um ein überschaubares Feld von Akteur*innen, sodass Rückschlüsse auf Personen, Organisationen und Programme nicht vollständig ausgeschlossen werden können, ohne dass eine Nutzung der erhobenen Daten unmöglich wird. Eine vollumfängliche Pseudo- oder Anonymisierung würde im Umkehrschluss außerdem bedeuten, die erhobenen Daten nur sehr eingeschränkt zum Erkenntnisgewinn und im Rahmen von Veröffentlichungen nutzen zu können.

 

Einverständnis von Studienteilnehmer*innen

Im Rahmen der Forschungstätigkeiten von PrEval werden keine personenbezogenen Daten ohne die freiwillige, schriftliche Einwilligung von Studienteilnehmer*innen oder deren rechtlicher Vertretung (im Folgenden entsprechend der DSGVO „betroffene Personen“ genannt) verarbeitet, wobei die Informationspflicht den betroffenen Personen und/oder ihren rechtlichen Vertreter*innen gegenüber vorab erfüllt wird. Unter Studienteilnehmer*innen werden sowohl die Teilnehmer*innen von Präventionsmaßnahmen, Kontrollgruppen, Maßnahmenanbieter*innen, Mitglieder von Förderinstitutionen, Evaluator*innen und andere beteiligte Akteur*innen, die zur Datenerhebung herangezogen werden, erfasst. Entsprechende Informationsmaterialien und/oder Einverständniserklärungen sind von den erhebenden PrEval-Verbund- und Netzwerkpartnern mit Blick auf die jeweils eingesetzten Methoden und Technologien zu konkretisieren und werden in verständlicher Darstellungsform und Sprache gehalten. Diese Informationen enthalten:

  • die Kontaktdaten des erhebenden PrEval-Verbund- oder Netzwerkpartners sowie des/der Datenschutzbeauftragten
  • die Zwecke und Rechtsgrundlage der Datenverarbeitung
  • alle Empfänger*innen oder Kategorien von Empfänger*innen der Daten
  • die Kriterien zur Festlegung der Dauer der Speicherung der personenbezogenen Daten
  • Informationen über jegliche automatisierte Entscheidungsfindung im Rahmen der Verarbeitung

 

In diesem Rahmen werden betroffene Personen über das Forschungsvorhaben PrEval im Allgemeinen sowie die Ziele von und Beteiligten an PrEval informiert. Darüber hinaus werden sie über die Art und den Umfang der erhobenen Daten und die technischen und organisatorischen Maßnahmen, die zum Schutz der Daten zum Einsatz kommen, in Kenntnis gesetzt. Dabei gilt insbesondere, dass die erhobenen Daten, wann immer es möglich und mit dem Forschungsvorhaben vereinbar ist, anonymisiert oder pseudonymisiert werden, sodass Rückschlüsse auf Personen, Organisationen und Projekte im Anschluss daran nicht mehr möglich sind. Ebenso sind betroffene Personen sorgfältig darüber aufzuklären, wenn eine vollständige Pseudonymisierung oder Anonymisierung ihrer Daten nicht möglich oder mit den Projektzielen unvereinbar ist, beispielsweise aufgrund der Erhebungsmethode (z.B. Videomaterial, biographische Interviews), der Eigenschaften des Praxisfeldes (d.h. wenige Akteur*innen), etc. Außerdem werden sie darüber aufgeklärt, ob sie vertraglich oder rechtlich zu einer Teilnahme verpflichtet sind und welche Folgen eine Nichtteilnahme im Falle einer Verpflichtung haben würde und könnte. Ebenso werden sie über sämtliche Rechte betroffener Personen in Kenntnis gesetzt. Diese Rechte umfassen das Folgende:

Eine betroffene Person kann jederzeit Informationen zu dem/den Verarbeitungszweck(en) der Erhebung, zu den Kategorien verarbeiteter personenbezogener Daten und ihren individuellen erhobenen Daten, zu dem/den Empfänger*innen der Daten, sowie zur Dauer oder zu den Kriterien zur Festlegung der Dauer der Speicherung der Daten verlangen (Auskunftsrecht). Sie kann darüber hinaus die Berichtigung, Vervollständigung oder Löschung ihrer Daten verlangen und ihre Zustimmung zur weiteren Verarbeitung einschränken oder widerrufen, ohne dass ihr dadurch Nachteile entstehen. Die Möglichkeit zum Widerruf wird den betroffenen Personen dabei auf ebenso einfachem Wege zur Verfügung gestellt wie die Zustimmung zur Verarbeitung erfolgt, und sie werden im Falle von Befragungen und Interviews die Möglichkeit haben, auch die Beantwortung einzelner Fragen zu verweigern. Ebenso haben betroffene Personen ein Recht auf Datenübertragbarkeit und das Recht zur Beschwerde bei einer Aufsichtsbehörde, wobei die betreffende Behörde in den Hinweisen konkret zu benennen ist.

 

Datenerhebung

Im Folgenden werden einzelne Methoden der Datenerhebung benannt, durch die personenbezogene Daten erfasst werden. Dies kann in verschiedenen Kontexten innerhalb von PrEval geschehen, z.B. im Rahmen einer Bedarfs- und Kapazitätserhebung im Feld oder im Rahmen von Pilotstudien. Die erhebenden PrEval-Verbund- oder Netzwerkpartner konkretisieren in eigenen Datenschutzhinweisen und Einverständniserklärungen, wie der Schutz der personenbezogenen Daten im Hinblick auf die von ihnen verwendeten Methoden und Technologien umgesetzt wird. Die PrEval- Verbund- und Netzwerkpartner setzen sich gegenseitig über diese in Kenntnis und stellen sie einander zur Verfügung.

Die Datenerhebung und ggf. Erstbearbeitung erfolgt auf stationären Rechnern und auf mobilen Datenträgern. Die Aufbewahrung der Daten erfolgt auf gesicherten Servern. In beiden Fällen gilt, dass die Daten zu verschlüsseln und durch ein Passwort zu schützen sind. Nach Abschluss der Erhebung und Bearbeitung sind die Daten weiterhin auf gesicherten Servern aufzubewahren. Ein Austausch der Daten zwischen den PrEval-Verbund- und Netzwerkpartnern erfolgt ausschließlich auf verschlüsseltem Weg bzw. auf gesicherten mobilen Datenträgern. Die Veröffentlichung der Ergebnisse der Datenerhebung an Dritte in wissenschaftlichen Publikationen und Vorträgen erfolgt in einer Form, die keine Rückschlüsse auf den Einzelfall oder Hinweise auf Beteiligte oder Tatsachen, die zu ihrer Identifizierung führen könnten, zulässt. Insbesondere bei der Publikation von qualitativen Daten ist darauf zu achten, dass bei der Nennung einzelner Präventionsmaßnahmen und anekdotischen Beschreibungen keine Rückschlüsse auf einzelne Personen möglich sind, ohne dass das explizite Einverständnis der betroffenen Person eingeholt wurde.

Aus verschiedenen Datenerhebungsmethoden ergeben sich die im Folgenden genannten spezifischen Anforderungen an den Schutz personenbezogener Daten. Bei qualitativen Erhebungsmethoden ist darauf zu achten, dass sich sowohl der datenerhebende PrEval-Verbund- oder Netzwerkpartner als auch die PrEval-Verbund- und Netzwerkpartner, die durch den Austausch von Daten Zugang zu diesen Daten erhalten, verpflichten, dass bei Veröffentlichung der Daten durch Nennung von Institutionen, einzelnen Maßnahmen und anekdotischen Berichten kein Rückschluss auf personenbezogene Daten möglich ist, es sei denn die betroffene Person hat ihr Einverständnis dazu erklärt. Bei der Erhebung quantitativer Daten sind diese ebenfalls im Rahmen der Möglichkeiten vor der Auswertung, dem Austausch und der Veröffentlichung zu pseudonymisieren oder anonymisieren.

Qualitative Interviews

Die durch die PrEval-Verbund- oder Netzwerkpartner gesammelten Daten aus Interviews werden, wo es die Beantwortung der Forschungsfrage(n) nicht unmöglich macht, anonymisiert bzw. pseudonymisiert. Die Interviews werden mit einem digitalen Aufnahmegerät aufgezeichnet, transkribiert und ausgewertet. Die digitalen Aufnahmen der Interviews werden vom durchführenden PrEval-Verbund- oder Netzwerkpartner jeweils auf einem zentralen Netzlaufwerk gespeichert und auf dem Aufnahmegerät gelöscht. Die PrEval-Verbund- oder Netzwerkpartner erläutern in ihren jeweiligen Datenschutzhinweisen im Detail die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten.

Mapping/Survey/Umfragen

Im Rahmen von PrEval werden ebenfalls Daten mittels telefonischer Befragungen erhoben und softwaregestützt verarbeitet. Zum Einsatz kommt dabei die Umfragesoftware LimeSurvey. Über eine grafische, webbasierte Benutzeroberfläche können Ergebnisse parallel zur Befragung dokumentiert werden. Entsprechend den oben genannten Bestimmungen werden diese Daten in der wissenschaftlichen Verarbeitung und Nutzung geschützt. Die PrEval-Verbund- oder Netzwerkpartner erläutern in ihren jeweiligen Datenschutzhinweisen im Detail die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten.

Surveys können im Laufe des Projekts online, mündlich, schriftlich oder telefonisch durchgeführt werden. Diese Daten werden vor dem Datenaustausch zwischen den PrEval-Verbund- und Netzwerkpartnern und vor der Datenauswertung pseudonymisiert. Werden Sekundärdaten aus Umfragen genutzt, so verpflichten sich alle PrEval-Verbund- und Netzwerkpartner, den Datenschutzregelungen der datenliefernden Organisation zu folgen.

Monitoring-Workshops

Im Rahmen von PrEval werden Monitoring-Workshops durchgeführt. Grundsätzlich gilt auch hier das Prinzip der Anonymisierung und Pseudonymisierung der personenbezogenen Daten, wo es möglich ist und die Beantwortung der Forschungsfrage nicht behindert.

Beobachtungen/Videoaufnahmen

Im Rahmen von PrEval werden ebenfalls Daten mithilfe von Beobachtungsmethoden erhoben. Auch hier gilt die Regel der Pseudonymisierung oder Anonymisierung der Daten, wo es die Verarbeitung der Daten zur Beantwortung der Forschungsfrage nicht unmöglich macht.

 

Da im Verlauf von PrEval, beispielsweise im Rahmen der Evaluationsdesignentwicklung und der Planung der Pilotstudien, weitere Methoden relevant werden können, kann diese Liste entsprechend erweitert werden. Im Falle der Entscheidung für die Anwendung einer hier noch nicht aufgeführten Erhebungsmethode teilen die PrEval-Verbund- und Netzwerkpartner dies dem Verbund im Rahmen von gemeinsamen Treffen mit und geben so ebenfalls Gelegenheit zur Besprechung der Anwendung und des diesbezüglich anzuwendenden Vorgehens zur Sicherung des Datenschutzes und der adäquaten Aufklärung betreffender Personen oder ihrer gesetzlichen Vertreter*innen. Entsprechende Entscheidungen für eine Erweiterung der Methodenliste werden in diesem Rahmen protokolliert und gelten mit der Annahme des Sitzungsprotokolls als vom Verbund angenommen.

 

Nutzung der virtuellen Arbeitsplattform

PrEval verwendet eine kollaborative virtuelle Arbeitsplattform, eine Nextcloud der Firma Quality Locations (Qloc), im Folgenden „Rad-Cloud“ genannt. Die Daten auf dieser Arbeitsplattform werden standardmäßig serverseitig verschlüsselt. Damit sind sie nur innerhalb von Rad-Cloud einsehbar. Auch der Up- und Download erfolgt verschlüsselt. Eine Ende-zu-Ende-Verschlüsselung von Daten, die also nur für Sender und Empfänger, aber nicht vom Server einsehbar sind, ist nicht verfügbar. Damit verfügt die Rad-Cloud über ein ausreichendes Schutzniveau für übliche Informationen in der Projekt-Zusammenarbeit und wird daher auch nur auf diese Weise eingesetzt. Die Rad-Cloud von Qloc wurde aufgrund ihres hohen Datenschutzniveaus gewählt. Ein Datenschutzvertrag mit der Firma liegt vor. Dennoch bleiben Risiken des Cloud-basierten Arbeitens für personenbezogene Daten erhalten. Für besonders sensible und schutzwürdige Daten kann sie daher nicht verwendet werden. Die Verbundpartner werden entsprechend über die Nutzung der Cloud informiert. Zur Verwendung der Rad-Cloud schafft PrEval folgende Regeln und Mechanismen zum Datenschutz:

  • PrEval Mitarbeiter*innen und Mitarbeiter*innen von assoziierten Verbund- und Netzwerkpartnern dürfen ausnahmslos keine personenbezogenen Daten von Studienteilnehmer*innen (erweiterter Kreis, siehe oben) in der Rad-Cloud ablegen.
  • Von PrEval Mitarbeiter*innen und Mitarbeiter*innen von assoziierten Verbund- und Netzwerkpartnern (Nutzer*innen der Rad-Cloud) werden ausschließlich Namen, institutionelle Anbindung, Telefonnummern und E-Mail-Adressen in der Rad-Cloud gespeichert.
  • In verschiedenen Arbeitsbereichen ergibt sich die Notwendigkeit, weitere personenbezogene Daten von Drittpersonen (nicht Studienteilnehmer*innen) in der Rad-Cloud zu speichern. Hierbei handelt es sich

    entweder um Kontaktdaten (z.B. für die Veranstaltungsorganisation oder Öffentlichkeitsarbeit). Auch hier werden ausschließlich Namen, institutionelle Anbindung und offizielle E-Mail-Adressen auf der Rad-Cloud gespeichert, sofern diese a) öffentlich zugänglich sind oder b) die betroffenen Personen explizit ihr Einverständnis für die Cloud-Speicherung gegeben haben. Für b) wird eine standardisierte Einverständniserklärung bereitgestellt.

    oder um Bild-, Ton- und Textmaterialien mit personenbezogenen Daten und evaluativen Äußerungen (nicht von Studienteilnehmer*innen), die zum Zwecke der Öffentlichkeitsarbeit auf der Rad-Cloud gespeichert werden. Sowohl für die Speicherung der Daten in der Rad-Cloud als auch für die Verwertung dieser Materialien müssen die betroffenen Personen vorab schriftlich ihr Einverständnis erteilen. Auch hierfür wird eine standardisierte Einverständniserklärung zur Verfügung gestellt.