PrEval-Datenschutzkonzept 2020–2022

Das Daten­schutz­konzept dient den Verbund- und Netzwerk­partnern als Richtlinie. Alle Verbund­partner haben sich diesem Daten­schutz­konzept verpflichtet. Die Verantwortung zur Umsetzung des Daten­schutzes liegt bei den Verbund- und Netzwerk­partnern. Wie im Konzept betont wird, ist die DSGVO rechtlich bindend.

Projektbeschreibung und Ziele

Das Projekt „Evaluations­designs für Präventions­maßnahmen“ (PrEval) ist ein Forschungs- und Transfervorhaben zur Erhebung von Evaluations­bedarfen und -kapazitäten in der Extremismus­prävention in Deutschland, sowie zur Entwicklung (multi­methodischer) Evaluations­designs und zur Durch­führung entsprechender Pilot­studien. Das Vorhaben ist gekenn­zeichnet durch einen engen Dialog von Akteur.­innen aus Wissen­schaft und Fach­praxis und zielt darauf ab, Fragen der Qualitäts­sicherung und Evaluation stärker als bisher in der zu evaluierenden Präventions­landschaft zu verankern. PrEval befasst sich dabei mit einem weiten Phänomen­bereich, der politische und religiöse Extremismen umfasst und Maßnahmen aus der politischen Bildung, der primären, sekundären und tertiären Prävention sowie Schnitt­stellen zur Kriminal­prävention adressiert.

An PrEval beteiligt sind insgesamt fünf Verbund­partner: Das Leibniz-Institut Hessische Stiftung Friedens- und Konfliktforschung (HSFK), welche als koordinierende und leitende Einrichtung fungiert, das Institut für inter­disziplinäre Konflikt- und Gewalt­forschung (IKG) an der Universität Bielefeld, das Leibniz-Institut für Bildungs­forschung und Bildungsinformation (DIPF), das Global Public Policy Institute (GPPi) und das Violence Prevention Network (VPN). PrEval wird durch das Bundes­ministerium des Innern, für Bau und Heimat (BMI) mit einer Laufzeit von März 2020 bis Dezember 2021 aus Mitteln des „Nationalen Präventions­programms gegen islamistischen Extremismus“ (NPP) gefördert.

Unterstützt wird der Verbund von Netzwerk­partnern, zu denen das Institut für Demokratie und Zivil­gesellschaft – Thüringer Doku­mentations- und Forschungs­stelle gegen Menschen­feindlichkeit (IDZ), ufuq.de e.V., das Bundes­ministerium für Familie, Senioren,  Frauen und Jugend (BMFSFJ), das Bundesamt für Migration und Flüchtlinge (BAMF), die Bundes­zentrale für politische Bildung (BpB) und das Deutsche Jugend­institut (DJI) zählen. Dieses Netzwerk ist im Verlauf von PrEval erweiterbar.

Grundsätze zum Datenschutz

Im Rahmen von PrEval kommen verschiedene Daten­erhebungs- und Analyse­methoden sowie Programm­formate zum Einsatz. Die Daten werden zum Beispiel durch Interviews, (Online-)­Befragungen, Monitoring-Workshops, Fokus­gruppen­gespräche, Be­obachtungen oder das Heran­ziehen administrativer Statistiken, Datensätze und Dokumente erhoben. Hierbei werden auch personen­bezogene Daten verarbeitet und, wo zur gemeinsamen Verfolgung des Forschungs­vorhabens notwendig, unter PrEval-Verbund- und Netzwerk­partnern geteilt. Die Verarbeitung dieser Daten dient ausschließlich den wissenschaftlichen Zwecken von PrEval. Wo es möglich ist, ohne dass dadurch die Be­antwortung der wissenschaftlichen Fragen des Projekts behindert wird, erfolgt die gemeinsame Ver­arbeitung und Nutzung der Daten pseudonymisiert, wobei die Informationen zur späteren Identifizierung möglichst bei dem PrEval-Verbund- oder Netzwerk­partner verbleiben, welcher sie erhoben hat.

Die rechtlichen Grundlagen aus der EU Datenschutz-­Grund­verordnung (DSGVO) sowie den jeweiligen Landes­datenschutz­gesetzen der beteiligten Verbund- und Netzwerk­partner (Berlin, Hessen, Nordrhein-Westfalen) werden angewendet. Alle PrEval-Verbund- und Netzwerk­partner tragen Sorge, dass die bei ihnen PrEval-bezogen tätigen Projekt­mitarbeiter.innen auf diese Regeln und die daraus folgenden Maß­nahmen zum Schutz personen­bezogener Daten hingewiesen werden. Im Folgenden werden die Aspekte der DSGVO, die für PrEval besondere Relevanz haben, aufgeführt. Diese Aus­führungen ersetzen dabei nicht den Originaltext der DSGVO, der für die PrEval-Verbund- und Netzwerkpartner insgesamt bindend ist.

Für das Feld der Programm­evaluation ist der Schutz personen­bezogener Daten, und der damit verbundene Vertrauens­schutz im Personen­kreis der Fachpraxis und der Klient.innen von Präventions­maßnahmen, von herausgehobener Bedeutung. Insbesondere die im Rahmen von Pilot­studien erhobenen Daten sind in besonderem Maße sensibel und schützenswert, da der Zugang zu diesen Daten auf langfristigen Vertrauens­bildungs­prozessen mit Programm­trägern aufbaut. Für die Dialog­formate mit der Fachpraxis – u.a. im Rahmen von Monitoring-­Workshops – gilt es in ähnlicher Weise Vertrauen zu bilden, nur hier unter Umständen mit dem Ziel, den Schutz der personen­bezogenen Daten abzusenken. Es handelt sich hier um ein überschaubares Feld von Akteur.innen, sodass Rück­schlüsse auf Personen, Organisationen und Programme nicht vollständig ausgeschlossen werden können, ohne dass eine Nutzung der erhobenen Daten unmöglich wird. Eine voll­umfängliche Pseudo- oder Anonymisierung würde im Umkehr­schluss außerdem bedeuten, die erhobenen Daten nur sehr eingeschränkt zum Erkenntnis­gewinn und im Rahmen von Ver­öffentlichungen nutzen zu können.

Einverständnis von Studienteilnehmer.innen

Im Rahmen der Forschungs­tätigkeiten von PrEval werden keine personen­bezogenen Daten ohne die freiwillige, schriftliche Einwilligung von Studien­teilnehmer.innen oder deren rechtlicher Vertretung (im Folgenden entsprechend der DSGVO „betroffene Personen“ genannt) verarbeitet, wobei die Informations­pflicht den betroffenen Personen und/oder ihren rechtlichen Vertreter.innen gegenüber vorab erfüllt wird. Unter Studienteil­nehmer.innen werden sowohl die Teilnehmer.innen von Präventions­maßnahmen, Kontroll­gruppen, Maßnahmen­anbieter.innen, Mitglieder von Förder­institutionen, Evaluator.innen und andere beteiligte Akteur.innen, die zur Daten­erhebung herangezogen werden, erfasst. Entsprechende Informations­materialien und/oder Einverständnis­erklärungen sind von den erhebenden PrEval-Verbund- und Netzwerk­partnern mit Blick auf die jeweils eingesetzten Methoden und Technologien zu konkretisieren und werden in verständlicher Darstellungs­form und Sprache gehalten. Diese Informationen enthalten:

  • die Kontakt­daten des erhebenden PrEval-Verbund- oder Netzwerk­partners sowie des/der Datenschutz­beauftragten
  • die Zwecke und Rechts­grundlage der Daten­verarbeitung
  • alle Empfänger.innen oder Kategorien von Empfänger.innen der Daten
  • die Kriterien zur Fest­legung der Dauer der Speicherung der personen­bezogenen Daten
  • Informationen über jegliche automatisierte Entscheidungs­findung im Rahmen der Verarbeitung

In diesem Rahmen werden betroffene Personen über das Forschungs­vorhaben PrEval im Allgemeinen sowie die Ziele von und Beteiligten an PrEval informiert. Darüber hinaus werden sie über die Art und den Umfang der erhobenen Daten und die technischen und organisatorischen Maßnahmen, die zum Schutz der Daten zum Einsatz kommen, in Kenntnis gesetzt. Dabei gilt insbesondere, dass die erhobenen Daten, wann immer es möglich und mit dem Forschungs­vorhaben vereinbar ist, ano­nymisiert oder pseudo­nymisiert werden, sodass Rück­schlüsse auf Personen, Orga­nisationen und Projekte im Anschluss daran nicht mehr möglich sind. Ebenso sind betroffene Personen sorgfältig darüber aufzuklären, wenn eine vollständige Pseudo­nymisierung oder Ano­nymisierung ihrer Daten nicht möglich oder mit den Projekt­zielen unvereinbar ist, beispielsweise aufgrund der Erhebungs­methode (z.B. Video­material, biographische Interviews), der Eigen­schaften des Praxisfeldes (d.h. wenige Akteur.innen), etc. Außerdem werden sie darüber aufgeklärt, ob sie vertraglich oder rechtlich zu einer Teilnahme verpflichtet sind und welche Folgen eine Nicht­teilnahme im Falle einer Verpflichtung haben würde und könnte. Ebenso werden sie über sämtliche Rechte betroffener Personen in Kenntnis gesetzt. Diese Rechte umfassen das Folgende:

Eine betroffene Person kann jederzeit Informationen zu dem/den Verarbeitungs­zweck(en) der Erhebung, zu den Kategorien verarbeiteter personen­bezogener Daten und ihren individuellen erhobenen Daten, zu dem/den Empfänger.innen der Daten, sowie zur Dauer oder zu den Kriterien zur Festlegung der Dauer der Speicherung der Daten verlangen (Auskunfts­recht). Sie kann darüber hinaus die Berichtigung, Ver­vollständigung oder Löschung ihrer Daten verlangen und ihre Zu­stimmung zur weiteren Ver­arbeitung einschränken oder widerrufen, ohne dass ihr dadurch Nach­teile entstehen. Die Möglichkeit zum Widerruf wird den betroffenen Personen dabei auf ebenso einfachem Wege zur Verfügung gestellt wie die Zustimmung zur Ver­arbeitung erfolgt, und sie werden im Falle von Be­fragungen und Interviews die Möglichkeit haben, auch die Be­antwortung einzelner Fragen zu verweigern. Ebenso haben betroffene Personen ein Recht auf Daten­übertrag­barkeit und das Recht zur Beschwerde bei einer Aufsichts­behörde, wobei die betreffende Behörde in den Hin­weisen konkret zu benennen ist.

Datenerhebung

Im Folgenden werden einzelne Methoden der Daten­erhebung benannt, durch die personen­bezogene Daten erfasst werden. Dies kann in verschiedenen Kontexten innerhalb von PrEval geschehen, z.B. im Rahmen einer Bedarfs- und Kapazitäts­erhebung im Feld oder im Rahmen von Pilot­studien. Die erhebenden PrEval-Verbund- oder Netzwerkpartner konkretisieren in eigenen Datenschutzhinweisen und Einverständnis­erklärungen, wie der Schutz der personenbezogenen Daten im Hinblick auf die von ihnen verwendeten Methoden und Technologien umgesetzt wird. Die PrEval- Verbund- und Netzwerk­partner setzen sich gegenseitig über diese in Kenntnis und stellen sie einander zur Verfügung.

Die Daten­erhebung und ggf. Erst­bearbeitung erfolgt auf stationären Rechnern und auf mobilen Datenträgern. Die Auf­bewahrung der Daten erfolgt auf gesicherten Servern. In beiden Fällen gilt, dass die Daten zu verschlüsseln und durch ein Passwort zu schützen sind. Nach Abschluss der Erhebung und Be­arbeitung sind die Daten weiterhin auf gesicherten Servern auf­zu­bewahren. Ein Austausch der Daten zwischen den PrEval-Verbund- und Netzwerk­partnern erfolgt ausschließlich auf verschlüsseltem Weg bzw. auf gesicherten mobilen Daten­trägern. Die Veröffentlichung der Ergebnisse der Daten­erhebung an Dritte in wissenschaftlichen Publikationen und Vorträgen erfolgt in einer Form, die keine Rückschlüsse auf den Einzelfall oder Hinweise auf Beteiligte oder Tatsachen, die zu ihrer Identi­fizierung führen könnten, zulässt. Insbesondere bei der Publikation von qualitativen Daten ist darauf zu achten, dass bei der Nennung einzelner Präventions­maßnahmen und anekdotischen Be­schreibungen keine Rück­schlüsse auf einzelne Personen möglich sind, ohne dass das explizite Ein­verständnis der betroffenen Person eingeholt wurde.

Aus verschiedenen Datenerhebungs­methoden ergeben sich die im Folgenden genannten spezifischen Anforderungen an den Schutz personenbezogener Daten. Bei qualitativen Erhebungs­methoden ist darauf zu achten, dass sich sowohl der datenerhebende PrEval-Verbund- oder Netzwerkpartner als auch die PrEval-Verbund- und Netzwerk­partner, die durch den Austausch von Daten Zugang zu diesen Daten erhalten, verpflichten, dass bei Ver­öffentlichung der Daten durch Nennung von Institutionen, einzelnen Maßnahmen und anekdotischen Berichten kein Rückschluss auf personenbezogene Daten möglich ist, es sei denn die betroffene Person hat ihr Ein­verständnis dazu erklärt. Bei der Erhebung quantitativer Daten sind diese ebenfalls im Rahmen der Möglich­keiten vor der Aus­wertung, dem Austausch und der Veröffentlichung zu pseudo­nymisieren oder ano­nymisieren.

Qualitative Interviews

Die durch die PrEval-Verbund- oder Netzwerk­partner gesammelten Daten aus Interviews werden, wo es die Beantwortung der Forschungsfrage(n) nicht unmöglich macht, ano­nymisiert bzw. pseudo­nymisiert. Die Interviews werden mit einem digitalen Aufnahme­gerät aufgezeichnet, transkribiert und ausgewertet. Die digitalen Aufnahmen der Interviews werden vom durchführenden PrEval-Verbund- oder Netzwerkpartner jeweils auf einem zentralen Netzlaufwerk gespeichert und auf dem Aufnahme­gerät gelöscht. Die PrEval-Verbund- oder Netzwerkpartner erläutern in ihren jeweiligen Datenschutzhinweisen im Detail die technischen und orga­nisatorischen Maß­nahmen zum Schutz der personen­bezogenen Daten.

Mapping/Survey/Umfragen

Im Rahmen von PrEval werden ebenfalls Daten mittels telefonischer Be­fragungen erhoben und softwaregestützt verarbeitet. Zum Einsatz kommt dabei die Umfrage­software LimeSurvey. Über eine grafische, webbasierte Benutzeroberfläche können Ergebnisse parallel zur Befragung dokumentiert werden. Entsprechend den oben genannten Be­stimmungen werden diese Daten in der wissenschaftlichen Verarbeitung und Nutzung geschützt. Die PrEval-Verbund- oder Netzwerk­partner erläutern in ihren jeweiligen Datenschutz­hinweisen im Detail die technischen und orga­nisatorischen Maßnahmen zum Schutz der personenbezogenen Daten.

Surveys können im Laufe des Projekts online, mündlich, schriftlich oder telefonisch durchgeführt werden. Diese Daten werden vor dem Daten­austausch zwischen den PrEval-Verbund- und Netzwerk­partnern und vor der Daten­auswertung pseudonymisiert. Werden Sekundär­daten aus Umfragen genutzt, so verpflichten sich alle PrEval-Verbund- und Netzwerkpartner, den Datenschutz­regelungen der datenliefernden Organisation zu folgen.

Monitoring-Workshops

Im Rahmen von PrEval werden Monitoring-Workshops durchgeführt. Grundsätzlich gilt auch hier das Prinzip der Ano­nymisierung und Pseudo­nymisierung der personen­bezogenen Daten, wo es möglich ist und die Beantwortung der Forschungs­frage nicht behindert.

Beobachtungen/Videoaufnahmen

Im Rahmen von PrEval werden ebenfalls Daten mithilfe von Beobachtungs­methoden erhoben. Auch hier gilt die Regel der Pseudo­nymisierung oder Ano­nymisierung der Daten, wo es die Verarbeitung der Daten zur Be­antwortung der Forschungs­frage nicht unmöglich macht.

Da im Verlauf von PrEval, beispielsweise im Rahmen der Evaluations­design­entwicklung und der Planung der Pilot­studien, weitere Methoden relevant werden können, kann diese Liste entsprechend erweitert werden. Im Falle der Entscheidung für die Anwendung einer hier noch nicht aufgeführten Erhebungs­methode teilen die PrEval-Verbund- und Netzwerk­partner dies dem Verbund im Rahmen von gemeinsamen Treffen mit und geben so ebenfalls Gelegenheit zur Besprechung der Anwendung und des dies­bezüglich anzuwendenden Vorgehens zur Sicherung des Daten­schutzes und der adäquaten Aufklärung betreffender Personen oder ihrer gesetzlichen Vertreter.innen. Entsprechende Entscheidungen für eine Erweiterung der Methoden­liste werden in diesem Rahmen protokolliert und gelten mit der Annahme des Sitzungs­protokolls als vom Verbund angenommen.

Nutzung der virtuellen Arbeitsplattform

PrEval verwendet eine kollaborative virtuelle Arbeits­plattform, eine Nextcloud der Firma Quality Locations (Qloc), im Folgenden „Rad-Cloud“ genannt. Die Daten auf dieser Arbeitsplattform werden standardmäßig serverseitig verschlüsselt. Damit sind sie nur innerhalb von Rad-Cloud einsehbar. Auch der Up- und Download erfolgt verschlüsselt. Eine Ende-zu-Ende-Ver­schlüsselung von Daten, die also nur für Sender und Empfänger, aber nicht vom Server einsehbar sind, ist nicht verfügbar. Damit verfügt die Rad-Cloud über ein ausreichendes Schutz­niveau für übliche Informationen in der Projekt-­Zusammen­arbeit und wird daher auch nur auf diese Weise eingesetzt. Die Rad-Cloud von Qloc wurde aufgrund ihres hohen Datenschutz­niveaus gewählt. Ein Datenschutz­vertrag mit der Firma liegt vor. Dennoch bleiben Risiken des Cloud-basierten Arbeitens für personen­bezogene Daten erhalten. Für besonders sensible und schutz­würdige Daten kann sie daher nicht verwendet werden. Die Verbundpartner werden entsprechend über die Nutzung der Cloud informiert. Zur Verwendung der Rad-Cloud schafft PrEval folgende Regeln und Mechanismen zum Daten­schutz:

  • PrEval Mitarbeiter.innen und Mitarbeiter.innen von assoziierten Verbund- und Netzwerk­partnern dürfen ausnahmslos keine personen­bezogenen Daten von Studien­teilnehmer.innen (erweiterter Kreis, siehe oben) in der Rad-Cloud ablegen.
  • Von PrEval Mitarbeiter.innen und Mitarbeiter.innen von assoziierten Verbund- und Netzwerk­partnern (Nutzer.innen der Rad-Cloud) werden ausschließlich Namen, institutionelle Anbindung, Telefonnummern und E-Mail-Adressen in der Rad-Cloud gespeichert.
  • In verschiedenen Arbeits­bereichen ergibt sich die Notwendigkeit, weitere personenbezogene Daten von Dritt­personen (nicht Studienteilnehmer.innen) in der Rad-Cloud zu speichern. Hierbei handelt es sich

    entweder um Kontakt­daten (z.B. für die Veranstaltungs­organisation oder Öffentlichkeits­arbeit). Auch hier werden ausschließlich Namen, institutionelle An­bindung und offizielle E-Mail-Adressen auf der Rad-Cloud gespeichert, sofern diese a) öffentlich zugänglich sind oder b) die betroffenen Personen explizit ihr Ein­verständnis für die Cloud-Speicherung gegeben haben. Für b) wird eine standardisierte Einverständnis­erklärung bereitgestellt.

    oder um Bild-, Ton- und Text­materialien mit personen­bezogenen Daten und evaluativen Äußerungen (nicht von Studien­teilnehmer.innen), die zum Zwecke der Öffentlichkeits­arbeit auf der Rad-Cloud gespeichert werden. Sowohl für die Speicherung der Daten in der Rad-Cloud als auch für die Ver­wertung dieser Materialien müssen die betroffenen Personen vorab schriftlich ihr Ein­verständnis erteilen. Auch hierfür wird eine standardisierte Einverständnis­erklärung zur Verfügung gestellt.