EU-DSGVO / GDPR & questfox: Important Notice

Datenschutz – questfox is ready for EU-DSGVO / GDPR

EU-DSGVO / GDPR & questfox

Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) umgesetzt sein. Die DSGVO wird nicht nur für europäische Unternehmen gelten, sondern auch für viele Unternehmen außerhalb Europas.

Die DSGVO führt hierbei zu deutlich erhöhten Compliance-Anforderungen an Unternehmen. Der Einsatz von Auftragsverarbeitern (Stellen, die personenbezogene Daten im Auftrag des Unternehmens entsprechend dessen Anweisungen verarbeiten) erfordert zwingend den Abschluss von Datenverarbeitungsverträgen.

pangea labs nimmt Datenschutz immer sehr ernst. Die Datenschutzgrundverordnung sehen wir als europäischer Anbieter als große Chance. Wir sind zwar gestresst von den Umsetzungen der Anforderungen, sind aber davon überzeugt, dass es langfristig zu einem Wettbewerbsvorteil führt, wenn die Anforderungen korrekt umgesetzt sind. Die Zeiten der wilden Datensammlung gehen damit zu Ende und wir freuen uns auf Marktforschung im Zeitalter des Schutzes des Individuums.  Wir freuen uns, dass wir so unseren Kunden auch zukünftig die rechtskonforme Durchführung ihrer Forschungsprojekte ermöglichen können.

Die Regelungen der DSGVO haben wir uns sehr zu Herzen genommen und einige Dinge für die Verwendung von questfox geändert. Wir gehen damit teilweise über die Forderungen der DSGVO hinaus, denn wir wollen das Individuum vor dem Zugriff Dritter schützen.

Folgende Dinge werden Sie ab Mai 2018 in questfox verändert vorfinden:

Marktforschung erfolgt per Definition anonym

Marktforschung erfolgt per Definition anonym. Der Schutz der Befragten steht an vielen Stellen im Vordergrund. Es ist absolut vorstellbar Marktforschung ohne die Erhebung persönlicher Daten vorzunehmen. questfox erhebt in der Grundeinstellung keinerlei persönliche Information. In dem Moment, in dem E-Mail Adresse oder andere Identifikationsmerkmale abgefragt werden, hat der Nutzer sich mit dem Schutz personenbezogener Daten auseinanderzusetzen, für deren Verwendung ab sofort grundsätzlich eine Einverständniserklärung einzuholen ist. Dies ist in erster Linie die Aufgabe des Verwenders von questfox. Wir haben eine Vielzahl von Anpassungen und Neuerungen vorgenommen, um dem Nutzer die Anwendung der DSGVO möglichst einfach zu machen.

Verbesserungen im User Profil der questfox Nutzer

• Es ist nun möglich die Laufzeit und Nutzerrechte in den einzelnen Project Spaces, denen man zugeteilt wurde in einer Übersicht zu sehen.
• Unter User Profile sind nun auch die Datenschutzerklärung und die Nutzungsbedingungen, denen zugestimmt wurde jederzeit einsehbar.

Cookies zum Speichern der Nutzersession

• questfox verwendet Cookies zum Abspeichern der Nutzersession. Diese Cookies werden mit keiner anderen Partei geteilt und dienen nur der Wiedererkennung von berechtigten Usern.
• Auf Ebene der Interviews verwenden wir Cookies zum Abspeichern der sog. Session ID. Diese dient nur der kontrollierten Steuerung der Zugriffe auf eine Befragung.  Auf diese Weise ist es möglich, die Wiederaufnahme eines Interviews zu steuern.
• Cookies werden von uns nicht für Werbung oder andere Zwecke als die Steuerung einer Befragung verwendet.

Recht auf Löschen des eigenen Profils

Unter User Profile ist es nun auch möglich das eigene Profil zu löschen. Der questfox Zugang erlischt damit sofort. Wir kommen damit einer zentralen Forderung der EU DSGVO nach. Die Projekte sind von dieser Löschung nicht betroffen. Diese können jederzeit von berechtigten Personen gelöscht werden.

Personenbezogene Daten nur mit Einwilligung der Nutzer

questfox speichert keine personenbezogenen Daten mehr ohne die Einwilligung der Nutzer. Das Primat der Datensparsamkeit haben wir in der Software mit folgenden Veränderungen angewandt:

questfox speichert und exportiert keine IP-Adressen mehr

Wir speichern keine IP Adressen mehr im Datensatz ab. Es ist somit zukünftig nicht mehr möglich über externe Services irgendwelche Verknüpfungen auf Basis einer IP Adresse zu erstellen.

questfox zeigt keine Standorte von Befragten mehr an

Mit dem Wegfall der IP-Adressen verschwindet auch ein geschätztes Feature, welches wir aber für problematisch halten. Es gibt zukünftig in questfox keine Location based Maps mehr. Der Standort eines Befragten wird dementsprechend nicht mehr durch questfox lokalisierbar sein.
Falls erforderlich, bietet questfox allerdings an, die GPS Position durch den Befragten genehmigen zu lassen. In diesen Fällen muss der Nutzer diese Abfrage jedes Mal genehmigen. Damit liegt das EInverständnis des Nutzers vor und die Daten dürfen verwendet werden. Eine Auswertung der Geodaten wird es jedoch auch hierbei in questfox nicht geben. In Projekten, bei denen die Geolocation von Relevanz ist, ist also die Nutzergenehmigung einzuholen und dann mit entsprechenden Tools anonym auszuwerten.

gehört damit der Vergangenheit an.

Datensparsamkeit auch bei Paradata

In questfox Projekten werden keine nicht-reaktiven Daten gespeichert, die auf Halde erhoben werden. Dies bedeutet konkret, dass zu einem Interview lediglich Datum und Uhrzeit abgespeichert werden. Das Gebot der Datensparsamkeit interpretieren wir dergestalt, dass wir weitere ParaData Elemente nur auf ausdrückliche Anwendung des Nutzers in die Befragung integrieren. So werden beispielsweise Location Stamps oder Zeitmessungen bei Fragen nur noch abgespeichert, wenn dies explizit als Paradata-Frage in den Fragebogen integriert wird. Auch Informationen wie der User Agent werden nur auf explizite Integration abgespeichert. Wir gehen mit dieser konsequenten Umsetzung damit über die Grundanforderung der DSGVO hinaus im Sinne einer fairen Marktforschung.

Diese Elemente werden weiterhin nur auf explizite Integration durch den programmierenden Anwender aktiv geschaltet.

Weiterhin strikte Trennung von Einladungsprozess und Auswertungsprozess

Der Einladungsprozess in questfox wird in Zeiten von Mailchimp und ähnlichen Tools weniger häufig genutzt. Viele Kunden schätzen jedoch die sehr praktischen Funktionalitäten der Einladung per E-Mail direkt aus questfox. Hierzu sind jedoch einige Dinge zu beachten.

• Um die E-Mail Einladungsfunktion von questfox zu nutzen muss von jedem Menschen, dessen Einladungsdaten in questfox hochgeladen werden, die Genehmigung zur Kontaktaufnahme vorliegen. Diese Grundvoraussetzung können wir als Dienstleister nicht überprüfen. Wir gehen jedoch davon aus, dass die Anwender die Tragweite ihrer Handlung verstanden haben und uns in den Nutzungsbedingungen auch bestätigt haben. Jeder E-Mail Versand setzt das Einverständnis der eingeladenen Menschen voraus. Jedes Mal.
• Wenn Nutzer E-Mail-Adressen für Einladungen verwenden, dann können diese in Zukunft nicht mehr mit den Daten exportiert werden. Wir sorgen für eine strikte Trennung des Response-Management von der Auswertung. Wenn eine Email-Adresse im Datensatz erforderlich sein sollte, so muss die Genehmigung hierzu in der Befragung erneut abgefragt und die E-Mail Adresse vom Nutzer erneut eingegeben werden. Somit sollte der Vorgang mit den Anforderungen der Nutzergenehmigung konform sein.
• Pseudonymisierung: Wir empfehlen auch keine Kundenummern oder vergleichbare Schlüssel im E-Mailprozess zu verwenden, sondern legen eine Pseudonymisierung derartiger Daten vor dem Upload in questfox nahe.

Datenlöschung

• Die neue DSGVO sieht keinen Automatismus bei der Löschung mehr vor. Wir möchten dennoch die Ansammlung von Daten vermeiden und haben uns auferlegt, eine Löschfrist mit den Nutzern zu vereinbaren.
• Daten aus alten Projekten werden gelöscht.
  Derzeit planen wir, 90 Tage nach Ende der Laufzeit des Nutzungsagreements die vorliegenden Daten zu löschen. Es gibt dann keine Backups mehr und keine Wiederherstellungsoption. Gelöschte Daten können nicht rekonstruiert werden.
• Living Reports sind noch verfügbar. Ein Update löscht auch diese Sichten
• Fragebögen bleiben erhalten. Wir behalten uns vor, diese nach Ablauf der Nutzungsdauer ebenfalls zu löschen. Da die leeren Fragebögen in Bezug auf den Datenschutz jedoch unkritisch sind, können diese als Vorlage für die Zukunft wieder eingesetzt werden.
• Wir arbeiten an einer Automatisierung der Datenlöschung. So soll schon bald die automatische Datenlöschung nach Ablauf einer Frist möglich sein.

Projektverantwortlicher und Datenschutzbeauftragter sind in jedem Projekt zu definieren

In den Project Settings eines jeden Projektes kann nun ein Datenschutzverantwortlicher definiert werden. Die dort hinterlegte E-Mail Adresse wird auch verwendet, um etwaige Löschprotokolle zu versenden.

Impressum und Datenschutzerklärung für jede Studie verpflichtend.

• Der Nutzer hat zukünftig die Pflicht ein rechtskonformes auf ihn und seine Organisation verweisendes Impressum sowie eine Datenschutzerklärung abzugeben.
• Zusätzlich zum Impressum kann nun eine eigene Datenschutzerklärung pro Project Space angelegt werden. Impressum und Datenschutzerklärung sind von jeder Befragungsseite stets mit einem Klick aufrufbar.
• In der Datenschutzerklärung sollte über den Hintergrund der jeweiligen Datenerhebungsvorhaben informiert und über den Verbleib der Daten aufgeklärt werden. Löschfristen für persönliche Daten sollten hier angegeben werden.
• Anwender sind verantwortlich für die Pflege von Impressum und Datenschutzerklärung in ihrem Project Space. Wir übernehmen keinerlei Verantwortung für die Korrektheit der Inhalte. Im Falle einer Behördenanfragen wird  von uns auf den Verantwortliche des Project Spaces als Ansprechpartner verwiesen.

Datenschutzbeauftragter

Bei Fragen zum Datenschutz wenden Sie sich an den von uns bestellten Datenschutzbeauftragten

Frank Heublein
Adalbertstraße 37
80799 München
Tel +49 89 27275056 Fax +49 89 27275055

E-Mail dsb@pangealabs.com

Erneuerung der Datenschutzerklärung, Nutzungsbedingungen und Allgemeinen Geschäftsbedingungen

Insgesamt hat die DSGVO Initiative dazu geführt, dass wir auf allen Ebenen die Dokumentation der Prozesse vorangetrieben haben. Für die Anwender sind daraus drei stark überarbeitete Dokumente entstanden.

• Überarbeitete Datenschutzerklärung
• Überarbeitete Nutzungsbedingungen zur Verwendung von questfox
• Überarbeitete Allgemeine Geschäftsbedingungen der pangea labs GmbH

Diese und weitere Dokumente stehen den angemeldeten Benutzern, mit denen eine Vertragsbeziehung besteht, innerhalb von questfox zur Verfügung.

Wir freuen uns auf eine Zukunft mit gesicherter Datenerhebung