Datenschutz für die Onlineplattform MOLA
1. Gegenstand und Vergabe
Mit dem MOLA-Fragebogen ermöglicht die Unfallkasse Rheinland-Pfalz (im Folgenden UK RLP genannt) eine Beschäftigtenbefragung für sichere und gesunde Arbeit und Zusammenarbeit, die die wesentlichen Belastungsfaktoren und Beanspruchungsfolgen der Arbeitswelt, auch unter Berücksichtigung von Digitalisierung und Organisationskultur, abbildet. Seine Einsatzbereiche erstrecken sich von der Berücksichtigung psychischer Belastung in der Gefährdungsbeurteilung, über das Betriebliche Gesundheitsmanagement, bis hin zur umfassenden Organisations- und Kulturentwicklung. Der gesamte Fragebogen, inklusive Handlungsmanual, ist frei zugänglich auf der Seite “Mitarbeitendenbefrgung MOLA” auf unserer Website.
Zur besseren Durchführung und Auswertung des MOLA-Fragebogens im Betrieb hat die Unfallversicherung Bund und Bahn (UVB) zum 06.04.2022 die Firma Ingress GmbH, Weidestr. 122a, 22083 Hamburg (im Folgenden Ingress genannt), mit Entwicklung, Betrieb und Support einer Online-Plattform beauftragt. Das Vergabeverfahren erfolgte über die E-Vergabeplattform des Bundes unter der Nummer 083-22. Auf den geschlossenen Vertrag können weiterhin die Unfallkasse Baden-Württemberg, die Unfallkasse Nord sowie die Unfallkasse Rheinland-Pfalz auf Grundlage des öffentlich-rechtlichen Vertrags vom 06.10.2022 zugreifen.
Mitgliedsbetriebe der beteiligten Unfallversicherungsträger können bei ihrem zuständigen Unfallversicherungsträger einen Antrag stellen, das Onlinetool zur Durchführung des MOLA-Fragebogens zu nutzen. Die Beauftragung von Ingress erfolgt durch den zuständigen Unfallversicherungsträger.
Die Grundlage des Datenschutzkonzeptes bildet die Europäische Datenschutz-Grundverordnung (DS-GVO) und das Landesdatenschutzgesetz Rheinland-Pfalz (LDSG RLP).
Die gesamte Planung und Entwicklung der Online-Plattform in Hinblick auf alle Aspekte zu Datenschutz und -sicherheit erfolgte in Kooperation der Datenschutzbeauftragten der UVB und Ingress.
2. Vereinbarung zur Auftragsverarbeitung
Zwischen der UK RLP und Ingress wurde ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DS-GVO geschlossen. Darin werden u.a.
- der Gegenstand und Dauer der Verarbeitung,
- Art und Zweck der Verarbeitung,
- die Arten personenbezogener Daten, die Gegenstand der Verarbeitung durch den Auftragsverarbeiter sind,
- die Kategorien betroffener Personen und
- die Rechte und Pflichten des Verantwortlichen
beschrieben.
Die Vereinbarung zur Auftragsverarbeitung kann bei der Projektleitung erfragt werden (siehe Kapitel 6).
3. Datensicherheit (DS-GVO)
Die Online-Befragung erfolgt mit der webbasierten Software „keyingress“ des Unternehmens Ingress GmbH, welche Online-Umfragen ermöglicht.
Ingress garantiert die Einhaltung der geltenden deutschen und europäischen Bestimmungen zum Datenschutz. Dazu sind die bei Ingress tätigen Mitarbeitenden schriftlich auf die Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) verpflichtet worden.
Bei der Verarbeitung personenbezogener Daten, wird Ingress im Auftrag der UK RLP im Sinne des Art. 28 DS-GVO tätig. Die gem. Art. 28 DS-GVO notwendigen Regelungen werden erfüllt.
Ingress wird personenbezogene Daten nur im Rahmen der getroffenen Vereinbarungen zum Einsatz des MOLA-Fragebogens (siehe Kapitel 4) und gemäß den datenschutzrechtlichen Bestimmungen nutzen. Die Mitarbeitenden werden regelmäßig im Bereich Datenschutz- und Informationssicherheit geschult.
Zudem garantiert Ingress, alle erhaltenen Informationen unbefristet geheim zu halten. Das gilt neben den betrieblichen Organisationsabläufen besonders für alle Informationen, die als vertraulich bezeichnet werden oder als Betriebs- und Geschäftsgeheimnisse erkennbar sind.
Die UK RLP erhält nach Antragsgenehmigung ausschließlich die Mitteilung, dass die jeweilige Befragung angelegt und durchgeführt wurde. Es werden keine weiteren Daten, Aufzeichnungen und Mitteilungen an Dritte übermittelt.
Die personenbezogenen Daten und die Fragebogendaten werden im MOLA-Online-Tool getrennt voneinander gespeichert. Nach 12 Wochen werden alle personenbezogenen Daten automatisch gelöscht. Personen, die die Projekte im MOLA-Online-Tool administrieren und auswerten, haben nur Zugriff auf aggregierte anonyme Ergebnisdaten. Bei Filterungen wird durch Auswertungsuntergrenzen (Personengruppen von mindestens fünf Personen) die Anonymität zu jedem Zeitpunkt gewährleistet.
Ingress garantiert die nach Art. 28 und Art. 32 DS-GVO vorgeschriebenen technischen und organisatorischen Maßnahmen (TOM), um die auf ihren Systemen gespeicherten Daten vor unbefugtem Zugriff, Veränderung, Entwendung oder Zerstörung zu schützen (siehe Anlage). Zudem werden die Anforderungen des Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) beachtet.
Solche Maßnahmen bestehen unter anderem darin, dass
- die Verarbeitung personenbezogener Daten minimiert wird
- personenbezogene Daten so schnell wie möglich pseudonymisiert werden
- Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird
- der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen
- der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern
Die Server von Ingress befinden sich in nach ISO 27001 zertifizierten Hochleistungsrechenzentren in Deutschland. Es werden zu keinem Zeitpunkt Daten in Drittländer übertragen. Eine Verarbeitung von Daten in einem Rechenzentrum außerhalb des DSGVO-Geltungsbereichs (EU) ist ausgeschlossen.
Unter diesem Link finden Sie eine über das vorliegende Projekt hinaus geltende Erklärung der Firma Ingress zur Datensicherheit: Datensicherheit (DSGVO) keyingress Software - Umfragesoftware für Kundenbefragungen Mitarbeiterbefragungen Online-Umfragen After-Sales-Befragungen - Ingress® Software und Service for Market Research Human Resources Call Center Survey Software Telemarketing
4. Einsatz des MOLA-Fragebogens mit der Online-Plattform
Im Folgenden wird der gesamte Prozess zum Einsatz des MOLA-Fragebogens mit der Online-Plattform beschrieben. Die Tabelle (siehe unten) gibt einen Überblick über die einzelnen Schritte:
1 | Info zum MOLA-Fragebogen, Antrag, Strategieworkshop |
2 | Formular zum Anlegen der Online-Plattform bei der Ingress GmbH |
3 | Administrations-Tool der Online-Plattform – Befragung anlegen |
4 | Online-Plattform – Befragung durchführen |
5 | Online-Plattform – Befragungsdaten |
6 | Administrations-Tool der Online-Plattform – Befragung auswerten |
7 | Speicherung der Daten |
8 | Löschung der Daten nach 12 Wochen + anonymisierte Überführung der erhobenen Befragungsdaten in den Gesamtdatensatz |
4.1 MOLA-Fragebogen
Am Anfang steht eine Informationsveranstaltung und anschließend die betriebsinterne Entscheidung, ob und zu welchem Zweck der MOLA-Fragebogen eingesetzt werden soll. Dafür füllt der Betrieb einen Antrag zur Nutzung der Online-Plattform zur Durchführung der MOLA-Beschäftigtenbefragung bei der UK RLP aus.
Bei Genehmigung des Antrags seitens der UK RLP, findet ein Strategieworkshop statt. Datenschutzrechtlich müssen im Strategieworkshop seitens des Betriebs drei Festlegungen getroffen werden, um die allgemeingültige AV zu konkretisieren:
- Wie soll den Befragten der Zugriff auf die Befragungsplattform ermöglicht werden? Hierzu gibt es drei Möglichkeiten:
- Die Befragten erhalten aus der Online-Plattform heraus einen personalisierten Link. Hierzu müssen die E-Mail-Adressen, Vorname und Name der Befragten seitens des Betriebs in das System hochgeladen werden.
- Der Betrieb erhält die notwendige Anzahl personalisierter Links und verteilt diese selbst per Mail an die Befragten. E-Mail-Adressen, Nachnamen und Vornamen werden nicht erhoben und somit nicht im System gespeichert.
- Der Betrieb erhält einen allgemeingültigen Link und verteilt diesen selbst per Mail an die Befragten. E-Mail-Adressen, Nachnamen und Vornamen werden nicht erhoben und somit nicht im System gespeichert.
- Welche Strukturvariablen (bspw. Tätigkeit, Arbeitsbereich, Alter, Geschlecht) sollen erhoben und für die Auswertung der Befragung verarbeitet werden? (maximal acht)
- Personenkreis: Standardmäßig sollen alle Beschäftigten des nutzenden Betriebs befragt werden. Sollen nur bestimmte Beschäftigtengruppen teilnehmen, ist dies im Antrag zu vermerken.
Außerdem sollte der Betrieb prüfen, ob die Nutzung der Online-Plattform geeignet ist:
- Haben alle Befragten Zugriff auf das Internet?
- Können die IT-Voraussetzungen erfüllt werden?
- Sind alle datenschutzrechtlichen Fragen geklärt?
Sind alle Fragen geklärt, kann das Formular zum Anlegen der Online-Plattform bei der Ingress GmbH bei der UK RLP eingereicht werden.
4.2 Administrations-Tool der Online-Plattform
Die Einrichtung und Auswertung der Onlinebefragung erfolgt durch den Betrieb selbst. Hierfür erhalten drei vom Betrieb definierte Ansprechpersonen einen individuellen Zugang zum Administrationstool der Online-Plattform.
Der Zugang, ebenso wie alle hierfür erhobenen Daten, wird 12 Wochen nach Ende des Befragungszeitraumes automatisiert gelöscht.
Der Benutzername muss eine E-Mail-Adresse sein. Das Erstpasswort wird von der Ingress GmbH übermittelt und muss beim ersten Zugriff auf das Tool geändert werden. Für jede weitere Passwortänderung muss die Ansprechperson im Tool eingeloggt sein.
Ein Login kann nur über eine deutsche IP-Adresse erfolgen. Für die Anmeldung ist die "Autovervollständigung", die durch die Browser vorgeschlagen wird, deaktiviert. Nach 3 fehlgeschlagenen Loginversuchen in Folge wird der Zugang für 24 Stunden gesperrt.
Es gelten folgende Einstellungen zur Passwortqualität:
- min. Passwortlänge: 8 Zeichen
- min. Anzahl Klein-, Großbuchstaben, Ziffern, Sonderzeichen im Passwort: je 1
- max. Häufigkeit eines Zeichens: 3
- max. erlaubte Länge einer Zeichenfolge: 3
Sollte das Passwort vergessen werden, kann es über einen einmaligen eindeutigen URL, der per E-Mail an die Ansprechperson gesendet wird, geändert werden. Das Passwort kann über diesen URL nur in einem Zeitraum von maximal einer Stunde nach Generierung des URLs geändert werden. Danach verfällt der URL.
4.2.1 Befragung anlegen und durchführen
Wie beschrieben legt der Betrieb die Befragung selbstständig an. Dies umfasst unter anderem Inhalte und Befragungszeitraum. Hier definiert der Betrieb auch die sogenannten Strukturvariablen (bspw. Tätigkeitsgruppen, Führungsverantwortung, Betriebszugehörigkeit), nach denen die Auswertung später gefiltert werden kann.
Die Beantwortung des MOLA-Fragebogens ist freiwillig. Dabei dürfen auch Fragen ausgelassen werden, inklusive der sogenannten Strukturvariablen.
Einwilligung erfragen
Personenbezogene Daten dürfen nur bei Vorliegen einer Rechtsgrundlage verarbeitet werden. Eine mögliche Rechtsgrundlage ist die Einwilligung. Zu Befragungsbeginn können die Befragten ihre freiwillige Einwilligung zur Teilnahme gemäß Art. 6 Abs. 1 lit. a DS-GVO geben.
Die Einwilligung muss den Anforderungen des Art. 7 DS-GVO entsprechen:
- Informiertheit: Der betroffenen Person ist bekannt, in welche Datenverarbeitung sie einwilligt und welchem Zweck diese dient. Dieser Sachverhalt unterliegt seitens der verantwortlichen Stelle einer Nachweispflicht
- Freiwilligkeit: Eine Einwilligung ist nur ohne Zwang wirksam. Der Betroffene hat eine eindeutige „Wahlfreiheit“ und eine Verweigerung der Einwilligungserklärung hat keine Nachteile
- Eindeutigkeit: Für den Betroffenen ist es eindeutig ersichtlich, dass durch ihn eine Einwilligung abgegeben wird. Dies erfolgt in der Regel durch eine Opt-In-Wahlmöglichkeit – d.h. der Betroffene willigt aktiv in die Datenverarbeitung ein.
- Kopplungsverbot: Die Erbringung von Dienstleistungen, die auf der Verarbeitung von personenbezogenen Daten basieren, ist nicht an die Einwilligung für die Verarbeitung potentiell nicht erforderlicher Daten gekoppelt.
- Widerrufsrecht: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Auf das Widerrufsrecht ist vor Abgabe der Einwilligung hinzuweisen. Die Ausübung des Widerrufs muss „so einfach wie die Erteilung der Einwilligung“ sein. Kann eine Einwilligung per Klick erklärt werden, darf die betroffene Person für den Widerruf bspw. nicht auf eine schriftliche Erklärung verwiesen werden. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Grundsätzlich sollte die Ausübung des Widerrufs keine Nachteile für die betroffene Person nach sich ziehen.
Der Verantwortliche muss das Vorliegen einer Einwilligung nachweisen können. Demzufolge sollte die abgegebene Einwilligung protokolliert werden.
Informationspflichten erfüllen
Die Befragten müssen entsprechend den Anforderungen des Art. 13 DS-GVO darüber informiert werden, wie ihre personenbezogenen Daten in der Umfrage verarbeitet werden. Dies umfasst v.a. den Zweck, die Form und den Umfang der Erhebung/ Verarbeitung personenbezogener Daten, Informationen zur Einwilligung als Rechtsgrundlage für die Datenverarbeitung (inkl. Hinweis auf die Widerrufsmöglichkeit), zu den Empfängern der Daten, zur Dauer der Datenaufbewahrung/ -verarbeitung und die Informationen zu den Rechten betroffener Personen nach Art. 15 ff. DS-GVO. Diese Informationen können in der Einleitung zu einer Umfrage organisch untergebracht werden.
Der Verantwortliche muss die Erfüllung der Informationspflichten nachweisen können.
Der Betrieb ist als Verantwortlicher für die Erfüllung der Informationspflichten zuständig.
Die UK RLP und Ingress unterstützen den Betrieb bei Bedarf bei der Erfüllung der Informationspflichten durch die Bereitstellung einer Einwilligungserklärung.
Wahrung der Betroffenenrechte
Im Rahmen der Informationspflichten muss der Verantwortliche die Betroffenen auch darüber informieren, dass ihnen die Rechte nach Art. 15 ff. DS-GVO (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch) zustehen und wie sie diese geltend machen können.
Der Betrieb ist als Verantwortlicher für die Information über die Betroffenenrechte und die Wahrung der Betroffenenrechte zuständig.
Die UK RLP und Ingress unterstützen den Betrieb bei Bedarf bei der Erfüllung dieser Pflichten.
Beachtung der Grundsätze für die Verarbeitung personenbezogener Daten
Der Verantwortliche muss die Grundsätze für die Verarbeitung personenbezogener Daten im Sinne des Art. 5 DS-GVO (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit,Speicherbegrenzung, Integrität und Vertraulichkeit) beachten.
Die verarbeiteten Daten müssen insbesondere den Zwecken entsprechen, für die sie erhoben und/ oder weiterverarbeitet werden, dafür erforderlich sein und sich auf das notwendige Maß beschränken („Datenminimierung“).
4.2.2 Befragungsdaten verarbeiten und auswerten
Die Auswertung erfolgt ebenfalls über das Administrationstool und kann somit nur durch die vom Betrieb festgelegten Ansprechpersonen durchgeführt werden.
Die Ergebnisse der Befragung gefiltert nach Gruppen werden nur angezeigt, wenn in einer Gruppe Antworten von mindestens 5 Personen vorliegen.
Die angezeigten Ergebnisse können als pdf heruntergeladen werden.
5. Datenspeicherung, Überführung und Datenlöschung
Nach Ablauf der festgelegten Frist von 12 Wochen werden die durch den MOLA-Fragebogen erhobenen Befragungsdaten für Forschungszwecke anonymisiert (ohne Strukturvariablen und Betriebserkennung) unter Kennzeichnung des zuständigen Unfallversicherungsträgers und der Betriebskategorie in den Gesamtdatensatz der Online-Plattform überführt. Hierfür werden alle vom Betrieb angegeben Strukturvariablen gelöscht, inkl. Name des Betriebes, so dass aus dem Gesamtdatensatz heraus keine Möglichkeit besteht, einzelne Betriebe und Befragte zu identifizieren.
Betriebskategorien
1 | Verwaltung (Kommunen, Kreisverwaltung, Kreisfreie Städte, Stadtverwaltung, verbandsfreie Städte und Gemeinden, Verbandsgemeinden, Ortsgemeinden, Landkreisverwaltungen, Sparkassen, …) |
2 | Landesverwaltungen (Ministerien, Regierungspräsidien, Landesämter) |
3 | Gesundheitsdienst und Wohlfahrtspflege (Kliniken, Altenpflege, Pflegeeinrichtung, Rehazentren, Pflegeschulen, …), Beherbegungseinrichtungen (Wohnheime, …), Landesuntersuchungsämter/medizinische Untersuchungsämter |
4 | Reinigungs-, Entsorgungs-, Versorgungseinrichtungen, Straßenmeistereien, Landesbetrieb Mobilität/Straße und Verkehr |
5 | Land-, Garten- und Forstwirtschaft, Tiergärten, Tiergehege, Zoo |
6 | Kulturelle Einrichtungen (Museen, Bibliotheken, Theater, …), Versammlungs- und Sportstätten, Freizeiteinrichtungen (Bäder, Freizeitparks, Casinos, …) |
7 | Hilfeleistungsunternehmen (Rettungsdienst, Feuerwehr, DLRG, Flug-, Bergwacht, …) |
8 | Polizei |
9 | Justizbehörden (Gerichte, Justizvollzugsanstalten) |
10 | Vorschulische Einrichtungen, Kitas |
11 | Bildungseinrichtungen (Schulen, Berufsschulen) |
12 | Universitäten, Hochschulen, Forschungseinrichtungen, Laboratorien |
13 | Weitere Einrichtungen (Flughäfen, Gewässerdirektionen, Chemische und Veterinär, …) |
Über die Befragungssoftware keyingress, die im MOLA-Projekt das Backend darstellt, können jeweils zwei berechtigte Mitarbeitende der beteiligten Unfallversicherungsträger den Gesamtdatensatz für Forschungszwecke und zur Weiterentwicklung des Fragebogens herunterladen. Weitere Funktionen der Befragungssoftware keyingress sind für diese Mitarbeitenden nicht aufrufbar. Dies wird über ein eigenes Profil in der Software gewährleistet.
Im Anschluss werden die im Rahmen der Befragung erbrachten Betreuungs- und Unterstützungsleistungen gespeicherten bzw. erhobenen Adress-Daten sowie die durch die jeweilige Befragung erhobenen Daten 12 Wochen nach Ende des Befragungszeitraumes unwiederbringlich gelöscht.
6. Projektleitung
Bei Fragen zum Einsatz des MOLA-Fragebogens mit der Online-Plattform wenden Sie sich bitte an die Projektleitung:
Theresa Günther
Fachbereich Gesundheit, Kultur und Arbeitsfähigkeit
Abteilung Sicherheit – Gesundheit – Teilhabe
Unfallkasse Rheinland-Pfalz
Orensteinstr. 10
55626 Andernach
Telefon: 02632 960-2450
E-Mail: t.guenther@ ukrlp.de
7. Ergänzende Hinweise zu weiteren Datenschutzmaßnahmen
Verzeichnis von Verarbeitungstätigkeiten
Sowohl der Verantwortliche als auch der Auftragsverarbeiter sind verpflichtet, die Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten (VVT), das den Anforderungen des Art. 30 DS-GVO genügt, zu dokumentieren.
Die UK RLP führt ein VVT i.S.d. Art. 30 Abs. 1 DS-GVO. Ingress führt entsprechend den Vorgaben des Art. 30 Abs. 2 DS-GVO ein VVT zu allen Kategorien von im Auftrag der UK RLP durchgeführten Tätigkeiten der Verarbeitung.
Datenschutz-Folgenabschätzung
Der Verantwortliche muss die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung prüfen und im Falle der Bejahung der Erforderlichkeit eine Datenschutz-Folgenabschätzung im Sinne des Art. 35 DS-GVO durchführen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, die er für die Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten (Datenschutz-Folgenabschätzung i.S.d. Art. 35 DS-GVO) benötigt.