Datenschutzerklärung Edu:Social School App
Die Edu:Social School App wurde im Rahmen der Studie Edu:Social School des Social Neuroscience Lab der Max-Plack-Gesellschaft unter der Leitung von Prof. Dr. Tania Singer und in Zusammenarbeit mit dem App Dienstleister Sprylab GmbHentwickelt. Die App ist durch ein Log-In gesichert, womit die Funktionen der App lediglich durch Studienteilnehmer*innen verwendet werden können. Diese können über einen separaten Link einen App-Account erstellen.
1. Datenschutzgrundsätze
Die folgende Datenschutzerklärung lehnt sich an dem Datenschutzkonzept (DSK) der Studie an, welche Bezug auf das Rahmendatenschutzkonzept gemäß der EU Datenschutzgrundverordnung des Bundesdatenschutzgesetzes und im Umgang mit Betroffenenrechten und Meldepflichten in der jeweils gültigen Fassung nimmt. Begriffe und Grundsätze werden gemäß den dort entsprechenden Definitionen verwendet.
2. Allgemeine Angaben
Dieses DSK beschreibt die Organisation der App für das Forschungsprojekt „Edu:Social School“ und zeigt auf, welche Anforderungen zum Schutz von personenbezogenen Daten eingehalten werden. Die Regeln gelten für alle Mitarbeiter*innen des Projekts Edu:Social School des Social Neuroscience Lab der Max-Planck-Gesellschaft und beim App Dienstleister Sprylab.
Kontaktdaten des Verantwortlichen im Sinne der DSGVO: Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V. (MPG), Hofgartenstraße 8, D-80539 München, Telefon: +49 (89) 2108-0.
Kontaktdaten der Datenschutzbeauftragten: Die Datenschutzbeauftragte der Verantwortlichen ist Heidi Schuster, Hofgartenstraße 8, D-80539 München, Telefon: +49 (89) 2108-1554, E-Mail: datenschutz@mpg.de
Kontaktdaten der projektverantwortliche Studienleiterin des Edu:Social School Projekts:
Prof. Dr. Tania Singer, Social Neuroscience Lab, Max-Planck-Gesellschaft, JFK Haus, Bertha-Benz-Str. 3, 10557 Berlin, Telefon: +49 (0) 30 23608 1515, E-Mail: school@edusocial-projekt.de
3. Datenschutzmaßnahmen
Für alle personenbezogenen Daten, die erhoben und pseudonymisiert gespeichert und mit den Kooperationspartner*innen geteilt werden, sind gemäß Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisteten. Darin sind Datenfluss, Speicherung und Sicherung der Daten sowie Prinzipien des internen und externen Zugriffs, der Einwilligung zur Studienteilnahme sowie des Datenschutzkonzeptes spezifiziert.
Gemäß EU-DSGVO wird durch Bereiche mit unterschiedlicher Datensicherheitsstufe bzw. getrennter Datenspeicherung für Einwilligungserklärung und personenbezogene Daten einerseits und pseudonymisierte Forschungsdaten andererseits, die nur für jeweils berechtigte Personen zugänglich sind (Konzept definierter Rechte und Rollen) für ein gesetzeskonformes Datenschutzkonzept gesorgt. Das Projekt entspricht internationalen ethischen Standards, der Deklaration von Helsinki, den ICH-Guidelines für Good Clinical Practice sowie dem Memorandum für Gute Wissenschaftliche Praxis der Deutschen Forschungsgemeinschaft.
Die für die Studie geltenden gesetzlichen Bestimmungen des Datenschutzes nach EU-DSGVO sowie des BDSG (Bundesdatenschutzgesetz) werden für alle personenbezogenen Daten erfüllt.
Zwischen der MPG und den für die Studie eingestellten Interventionstrainer*innen, die mit den Studienteilnehmer*innen ein telefonisches Screening im Einzelgespräch und wöchentliche Coachings in Gruppen (à 20-25 Personen) durchführen, besteht eine Vertraulichkeitsverpflichtung und ein Auftragsdatenverarbeitungsvertrag (AVV) gemäß Art. 28 DS-GVO.
Die App wird im Rahmen der Interventionsstudie Edu:Social School des Social Neuroscience Lab der MPG verwendet.
4. Betriebskonzept
Ziel des Edu:Social School Projekts ist die Durchführung von einem sozio-emotionalen achtsamkeitsbasierten mentalen Online-Interventionsprogramm, um dessen Wirkung auf die Reduktion von Stress und Einsamkeit sowie die Steigerung von psychischem Wohlbefinden, prosozialem Verhalten und sozialer Kohäsion zu untersuchen. Ein weiteres Ziel der Studie ist die Erforschung des Zusammenhangs zwischen chronischer Stressbelastung bei Burnout gefährdeten Berufsgruppen und Veränderungen in stress-relevanten biologischen Systemen.
Alle erhobenen Studiendaten werden entsprechend der Datenschutzgesetze (EU Datenschutzgrundverordnung Bundesdatenschutzgesetz) gespeichert und wissenschaftlich ausgewertet. Die personenbezogenen Daten (Name, Telefonnummer, E-Mail-Adresse, Schulname, Schulnummer) werden getrennt von den Roh- und Analysedaten gespeichert. Die Roh- und Analysedaten werden unter einer individuellen Codierung gespeichert (pseudonymisiert) und mit den personenbezogenen Daten durch eine Codierungsliste verknüpft. Bei der Auswertung sehen ausschließlich Mitarbeitende des wissenschaftlichen Teams, die von der Studienleitung mit entsprechender Berechtigung versehen werden, die Roh- und Analysedaten. Diese Mitarbeitenden haben nur Zugang zu der individuellen Codierung, den pseudonymisierten Roh- und Analysedaten, aber nicht zu Ihren personenbezogenen Daten. Sie wissen also bei der Auswertung der Roh- und Analysedaten nicht, von wem diese Daten stammen. Nur über die Codierungsliste kann auch ein Bezug zwischen den Roh- und Analysedaten und Ihren personenbezogenen Daten hergestellt werden. Die Zuordnung von personenbezogenen Daten, Roh- und Analysedaten über die Codierungsliste darf nur durch Mitarbeitende des koordinativen Teams, die von der Studienleitung mit entsprechender Berechtigung versehen werden, erfolgen. Eine Zuordnung von personenbezogenen Daten, Roh- und Analysedaten über die Codierungsliste erfolgt nur, wenn dies erforderlich ist, z.B. um Ihre Rechte zu wahren oder um die Plausibilität der Studienergebnisse zu prüfen. Im Falle der wissenschaftlichen Veröffentlichung von Studienergebnissen werden Ihre personenbezogenen Daten zu keinem Zeitpunkt weitergegeben oder veröffentlicht.
Die Studiendaten werden online über die Studien-App erhoben, die von der Digitalagentur Sprylab entwickelt wurde. Mit der Digitalagentur Sprylab besteht ein Auftragsverarbeitungsvertrag. Die Einwilligung zum Pre-Screening wird gemeinsam mit den personenbezogenen Daten auf einem ersten zugriffssicheren Server der Max-Planck-Gesellschaft aufbewahrt. Die Roh- und Analysedaten werden auf einem zweiten zugriffssicheren Server der Max-Planck-Gesellschaft aufbewahrt. Die Studien-App läuft auf diesen zwei Servern.
Die während des Pre-Screenings erhobenen personenbezogenen Daten sowie die Codierungsliste werden bis Ende der Studie (März 2025) aufbewahrt. Nach diesem Zeitraum werden die personenbezogenen Daten und die Codierungsliste, die es erlaubt, die Roh- und Analysedaten mit den personenbezogenen Daten in Verbindung zu bringen, gelöscht. Sobald die Codierungsliste sowie die personenbezogenen Daten gelöscht sind, sind die Roh- und Analysedaten anonymisiert. Die anonymisierten Roh- und Analysedaten werden aus Gründen der guten wissenschaftlichen Praxis der Deutschen Forschungsgemeinschaft und den Regeln der Max-Planck-Gesellschaft für mindestens 10 Jahre gespeichert. Dies hat den Sinn, dass andere Wissenschaftler*innen erzielte Ergebnisse auf ihre Richtigkeit überprüfen können. Anschließend werden die anonymisierten Roh- und Analysedaten gelöscht.
Sofern nicht bis zum Ende der Studie (März 2025) die Einwilligung zurückgezogen wird, werden die Roh- und Analysedaten in anonymisierter Form zum Zweck der wissenschaftlichen Nachverfolgung und für eine eventuelle Sichtung durch wissenschaftliche Journale aufbewahrt.
Zur Sicherung der guten wissenschaftlichen Praxis ist es möglich, dass durch wissenschaftliche Journale eine Einsicht in anonymisierte Roh- und Analysedaten erfolgen kann.
Die Studienteilnehmer*innen (ST) werden per E-Mail zur ersten Phase der Studie, dem Pre-Screening eingeladen. Durch einen in der E-Mail enthaltenen Link werden sie auf die Teilnahme- und Datenschutzinformationen und Einverständniserklärung für das Pre-Screening weitergeleitet, die auf der Web-App der Edu:Social School App programmiert sind. Hierbei werden die personenbezogenen Daten erhoben.
Das Pre-Screening besteht aus verschiedenen Fragebögen, einer Online-Informationsveranstaltung und telefonischen Einzelgesprächen. In den telefonischen Einzelgesprächen, welche von geschulten Interventionstrainer*innen achtsamkeitsbasierter Verfahren durchgeführt werden, werden die ST in ihrer mentalen Verfassung eingeschätzt und über die Interventionsphase aufgeklärt. Die Interventionsphase besteht aus einem 10-wöchigen Zeitraum, indem tägliche 12-minütige Übungen, wöchentliche Coaching-Sitzungen und wöchentliche kurzen Fragebogenerhebungen durchgeführt werden. Zudem werden auch während der Intervention mit der App bestimmte Daten im Alltag der Probanden erhoben (EMA).
Anhand der Ergebnisse der Fragebögen und telefonischen Einzelgespräche werden einige Studieninteressierte von der Studie unter Bezugnahme auf die zuvor definierten Ein- und Ausschlusskriterien ausgeschlossen. Die eingeschlossenen ST werden offiziell per E-Mail zur Studie eingeladen. Durch einen in der E-Mail enthaltenen Link werden sie auf die Teilnahme- und Datenschutzinformationen und Einverständniserklärung für die Studie weitergeleitet, die auf der Web App der Edu:Social App programmiert sind.
5. Verarbeitung von Daten
1) Rechtsgrundlage
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Im Folgenden wird die Art, der Umfang und Zweck der durch die App erhobenen Daten beschrieben.
2) Personenbezogene Daten und Registrierung
Für die Registrierung wird die E-Mail-Adresse und ein damit zusammenhängendes Passwort erfasst. Dieses dient zur Anmeldung in die App und zur Verifizierung von ST. Die ST erklären ihr Einverständnis in der Web-App. Die Einverständniserklärung wird in elektronischer Form auf dem Subserver 1 des MPI-INFE aufbewahrt und verbleibt ausschließlich dort.
Weiterhin werden ebenfalls unter einem Pseudonym die Telefonnummer der ST erfasst. Die Telefonnummer wird für das Vorgespräch erfasst, welches von den Interventionstrainer*innen durchgeführt werden. Die Telefonnummern werden an die Interventionstrainer*innen über eine verschlüsselte Datenübertragung in pseudonymisierter Form verschickt. Somit können die Interventionstrainer*innen die ST für das Vorgespräch anrufen, aber sie kennen Ihre Identität nicht.
Die Web-App generiert eine pseudonyme ST-Identifikationsnummer, die keinen Rückschluss auf die Identität der an der Studie teilnehmenden Person zulässt. In der Folge wird nur diese für die Kennzeichnung sämtlicher erhobener Daten verwendet. Die Identifikationsnummer sowie personenbezogene Informationen werden auf einem zugriffsgesicherten Subserver des MPI-INFE gespeichert. Das MPI-INFE versorgt mit seinen Forschungsservern das Social Neuroscience Lab der MPG. Die Datenerhebung und -speicherung erfolgt auf einem hiervon getrennten Subserver des MPI-INFE, auf dem auch die Edu:Social School App installiert ist.
Die selbstgewählten Pseudonyme werden mit der ST-Identifikationsnummer verknüpft und werden im Subserver 2 gespeichert. Diese können im Rahmen der Übung, Dyade, von der zugeteilten Partner*in (zweite*r ST) gesehen werden.
3) Psychologische Fragebogendaten in Selbstauskunft
Alle psychologischen Fragebogendaten werden im Selbstbericht über die Edu:Social School App erhoben. Auf der Web-App melden sich die ST mit ihrem bereits bestehenden Benutzernamen (E-Mail-Adresse) und Passwort an. Bei den erhobenen Daten handelt es sich um fast ausschließlich validierte Standardfragebögen. Die identifizierenden Daten sind dabei auf dem Subserver 1 des MPI-INFE abgespeichert. Die Fragebogendaten werden in pseudonymisierter Form auf dem Subserver 2 des MPI-INFE abgespeichert.
Die Datenerhebung und -speicherung von Fragebogendaten durch die Edu:Social School App erfolgt auf einem getrennten Subserver des MPI-INFE, auf dem auch die Edu:Social School App installiert ist (im Weiteren Subserver 2 genannt). Der Zugriff auf und die Übertragung von ausschließlich pseudonymisierten studienbezogenen Daten von Subserver 2 zu den wissenschaftlichen Mitarbeiter*innen des Projekts Edu:Social School an MPG-externen Einrichtungen erfolgt über eine verschlüsselte Verbindung in das Wissenschaftsnetz.
4) Ecological Momentary Assessment (EMA)
Über die Edu:Social School App, die auf Smartphones installiert werden kann, werden zu mehreren Zeitpunkten im Alltag der ST Daten erhoben. Hierbei handelt es sich ausschließlich um nicht-personenbezogene Daten. Die Daten werden in pseudonymisierter Form abgespeichert. Die Daten auf dem Smartphone werden verschlüsselt. Es werden keine Daten lokal auf den Smartphones gespeichert, sondern die Daten werden direkt online an den Subserver 2 des MPI-INFE übermittelt. Die Datenerhebung erfolgt demnach nur mit einer bestehenden Internetverbindung. So wird sichergestellt, dass die erfassten Daten auch bei Verlust des Gerätes keiner unbefugten Person zugänglich sind.
5) Dyaden
In der 10-wöchigen Intervention führen die ST tägliche Dyaden durch. Das sind strukturierte Gespräche zwischen zwei ST, bei der die Verbindung über die Web-App bzw. App(s) hergestellt wird. Für die Durchführung von Dyaden wird durch die Client-Anwendung eine Audio-Verbindung zwischen zwei ST hergestellt. Die Audioverbindung ist Ende-zu-Ende-verschlüsselt und kann nur von der Applikation der jeweiligen Dyadenpartnerperson verwendet werden.
Für den Aufbau der Verbindung wird die WebRTC-Technologie verwendet. Dabei tauschen die ST zunächst technische Informationen über den Audiostream sowie ihre von außen sichtbaren IP-Adressen aus. Der Austausch geschieht über den Subserver 2 des MPI-INFE. Mit Hilfe dieser Informationen wird dann von der Client-Anwendung versucht, eine direkte Verbindung zu der anderen ST herzustellen. Um eine direkte Audioverbindung mit der Dyadenpartnerperson herzustellen, werden die nach außen sichtbaren IP-Adressen der Dyadenpartnerpersonen durch einen STUN-Server der MPG ermittelt und der Client-Anwendung der*m jeweils anderen Dyadenpartnerperson mitgeteilt. Die Ermittlung von IP-Adressen findet nur zum Zwecke des Verbindungsaufbaus statt. Eine Speicherung der IP-Adressen auf dem Server findet nicht statt.
In einigen Fällen kann es vorkommen, dass keine direkte Verbindung zu einer Dyadenpartnerperson hergestellt werden kann. Dies kann unter anderem der Fall sein, wenn sich ein*e ST in einem Netzwerk befindet, dessen Firewall das Zustandekommen einer Verbindung verhindert. In diesem Fall wird der verschlüsselte Audiostream über einen TURN-Server der MPG geleitet. Der TURN-Server fungiert dabei ausschließlich als Relay und kann den Inhalt der Unterhaltung nicht lesen, da der Audiostream Ende-zu-Ende-verschlüsselt ist. Eine Auswertung oder Speicherung des Audiostreams auf dem Server findet nicht statt.
6) Push-Notifications
Die App versendet verschiedene Push-Notifications, um die ST an verschiedenen Momenten zu erinnern:
- Ausfüllen der EMAs
- Dyadenpartnerperson hat seine Terminpräferenzen eingetragen
- Dyadenpartnerperson hat den Termin geändert
- Dyadenpartnerperson hat sich auf einen Termin geeinigt
- Die Dyade beginnt in 5 Minuten
- Dyade wurde nicht durchgeführt
7) Geräteangaben
Die App erfasst das Modell und die Version des Betriebssystems von den Geräten, die die App verwenden. Diese Information ist für die korrekte Funktionsweise der App notwendig.
Die App erfasst einen Gerätetoken, der das Gerät eindeutig identifiziert. Dieser Token ist notwendig um Push-Notifications an einzelne Geräte zuzustellen.
Im Falle eines Anwendungsfehlers wird eine Fehlerbeschreibung mit einer eindeutigen Geräteidentifikation zum Zwecke der dauerhaften Qualitätssicherung in einem Bugtracking System für 12 Monate abgelegt.
Die App erzeugt und speichert einen Auth Token. Dieser wird zur Identifikation des Nutzers nach dem erfolgten Login benötigt und wird solange aufbewahrt, wie die Nutzersession andauert.
8) IP-Adressen
Die Anwendung speichert IP Adressen für den Zeitraum von 14 Tagen in den Serverlogs. Im Falle eines Anwendungsfehlers wird eine Fehlerbeschreibung mit der IP Adresse zum Zwecke der dauerhaften Qualitätssicherung in einem Bugtracking System für 12 Monate abgelegt.
Für die Dauer einer Sprachverbindung ist es aus technischen Gründen notwendig, dass die Geräte der beiden TeilnehmerInnen Kenntnis der IP des jeweiligen Partners haben.
9) Cookies
Die Anwendung verwendet Cookies.
Der Session Cookie wird für den Login Mechanismus verwendet und für 14 Tage ab dem letzten Besuch gespeichert.
Der CSRF Cookie wird als Abwehrmechanismus gegen Cross Site Scripting Attacken eingesetzt und wird für ein 1 Jahr ab dem letzten Besuch gespeichert.
Der SENTRY-SID Cookie wird zur Qualitätssicherung verwendet, um im Falle eines Anwendungsfehlers technische Informationen zu dem Fehler bereitzustellen.
Der SENTRY CS Cookie wird als Abwehrmechanismus gegen Cross Site Scripting Attacken eingesetzt und wird für ein 1 Jahr ab dem letzten Besuch gespeichert.
6. Zweck der Verarbeitung
Die personenbezogenen Daten werden lediglich zur Identifikation der*s ST und zur Kontaktaufnahme verwendet. Diese werden zu jedem Zeitpunkt getrennt von den anderen Daten gespeichert. Die Fragebogen-, EMA-, und Dyadendaten werden mit einer Codierung versehen und können nur darüber dem*r ST zugeordnet werden. Diese Daten werden getrennt von den personenbezogenen Daten gespeichert. Diese Daten sind studienrelevant und dienen der Beantwortung der forschungsbezogenen Fragestellungen.
7. Speicherdauer
Alle Daten werden pseudonymisiert ausgewertet und 10 Jahre gespeichert. Nach diesem Zeitraum wird die Codierungsliste, die es erlaubt, die erhobenen Daten mit den personenidentifizierenden Daten in Verbindung zu bringen, gelöscht.
Aus technischen Gründen ist es nicht möglich, die IP-Adressen ad hoc aus Logfiles zu entfernen. Diese verbleiben solange in den Logfiles, bis diese gelöscht werden. Aus technischen Gründen ist es nicht möglich, die IP-Adresse oder Geräteidentifikation ad hoc aus Bugtrackern oder der Push-Notification Middleware (Firebase) zu entfernen.
8. Zugriffsrechte
Für die korrekte Funktionsweise der App müssen die ST der App folgende Erlaubnisse erteilen:
- Zugriff auf das Mikrofon
- Zustellung von Push-Nachrichten
Es wird kein Nutzungsverhalten durch Tracking Tools (bspw. Apptrace, Adeven, App Annie, Google Analytic für Apps ausgewertet.
9. Empfänger oder Kategorien von Empfängern
Die Verwaltung und Speicherung der personenbezogenen Daten erfolgt im Rahmen der Auftragsdatenverarbeitung auf Systemen unseres Dienstleistungsunternehmen Sprylab. Zwischen der Max-Planck-Gesellschaft (MPG) als Eigentümerin der in diesem Projekt verwendeten mobilen und Web App(s) und dem Digitaldienstleister Sprylab besteht ein Vertrag zur Auftragsvereinbarung (AVV) gemäß Art. 28 DSGVO, der die technischen und organisatorischen Maßnahmen des Dienstleisters im Sinne des Art. 32 DSGVO regelt.
Mit den Interventionstrainer*innen besteht ebenfalls ein Vertrag zur Auftragsvereinbarung (AVV) gemäß Art. 28 DSGVO, sowie eine Vertraulichkeitsverpflichtung.
10. Betroffenenrechte
Die ST haben das Recht auf Auskunft über alle ihre personenbezogenen Daten. Sie haben auch Anrecht auf Korrektur eventueller Ungenauigkeiten in ihren personenbezogenen Daten. Sie haben ein Recht auf Löschung der personenbezogenen Daten. Ein Recht auf Löschung pseudonymisierter Studiendaten liegt nur unter der Voraussetzung vor, dass bestimmte Gründe vorliegen. Dies ist insbesondere der Fall bei unrechtmäßiger Verarbeitung oder wenn die Daten zu dem Zweck, zu dem sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind, wenn sie die Einwilligung widerrufen und eine anderweitige Rechtsgrundlage für die Datenverarbeitung nicht gegeben ist oder anstelle des vorbenannten Widerspruchs nach Art. 21 DS-GVO unter den dort genannten Voraussetzungen. Sofern die Löschung die Ziele eines im wissenschaftlichen Interesse durchgeführten Forschungsprojektes zunichtemachen oder wesentlich erschweren würde, besteht kein Recht auf Löschen, Art. 17 Absatz 3 DS-GVO. Zudem gilt das Recht auf Einschränkung der Verarbeitung der personenbezogenen Daten, insbesondere wenn die Verarbeitung unrechtmäßig ist und sie die Einschränkung anstelle des Löschens verlangen (siehe dort) oder solange streitig ist, ob die Verarbeitung personenbezogener Daten rechtmäßig erfolgt, Art. 18 DS-GVO. Ihnen steht des Weiteren ein Beschwerderecht bei der Aufsichtsbehörde zu. Dies ist für die MPG das Bayerische Landesamt für Datenschutzaufsicht, Postfach 1349, 91504 Ansbach. Die Datenschutzhinweise der MPG finden Sie hier: https://www.mpg.de/datenschutzhinweis