Datenschutz bei Umfragen: So bleiben Ihre Daten sicher

Datensicherheit und Datenschutz sind zentrale Themen unserer heutigen Welt. Immer wieder sehen wir in den Schlagzeilen Meldungen zu Datenlecks, durch die Kundendaten gefährdet werden und den Unternehmen viel Geld kosten: Zum einen ganz konkret zum Beseitigen des Lecks und zur Untersuchung, welche Daten geschädigt oder gestohlen wurden, und zum anderen die gewaltigen Kosten aufgrund der womöglich irreparablen Rufschädigung der Marke.

Daher sollte für alle Mitarbeitenden in Ihrem Unternehmen die Sicherheit der Daten höchste Priorität haben. Stete Wachsamkeit ist erforderlich und es muss das Möglichste getan werden, um Diebstahl oder Beschädigung von Kunden- und/oder Unternehmensdaten zu verhindern. Darüber hinaus muss ein Notfallplan implementiert sein, um den Schaden bei Eintritt einer Datenpanne auf ein Minimum zu reduzieren.

Von einem Datenleck können alle Arten von Daten betroffen sein, auch Umfragedaten. Damit Ihre Kund:innen Ihnen weiterhin vertrauen, müssen Sie auch Ihre Befragungsdaten gut gegen Hacker-Angriffe und Lecks schützen.

Beim Kampf gegen die Hacker ist kein Ende abzusehen. Nicht umsonst betonen die Fachleute auf diesem Gebiet, dass es schon reicht, wenn ein Hacker oder eine Hackerin ein einziges Mal durchkommt. Die Sicherheitsprofis müssen jedoch immer gegen potenzielle Angriffe gewappnet sein.

Wenn es um Sicherheit und Schutz geht ist „Try and Error“ absolut fehl am Platze. Ebenso wenig geht es an, hier ein Risiko in Kauf zu nehmen. Daher wurden für die Sicherheit und den Schutz der Daten Best Practices aufgestellt, die regelmäßig überprüft und aktualisiert werden, um sowohl den bereits bekannten als auch den immer neuen Bedrohungen und Formen von Attacken Stand zu halten. Auch bei Erhebungen möchten Sie sicherstellen, dass der Schutz und die Sicherheit der Daten Ihrer Befragten gewährleistet ist und die einschlägigen gesetzlichen Vorgaben wie HIPAA, DSGVO oder das in Kalifornien geltende CCPA eingehalten werden. 

Dabei ist es wichtig, sich bewusst zu machen, dass die Gewährleistung des Datenschutzes weit über die Abwehr der Hacker hinausgeht. Unternehmen, die sich durch starke Sicherheitsrichtlinien auszeichnen, genießen ein hohes Vertrauen bei Ihren Kund:innen. Überträgt man dies auf Umfragen, so bedeutet Vertrauen eine höhere Beantwortungsquote und die Bereitschaft der Befragten, tiefere Einblicke zu gewähren, aus denen Sie anschließend verlässliche und umsetzbare Daten gewinnen.

Vertiefende Inhalte zum Thema: Bewährte Methoden für die Datenerfassung und den Datenschutz.

Folgen Sie den bewährten Methoden zum Datenschutz, denn so können Sie sicherstellen, dass die erfassten Daten geschützt bleiben. Dies beruhigt auch die an Ihren Befragungen Teilnehmenden, denn sie wissen dadurch, dass ihre Angaben sicher und geschützt sind. Außerdem führen solche Maßnahmen dazu, dass Ihre Erhebungen mit höherer Wahrscheinlichkeit beantwortet werden.

Holen Sie die Teilnehmenden ab und beschreiben Sie die von Ihnen implementierten Vorgehensweisen zum Datenschutz in der Einleitung Ihrer Umfrage oder in der E-Mail, mit der Sie die Zielpersonen zur Teilnahme an Ihrer Befragung einladen. Ein Hyperlink zu Ihren Datenschutzrichtlinien ist ebenfalls empfehlenswert. Und noch ein Tipp: Mithilfe von Verzweigungslogik können Sie alle Befragten disqualifizieren, die mit Ihren Datenschutzrichtlinien oder Methoden zum Datenschutz nicht einverstanden sind.

Die Vorgehensweisen zum Datenschutz bei Umfragen sollten folgendes klarstellen:

Die Datenschutzerklärung von SurveyMonkey beispielsweise erklärt, wie wir Ihre Daten verwenden. Die Erklärung wurde in enger Zusammenarbeit mit Fachleuten auf diesem Gebiet aufgestellt, damit sie möglichst umfassend und transparent ist und die bewährten Vorgehensweisen implementiert. Computerworld hat unsere Methoden zum Datenschutz überprüft und hat die klare Formulierung unserer Datenschutzerklärung in Bezug auf die „Offenlegung und Verpflichtungen in der Online-Umgebung“ anerkannt. Außerdem wurde bestätigt, dass unsere Sicherheitsmaßnahmen in Einklang zu den bei „Fortune 500-Unternehmen angewandten“ stehen.

Erfahren Sie mehr darüber, wie SurveyMonkey mit Ihren Daten umgeht.

Stellen Sie ein Einwilligungsformular zur Verfügung: Über ein Einwilligungsformular erhalten Sie in schriftlicher Form die Bestätigung einer anderen Partei, dass diese die Bedingungen einer Aktivität, die durchgeführt wird, versteht und diesen zustimmt. Wenn Sie ein solches Formular in Ihre Erhebung aufnehmen, schützen Sie Ihr Unternehmen, denn Sie stellen für die Befragten klar dar, wie die von ihnen gemachten Angaben verwendet werden, und erhalten deren Zustimmung zu dieser Verwendung.

Löschen Sie nicht benötigte Daten: Die Speicherung alter und überholter Daten kann zu Problemen führen, wenn diese längst vergessenen Daten kompromittiert werden. Dies ist ein unnötiges Risiko. Daher ist es gängige Praxis darauf hinzuweisen, wie lange Daten aufbewahrt werden und wie sie ordnungsgemäß gelöscht werden.

Vertiefende Inhalte zum Thema: Verstärken Sie Ihre Sicherheitsbemühungen mit Best Practices beim Datenschutz für Umfrageersteller von SurveyMonkey.

Sensible Gesundheitsdaten sind streng geschützt, egal ob sie von Kunden oder Patienten stammen, und das HIPPA-Gesetz, welches in den USA gilt, ist so gestaltet, dass dies auch so bleibt.

Das Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-amerikanisches Bundesgesetz und stellt nationale Standards für den Schutz sensibler Patientendaten auf, damit diese nicht ohne das Wissen oder die Zustimmung der betroffenen Patienten offengelegt werden können.

Wenn Sie im Gesundheitswesen tätig sind, müssen Sie sich an HIPAA oder vergleichbare Datenschutzregelungen anderer Länder halten. Anderenfalls könnten Sie mit Strafen belegt werden und das Vertrauen Ihrer Kund:innen oder Patient:innen verlieren. Noch einmal zur Klarstellung: Wenn Sie mit geschützten Gesundheitsdaten arbeiten, müssen Sie sich an die entsprechenden Datenschutzgesetze Ihres Landes halten.

SurveyMonkey bietet eine Reihe von Lösungen, die für das Gesundheitswesen maßgeschneidert sind. Dazu gehören HIPAA-konforme Konten ebenso wie Umfragevorlagen für das Gesundheitswesen.

Die Datenschutzgrundverordnung, kurz DSGVO, regelt den Datenschutz innerhalb der Europäischen Union. Aber auch wenn Sie Ihren Standort in Idaho haben, darf Ihnen diese oft nicht egal sein. Denn auch Unternehmen, die nicht in Europa ansässig sind, müssen die in der DSGVO festgelegten Maßnahmen umsetzen.

Die DSGVO reguliert den Schutz und die Sicherheit der Daten sowohl in der Europäischen Union (EU) als auch im Europäischen Wirtschaftsraum (EWR) und setzt fest, wie personenbezogene Daten aus der EU oder dem EWG heraus übermittelt werden dürfen.

Vorrangiges Ziel der DSGVO ist es, den Bürgerinnen und Bürgern der EU und des EWR Kontrolle über ihre personenbezogene Daten zu geben und durch eine einheitliche Regulierung den Umgang mit solchen Daten im internationalen Geschäftsbetrieb zu vereinfachen. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von Personen innerhalb des EWR verarbeiten. Dabei spielt es keine Rolle, wo sich das Unternehmen befindet oder welche Staatsbürgerschaft oder welchen Wohnsitz die betroffene Person hat.

Diese Verordnung ist Vorlage für viele andere Gesetze außerhalb der EU, unter anderem auch für das kalifornische Datenschutzgesetz für Verbraucher, das California Consumer Privacy Act (CCPA), das im Juni 2018 verabschiedet wurde.

Das California Consumer Privacy Act (CCPA) ist ein im US-Bundesstaat Kalifornien geltendes Datenschutzgesetz, das regelt, wie Unternehmen weltweit mit personenbezogenen Daten von in Kalifornien wohnhaften Personen umzugehen haben.

Das CCPA trat am 1. Januar 2020 in Kraft. Es ist das erste Gesetz dieser Art in den USA.

Wenn Sie Kund:innen oder Befragte haben, die im US-Bundesstaat Kalifornien wohnhaft sind, müssen Sie dieses Gesetz kennen und die erforderlichen Maßnahmen treffen.

Das CCPA gilt für alle gewerblichen Unternehmen, die im Jahr personenbezogene Daten von mehr als 50.000 in Kalifornien wohnhaften Personen verkaufen oder deren Jahresumsatz 25 Mio. Dollar überschreitet oder die mehr als 50 % Prozent ihres Jahresumsatzes mit dem Verkauf von personenbezogenen Daten in Kalifornien wohnhafter Personen erwirtschaften.

Darüber hinaus gilt das CCPA auch für alle Unternehmen, die unter der gleichen Marke laufen (gleicher Name, gleiche Dienstleistungsmarke oder Handelsmarke) wie ein Unternehmen, das unter das CCPA fällt.

Im Geltungsbereich des CCPA haben alle Einwohner des US-Bundesstaats Kalifornien („Verbraucher“) das Recht, dem Verkauf ihrer Daten an Dritte zu widersprechen (Opt-out). Sie haben auch das Recht auf Offenlegung der über sie bisher erfassten Daten und sie haben das Recht, die Löschung der über sie erfassten Daten zu verlangen.

Weitere Infos: Sicherheit und Compliance der Daten bei SurveyMonkey

Sicher, Sinn und Zweck einer Befragung ist die Erfassung aufschlussreicher Daten und Informationen über Ihre Zielgruppe. Dabei müssen Sie jedoch die geltenden Datenschutzgesetze und Richtlinien einhalten, um die von Ihren Befragten erhaltenen Daten nicht zu gefährden.

Daher sind verschiedene wichtige Sicherheitsmaßnahmen zu treffen: Minimierung der erfassten personenbezogenen Daten, Datenverschlüsselung, anonyme Erhebungen und sicherer Zugriff. 

Es ist gängige und bewährte Praxis, in Umfragen so wenige personenbezogene Daten wie möglich zu erfassen. Denn Sie möchten vermeiden, möglicherweise sensible Informationen über die Befragten wie Sozialversicherungsnummern, Telefonnummern, E-Mail-Adressen oder Postadressen zu erhalten.

Sie möchten ganz sicher nicht, dass Ihre Daten in die Hände von Unbefugten gelangen. Damit das nicht passiert, ist Datenverschlüsselung eine fundamentale Sicherheitsmaßnahme.

Bei der Verschlüsselung werden die Daten „unlesbar“ gemacht, so dass Unberechtigte diese nicht lesen oder nicht darauf zugreifen können. Durch Verschlüsselung werden persönliche und sensible Daten geschützt. Auch die Kommunikation von Server zu Server wird durch Verschlüsselung deutlich sicherer. Selbst wenn verschlüsselte Daten in die Hände von Unbefugten gelangen, können diese die Daten dann nicht lesen.

Herz der Verschlüsselung ist ein Algorithmus. Dieser übersetzt (kodiert) den Klartext, d. h. die lesbaren Daten, in ein unlesbares Format, den chiffrierten Text. Nur wer den Schlüssel hat, kann den chiffrierten Text dechiffrieren, also entschlüsseln, und Klartext aus den Hieroglyphen gewinnen.

Auch die Anonymisierung der Beantwortungen gehört zum Datenschutz, denn dadurch erfassen Sie personenbezogenen Daten, die dann möglicherweise kompromittiert werden, erst gar nicht. Das Risiko für Ihre Organisation oder Ihr Unternehmen wird hierdurch deutlich reduziert.

Ein weiterer, sogar großer Vorteil anonymer Umfragen sind die höhere Beantwortungsquote und aufrichtigere Antworten der Teilnehmenden, da das Vertrauen der Befragten bei anonymen Umfragen höher ist. Ein Beispiel: Sie befragen Ihre Mitarbeitenden. Indem Sie die Erhebung anonym gestalten, sinkt die Angst der Befragten, dass ihre Antworten zur Personalabteilung gelangen und sich negativ auf sie selbst auswirken könnten. Durch Anonymität werden die Beschäftigten mit hoher Wahrscheinlichkeit außerdem ehrlicher und detaillierter antworten.  

Die Collector-Option „Anonymisieren von Beantwortungen“ von SurveyMonkey macht es Ihnen leicht zu entscheiden, ob Sie personenbezogene Daten der Befragten in den Umfrageergebnissen tracken oder nicht. Die IP-Adressen der Befragten werden in den Backend-Logs von SurveyMonkey gespeichert und nach 13 Monaten gelöscht.

Datensicherheit umfasst viele Aspekte zum Schutz und zur Sicherheit der Daten, angefangen bei der Sicherheit des Passworts über die Gewährleistung eines sicheren Zugriffs auf die Umfragedaten und Ergebnisse bis hin zur effektiven Speicherung sowie der Löschung alter Daten.

Es dürfte inzwischen allgemein bekannt sein, dass das Wort „Passwort“ als Passwort zum Schutz vor Hackern vollkommen ungeeignet ist.

Trotzdem war das Wort „Passwort“ bei den häufigsten Passwörtern 2020 tatsächlich auf Platz 4. Und das am häufigsten verwendete Passwort? 123456. Nicht gut? Nein.

Dabei ist die Passwortsicherheit entscheidend für den Schutz der Daten. Alle Nutzenden sollten daher immer wieder angehalten werden, ein eindeutiges und schwer zu erratendes Passwort zu wählen. Hilfe beim Erstellen eindeutiger Passwörter bieten verschiedene Passwort-Verwaltungstools. Mit ihnen müssen die Nutzenden sich auch keine lange Liste mit Passwörtern mehr merken. Eine weitere Sicherheitsmaßnahme ist unter 2FA bekannt, das ist die Zwei-Faktor-Authentifizierung. Diese bietet einen doppelten Schutz und hält Hacker fern.

Wählen Sie für SurveyMonkey Ihr Konto-Passwort sorgfältig aus, denn dieses ist der Schlüssel zu den (personenbezogenen) Daten Ihrer Befragten. Wir empfehlen daher Folgendes:

Achten Sie darauf, dass Ihr System zur Datenspeicherung sicher und geschützt ist. Eine bewährte Methode ist die Nutzung eines sicheren Rechenzentrums oder eines Cloud-Speichers; außerdem ist es sinnvoll, den (physischen) Speicherort für Ihre Daten zu kennen und vor Ort einsehen zu können. 

Bei Nutzung von SurveyMonkey werden alle Daten Ihrer Befragten in unseren nach SOC 2 akkreditierten Rechenzentren sicher gespeichert. Diese unterliegen den Best Practices hinsichtlich Sicherheit und Technik. Wir gewährleisten, dass alle erfassten Daten über eine sichere HTTPS-Verbindung übertragen werden und die Benutzerlogins über TLS geschützt sind. Die Verschlüsselung gespeicherter Daten erfolgt über starke Encryption-Algorithmen, die die Branchenstandards erfüllen.

Natürlich gibt es viele Situationen, in denen Sie Ihre Umfragedaten an Kolleginnen und Kollegen innerhalb Ihrer Organisation weitergeben möchten. Achten Sie dabei jedoch darauf, dass die Weitergabe unter Einhaltung der Sicherheitsstandards erfolgt, damit Datenlecks und der Zugriff auf sensible und/oder personenbezogene Daten Ihrer Befragten durch Unbefugte verhindert wird.

Ein sicherer Zugriff ist entscheidend, wenn es um den Datenschutz bei Umfragen geht. Für Anfänger: Vermeiden Sie das Speichern von Daten in Einzelgeräten wie Laptops, Handys oder sonstigen Geräten, da diese und mit ihnen die Daten gestohlen werden können. Durch die Weitergabe Ihrer Zugangsdaten könnten die Umfragedaten Ihrer Befragten in falsche Hände geraten. Angenommen, ein Kollege oder eine Kollegin, mit dem oder der Sie Ihr Konto teilen, scheidet aus dem Unternehmen aus. Dann hätte diese Person trotzdem noch Zugriff auf die Umfragebeantwortungen. Sie könnte sogar die Zugangsdaten noch an eine oder mehrere Personen weitergeben, was das Risiko eines verantwortungslosen Umgangs mit den Daten erhöht. Es gibt alternative, produktivere und sicherere Möglichkeiten, anderen Personen Einsicht in Ihre Befragungen und die Antworten zu gewähren:

Secure Sockets Layer ist ein Protokoll zur Herstellung einer authentifizierten und verschlüsselten Verbindung zwischen Computern, die über ein Netzwerk miteinander verbunden sind, und bietet zusätzlichen Schutz.

Wird SSL auf einem Webserver installiert, agiert es wie ein Schloss und aus dem HTTP-Protokoll wird HTTPs. Dieses ermöglicht eine sichere (und verschlüsselte) Verbindung von einem Webserver zu einem Browser (Client). SSL wird standardmäßig bei sicheren Kreditkartentransaktionen, Datenübertragungen und Logins verwendet. In der letzten Zeit wird es auch immer mehr zur Norm beim sicheren Browsen auf Social-Media-Websites.

Datenschutz bei Umfragen geht vor!

Wenn Sie Ihre Befragung optimal nutzen und gleichzeitig das Vertrauen und Engagement Ihrer Kundinnen und Kunden erhalten möchten, dann sollten Sie die Sicherheit und den Schutz der Daten zur höchsten Priorität erklären. SurveyMonkey unterstützt Sie bei Ihrem Bemühen um Datensicherheit mit wichtigen Informationen zur Sicherheit und Compliance.

Erfahren Sie mehr darüber, wie SurveyMonkey Ihre Kundendaten schützt und wie Sie Ihren Teil beitragen können.