Datenschutz bei Umfragen

Umfragen sind ein beliebtes Mittel, um beispielsweise Leads für den Vertrieb und Daten für das Marketing sammeln, die Reichwerte eines Unternehmens zu erhöhen oder auch um die Beliebtheit eines Produktes einschätzen zu können. Darüber hinaus gibt es weitaus mehr Gründe, weshalb eine Einrichtung sich dafür entscheiden könnte, eine Umfrage durchzuführen. Dabei dürfen Verantwortliche aber eines nicht vergessen: den Datenschutz bei Umfragen.

In diesem Beitrag gehen wir näher darauf ein, was bei Umfragen zu beachten ist, um diese datenschutzkonform durchzuführen.

Verarbeitung personenbezogener Daten bei Umfragen

Zuallererst stellt sich wahrscheinlich die Frage, ob bei Umfragen tatsächlich personenbezogene Daten verarbeitet werden.

Variante 1: Analoge Umfragen

Es gibt noch immer die Variante, bei der eine Einrichtung einen minimalen Umfang an Daten verarbeitet, in dem eine große Menge an Personen auf einem Stück Papier an entsprechenden Stellen Kreuze machen. Aufgrund der Menge an Zetteln lässt sich kein Personenbezug am Ende herstellen. Dabei liegt die Betonung auch darauf, dass beispielsweise Begründungen oder jegliche Art von Kommentaren vermieden wird. Sonst ließe sich gegebenenfalls – wenn auch mit etwas Aufwand – aufgrund der Schreib- und Ausdrucksweise ein Bezug zu einer Person herstellen.

Natürlich gibt es auch die Möglichkeit von telefonischen Umfragen. Hierbei ist aber generell ein Personenbezug vorhanden. Während des Gespräches kann es dann aufgrund etwaiger Antworten auf Fragen zur Erfassung weiterer personenbezogener Daten kommen, eventuell sogar solche von sensibler Natur (z. B. bei Umfragen zum Wahlverhalten).

Technische und organisatorische Maßnahmen

Auch bei der analogen Verarbeitung personenbezogener Daten auf den Datenschutz und die Datensicherheit zu achten. So ist bei analogen Umfragen jegliche Art von Individualisierung zu vermeiden. Auch sollte die Menge der befragten Personen groß genug sein, um jegliche Rückschlüsse zu vermeiden.

Bei telefonischen Umfragen gestaltet es sich schon schwieriger. Hierbei kann eine Anonymität nicht gewährleistet werden. Der Anrufer weiß, wen er anruft. Hierbei muss ein Verantwortlicher durch organisatorische Maßnahmen den Datenschutz und die Datensicherheit gewährleisten können. Je nach Speichermedium, sind dann gegebenenfalls entsprechende technische Maßnahmen zu ergreifen, wie beispielsweise die nachträgliche Anonymisierung, Verschlüsselung, Zugriffsbeschränkung etc.

Variante 2: Digitale Umfragen

Digitale Umfragen begegnen einer Person meist in E-Mails oder auf Webseiten. Hierbei werden zumindest solche personenbezogenen Daten erhoben, die aus technischen Gründen bei Besuch einer Webseite eben erfasst werden: IP-, MAC-Adressen, Zeitpunkt des Zugriffes, Browser-Typ etc.

Technische und organisatorische Maßnahme

Sobald technisch möglich, ist zu empfehlen, eine Anonymisierung der personenbezogenen Daten vorzunehmen. Des Weiteren ist strengstens zu beachten, nicht mehr Cookies einzusetzen, als der Nutzer mittels seiner zugestimmt hat (abgesehen von sogenannten technisch notwendigen Cookies).

Die genannten technischen und organisatorischen Maßnahmen in Bezug zum Datenschutz bei Umfragen sind nicht allumfassend. Sie sind eine sehr kleine Auswahl. Darüber hinaus sind weitere datenschutzrechtlich wichtige Vorgaben zu beachten:

Rechtsgrundlage

Auch hier gilt: Um personenbezogene Daten verarbeiten zu dürfen, muss es eine Rechtsgrundlage geben. – Mehr dazu hier. – Bei der Verarbeitung personenbezogener Daten im Zuge von Umfragen ist die Rechtsgrundlage der Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) einschlägig. Die Einwilligung der betroffenen Person muss nachweisbar sein (siehe Art. 5 Abs. 2 DSGVO). Somit ist es nicht ausreichend, zu sagen, dass ein Betroffener in die Verarbeitung seiner Daten eingewilligt hat, indem er an der Umfrage teilnahm (siehe auch „DSGVO-Konformität konkludenter Einwilligungen bei Aufnahmen“).

Datenschutzhinweis

Die notwendige Information erhalten Betroffene im Datenschutzhinweis. Dies Dokument gibt dem Verantwortlichen die Möglichkeit, Betroffenen mitzuteilen, wofür er ihre personenbezogenen Daten für welche Dauer zu welchem Zweck aufgrund welcher Grundlage mithilfe etwaiger Dienstleister plant, zu verarbeiten. Darin hat er sie aber auch über ihre Rechte als betroffene Person aufzuklären. Sofern Sie mehr zu Datenschutzhinweisen erfahren möchten, schauen Sie sich dazu gern unseren Beitrag „Datenschutzerklärungen auf Webseiten“ an.

Verzeichnis von Verarbeitungstätigkeiten

Wann immer ein Verantwortlicher personenbezogene Daten verarbeitet, hat er ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zu führen (mehr zu diesem Thema erklären wir in einem Grundlagenbeitrag hier). Bei Umfragen werden personenbezogene Daten verarbeitet und somit ist dies entsprechend festzuhalten.

Datenschutzrechtlich notwendige Verträge

Ein Verantwortlicher, der eine Umfrage durchführen möchte, kann dies mithilfe von externen Dienstleistern umsetzen. Wichtig dabei ist, zu prüfen, welche Vertragskonstellation vorliegt. Demzufolge kann gegebenenfalls ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO oder ein Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abzuschließen sein. Die erste Variante wird in den meisten Fällen die zutreffende sein.

Übermittlung personenbezogener Daten in ein Drittland

Nun besteht beim Einsatz eines Dienstleisters die Möglichkeit, dass dieser sich in einem Drittland befindet oder selbst wiederum Dienstleister (dann sogenannter Unterauftrag-/Subunternehmer) mit Sitz in Drittländern einsetzt. Dabei ist zu betrachten, wo sich der Dienstleister befindet. Handelt es sich um ein unsicheres Drittland oder gibt es zur Übermittlung personenbezogener Daten in dieses Land einen Angemessenheitsbeschluss? Je nachdem, wie die Antwort auf diese Frage ausfällt, muss ein Verantwortlicher sicherstellen, dass der Anbieter dennoch den Datenschutz und die Datensicherheit gewährleisten kann, etwa durch andere geeigneten Garantien (siehe Art. 46 Abs. 2, 3 DSGVO).

Technische und organisatorische Maßnahmen

Wie schon in diesem Beitrag erwähnt, ist es unumgänglich, dass auch bei der Verarbeitung personenbezogener Daten im Zuge von Umfragen die Sicherheit und der Schutz der Daten gewährleistet ist. Also sind geeignete und angemessene technische und organisatorische Maßnahmen zu implementieren und zu dokumentieren. So ist der Personenbezug zum frühestmöglichen Zeitpunkt zu löschen (Quelle: Tätigkeitsbericht der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg zum 31. Dezember 2013, Seite 97, Punkt 11.2). Der damalige Landesbeauftragte für den Datenschutz Brandenburg schlug im 6. Tätigkeitsbericht die Trennung der Erhebung und Auswertung der Daten bei einer Umfrage vor (auf Seite 53, Punkt 4.6.3 hier zu finden).

Fazit

Wie bei allen anderen Verarbeitungsprozessen, bei denen personenbezogene Daten involviert sind, ist auch hier die DSGVO einzuhalten. Jegliche Dokumentationen sind fortlaufend auf dem aktuellsten Stand zu halten. Sollte es der Fall sein, dass in Ihrer Einrichtung noch gar keine Dokumentation gemäß der DSGVO existiert, können wir Ihnen helfen. Eine Übersicht über unsere Dienstleistungen finden Sie hier. Alternativ bringen wir Ihnen dies auch gern vor Ort oder telefonisch näher. Kontaktieren Sie uns gern.