Datenschutz bei Online-Umfragen: Wie macht man es richtig?
In Online-Umfragen werden oftmals personenbezogene Daten wie z.B. E-Mail-Adresse, Beruf, höchster Bildungsabschluss, Familienstand usw. erhoben. Solche Daten unterliegen jedoch strengen Datenschutzregelungen, die im Fall eines Verstoßes hohe Geldbußen vorsehen. In diesem Artikel erklären wir deshalb, worauf Sie bei Ihren Online-Umfragen achten müssen, um sie datenschutzgerecht zu gestalten, und geben Ihnen Beispiele für die Formulierungen der Einwilligungs- und Datenschutzerklärung für Ihre Probanden.
- Über die Datenschutzgrundverordnung (DSGVO)
- Was sind personenbezogene Daten?
- Sind Firmenkontakte personenbezogene Daten?
- Einwilligung zur Speicherung- bzw. Verarbeitung personenbezogener Daten
- Wann ist die Erhebung personenbezogener Daten ohne Einwilligung erlaubt?
- Braucht man die Einwilligung zur Speicherung von IP-Adressen?
- Datenschutzerklärung: ja oder nein?
- Brauche ich die Einwilligung und Datenschutzerklärung wenn ich keine personenbezogene Daten erhebe?
- Wann ist die Umfrage anonym und was ist Pseudonymisierung?
- Wer ist für die Einhaltung der DSGVO zuständig, was ist Auftragsdatenverarbeitung und ADVV?
- Wie hilft mir QUESTIONSTAR die DSGVO einzuhalten?
- Beispiele der Einwilligungs- und Datenschutzerklärungen
- Disclaimer
Über die Datenschutzgrundverordnung (DSGVO)
Seit 25. Mai 2018 gilt europaweit die Datenschutzgrundverordnung (DSGVO, engl. GDPR). Die DSGVO regelt insbesondere wie Unternehmen und öffentliche Behörden personenbezogene Daten verarbeiten. Durch diese Regelung sollen einerseits die Verbraucherrechte gestärkt werden, indem die personenbezogenen Daten besser geschützt sind. Andererseits soll dennoch der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.
Beim Verstoß gegen die DSGVO drohen Unternehmen hohe Geldbußen bis zu 20 Millionen Euro, oder bis zu 4% des weltweiten Umsatzes – je nachdem welcher Wert höher ausfällt. Obwohl zum heutigen Tage keine eindeutige Klassifizierung der Verstöße und der entsprechenden Strafen in offizieller Rechtsprechung erarbeitet wurde, macht die beträchtliche Höhe der maximalen Strafe deutlich, dass der Gesetzgeber es mit dem Datenschutz ernst meint.
Umso wichtiger ist es, sich mit den für die Online-Umfragen relevanten Aspekten der DSGVO auseinanderzusetzen, um innerhalb der Umfragen die Regelungen der DSGVO vollständig erfüllen zu können und möglichen Abmahnungen jegliche Angriffsfläche zu entziehen.
Was sind personenbezogene Daten?
Nach Artikel 4 Nr.1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.
Die natürliche Person gilt dabei dann als identifizierbar, wenn sie “durch die Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.”
Neben den allgemeinen personenbezogenen Daten werden besondere Datenkategorien gesondert ausgewiesen, für die ein höheres Schutzniveau gilt. Zu den besonders schutzwürdigen Daten gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der Person hervorgehen.
Wie Sie sehen, ist die Definition der personenbezogenen Daten per Gesetz ziemlich breit gefasst. Eine abschließende Liste der personenbezogenen Datenarten lässt sich wohl kaum erstellen. Folgende Beispiele vermitteln deshalb den Eindruck davon, was als personenbezogene Daten angesehen werden kann:
- Personendaten, die sich direkt auf die Person beziehen: Name, Anschrift, Alter, Geburtsdatum, Geburtsort usw.
- Kennnummern: Telefonnummer, Kfz-Kennzeichen, Kontonummer, Kreditkartennummer, Personalausweisnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Matrikelnummer, Personalnummer usw.
- Online-Daten: E-Mail-Adresse, Loginname, IP-Adresse, Standortdaten usw.
- Physische Merkmale: Fotos, Geschlecht, Hautfarbe, Augenfarbe, Körper- und Konfektionsgröße, Muttermale, Krankheiten usw.
- Wirtschaftliche Daten: Einkommen, Besitz von Fahrzeugen oder Immobilien, Schulden usw.
- Kulturelle und Soziale Daten: Nationalität, Religion, Sprache, Parteizugehörigkeit, Beruf, Ausbildung, Familienstand, Anzahl von Kindern usw.
- Besonders schutzwürdige Daten: genetische, biometrische, Gesundheitsdaten, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit
- u.v.m.
Dabei sind im Sinne von Rechtsprechung nicht immer dieselbe Art der erhobenen Daten personenbezogen. Andersherum können die Daten, die für sich genommen nicht personenbezogen sind, in Zusammenhang mit anderen Daten aber personenbezogen werden.
Das wichtigste Merkmal, der die Daten im Sinne der DSGVO personenbezogen macht, ist die Möglichkeit, mit Hilfe dieser Daten eine Person zu identifizieren.
Betrachten wir ein Beispiel:
Sie führen eine landesweite Befragung durch, in der Sie u.a. den Bildungsabschluss und das Geschlecht abfragen. Wenn Sie dabei keine weitere Daten wie Kennnummern, E-Mail-Adresse, oder Standortdaten abfragen und/oder die Antworten der Probanden mit solchen Daten nicht verknüpfen können, so reicht das Wissen über den Bildungsabschluss und das Geschlecht für sich nicht aus, um eine Person identifizieren zu können. In diesem Fall stellen Bildungsabschluss und Geschlecht keine personenbezogenen Daten dar.
Anders sieht es aber aus wenn Sie dieselbe Befragung in einem Unternehmen mit einer überschaubaren Mitarbeiteranzahl durchführen. In diesem Fall kann die Kenntnis des Bildungsabschlusses und des Geschlechts bereits Rückschlüsse auf eine konkrete Person erlauben – insbesondere wenn zusätzliche Daten wie z.B. Abteilung oder Beschäftigungsdauer mit abgefragt werden oder mit den Antworten des Probanden verknüpft werden können.
Sind Firmenkontakte personenbezogene Daten?
Jein! Grundsätzlich greift die DSGVO nur für natürliche Personen. Die Einzelangaben zu juristischen Personen wie Kapitalgesellschaften, eingetragenen Vereinen, Körperschaften, Stiftungen, Anstalten, Behörden usw. gehören demnach nicht zu personenbezogenen Daten.
Es sei denn diese Angaben schlagen sich auf die hinter der juristischen Person stehenden natürliche Personen durch, das heißt einen Rückschluss auf sie ermöglichen. Das kann beispielsweise bei der Ein-Personen-GmbH oder einer Einzelfirma der Fall sein.
Gleiches gilt für die Kontaktdaten der Ansprechpartner im Unternehmen z. B. Name, personalisierte E-Mail-Adresse – insbesondere solche, aus der der Vor- und Nachname hervorgehen –, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.
Einwilligung zur Speicherung- bzw. Verarbeitung personenbezogener Daten
Nach dem Datenschutzrecht ist die Erhebung und Verarbeitung von personenbezogenen Daten ohne Einverständnis der Auskunftsperson grundsätzlich verboten. Deshalb müssen Sie im Rahmen einer Online-Umfrage von Ihren Probanden eine Einwilligung zur Datenspeicherung bzw. -verarbeitung einholen und zwar bevor Sie die personenbezogenen Daten erheben. Diese Einwilligung unterliegt nach Art. 4 Nr. 11 DSGVO bestimmten Anforderungen. Nämlich muss sie
- Freiwillig abgegeben worden sein. Sie dürfen die Probanden nicht zwingen, ihre Daten anzugeben – insb. dann nicht wenn sie zur Erfüllung des Zwecks der Datenerhebung gar nicht notwendig sind. Z.B. wenn Sie als Dank für die Teilnahme an Ihrer Befragung unter Ihren Probanden einen Preis verlosen möchten, ist es durchaus zulässig die Einwilligung zur Verarbeitung von E-Mail-Adresse einzuholen. Diese Einwilligung darf jedoch nicht daran gekoppelt sein, dass die E-Mail-Adresse gleichzeitig für Werbezwecke verwendet wird, da Letzteres für die Erfüllung des Zwecks (Gewinnermittlung) nicht notwendig ist.
- In informierter Weise abgegeben worden sein. Das ist nur dann der Fall, wenn der Proband klar und deutlich darüber informiert wird, warum er seine Daten angeben soll und was mit den Daten geschieht.
- Unmissverständlich abgegeben worden sein. Damit ist gemeint, dass der Proband aktiv zustimmen muss – z.B. durch Anklicken eines Häkchens oder Auswahl der Antwort «stimme zu». Die stillschweigende Zustimmung, bei der