Datenschutz bei Online-Umfragen: Wie macht man es richtig?

Datenschutz bei Online-Umfragen: Wie macht man es richtig?

In Online-Umfragen werden oftmals personenbezogene Daten wie z.B. E-Mail-Adresse, Beruf, höchster Bildungsabschluss, Familienstand usw. erhoben. Solche Daten unterliegen jedoch strengen Datenschutzregelungen, die im Fall eines Verstoßes hohe Geldbußen vorsehen. In diesem Artikel erklären wir deshalb, worauf Sie bei Ihren Online-Umfragen achten müssen, um sie datenschutzgerecht zu gestalten, und geben Ihnen Beispiele für die Formulierungen der Einwilligungs- und Datenschutzerklärung für Ihre Probanden.

Über die Datenschutzgrundverordnung (DSGVO)

Seit 25. Mai 2018 gilt europaweit die Datenschutzgrundverordnung (DSGVO, engl. GDPR). Die DSGVO regelt insbesondere wie Unternehmen und öffentliche Behörden personenbezogene Daten verarbeiten. Durch diese Regelung sollen einerseits die Verbraucherrechte gestärkt werden, indem die personenbezogenen Daten besser geschützt sind. Andererseits soll dennoch der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Beim Verstoß gegen die DSGVO drohen Unternehmen hohe Geldbußen bis zu 20 Millionen Euro, oder bis zu 4% des weltweiten Umsatzes – je nachdem welcher Wert höher ausfällt. Obwohl zum heutigen Tage keine eindeutige Klassifizierung der Verstöße und der entsprechenden Strafen in offizieller Rechtsprechung erarbeitet wurde, macht die beträchtliche Höhe der maximalen Strafe deutlich, dass der Gesetzgeber es mit dem Datenschutz ernst meint.

Umso wichtiger ist es, sich mit den für die Online-Umfragen relevanten Aspekten der DSGVO auseinanderzusetzen, um innerhalb der Umfragen die Regelungen der DSGVO vollständig erfüllen zu können und möglichen Abmahnungen jegliche Angriffsfläche zu entziehen.

Was sind personenbezogene Daten?

Nach Artikel 4 Nr.1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.

Die natürliche Person gilt dabei dann als identifizierbar, wenn sie “durch die Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.”

Neben den allgemeinen personenbezogenen Daten werden besondere Datenkategorien gesondert ausgewiesen, für die ein höheres Schutzniveau gilt. Zu den besonders schutzwürdigen Daten gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der Person hervorgehen.

Wie Sie sehen, ist die Definition der personenbezogenen Daten per Gesetz ziemlich breit gefasst. Eine abschließende Liste der personenbezogenen Datenarten lässt sich wohl kaum erstellen. Folgende Beispiele vermitteln deshalb den Eindruck davon, was als personenbezogene Daten angesehen werden kann:

  • Personendaten, die sich direkt auf die Person beziehen: Name, Anschrift, Alter, Geburtsdatum, Geburtsort usw.
  • Kennnummern: Telefonnummer, Kfz-Kennzeichen, Kontonummer, Kreditkartennummer, Personalausweisnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Matrikelnummer, Personalnummer usw.
  • Online-Daten: E-Mail-Adresse, Loginname, IP-Adresse, Standortdaten usw.
  • Physische Merkmale: Fotos, Geschlecht, Hautfarbe, Augenfarbe, Körper- und Konfektionsgröße, Muttermale, Krankheiten usw.
  • Wirtschaftliche Daten: Einkommen, Besitz von Fahrzeugen oder Immobilien, Schulden usw.
  • Kulturelle und Soziale Daten: Nationalität, Religion, Sprache, Parteizugehörigkeit, Beruf, Ausbildung, Familienstand, Anzahl von Kindern usw.
  • Besonders schutzwürdige Daten: genetische, biometrische, Gesundheitsdaten, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit
  • u.v.m.

Dabei sind im Sinne von Rechtsprechung nicht immer dieselbe Art der erhobenen Daten personenbezogen. Andersherum können die Daten, die für sich genommen nicht personenbezogen sind, in Zusammenhang mit anderen Daten aber personenbezogen werden.

Das wichtigste Merkmal, der die Daten im Sinne der DSGVO personenbezogen macht, ist die Möglichkeit, mit Hilfe dieser Daten eine Person zu identifizieren.

Betrachten wir ein Beispiel:

Sie führen eine landesweite Befragung durch, in der Sie u.a. den Bildungsabschluss und das Geschlecht abfragen. Wenn Sie dabei keine weitere Daten wie Kennnummern, E-Mail-Adresse, oder Standortdaten abfragen und/oder die Antworten der Probanden mit solchen Daten nicht verknüpfen können, so reicht das Wissen über den Bildungsabschluss und das Geschlecht für sich nicht aus, um eine Person identifizieren zu können. In diesem Fall stellen Bildungsabschluss und Geschlecht keine personenbezogenen Daten dar.

Anders sieht es aber aus wenn Sie dieselbe Befragung in einem Unternehmen mit einer überschaubaren Mitarbeiteranzahl durchführen. In diesem Fall kann die Kenntnis des Bildungsabschlusses und des Geschlechts bereits Rückschlüsse auf eine konkrete Person erlauben – insbesondere wenn zusätzliche Daten wie z.B. Abteilung oder Beschäftigungsdauer mit abgefragt werden oder mit den Antworten des Probanden verknüpft werden können.

Sind Firmenkontakte personenbezogene Daten?

Jein! Grundsätzlich greift die DSGVO nur für natürliche Personen. Die Einzelangaben zu juristischen Personen wie Kapitalgesellschaften, eingetragenen Vereinen, Körperschaften, Stiftungen, Anstalten, Behörden usw. gehören demnach nicht zu personenbezogenen Daten.

Es sei denn diese Angaben schlagen sich auf die hinter der juristischen Person stehenden natürliche Personen durch, das heißt einen Rückschluss auf sie ermöglichen. Das kann beispielsweise bei der Ein-Personen-GmbH oder einer Einzelfirma der Fall sein.

Gleiches gilt für die Kontaktdaten der Ansprechpartner im Unternehmen z. B. Name, personalisierte E-Mail-Adresse – insbesondere solche, aus der der Vor- und Nachname hervorgehen –, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

Einwilligung zur Speicherung- bzw. Verarbeitung personenbezogener Daten

Nach dem Datenschutzrecht ist die Erhebung und Verarbeitung von personenbezogenen Daten ohne Einverständnis der Auskunftsperson grundsätzlich verboten. Deshalb müssen Sie im Rahmen einer Online-Umfrage von Ihren Probanden eine Einwilligung zur Datenspeicherung bzw. -verarbeitung einholen und zwar bevor Sie die personenbezogenen Daten erheben. Diese Einwilligung unterliegt nach Art. 4 Nr. 11 DSGVO  bestimmten Anforderungen. Nämlich muss sie

  • Freiwillig abgegeben worden sein. Sie dürfen die Probanden nicht zwingen, ihre Daten anzugeben – insb. dann nicht wenn sie zur Erfüllung des Zwecks der Datenerhebung gar nicht notwendig sind. Z.B. wenn Sie als Dank für die Teilnahme an Ihrer Befragung unter Ihren Probanden einen Preis verlosen möchten, ist es durchaus zulässig die Einwilligung zur Verarbeitung von E-Mail-Adresse einzuholen. Diese Einwilligung darf jedoch nicht daran gekoppelt sein, dass die E-Mail-Adresse gleichzeitig für Werbezwecke verwendet wird, da Letzteres für die Erfüllung des Zwecks (Gewinnermittlung) nicht notwendig ist.
  • In informierter Weise abgegeben worden sein. Das ist nur dann der Fall, wenn der Proband klar und deutlich darüber informiert wird, warum er seine Daten angeben soll und was mit den Daten geschieht.
  • Unmissverständlich abgegeben worden sein. Damit ist gemeint, dass der Proband aktiv zustimmen muss – z.B. durch Anklicken eines Häkchens oder Auswahl der Antwort «stimme zu». Die stillschweigende Zustimmung, bei der die Zustimmung vorausgewählt ist, sodass der Proband sie wegklicken muss, um der Einwilligung zu widersprechen, ist unzulässig.
  • Nur für einen oder mehrere bestimmte Zwecke abgegeben worden sein. Eine generelle Einwilligung ohne Nennung konkreter Zwecke ist unwirksam.

Auch wenn das alles kompliziert klingt, ist die praktische Umsetzung von gesetzlichen Anforderungen im Fragebogen nicht so schwer.

Beispiel:

Untenstehend sehen Sie Beispiele für gesetzeskonforme Einwilligungen zur Datenspeicherung und -verarbeitung:

Und so sieht das live aus: klick.

Alternativ kann die Einwilligung zur Speicherung und Verarbeitung der personenbezogenen Daten direkt zu Beginn der Umfrage eingeholt werden. Tatsächlich kann das sogar die bevorzugte Stelle dafür sein. In der Regel wird zu Beginn der Umfrage ihr Zweck ausführlich beschrieben. Die Erklärung darüber, welche Daten gespeichert werden und wie mit ihnen umgegangen wird, passt an dieser Stelle organisch ins Konzept. Die meisten wissenschaftlichen Studien gehen genau so vor.

Hier können Sie das Beispiel einer solchen Vorgehensweise sehen: klick.

Wann ist die Erhebung personenbezogener Daten ohne Einwilligung erlaubt?

Nach der aktuellen Rechtsprechung ist die Erhebung und Verarbeitung von personenbezogenen Daten ohne Einwilligung der Auskunftsperson nur in folgenden Ausnahmefällen zulässig:

  • Die Datenverarbeitung ist durch Gesetz erlaubt. Das trifft z.B. auf Beschäftigungsunterlagen oder Arbeitsschutzaufzeichungen zu.
  • Die Datenverarbeitung ist zur Erfüllung eines Vertrages oder Vertragsanbahnung notwendig. Z.B. ist das Wissen der Kundenanschrift für die Zustellung seiner Bestellung notwendig. Deshalb kann sie ohne Einwilligung erhoben werden. Ähnlich sieht es mit Kontaktdaten eines Interessenten aus, der sich über Ihre Leistungen informieren will.
  • Es liegt ein berechtigtes Interesse  vor, das höher einzustufen ist, als das Interesse des Betroffenen, seine Daten zu schützen. Ein solches Interesse kann auch wirtschaftlicher Natur sein. Z.B. wird es argumentiert, dass das wirtschaftliche Interesse eines Händlers, der Direktwerbung an seine Bestandskunden versendet, unter Umständen höher einzustufen ist, als der Schutz der Privatsphäre (s. z.B. DSGVO, Erwägungsgrund 47/7).

In diesen Fällen bedarf es keine Einwilligung der betroffenen Person zur Speicherung und Verarbeitung ihrer personenbezogenen Daten.

Obwohl es vom Gesetzgeber nicht gefordert wird, hat es sich in der Praxis dennoch eingelebt, auch in solchen Fällen eine Einwilligung einzuholen, insbesondere um der von der DSGVO angeordneten Rechenschafts- und Dokumentationspflicht nachzukommen. Auf jeden Fall gehört es zum guten Ton, die betroffene Person über den Zweck der Speicherung ihrer personenbezogenen Daten zu informieren, bevor sie ihre personenbezogene Daten mit Ihnen teilt.

Braucht man die Einwilligung zur Speicherung von IP-Adressen?

Nach der aktuellen Rechtsprechung wird die IP-Adresse als personenbezogenes Datum gesehen. Da jedoch die Speicherung der IP-Adresse für die Funktionsweise von Webseiten (und Online-Fragebögen) technisch notwendig ist, geht der europäische Gerichtshof davon aus, dass die Einwilligung zur Speicherung der IP-Adresse des Webseitenbesuchers in dem Moment ihres Aufrufs bereits automatisch vorliegt.

Zudem besteht in der Speicherung der IP-Adresse ein berechtigtes Interesse des Umfragestellers, z.B. die Manipulationen der Umfrageergebnissen durch mehrfaches Ausfüllen des Fragebogens durch einen Probanden verhindern oder die Funktion zum Unterbrechen und Wiederaufnehmen der Ausfüllung einer Umfrage ermöglichen zu können.

All das führt dazu, dass eine gesonderte Einwilligung zu Speicherung von IP-Adressen in Online-Umfragen in der Regel nicht erforderlich ist. Ein Hinweis auf anonymisierte Auswertung reicht in diesem Fall vollkommen aus.

Zu beachten gilt dabei jedoch, dass die IP-Adressen nicht auf Vorrat gespeichert werden dürfen und nach dem Erfüllen des Zwecks – i.d.R. nach wenigen Wochen – gelöscht werden müssen. Wird diese Voraussetzung nicht erfüllt, d.h. wenn Sie die IP-Adressen Ihrer Probanden über längere Zeit hinweg zu speichern und/oder zu verarbeiten beabsichtigen, so wird es notwendig die Einwilligung zur Speicherung der IP-Adresse von Probanden explizit einzuholen.

Datenschutzerklärung: ja oder nein??

Die DSGVO enthält keine Regelung in Bezug darauf, ob bei Online-Umfragen eine Datenschutzerklärung – wie wir sie aus dem Internet kennen – enthalten sein soll. Es ist also nicht erforderlich speziell für eine Umfrage eine separate Webseite einzurichten, auf der alle Nuancen zum Datenschutz erfasst sind und die auf allen Seiten der Umfrage zugänglich sein muss.

Dennoch fordert die DSGVO, dass im Fall wenn in der Umfrage personenbezogene Daten erhoben werden

  • Probanden über den Zweck, die Form und den Umfang der Erhebung und Verarbeitung personenbezogener Daten informiert werden.
  • Die personenbezogene Daten nur erhoben und genutzt werden, wenn der Proband eine entsprechende Einwilligungserklärung abgibt.
  • Probanden über ihre Rechte aufgeklärt werden (Anspruch auf Auskunft, Löschung, Widerruf).
  • Probanden über die Dauer der Datenaufbewahrung und -verarbeitung sowie den Verbleib der Daten nach Ablauf der Friste in Kenntnis gesetzt werden.
  • Die erhobenen Daten ausreichend vor dem Zugriff Unbefugter geschützt sind. Das erfordert, dass von vornherein die Personen bestimmt werden, die zur Verarbeitung der Daten berechtigt sind.
  • Im Fall der Auftragsdatenverarbeitung Informationen zum Auftragnehmer bekannt gegeben werden.
  • Zudem muss die Kontaktperson genannt werden, die für den Datenschutz bei der Datenerhebung zuständig ist. Schließlich müssen die Anfragen bzgl. Auskunft, Löschung und Widerruf an jemanden gerichtet werden können.

All diese Informationen lassen sich in der Einleitung zu einer Umfrage organisch unterbringen. Manchmal kann aber die Beschreibung von all den Fakten viel zu viel Platz einnehmen. In solchen Fällen ist die Erstellung einer Datenschutzerklärung auf einer separaten Website, die aus dem Fragebogen verlinkt wird, durchaus berechtigt. Wichtig ist dabei, dass diese Verlinkung noch vor der Erhebung der Daten und möglichst nah an dem Punkt platziert wird, an dem der Proband seine Einwilligung zur Erhebung personenbezogener Daten abgibt.

Beispiel mit Integration in die Einleitung: klick.

Beispiel mit Verlinkung: klick.

Brauche ich die Einwilligung und Datenschutzerklärung wenn ich keine personenbezogene Daten erhebe?

Die DSGVO gilt ausschließlich für personenbezogene Daten. Sofern Sie in Ihrer Umfrage keine personenbezogenen Daten erheben oder sie so erheben, dass mit einem realistischen Aufwand es nicht möglich ist, diese Daten einer konkreten Person zuzuordnen (siehe Beispiel oben), brauchen Sie weder Einwilligung, noch Datenschutzerklärung.

Nichtsdestotrotz können Sie sich entscheiden auch in diesem Fall etwa aus ethischen Gründen oder zur Erhöhung der Transparenz eine Einwilligungs- und Datenschutzerklärung in Ihren Fragebogen zu integrieren.

Die mögliche Formulierung dafür könnte dabei so aussehen:
Beispiel 1
Beispiel 2
Beispiel 3 (Einleitung ohne Einwilligungserklärung)

Wann ist die Umfrage anonym und was ist Pseudonymisierung?

Die Umfrage gilt dann als anonym, wenn die in ihr erhobenen Daten sich nicht auf eine natürliche Person beziehen oder beziehbar sind – also keine Rückschlüsse auf eine konkrete Person erlauben.

Das ist der Fall wenn

  • Sie keine personenbezogene Daten erheben, oder
  • Daten erheben, die fü