Am 25.05.2018 trat die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Marktforscher in ganz Europa bereiteten sich darauf vor, natürlich auch Stella Publishing GmbH Brand & Research. Aus unserer Sicht gibt es gerade für die Branche der Marktforscher – Online und Konventionell – verschiedene Themen und Aspekte, die hierbei bedacht werden sollten. Hierüber möchten wir Sie gerne informieren.

Online-Marktforschung

Die (Online-)Marktforschung hat zum Ziel, per Umfrage ein umfassendes Meinungs- oder Stimmungsbild einzufangen bzw. generelle Trends zu Konsumverhalten, zu demografischen Entwicklungen usw. zu ermitteln. Es geht generell nicht um das Erheben von Einzelaussagen, die konkreten Personen zugeordnet werden können. Die Marktforschung bedient sich dabei wissenschaftlich-methodischer Verfahren sowie Forschungssoftware für quantitative, fragebogengestützte Methoden sowie für qualitative Erhebungsmethoden. Das beinhaltet unter anderem, personenbezogene Daten zu anonymisieren bzw. zu pseudonymisieren.  

Dieser Umstand ist ein wichtiger Aspekt, um das Erheben an sich schützenswerter Daten gesetzlich erlaubt durchführen zu dürfen. Essenziell ist auch die bewusste und konkrete Einwilligung von Teilnehmern, dass deren Daten verarbeitet werden dürfen. Verschiedene Gesetze sowie Berufskodizes regeln den Umgang mit sensiblen Daten in der Markt- und Meinungsforschung. Diese sind unbedingt zu beachten, da sonst hohe Bußgelder drohen.
 

Welche relevanten Datenschutzfragen stellen sich für die aktuelle Online-Marktforschung?

Grundlage der Marktforschung sind Daten, die Auskunft über Meinungen, Einstellungen, von Personen usw. geben. Das typische „Arbeitsmittel“ der Marktforscher sind also personenbezogene Daten. Und diese sind per Gesetz prinzipiell schützenswert. Was ist Marktforschern erlaubt, welche Gesetze regeln den Umgang mit den sensiblen Daten und in welchem Rahmen dürfen diese Daten gesammelt und ausgewertet werden? Dieser Beitrag liefert einen kurzen Überblick über die aktuellen Rechtsvorschriften.

 

Was zählt zu den personenbezogenen Daten?

Artikel 4 der Datenschutz-Grundverordnung (DSGVO) gibt Auskunft darüber, was zu den personenbezogenen Daten zählt. Grundsätzlich gehören dazu sämtliche Informationen, die eine natürliche Person ohne weiteres Zusatzwissen identifizierbar machen. Das können zum Beispiel sein:

• Personendaten wie Name, Geburtsdatum, Alter, Postanschrift, E-Mail-Adresse und Telefonnummern
• Bankdaten wie Kontonummern
• Online-Daten wie Standortdaten und IP-Adresse
• Kennnummern wie Personalausweis-, Krankenversicherungs- und Sozialversicherungsnummer
• Besitzmerkmale wie Grundbucheintragungen und Kfz-Kennzeichen
• Physische Merkmale wie Kleidergröße, Hautfarbe und Augenfarbe

  Es ist rechtlich nur relevant, ob der Zusammenhang mit einer Person hergestellt werden kann, und nicht, ob dies tatsächlich umgesetzt wird! Falls eine Zusammenführung möglich ist, gelten die Datenschutzgesetze, in allen anderen Fällen nicht.  

 

Was ist nun im Rahmen der Marktforschung von Gesetz wegen erlaubt?

VERBOTE UND ERGEBNISVORBEHALTE

Es gilt erst einmal ein generelles Verbot, personenbezogene Daten zu erheben. Anders herum gesagt sind aber Ausnahmen definiert, die wiederum den Umgang damit erlauben. Per sogenanntem Erlaubnistatbestand ist geregelt, inwiefern mit diesen Daten gearbeitet werden darf. Das Telemediengesetz (TMG) ist hier einer der Bezugspunkte für Online-Marktforscher, vor allem die §§ 11 bis 15a. In § 12 ist das Verbot mit Erlaubnisvorbehalt so beschrieben:   Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.  

Dabei wird unterschieden zwischen Bestandsdaten (§ 14 TMG) und Nutzungsdaten (§ 15 TMG). Das Beispiel eines Online-Panels, also die infrage kommende Stichprobe einer Marktforschungsstudie (zum Beispiel Kunden, Mitarbeiter, Mitglieder etc.) verdeutlicht den Unterschied:  

• Als Bestandsdaten gelten beispielsweise die postalische und die E-Mail-Adresse eines Teilnehmers, die er zu Beginn seiner Registrierung im Panel angegeben hat. Diese dürfen ausschließlich zum ursprünglichen Zweck des Panels verwendet werden, also zur Einladung zu einer neuen Online-Umfrage oder zum Versand von Incentives. Verboten ist dagegen, an diese Adressen ungefragt Werbung und Newsletter zu verschicken oder ein Nutzungsprofil zu erstellen.

 

• Nutzungsdaten beziehen sich auf die Analyse des Surfverhaltens eines Teilnehmers (z. B. IP-Adresse und in Cookies gespeicherte Informationen). Zu Marktforschungszwecken dürfen solche Daten nur in Form von Pseudonymen verarbeitet werden – und auch nur solange, wie der Nutzer dem nicht widersprochen hat.

 
Stella verwendet in dieser Studie ausschließlich Bestandsdaten zur Einladung zu unserer Studie.    



GRUNDSATZ 1: TRANSPARENZPFLICHTEN GEGENÜBER BEFRAGTEN

Mit der DSGVO werden verschiedene Rechte der betroffenen Personen gestärkt. Gemeint sind hier im Falle der Marktforschung in der Regel die Umfrageteilnehmer. Im Wesentlichen geht es dabei um das Recht auf Auskunft und Löschung von personenbezogenen Daten. Da Marktforscher zumeist als Auftragsverarbeiter für ihre Kunden auftreten, sollten diese ihre Auftraggeber natürlich nach Kräften bei der Gewährleistung dieser Rechte unterstützen. Hierbei kommt es insbesondere darauf an, die internen Verarbeitungs- und Speicherprozesse darauf auszurichten, bei Bedarf die betreffenden Daten einzelner Personen, die der Marktforscher im Auftrag seiner Kunden verarbeitet, auch rasch wieder auffinden zu können.   Stella ist durch die Ausrichtung seiner Prozesse sehr gut hierauf vorbereitet. Die Unterstützung des Kunden bei Anfragen von Betroffenen erachten wir als selbstverständlich und wird im Rahmen der Vereinbarungen zur Auftragsverarbeitung auch vertraglich fixiert.

   

GRUNDSATZ 2: LÖSCHFRISTEN

Im Kontext der Transparenzpflichten sollten ebenfalls die Löschprozeduren für personenbezogene Daten im Rahmen von beauftragten Projekten geprüft und ggf. überarbeitet werden. Generell ist es an dieser Stelle für den Auftragsverarbeiter von Nutzen, personenbezogene Daten im Rahmen der vom Marktforscher administrierten Befragungen möglichst rasch nach Projektende wieder datenschutzgerecht und protokolliert zu löschen.

Stella GmbH ist auch an dieser Stelle vorbereitet: Das überarbeitete Archivierungs- und Löschkonzept trägt diesen Punkten Rechnung.  



GRUNDSATZ 3: INFOTEIL IN DEN UMFRAGEEINLADUNGEN

Im Sine der DSGVO sollten befragte Personen eindeutiger als bisher über verschiedene Datenschutz-Aspekte einer betreffenden Umfrage informiert werden. Dies kann im Rahmen der Umfrageeinladung oder auf der Startseite einer Umfrage geschehen. Zu diesen Informationen zählen u.a. Ort und Dauer der Speicherung, Herkunft und Verwendung der Daten sowie Kontaktinformationen.    

 

UMSETZUNG

Einwilligung und Widerspruch: auf der sicheren Seite durch das von uns eingesetzte Double-Opt-in Verfahren.  

Jeder kennt die Aufforderung, die beim Anklicken einer Website aufpoppt und Optionen zur Cookie-Nutzung aufführt. Dies ist häufig lediglich eine Information zum Widerspruchsrecht des Nutzers und in Deutschland rechtlich ausreichend. Im Gegensatz dazu verlangt eine rechtlich nötige Einwilligung das ausdrückliche Einverständnis.   Wer personenbezogene Daten geschäftsmäßig sammelt, braucht eine solche rechtswirksame Einwilligung. Diese setzt voraus, dass dem Teilnehmer an einer Online-Studie bewusst ist, welche Daten erhoben und in welchem Umfang sie verarbeitet werden. Hierzu hat sich das Double-Opt-in-Verfahren durchgesetzt, da damit auch nachweisbar ist, dass ein Teilnehmer seine Einwilligung gegeben hat. Dies bedeutet, dass ein Nutzer nach Registrieren mit seiner E-Mail-Adresse einen Link zur Bestätigung und Verifizierung zugeschickt bekommt. Mit diesem Verfahren ist ein Online-Marktforscher auf der sicheren Seite.   Vorbehalten bleiben immer drei hauptsächliche Rechte, die einem Teilnehmer von der DSGVO zugesprochen werden:  

• Recht auf Auskunft (Art. 15 DSGVO): Danach kann ein Teilnehmer Auskunft über die Daten einfordern, die über ihn gesammelt und gespeichert werden. Ebenso muss ein Unternehmen unter anderem mitteilen, zu welchem Zweck und für welche Dauer es die Daten sammelt. Es ist überdies verpflichtet, dem Auskunftssuchenden eine (elektronische) Kopie seiner personenbezogenen Daten auszuhändigen.
  
  
• Recht auf Berichtigung (Art. 16 DSGVO): Ein Teilnehmer kann die Berichtigung der über ihn gespeicherten personenbezogenen Daten verlangen sowie eine Ergänzung unvollständiger Daten.
  
  
• Recht auf Löschung (Art. 17 DSGVO): Reicht ein Teilnehmer die Bitte auf Löschung seiner personenbezogenen Daten ein, ist dem umgehend und vollumfänglich nachzukommen.
  
  
  

Stella teilt diese Rechte standardmäßig auch bei Online-Studien in einem hervorgehobenen Infoteil auf den E-Mail-Einladungen allen potentiellen TeilnehmernInnen mit:


     

Rechtsgrundlagen für Einladungen an Kunden, Mitglieder, Beschäftigte etc.

In vielen Fällen der Marktforschung geht es aber nicht nur um die Datensammlung im Rahmen sogenannter Panels. auf die die explizite Einwilligung zur Verarbeitung personenbezogener Daten aus dem vorherigen Absatz abzielt. Häufig möchte ein Unternehmen beispielsweise seine Kunden, Mitglieder oder seine Beschäftigten zu einer Befragung einladen.  

Für diese Einladungen, die in der Regel per E-Mail erfolgen, wird immer eine Rechtsgrundlage benötigt. Neben der expliziten Einwilligung kann dies auch die „Wahrung berechtigter Interessen“ sein. Diese berechtigten Interessen liegen in der Regel dann vor, wenn eine aktive Kundenbeziehung zu den Personen besteht. Dann ist es im berechtigten Interesse des Unternehmens, danach zu fragen, wie zufrieden die Kundinnen und Kunden mit dessen Leistung sind. Dies trifft explizit auch auf Bestandsmitglieder einer Organisation zu.

Im Fall von Mitarbeiter-Feedbacks kann die Rechtsgrundlage zum Beispiel auch durch eine Betriebsvereinbarung hergestellt werden. Dies wird häufig so angewendet.

 

Offizielle Gesetze und Berufskodizes

Neben dem seit 2018 geltenden Bundesdatenschutzgesetz (BDSG-neu), der EU-Datenschutz-Grundverordnung sowie dem TMG haben Online-Marktforscher auch Vorgaben aus berufsstandsbezogenen Kodizes zu beachten. Hier gelten allen voran der ICC/ESOMAR-Kodex, die Standesregeln der Deutschen Gesellschaft für Online-Forschung (DGOF) sowie die Richtlinien des Berufsverbands Deutscher Markt- und Sozialforscher (BVM). Danach verpflichten sich Marktforscher insbesondere, die Anonymität der Befragten zu wahren. Das Verfahren der Wahl hierfür ist die sogenannte Pseudonymisierung von Daten. Denn nur auf dieser Basis ist das nötige Vertrauen aufseiten der Teilnehmer geschaffen, ehrliche Auskünfte in Umfragen zu geben.

Stella wird diesen Vorschriften vollumfänglich gerecht, in dem die Pseudonymisierung der Daten durch softwareseitig durch den Einsatz von Codes gewährleistet wird.

UNTERSTÜTZUNG DURCH SOFTWARE  

Die verwendete Befragungs-Software sollte per se besonderen Wert auf datenschutzfreundliche Optionen bzw. Voreinstellungen legen. Die DSGVO fordert dies nun auch regulatorisch ein, was unter den Begriffen „Privacy by Design“ und Privacy by Default“ subsummiert wird. In diesem Kontext sollten im Standardfall geeignete Optionen und Grundeinstellungen etabliert werden, etwa zur Durchführung anonymer bzw. pseudonymisierter Befragungen.     Stella legt bei der Auswahl seiner Umfrage-Softwarepartner bereits seit langem besonderes Augenmerk und deklariert alle für das Projekt infrage kommenden Software-Partner explizit im Studienkonzept..  
   

VEREINBARUNGEN ZUR AUFTRAGSVEREINBARUNGEN  

    Die neuen Verträge heißen oftmals „Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO“ oder kurz „AVV“. Größere Unternehmen bzw. Marktforschungskunden haben intern bereits neue Vorlagen erstellt und senden diese ihren Dienstleistern zur Gegenzeichnung zu.   Trifft dies nicht zu, so bittet Stella seine Auftraggeber um Zusendung einer projekt-bezogenen Vereinbarung. Marktforscher, so auch Stella, können auf Bitte des Auftraggebers aber auch eigene Vereinbarungen nach DSGVO zur Verfügung stellen, die abgeschlossen werden können, um rechtssicher personenbezogene Daten verarbeiten zu können. Im Sinne seiner Kunden sollte jeder Marktforscher somit dafür Sorge tragen, dass bei jeder Auftragsverarbeitung von personenbezogenen Daten immer auch eine gültige AVV vorliegt.     


  PROZESS- UND VERARBEITUNGSTÄTIGKEITEN STANDARDMÄSSIG IM RAHMEN EINES FORSCHUNGSKONZEPTES    

Verschiedene Anforderungen des DSGVO beziehen sich auch auf die interne Dokumentation von Verfahren und Verarbeitungstätigkeiten. In diesem Kontext sollten Marktforscher ihr Verfahrens- sowie vor allem ihr Tätigkeitsverzeichnis den Anforderungen des DGSVO anpassen. Gelegentlich müssen dabei auch die Marktforschungskunden mithelfen, indem sie etwa Kontaktdaten zum eigenen Datenschutzbeauftragten bereitstellen. Im „Fall der Fälle“ – also beispielsweise bei einer Überprüfung durch die Aufsichtsbehörde oder bei einem Datenschutz-Vorfall – dient dies nicht zuletzt auch den Interessen der Kunden. Das Verzeichnis von Verarbeitungstätigkeiten bei Stella wird grundsätzlich im Rahmen eines Forschungsbooklets bezüglich der Anforderungen des DGSVO aufgearbeitet.

 

Fazit + Disclaimer

Der Datenschutz nach DSGVO wird für den Markt- und Meinungsforscher anspruchsvoller als bisher. Wir sollten dies in unserer Branche aber nicht als Nachteil betrachten, sondern als Chance, uns gegenüber den von Datenschutzskandalen betroffenen Großkonzernen abzuheben. Wir verarbeiten Daten nicht nur auf freiwilliger Basis, sondern vor allem transparent und jederzeit nachvollziehbar. Eine faire und vertrauensvolle Beziehung zu unseren Befragungsteilnehmern ist die wichtigste Basis der Marktforschung.


Dieser Artikel bietet einen groben Überblick über die gesetzlichen Vorschriften im Rahmen des Datenschutzes bei der Online-Marktforschung. Er kann jedoch keinesfalls das Thema in seiner Gesamtheit abbilden und stellt auch keine rechtlich verbindliche Auskunft dar.