Logo der activeMind AG

Online-Umfragen datenschutzkonform gestalten (Anleitung)

Inhalt

Im Rahmen von Online-Umfragen werden häufig personenbezogene Daten erhoben. Nicht selten handelt es sich dabei auch um besondere Kategorien personenbezogener Daten, die einen erhöhten Schutzbedarf haben, wie beispielweise Gesundheitsdaten oder Daten, aus denen die ethnische Herkunft hervorgeht. Die Durchführung von Online-Umfragen unterliegt deshalb strengen datenschutzrechtlichen Vorgaben. Bei Nichtbeachtung drohen enorme Bußgelder.

Anonyme Online-Umfragen als Alternative

Vorab stellt sich die Frage, ob Sie bei der Erstellung einer Online-Umfrage immer an das Datenschutzrecht gebunden sind. Diese Frage lässt sich eindeutig verneinen. Sofern Sie keine personenbezogenen Daten erheben, greift die DSGVO (Datenschutz-Grundverordnung) nicht.

Deshalb sollten Sie sich erstmal Gedanken machen, ob Sie Ihre Umfrage auch anonym gestalten können. Eine Umfrage ist dann anonym, wenn die erhobenen Daten nicht oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer natürlichen Person zugeordnet werden können. Der Sinn und Zweck der Anonymisierung ist also die Entfernung bzw. Verhinderung des Personenbezugs.

Nur auf die Erhebung des Namens oder anderer konkreter Zuordnungen (Nutzerkonto, IP-Adresse, etc.) zu verzichten, reicht aber nicht immer aus. Oft ergeben die gesammelten Daten in ihrer Gesamtheit ein so individuelles Bild, dass eine einzelne Person erkennbar sein kann. Damit die angegebenen Antworten nicht dem jeweiligen Teilnehmer zugeordnet werden können, sollten die Antwortoptionen deshalb so allgemein wie möglich gehalten sein.

Das kann möglich gemacht werden, indem Sie Ihre Teilnehmer nicht konkrete Daten eingeben lassen, sondern Datenkategorien auswählen lassen. Wenn Sie zum Beispiel nach dem Alter Ihrer Teilnehmer fragen möchten und nicht auf sehr genaue Daten angewiesen sind, können Sie als Antwortoptionen für den Geburtszeitraum z.B. ganze Jahrzehnte angeben.

Auf diesem Weg vermeiden Sie die Erhebung des konkreten Geburtsdatums – also eines personenbezogenen Datums – und können Ihre Befragten trotzdem nach Alterskohorten unterteilen.

Die Erstellung einer anonymen Umfrage ist allerdings in der Praxis nicht leicht, wie auch viele Studien zeigen. Oft ist eine Anonymisierung aufgrund der Art der Umfrage auch gar nicht möglich. Deshalb finden Sie im Folgenden praktische Tipps für eine datenschutzgerechte Gestaltung einer Online- mit Personenzug.

Online-Umfragen mit Personenbezug

Datenschutzgrundsätze einhalten

Auch bei der Durchführung von Umfragen müssen Sie die allgemeinen Grundsätze nach Art. 5 Abs. 1 DSGVO einhalten. Im Rahmen einer Umfrage sollten Sie deshalb nur solche Daten erheben, die auch tatsächlich für das eindeutig festgelegte und legitime Ziel der Umfrage relevant sind (Art. 5 Abs. 1 lit. b DSGVO – Prinzip der Zweckbindung). Angenommen, Sie verkaufen eine CRM-Software und wollen eine Kundenbefragung zur Optimierung dieses Produkts durchführen. Eine Frage nach den Hobbies Ihrer Teilnehmer wäre in diesem Zuge irrelevant und Sie würden gegen Art. 5 Abs. 1 lit. b DSGVO verstoßen.

Deshalb sollten Sie sich auf jeden Fall im Voraus bereits konkrete Gedanken machen, welche Daten für die Umfrage notwendig sind und nur so viele Daten erheben, wie Sie tatsächlich benötigen. Denn auch eine Erhebung von Daten auf Vorrat für ein Projekt, das vielleicht zukünftig durchgeführt werden soll, wäre unzulässig und würde gegen das Prinzip der Datenminimierung verstoßen. (Art. 5 Abs. 1 lit. c DSGVO)

Rechtsgrundlage identifizieren

Als nächsten Schritt, sollten Sie sich Gedanken um die Rechtsgrundlage Ihrer Datenverarbeitung machen. Für die Durchführung einer Online-Umfrage muss in den meisten Fällen die ausdrückliche Einwilligung der Teilnehmer gem. Art. 6 Abs. 1 lit. a DSGVO eingeholt werden.

Wie Sie eine wirksame Einwilligung einholen, können Sie in unserem Artikel zur Umsetzung der informierten Einwilligung nach DSGVO nachlesen.

Es können aber durchaus Ausnahmen bestehen, in denen eine Einwilligung nicht eingeholt werden muss. Die Verarbeitung der Daten im Rahmen der Umfrage würde sich dann auf das berechtigte Interesse des Erstellers der Umfrage stützen. Dies kann zum Beispiel bei einer Befragung von Kunden zum bestellten Produkt der Fall sein.

Die Befragung darf sich allerdings nur auf die Waren oder Dienstleistungen beziehen, die der Kunde bereits erworben hat. Unter diesen Umständen wäre eine allgemeine Befragung zur Kundenzufriedenheit nicht gestattet.

Informationspflichten erfüllen

Jeder Verantwortliche, der personenbezogene Daten erhebt und verarbeitet, muss die Betroffenen stets darüber informieren. Dies gilt auch für die Ersteller von Online-Umfragen. Noch bevor die Teilnehmer die Umfrage starten, müssen Sie gem. Art. 13 DSGVO über die Verarbeitung ihrer Daten informiert werden.

Meistens werden diese Informationen in zwei Sätzen in der Einleitung zu einer Umfrage untergebracht. Dies ist allerdings nicht zu empfehlen. Wenn man DSGVO-konform informieren möchte, dann wird etwas mehr Platz benötigt. Wir empfehlen ein Informationsschreiben in Ihre Website zu integrieren und dieses Schreiben auf dem Fragebogen zu verlinken.

Lesen Sie mehr zu Ihren Informationspflichten nach DSGVO oder gestalten Sie Ihr Informationsschreiben mit unserem interaktiven Generator.

Datensicherheit

Bei der Erstellung von Online-Umfragen müssen auch Maßnahmen zur Datensicherheit ergriffen werden. Voraussetzung ist es, den Schutzbedarf der erhobenen Daten zu erkennen. Je höher der Schutzbedarf, desto weitreichender müssen die technischen und organisatorischen Maßnahmen (TOM) sein.

Die Maßnahmen zur Datensicherheit schließen unter anderem auch die Pseudonymisierung ein.

Auch wenn keine Anonymisierung der Daten möglich ist, ist eine Pseudonymisierung in allen Fällen zu empfehlen, um den Schutz der personenbezogenen Daten zu gewährleisten.

Erfahren Sie mehr über die Abgrenzung von Anonymisierung und Pseudonymisierung.

Außerdem ist darauf zu achten, dass die Zugriffsrechte geregelt sind und dass die erhobenen Antworten ausreichend vor dem Zugriff unbefugter Personen geschützt sind. Wenn der Schutzbedarf der Daten hoch ist, bedarf es eines sehr eingeschränkten Kreises von berechtigten Personen.

Erforderlich ist weiterhin auch die Verschlüsselung der Speicherorte der Antworten. Auch bei der Übertragung im Internet sollte eine ausreichende Verschlüsselung vorhanden sein.

Bei der Implementierung angemessener Schutzmaßnahmen ist insbesondere auch der Stand der Technik zu berücksichtigen. Die Maßnahmen müssen schließlich ständig angepasst werden, wenn die technologische Entwicklung dies erfordert.

Auftragsverarbeiter

Werden für die Durchführung der Umfrage Dienstleister eingesetzt, liegt regelmäßig eine Auftragsverarbeitung vor. Wichtig ist dann der Abschluss eines sog. Auftragsverarbeitungsvertrages, den die DSGVO in solchen Fällen zwingend vorschreibt. Achten Sie dabei darauf, nicht einfach einen vorgelegten Vertrag ungeprüft zu unterschreiben – es drohen Haftungsrisiken. Auch nach Vertragsschluss sollte bei einer längeren Zusammenarbeit regelmäßig kontrolliert werden, ob der Dienstleister die im Vertrag zugesicherten Pflichten erfüllt. Ansonsten machen Sie sich ggf. für Verstöße haftbar.

Dokumentation und DSFA

Vergessen Sie auch nicht die Datenverarbeitung im Rahmen der Umfrage in Ihrem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Bei einem unvollständigen oder fehlerhaften Verzeichnis drohen Sanktionen durch die Aufsichtsbehörde.

In diesem Zusammenhang sollten Sie auch eine Risikoanalyse durchführen. Besteht für Betroffene ein hohes Risiko, müssen Sie als Verantwortlicher eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO vornehmen.

Das kann insbesondere dann der Fall sein, wenn der Gegenstand der Umfrage sehr sensible Lebensbereiche wie zum Bespiel die Themen Gesundheit, Politik oder Religion betrifft. Aber auch die befragte Zielgruppe (z.B. eigene Beschäftigte) kann hier von Relevanz sein.

Nutzen Sie unsere Vorlage für die DSGVO-konforme Dokumentation der Verarbeitungen und lesen Sie unsere Anleitung zur Durchführung einer DSFA.

Fazit: Datenschutz bei Online-Umfragen ist herausfordernd, aber möglich

Die Durchführung von Online-Umfragen birgt ein paar datenschutzrechtliche Fallstricke. Deshalb veröffentlichte der hessische Datenschutzbeauftragte Anfang 2017 eine Anleitung für Studenten und Betreuer von Abschlussarbeiten, worin die datenschutzrechtlichen Mindestkriterien für Online-Umfragen dargestellt werden.

Durch Einführung der DSGVO sind die Anforderungen jedoch noch strenger geworden. Trotzdem werden diese nur selten ausreichend erfüllt, obwohl dadurch Auseinandersetzungen mit den Aufsichtsbehörden drohen. Gerade durch die oft hohe Zahl Betroffener (Umfrage-Teilnehmer) ist das Risiko von Beschwerden nicht zu unterschätzen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.