Vor rund einem halben Jahr berichteten wir über einen – selbstverständlich – fiktiven Besuch bei einem Marktforschungsinstitut. Seitdem hat sich einiges geändert: Mit der DSGVO wurden die Informationspflichten desjenigen verschärft, der für die Verarbeitung personenbezogener Daten verantwortlich ist. Aber auch die Anforderungen an eine Einwilligung in die Datenverarbeitung wurden erhöht. Und plötzlich wurden viele Unternehmen, Hobby-Vereine und interessierte Bürger auch hinsichtlich des Datenschutzes aktiv und fast schon übereifrig.
Vor kurzem fand erneut eine solche – fiktive – Teilnahme bei einem Institut der Marktforschung statt.
Wie wird die DSGVO nun konkret bei der Marktforschung umgesetzt?
Der Ablauf
Wie auch schon vor Jahren erhalten die für die bestimmte Studie infrage kommenden Teilnehmerinnen und Teilnehmer eine kurze E-Mail mit Hinweis auf eine aktuelle Studie zum Thema X. Für diesen Verteiler hatten sich die meisten schon vor einigen Jahren angemeldet, als nur die Spezialisten unter den Juristen überhaupt über das Datenschutzrecht sprachen.
Bei den Studien kann es sich um die anonyme Beurteilung von diversen Marktangeboten/Testangeboten zum Online-Banking, den neuen Rasierern oder aber um ein Geschmackstest neuer Eistee-Prozeduren handeln. Der Interessent klickt sich somit durch diese E-Mail, füllt auf einer entsprechenden aufgerufenen Webseite ein paar Fragen aus und gibt dann in der Regel mit Absenden seiner Antworten und ggfs. seiner Telefonnummer das Einverständnis in die Kontaktaufnahme. Eine konkrete Einwilligungserklärung existiert auf diesen Panels zumeist nicht. Ob jemals überhaupt eine Einwilligung erteilt worden ist, ist fraglich.
Wenn der Interessent auf Grund seiner Antworten oder der Beteiligung anderer Stereotypen in die engere Wahl rückt, wird er/sie zumeist telefonisch kontaktiert, um letzte Fragen zu klären und einen Termin festzulegen. Mangels konkreter Einwilligung, zumindest im Hinblick auf diese konkrete Studie, sollte dieser Anruf sachlich und freundlich ablaufen. Der Mitarbeiter des Instituts sollte sich kurz vorstellen, dieses ans Verantwortlichen benennen und fragen, ob Interesse an der Teilnahme besteht. Eine Werbung sollte unterbleiben.
Da das Interesse an der Studie weiterhin besteht, die Antworten anscheinend auch den Vorgaben des Initiators entsprechen und sich die Terminvorschläge nicht überschneiden, kommt es zur finalen Einladung. Der Termin steht also fest und der Teilnehmer erscheint wie verabredet pünktlich in den Räumlichkeiten des Instituts. Am Tresen erhalten alle „Mitspieler“ nun ein Formular, das Angaben zur Person (Name, Vorname, Adresse) erfordert, aber auch ein paar allgemeine Hinweise zum Datenschutz enthält. Einer vollumfänglichen Datenschutzerklärung nach Art. 12 bzw. 13 DSGVO dürfte dies nicht entsprechen, aber immerhin werden der Verantwortliche wie auch Speicherdauer und Zweck benannt (Art. 13 DSGVO). Sogar ein interner Datenschutzbeauftragter wird angegeben, obwohl noch nicht einmal bekannt ist, ob mehr als zehn Personen bei diesem doch recht kleinen Institut angestellt sind. Die Hinweise auf die Betroffenenrechte fehlen allerdings. Und die Anonymität der Teilnahme kann auch bezweifelt werden, wenn Ton- und Bildaufnahmen angefertigt werden, was möglicherweise sogar je nach technischer Ausstattung ein biometrisches Datum im Sinne von Art. 4 Nr. 4, Art. 9 Abs. 1 DSGVO begründen könnte.
Zur Überraschung lässt sich feststellen, dass sogar eine Einwilligungserklärung auf diesem Schriftstück enthalten ist. Hiermit erkläre sich also der sich oben eigenständig ausgewiesene Teilnehmer damit einverstanden, dass all seine Daten im Rahmen dieser Marktforschungsstudie allein zum Zwecke der Durchführung verarbeitet würden. Dieses könne auch Bild- und Tonaufnahmen betreffen. Alles werde anonym (?) gespeichert und nach Beendigung der Studie nach sechs Monaten gelöscht.
Angesichts des vollen Wartezimmers und in Ansehung der versprochenen 30 Euro, die jeder anschließend nach der Beurteilung der neuesten Eissorten oder unseriösen TV-Serien-Formate erhält, wird dieses Formular rasch ausgefüllt, die Einwilligungserklärung unterschrieben und auf den Tresen abgelegt. Mit einem schnellen Blick auf weitere Zettel lässt sich aber auch der Name anderer Anwesenden erhaschen. Allerdings werden die personenbezogenen Daten auf diesen individuellen Zetteln im Vergleich zu früheren „Listen“, in denen alle Anwesenden sich mit Vor- und Nachname und privater Anschrift eintrugen, schon etwas vertraulicher behandelt.
Es könnte jetzt diskutiert werden, ob die Einwilligung gemäß Art. 7 DSGVO freiwillig erteilt wird oder aber nur, damit es schnell weitergeht oder aber der Teilnehmer die versprochenen 30 Euro erhält. Denn den Erhalt dieser Aufwandsentschädigung wird gleichzeitig auch mit diesem Formular bestätigt. Ob dies sogar ein Kopplungsverbot darstellt, lässt sich leider nicht mehr aufklären, denn eine Kopie der abgegebenen Einwilligung zur Erleichterung der Möglichkeit des jederzeitigen Widerrufs bekommt der Teilnehmer nicht ausgehändigt.
Die wartenden Teilnehmer aller Couleur werden nun in den Raum voller Kameras, Richtmikrophone oder aber einfach nur mit Laptops zum eigenständigen Ausfüllen eines Fragenkatalogs geführt. Nach rund einer Stunde sind alle Fragen beantwortet, kurze Freundlichkeiten und spontane Geschmacksäußerungen ausgetauscht und es folgt der beste Teil am Abend: Am Tresen wird jedem Teilnehmer der kleine Obolus in bar ausgeteilt und die meisten stürmen sofort zum Ausgang. Spätestens am nächsten Tag macht sich keiner mehr Gedanken darüber, was mit seinen Daten nun passiert.
Allgemeine Anforderungen zum Datenschutzrecht
Denn für den Teilnehmer ist jetzt die Studie erledigt. Das Datenschutzrecht gilt weiterhin:
Für das Marktforschungsinstitut bestehen jederzeit auch für die Zeit nach dem Termin die interne Organisation, dass die ausgefüllten Dokumente und Videoaufzeichnungen entsprechend Art. 32 DSGVO sicher verarbeitet werden, also beispielsweise verschlüsselt gespeichert und vor Zugriffen Unbeteiligter geschützt werden. Nur die hierfür vorgesehenen Mitarbeiter sollten auf die Daten Zugriff haben. Spätestens nach Ablauf einer festgelegten Frist sind sämtliche Daten zu löschen.
Das Unternehmen sollte ein internes Datenschutzmanagementsystem besitzen, in welchem der Umgang mit den Daten ist als Verfahren im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren. Zunächst drängt es sich auf, den gesamten Ablauf einer Studie bei Aufzeichnungen von Ton und Bild der Teilnehmer einer Datenschutz-Folgenabschätzung zu unterziehen (Art. 35 DSGVO). Auch sind die allgemeinen technisch-organisatorischen Maßnahmen umzusetzen, die unter anderem ein angemessenes Maß an IT-Sicherheit und die Schulung der Mitarbeiter im Datenschutzrecht vorsieht.
Es wird hierbei nun unterstellt, dass dieses Marktforschungsinstitut regelmäßig mehr als zehn Mitarbeiter für die Durchführung der Studien und allgemeinen Datenverarbeitung einsetzt und daher einen Datenschutzbeauftragten zu bestellen hat (Art. 38 BDSG-neu).
Frank Schneider
23. August 2018 @ 17:31
Was ist mit dem Forschungsprivileg? Sollte das nicht auch berücksichtigt werden?
Conrad Conrad
27. August 2018 @ 10:02
Sehr geehrter Herr Schneider,
vielen Dank für Ihren Kommentar.
Sofern es sich konkret um eine wissenschaftliche, unabhängige Forschung handelt, könnte die Verarbeitung der besonderen Kategorien personenbezogenen Daten der Teilnehmer bei der Studie auf die Rechtsgrundlage aus Art. 9 Abs. 2 lit. j) bzw. § 27 BDSG-neu gestützt werden. Dann bräuchte es keiner Einwilligung des Betroffenen. Auch wären unter Umständen die Betroffenenrechte eingeschränkt (Art. 89 Abs. 2 DSGVO). Ob trotz der Namensgebung („Marktforschunginstitut“) nun eine Studie über den Geschmack von Eissorten oder eines möglichen neuen TV-Formats auf Grund der gewählten Methodik der Befragung und Auswertung durch das Institut bereits dem Bereich der „wissenschaftlichen Forschung“ unterfällt, kann sicherlich diskutiert werden, wurde jetzt aber einmal abgelehnt.