Wir schreiben Januar 2019: Die DSGVO ist seit über einem halben Jahr wirksam und hat bei vielen Unternehmen zum Umdenken angeregt. Die im Sommer ausgebrochene Panikwelle ebbt langsam ab, dafür machen sich aberwitzige Meldungen zum „Datenschutz-Irrsinn“ in den Medien breit.
Es war also wieder einmal Zeit für einen Besuch eines Marktforschungsinstituts.
Denn vor nicht ganz einem Jahr wurde der Datenschutz bei vielen Instituten noch gering beachtet (Teil 1 unserer Serie), im August letzten Jahres war die DSGVO hingegen schon ein großes Thema (Teil 2 unserer Serie).
Wir wollten wissen, ob nun bei den kleinen und mittelgroßen Häusern der Marktforschung die DSGVO angekommen ist.
Der Ablauf
Die sich in der Kartei bzw. Datenbank befindlichen Kandidaten wurden längst angehalten, ihre ausdrückliche Zustimmung zur Kontaktaufnahme (bei in Frage kommenden Marktforschungsstudien) abzugeben. Ob eine erneute Einwilligung hierfür erforderlich war, kann sicherlich diskutiert werden. Aber viele Kandidaten haben sich schon vor Jahren bei dem Institut registrieren lassen und stehen daher auch im ständigen Austausch mit dem selbigen. Denn je nach Zielgruppe und Interessensfeldern können gut und gern mehrmals die Woche „Einladungen“ zur Teilnahme an einer interessanten Studie per Mail verschickt werden.
Erachtet der Kandidat eine bestimmte Studie (z.B. zum Thema „Rasierer“, „Online-Banking“ oder „Radio“) für interessant und möchte er seine Teilnahme anbieten, so muss er einfach auf den Link in der Einladung klicken und ein paar Fragen aus der vorgezogenen Umfrage beantworten. Anhand der Antworten entscheiden die verantwortlichen Mitarbeiter des Instituts, ob der Kandidat für die Durchführung der Studie z.B. im Rahmen eines Einzel- oder Gruppengesprächs von Interesse ist. Anschließend wird der Kandidat angerufen und bei positiven Antworten wird ihm die Teilnahme zu einem der angegebenen Termine in Aussicht gestellt. Es folgt eine beidseitige Bestätigung via Mail und/oder Telefon.
Die finale Einladung mit Angabe des konkreten Ortes (z.B. der Anschrift des Instituts) enthält – abweichend zu früheren Studien aus dem August 2018 – dieses Mal sogar einen Datenschutzhinweis. Danach werden die Ergebnisse der Studie nur in anonymisierter Form und in Gruppen zusammen ausgewertet. Die persönlichen Informationen werden nur solange wie erforderlich gespeichert und spätestens nach 6 Monaten gelöscht. Ein Link auf die allgemeine Datenschutzerklärung fehlt leider, würde aber die Umsetzung der Informationspflichten nach Art. 13 DSGVO „rund machen“.
Der Termin
Es folgt der Termin: Wenige Minuten vor Beginn der Gruppendiskussion kehren die Studienteilnehmer in den Räumlichkeiten des Marktforschungsinstituts ein. Am Tresen wird jedem Kandidaten ein Zettel ausgehändigt, der in diesem fiktiven Fall eine „Verschwiegenheits- und Datenschutzerklärung“ enthält. Offenbar wurde hier die Einwilligung zur Verarbeitung der personenbezogenen Daten des Teilnehmers, wie z.B. sein Name, Alter aber auch durch die Ton- und Bildaufnahmen im Kursraum, mit einer „Verschwiegenheitserklärung“ vermischt. Das Dokument enthält allgemeine Infos nach Art. 13 DSGVO zum Umgang mit den personenbezogenen Daten durch das Studio. Einige Infos fehlen (wie z.B. die Angabe des Datenschutzbeauftragten).
Der Teilnehmer hat sodann diese Erklärung mit dem aktuellen Datum zu unterzeichnen und überreicht diese der freundlichen Dame am Tresen, die schon auf die Uhr schaut und schnell noch alle Unterlagen wegheftet. Ein Widerruf der Einwilligung ist zwar zulässig, aber auf diese Weise natürlich eingeschränkt. Besser wäre es, wenn der Kandidat seine Einwilligung (in doppelter Ausfertigung) erhält und folglich auch die Informationspflichten nach Art. 13 DSGVO jederzeit einsehen kann. Das Geld gibt es wie üblich erst nach Abschluss der 2-stündigen Diskussionsrunde.
Pünktlich um 18 Uhr werden alle zehn Teilnehmer in den Gruppenraum geleitet und gebeten, Platz zu nehmen. Die Leiterin des Projekts stellt sich daraufhin kurz vor und hebt noch einmal den Datenschutz hervor. Alle Daten, also auch die Ton- und Bildaufnahmen werden ausschließlich zur Durchführung dieser Marktforschungsstudie verarbeitet, nur von ihr im Nachgang für die Niederschrift ausgewählter Antworten der Kandidaten nochmals abgespielt und im Übrigen anschließend, spätestens drei Monate nach Abschluss des Projekts endgültig gelöscht. Es erfolgt auch keine Weitergabe der Daten an Dritte, daher auch nicht an den Hersteller des Produkts bzw. Auftraggebers der Untersuchung.
Mithin wird ausdrücklich darauf hingewiesen, dass alle Teilnehmer nur ihren Vornamen auf dem Namensschild aufstellen sollen, damit aus „Datenschutzgründen“ nur die Vornamen genannt werden und sich weder die Anwesenden noch weitere Mitarbeiter des Instituts später eine Person mit dem Nachnamen identifizieren könnte.
Die Zeit verflog anschließend wie im Fluge, ehe auch schon alle Fragen behandelt wurden und jeder Teilnehmer sich auf dem Heimweg machen konnte.
Allgemeine Datenschutzanforderungen
Grundsätzlich hat jedes Marktforschungsinstitut unabhängig der Anzahl an Mitarbeitern nach § 38, S. 2 BDSG-neu einen Datenschutzbeauftragten zu bestellen, da eine Datenverarbeitung der personenbezogenen Daten der Studienteilnehmer zum „Zwecke der Markt- oder Meinungsforschung“ besteht. Es würde also auch bei einem kleinen Unternehmen mit nur drei Mitarbeitern diese Vorschrift greifen.
Zudem sind neben den allgemeinen datenschutzrechtlichen Anforderungen auch technisch-organisatorische Maßnahmen zu ergreifen, die eine sichere Datenverarbeitung der personenbezogenen Daten sicherstellen (Art. 32 DSGVO), was primär auf die Datenbanken bzw. den E-Mail-Verkehr mit den Teilnehmern sowie auch die Verarbeitung der Ton- und Bildaufnahmen bei den Studien abzielt. Sowohl die Mitarbeiterdaten als auch alle Informationen der Teilnehmer und Karteien sind dementsprechend zu schützen.
Im Hinblick auch die Datenverarbeitung der Studien müssten etwaige Betroffenenanfragen umgesetzt und dokumentiert werden. Hierfür empfiehlt sich ein Datenschutzmanagementsystem.