Der eine oder andere Leser wird sich vielleicht noch an seine Studenten- oder Schulzeit erinnern: Durch die Teilnahme an Marktforschungsumfragen lässt sich schnell ein Taler verdienen. Und als kleinen Nebeneffekt bekommt der Teilnehmer unter Umständen sogar neugeplante Eissorten oder TV Game-Shows zu sehen und darf diese bewerten. Auch wenn keiner seinen Namen nennen muss, liegen einige datenschutzrechtlich interessante Vorgänge vor, die durch die Datenschutz-Grundverordnung neue Fragen aufwerfen.
Das Datenschutzrecht
Anders als bei Online-Umfragen erfolgen die Termine Vor-Ort im Institut nicht anonym. Da wird das Einzel- oder Gruppengespräch fast immer mit Videokameras und Mikrofonen aufgezeichnet. Und hinter einem verspiegelten Fenster können – wie in einer Polizeiserie – weitere Mitarbeiter des Instituts und zumeist sogar auch von dem Unternehmen sitzen, das diese Studie beauftragt hat. Das können gut und gerne dann fünf Personen sein, die den oder die Teilnehmer während der Gespräche beobachten und dabei nicht nur auf die Antworten achten, sondern jede Handbewegung und Körperhaltung analysieren. So wird der erste Eindruck auf das neue Produkt untersucht.
Je sensibler das Thema, desto höhere Anforderungen sind an den Datenschutz zu stellen. Bei klinischen Studien (zu Krankheiten oder der Anwendung bestimmter Medikamente) sind die Forderungen an die Rechtmäßigkeit der Datenverarbeitung natürlich strenger als bei einer Verkostung von Knäckebrot. In der Regel greift die Einwilligung des Betroffenen in die Verarbeitung seiner Daten, die er durch die Teilnahme und gegebenenfalls durch eine schriftliche Abgabe vorher erklärt (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO). Werden Gesundheitsdaten abgefragt, bedarf es der ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a) DSGVO).
Zu Beginn des Termins sollte der Teilnehmer im Hinblick auf das Datenschutzrecht über einige wesentlichen Umstände aufgeklärt werden. Unter anderem stellt sich die Frage, wie lange die Bild- und Tonaufzeichnung gespeichert werden – und wer diese abrufen kann?
Ein Blick in das Gesetz verrät: So gilt es bei der Direkterhebung erstmals den Informationspflichten nach Art. 12 ff DSGVO gerecht zu werden. Der Teilnehmer sollte unter anderem darüber aufgeklärt werden, zu welchem Zweck und für welchen Zeitraum die Daten, insbesondere die Aufzeichnungen von Ton- und Bild, verarbeitet werden (Art. 13 DSGVO). Ebenso müssen die Empfänger der Daten, also die zuständigen Mitarbeiter und eventuelle Dritte, skizziert werden. Auch sind die zuständige Aufsichtsbehörde im Datenschutz, der – hoffentlich – bestellte Datenschutzbeauftragte und allgemein die Betroffenenrechte (Auskunft, Berichtigung, Löschung gemäß Art. 15 ff DSGVO) zu benennen.
Der Ablauf
In der Praxis zeigt sich, dass die Mitarbeiter von Marktforschungsinstituten mittlerweile hinsichtlich des Datenschutzes sensibilisiert sind und das Gespräch beispielsweise wie folgt eröffnen: „Ich weise darauf hin, dass eine Aufzeichnung von Ton- und Bild erfolgt. Wir speichern diese Daten für drei Monate und auch nur dafür, um im Nachgang noch einmal Ihre Aussagen zu prüfen bzw. nachzubereiten. Außer mir schaut sich niemand das Video an. Anschließend wird alles gelöscht. Wir halten uns an die Bestimmungen des Datenschutzes.“
Im Hinblick auf die Datenschutz-Grundverordnung sollten die Institute den gesetzlich geforderten Informationspflichten idealerweise schriftlich nachkommen, indem dem Teilnehmer zu Beginn des Termins ein solches Schreiben vorgelegt wird. Nur so wird sichergestellt, dass umfassend nach Art. 13 DSGVO informiert wird und keine Zweifel am Umgang mit den Daten bleiben.
Mithin sind die Betroffenenrechte (Art. 15 ff DSGVO) zu wahren, die von der Auskunft über die tatsächliche Datenverarbeitung bis hin zu dem Löschbegehren reichen. Bei einer Datenpanne sind entsprechende Maßnahmen zu ergreifen und diese unter Umständen der zuständigen Aufsichtsbehörde zu melden (Art. 33 DSGVO). Bei klinischen Studien mit personenbezogenen Daten der Teilnehmer ist ein solches Vorgehen angezeigt.
Ferner sollte die interne Organisation dahingehend bestehen, dass die Videoaufzeichnungen entsprechend Art. 32 DSGVO sicher verarbeitet werden, also beispielsweise verschlüsselt gespeichert und vor Zugriffen Unbeteiligter geschützt werden. Und auch nur die an der Umfrage beteiligten Personen sollten vollen Zugriff auf diese Daten haben. Die händische oder automatische Löschung der Daten nach Abschluss der Studie ist zwingend erforderlich.
Dieser gesamte Prozess ist als Verfahren im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu dokumentieren. Zunächst bietet es sich an, diesen Prozess angesichts der Aufzeichnungen von Ton und Bild einer Datenschutz-Folgenabschätzung zu unterziehen (Art. 35 DSGVO). Hierbei ist davon auszugehen, dass ein Marktforschungsinstitut regelmäßig mehr als zehn Mitarbeiter für die Durchführung der Studien und allgemeinen Datenverarbeitung einsetzt und daher einen Datenschutzbeauftragten bestellt hat (Art. 38 BDSG-neu).
Neben der Trennung von Datensätzen auf Ebene der Systeme und einem Benutzerrollenkonzept sind sämtliche Mitarbeiter und involvierte Personen auf das Datengeheimnis zu verpflichten. Denn wenn von den Studienteilnehmern Vertraulichkeit über die geplanten Produkte und Informationen verlangt wird, haben auch die Mitarbeiter der Marktforschung alle personenbezogenen Daten der eingeladenen Personen zu schützen.