Einen Tag nach dem von uns bereits besprochenen Urteil des Gerichtes der Europäischen Union (EuG) in der Rechtssache T-553/23 und der (vorläufigen) Entscheidung über den Fortbestand des Data Privacy Framework, ist auch beim Europäischen Gerichtshof (EuGH) eine für das Datenschutzrecht bedeutende Entscheidung gefallen. Mit der Entscheidung in der Rechtssache C-413/23 P hat sich der EuGH mit dem Begriff der personenbezogenen Daten befasst. Inhalt und Bedeutung des Urteils wollen wir im heutigen Beitrag näher beleuchten.

Der EuGH und der Personenbezug

First at all ist das aktuelle Urteil des EuGH nicht die erste Entscheidung in der jüngeren Datenschutzvergangenheit, welche sich mit dem Vorliegen und den Voraussetzungen des Personenbezuges auseinandersetzt.

Der EuGH selbst hat sich in seinem Urteil vom 9. November 2023 (Rs. C-319/22) mit dem Begriff der personenbezogenen Daten beschäftigt. Konkret klärt der EuGH anhand der sogenannten Fahrzeug-Identifizierungsnummer (FIN) die Personenbeziehbarkeit einer Information. In zwei weiteren Entscheidungen vom 7. März 2024 befasst sich der EuGH wiederrum mit dem Begriff der personenbezogenen Daten und in der konkreten Fallkonstellation, ob sogenannte TC-Strings als personenbezogenes Daten einzuordnen sind (Rs. C-604/22). Hieran anknüpfend setzte sich der EuGH zudem mit Fragen auseinander, welche zusätzlichen Informationen bzw. Mittel zur Identifizierung einer natürlichen Person zusätzlich zum vorliegenden Datum heranzuziehen sind (Rs. C-479/22 P).

In diesen Entscheidungskanon reiht sich auch das Urteil des EuG vom 26. April 2023 (Rs. T-557/20), in welchem sich das Gericht zudem mit den Begriffen der pseudonymen und anonymen Daten auseinandersetzt, ein. Das Urteil haben wir zwar bereits im Rahmen eines separaten Beitrages näher beleuchtet, zum besseren Verständnis der aktuellen Entscheidung – welcher das Verfahren beim EuG vorausgegangen ist – fassen wir noch einmal kurz zusammen:

Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen dieses Abwicklungsverfahrens koordinierte der Einheitliche Abwicklungsausschuss, der Single Resolution Board (SRB), entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen.

In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den Europäischen Datenschutzbeauftragten (EDSB), dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei. Nach Ansicht des EuGH sei darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung ist insoweit auf die Sicht des Datenempfängers abzustellen.

Die Möglichkeiten der Re-Identifizierung sind entscheidend

Zunächst setzt sich der EuGH mit dem Personenbezug der Stellungnahmen auseinander, welche auch persönliche Meinungen enthielten:

„Der Gerichtshof hat entschieden, dass in der Verwendung des Ausdrucks „alle Informationen“ im Zusammenhang mit der Bestimmung des Begriffs „personenbezogene Daten […] das Ziel des Unionsgesetzgebers zum Ausdruck kommt, diesem Begriff eine weite Bedeutung beizumessen, die potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen umfasst, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt […] Es handelt sich um eine Information über eine identifizierte oder identifizierbare natürliche Person, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer identifizierbaren Person verknüpft ist.“

Mithin kann es sich also auch bei den Stellungnahmen wie im streitgegenständlichen Fall um personenbezogene Daten handeln. So weit so gut. Für die Weitergabe dieser Daten ist mit dem EuGH nunmehr entscheidend, ob der Datenempfänger einen Rückschluss auf die betroffene Person ziehen kann und ob eine Re-Identifizierung möglich ist: „In diesem Zusammenhang ist darauf hinzuweisen, dass sich eine Information […] auf eine „identifizierte oder identifizierbare“ natürliche Person beziehen muss, um unter den Begriff der personenbezogenen Daten im Sinne dieser Bestimmung zu fallen. Die Anwendung […] setzt grundsätzlich also eine Prüfung voraus, ob die von der in Rede stehenden Information betroffene Person identifiziert oder identifizierbar ist.“

Diesbezüglich verweist der EuGH ebenfalls auf die pseudonymisierten Daten. Durch einen Blick in Art. 4 Nr. 5 DS-GVO erhalten wir sogleich eine Definition, was unter einer Pseudonymisierung zu verstehen ist: „„Pseudonymisierung“  [meint] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Nach dem EuGH gilt zudem zu berücksichtigen: „der Begriff „Pseudonymisierung“ [setzt] das Vorliegen von Informationen [voraus], die eine Identifizierung der betroffenen Person ermöglichen […]. Sofern solche technischen und organisatorischen Maßnahmen nämlich tatsächlich ergriffen werden und geeignet sind, eine Zuordnung der in Rede stehenden Daten zu der betroffenen Person zu verhindern, so dass diese nicht oder nicht mehr identifizierbar ist, kann sich die Pseudonymisierung auf die Personenbezogenheit dieser Daten […] auswirken.“

Und weiter: „Außerdem hat der Gerichtshof bereits entschieden, dass ein Mittel nach allgemeinem Ermessen wahrscheinlich nicht genutzt wird, um die betreffende Person zu identifizieren, wenn das Risiko einer Identifizierung de facto unbedeutend erscheint, weil die Identifizierung dieser Person gesetzlich verboten oder praktisch nicht durchführbar ist, z. B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.“

Zudem „[…] wirkt sich dieser Umstand insbesondere im Zusammenhang mit einer etwaigen späteren Übermittlung an Dritte nämlich nicht auf die Beurteilung der Personenbezogenheit dieser Daten aus. Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.“

Im Ergebnis handelt es sich demnach um personenbezogene Daten, solange besagte Re-Identifizierung technisch und/oder organisatorisch möglich ist: „[…] die Pseudonymisierung kann – je nach den Umständen des Einzelfalls – andere Personen als den Verantwortlichen tatsächlich an einer Identifizierung der betroffenen Person hindern, so dass letztere für sie nicht oder nicht mehr identifizierbar ist.“

Fazit

Der EuGH bestätigt damit den sogenannten subjektiven Ansatz zur Bestimmung des Personenbezugs beziehungsweise den sogenannten relativen Personenbezug und auch die Breyer-Rechtsprechung. Es kommt bei einer Datenübermittlung mithin entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt. Hierdurch entsteht durch das Urteil in der Praxis unter Umständen neue Bedeutung rund um die Verschlüsselung.

Überlegenswert erscheint zudem die Überlegung zu hinterfragen, wie hoch das „Risiko“ einer Identifizierung ist, wenn diese gesetzlich verboten ist, z. B. in Fällen von Cyber-Angriffen und damit in Zusammenhang stehenden Datenexfiltrationen.Für die Praxis weiterhin relevant sein dürfte die Auseinandersetzung über die Informationspflichten im Zusammenhang mit potenziellen Pseudonymisierung sein (vgl. Rn. 111-113). Zur Vertiefung der Thematik empfehle ich schließlich die Lektüre dieses Blog-Beitrages von den Kollegen von Piltz Legal.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ist die geplante Datenverarbeitung denn datenschutzrechtlich zulässig? Mit dieser oder ähnlich lautender Fragestellungen müssen sich Datenschutzbeauftragte nicht selten auseinandersetzen. Doch bevor sich diese Frage beantworten lässt, ist vorab zu klären, ob es sich um einen datenschutzrechtlich relevanten Fall handelt. Hauptanknüpfungspunkt für die Anwendbarkeit der datenschutzrechtlichen Bestimmungen und mithin insbesondere der Datenschutz-Grundverordnung ist insoweit das Vorliegen von personenbezogenen Daten. Doch wann ist der Personenbezug bei Daten überhaupt gegeben?

Personenbezogene Daten sind…

„Ein Blick ins Gesetz erleichtert die Rechtsfindung.“, ein Ausspruch, der nicht nur Juristinnen und Juristen gut bekannt sein dürfte und so simpel kann es auch manchmal sein. Bezogen auf unsere Fragestellung erscheint Art. 4 Nr. 1 DS-GVO die richtige „Hausnummer“ zu sein. Hiernach sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.„

Bei personenbezogenen Daten handelt es sich demnach um sämtliche Informationen, die einen – zunächst nicht weiter bestimmten – Rückschluss auf eine natürliche Person zulassen. Im Unterschied hierzu sind anonyme Informationen, Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen – soweit klar – oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, vgl. Erwägungsgrund 26 Satz 5 DS-GVO.

Wir haben also personenbezogene und anonyme Daten. Soweit weit, so gut. Doch was sind nun pseudonyme Daten? Auch hier hilft zunächst die Datenschutz-Grundverordnung weiter. Nach Art. 4 Nr. 5 DS-GVO liegt eine Pseudonymisierung dann vor, wenn „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Auch das scheint in der Theorie erst einmal klar zu sein: Kann ich aus der Information keinen Rückschluss auf eine natürliche Person ziehen, bedeutet dies noch nicht, dass es sich nicht um personenbezogene Daten handelt, denn kann ich unter Hinzuziehung weiterer Informationen bei Daten einen Personenbezug herstellen, handelt es sich um pseudonyme Daten, mithin also personenbezogene Daten. Damit ist die auch Abgrenzung zwischen pseudonymen und anonymen Daten klar…

… oder?

Neuen Diskussionsstoff hat dahingehend das Urteil des Europäischen Gerichtes (EuG) in der Rechtssache T-557/20 mit sich gebracht, in welchem die unterschiedliche Ansichten zum Vorliegen von pseudonymen bzw. anonymen Daten des Einheitlichen Abwicklungsausschusses, dem Single Resolution Board (SRB) und dem Europäischen Datenschutzbeauftragten (EDSB) auf einander prallten.

Gegenstand des Verfahrens sind Fragen rund um ein Abwicklungsverfahren einer spanischen Bank. Im Rahmen des Abwicklungsverfahrens koordinierte das SRB entsprechende Stellungnahmen mittels eines Online-Fragebogens von Gläubigern und Schuldnern im Rahmen eines Konsultationsverfahrens. Den eingegangenen Stellungnahmen erfolgte jeweils die Zuordnung eines alphanumerischen Codes, der aus einer 33-stelligen eindeutigen Identifikationsnummer bestand. Die mit dem Code versehenen Stellungnahmen wurden durch den SRB an zwei externe Empfänger weitergegeben. Die Empfänger haben und hatten laut Angaben des SRB nie einen Zugriff auf die zur Identifizierung der betroffenen Personen erforderlichen Informationen. In Bezug auf dieses Verfahren wandten sich betroffene Personen mit einer Beschwerde an den EDSB, dass diese Weitergabe aus den datenschutzrechtlichen Informationen des SRB nicht ersichtlich gewesen sei.

Im Zuge des Verfahrens zwischen EDSB und SRB kam der EDSB zu der Auffassung, dass eine Verarbeitung personenbezogener Daten in Form der Weitergabe pseudonymer Daten vorliegt. Dem hält das SRB entgegen, dass bereits nicht vom Vorliegen pseudonymer bzw. personenbezogener Daten auszugehen sei, denn weder aus dem Inhalt noch aus den Identifikationsnummern lässt sich für die Empfänger ein Rückschluss auf natürliche Personen ziehen. Weder haben die Empfänger Zugriff auf weiterführende Informationen, die einen Rückschluss zulassen würden, noch könnten sie diesen rechtmäßig erlangen. Der EDSB lehnt diese Auffassung ab, da seiner Ansicht nach nicht ausreichend ist, dass die Empfänger keinen Zugriff auf die zur Rückidentifizierung erforderlichen Informationen haben, um vom Vorliegen anonymer Daten auszugehen. Es genügt bereits, dass es sich grundsätzlich um pseudonyme Daten und mithin personenbezogener Daten handelt, gleichgültig, ob die Empfänger über weiterführende Informationen zur Rückidentifizierung verfügen. Weiterhin sei nicht erforderlich, dass „die Mittel, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der betroffenen Person genutzt werden, in der Hand einer einzelnen Person gebündelt werden“.

Das EuG urteilte, dass seitens des EDSB nicht ausreichend dargelegt wurde, dass den Empfängern eine Identifizierung möglich gewesen sei. Das Gericht bezieht sich hierbei auf die „Breyer-Entscheidung“ (C-582/14). Es ist demnach darauf abzustellen, ob den Empfängern anhand der übermittelten Informationen überhaupt eine Identifizierung der betroffenen Personen möglich gewesen wäre. Darüber wird keine absolute Anonymität von Daten derart gefordert, dass eine Identifizierung der betroffenen Personen für jedermann ausgeschlossen sein muss. Für die Beurteilung der Anonymität ist insoweit auf die Sicht des Datenempfängers abzustellen. Der Europäische Datenschutzbeauftragte hat gegen diese Entscheidung am 5. Juli 2023 Rechtsmittel eingelegt. Das Verfahren wir vor dem Europäischen Gerichtshof unter dem Aktenzeichen C-413/23 P geführt.

Der Vollständigkeit halber sei darauf hingewiesen, dass im Mittelpunkt der rechtlichen Diskussion nicht die Datenschutz-Grundverordnung, sondern die Verordnung (EU) 2018/1725 steht. Diese Verordnung adressiert in ihrem Geltungsbereich die Verarbeitung personenbezogener Daten durch Einrichtungen der EU.

Was bleibt?

Aus dem Urteil des EuG, dass sich ausdrücklich auf die „Breyer“-Entscheidung beruft, wird deutlich, dass es bei der Bewertung des Personenbezuges eines Datensatzes zu Unterschieden im Ergebnis zwischen Datenübermittler und Datenempfänger kommen kann. Insofern der Datenempfänger nicht über die Mittel zur Identifizierung bzw. Re-Identifizierung verfügt, kann der Datensatz als anonym einzustufen sein, wohingegen es sich für den Datenübermittler, welcher in der Regel unstreitig über die Mittel zur Identifizierung bzw. Re-Identifizierung verfügt, um einen personenbezogenen Datensatz handelt. Es wird demnach darauf hinauslaufen, dass eine Bewertung vorzunehmen ist, mit welchem Aufwand die Herstellung des Personenbezuges vorgenommen werden kann. Mit Blick auf die bereits zitierte „Breyer“-Entscheidung dienen hier als Kriterien Zeit, Kosten und Arbeitsaufwand. Für die Praxis lassen sich damit Überlegungen anstellen, ob verantwortliche Stellen bei der Daten Übermittlung an Auftragsverarbeiter, andere Dienstleister oder sonstige Empfänger Datensätze pseudonymisieren bzw. verschlüsseln sollten (beides wird unter anderem durch Art. 32 DS-GVO explizit vorgesehen), denn sofern die Empfänger nicht über die Mittel zur Herstellung des Personenbezuges verfügen, handelt es sich für diese um anonyme Daten, wenn man mit dem Urteil des EuG geht.

Fazit

Fragen rund um die Herstellung des Personenbezuges von Daten bzw. Datensätzen und der Anonymisierung dieser führen in der Praxis immer wieder zu Unsicherheiten bei den verantwortlichen Stellen. Für eine „endgültige“ Entscheidung und mithin Rechtsklarheit an dieser Stelle wird vermutlich „erst“ die Entscheidung des EuGH abzuwarten sein. Bedeutung jedenfalls entfaltet die Entscheidung dann insbesondere für die sektorspezifische Bereiche des Datenschutzrechtes, in denen Pseudonymisierung und Anonymisierung eine entscheidende Rolle einnehmen. Allen voran sind hier der Gesundheitsbereich, aber auch der Bereich der IT-Sicherheit zu nennen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

ICH WOLLTE DOCH NUR MAL FRAGEN…

Es gibt die verschiedensten Arten von Umfragen. Im Rahmen meiner Tätigkeit für Forschungseinrichtungen und Hochschulen ist die erste Aussage eigentlich immer: „Da haben wir kein Problem, alles anonym.“ Sieht man sich das Ganze dann genauer an, wird schnell das Gegenteil deutlich. Darüber hinaus gibt es viele Umfragen/Studien, die nur mit der Rückverfolgbarkeit zu einer konkreten Person ihr Ziel erreichen können.

Daher müssen Sie sich bei Planung einer Umfrage/Studie immer zuerst fragen, ob der Anwendungsbereich des Datenschutzes eröffnet ist und welche Anforderungen bestehen. Sehen Sie sich zunächst einmal Ziel und die Fragestellungen genau an. Geht es Ihnen darum, die Person – z.B. zur weiteren Klärung von Aussagen oder Problemen – zu kontaktieren? Gibt es weitere Datenverarbeitungen (z.B. klinische Studien, Gerätemessungen, Zusammenführung von Teilumfragen) mit denen die Antworten z.B. über eine Studien-ID in Verbindung gebracht werden müssen, ohne dass die Möglichkeit besteht, hierfür einen Code zu nutzen, der nur dem Befragten selbst bekannt ist? Werden möglicherweise durch die technische Umsetzung oder das eingesetzte Umfragetool personenbezogene Daten verarbeitet (z.B. Kontaktdaten zur Zusendung der Umfrage, IP-Adressen, Zuordnungsnummern zu Messtechniken)?

Häufig werden „Anonymität“ und „Pseudonymität“ fatalerweise gleichgesetzt. Aber nur, wenn tatsächlich kein Personenbezug gegeben ist, besteht auch kein Risiko für die befragten Personen und es bedarf nicht der Schutzmaßnahmen des Datenschutzes. „Anonym“ ist eine Umfrage dann, wenn durch die beteiligten Forscher, aber auch die beteiligten Einrichtungen insgesamt sowie gegebenenfalls Dritte keine Möglichkeit besteht, die Antworten zu einer Person zurückzuverfolgen. Auch die Rückverfolgbarkeit zu einer kleinen Gruppe (in der Regel drei bis fünf Personen) kann problematisch sein, da häufig nicht ausgeschlossen werden kann, dass Dritte über entsprechendes Zusatzwissen verfügen. Bei der Beurteilung der Anonymität einer Umfrage dürfen Sie daher die folgenden Blickrichtungen nicht aus den Augen verlieren:

(1) Direkte Erhebung personenbezogener Daten bzw. sonstiges Identifikationsmerkmal (z.B. Name, Personal- oder Matrikelnummer, Studien-ID etc.) im Rahmen der Einladung/Zusendung der Umfrage oder des Umfrageformulars sowie im Zusammenhang mit Anreizen (z.B. Bezahlung, Geschenk, Verlosung – grundsätzlich auf freiwilliger Basis),
(2) Rückverfolgbarkeit auf eine einzelne Person oder kleine Gruppe von Personen durch Zusammenführung verschiedener Fragen/Antworten (z.B. Geschlecht, Altersgruppe, Betriebszugehörigkeit, Einrichtung – Achtung auch bei Freitextfeldern!),
(3) Neben dem Umfrageteilnehmer gegebenenfalls personenbezogenes Befragungsthema, also z.B. Zufriedenheit mit dem Vorgesetzten bzw. der Geschäftsleitung, Meinung zu einer Veranstaltung/Vortrag und damit zum Dozierenden, Fragen zu Familienangehörigen,
(4) Erhebung technischer Daten, welche eine Rückverfolgbarkeit zulassen (z.B. IP-Adresse, Sensor-ID).

Auch wenn im Ergebnis keine Umsetzung datenschutzrechtlicher Anforderungen wie z.B. Informationspflichten erfolgen muss: Seien Sie gegenüber den Befragten transparent in dem, was Sie tun! Denken Sie immer daran, dass die erfolgreiche Durchführung einer Umfrage/Studie immer auch auf dem Vertrauen der Befragten beruht.

WELCHES UMFRAGETOOL IST FÜR MICH DAS RICHTIGE?

Auf dem Markt existieren diverse Umfragetools wie z.B. LamaPoll, SosciSurvey, QuestionStar, Easy Feedback, LimeSurvey, Blubbsoft, Zoho Survey sowie Google Forms. Natürlich gibt es noch viele andere Anbieter und der Auswahl und Reihenfolge ist keine Bewertung zu Leistung oder Datenschutzkonformität zu entnehmen. Welches Tool im konkreten Fall geeignet ist, ist von verschiedenen Faktoren abhängig. Was ist der Zweck der Umfrage (z.B. Kundenzufriedenheit, Mitarbeiterbefragung z.B. zur Arbeitssicherheit oder Mobilität, Evaluation der Lehre, klinische oder wissenschaftliche Studie, sozialwissenschaftliche Umfrage) und wen will ich ansprechen (z.B. Kunden, Beschäftigte, anonyme Probanden, zufälliger Personenkreis)? Bestehen besondere Ansprüche hinsichtlich der Gestaltung, Durchführung oder Auswertung? Besteht über das Tool auch technisch die Möglichkeit der anonymen Befragung? Handelt es sich um eine einzelne Umfrage oder wird ein dauerhaftes Tool für verschiedene Umfragen benötigt? Verfüge ich über eine eigene, geeignete IT-Struktur oder wo soll die Datenspeicherung erfolgen (Empfehlung: Deutschland/Europa)? Wie hoch ist mein Budget? Auch wenn der Datenschutz bei der Auswahl oft nicht an erster Stelle steht: Stellen Sie vor Auswahl sicher, dass die Software geeignet ist, um die zu Ihrer Umfrage/Studie passenden Anforderungen, insbesondere Anonymität sowie technische und organisatorische Maßnahmen, zu erfüllen.

MEINE UMFRAGE IST DOCH NICHT ANONYM. WAS SOLL ICH TUN?

Zunächst einmal benötigen Sie eine Rechtsgrundlage. In den meisten Fällen werden Sie für die Datenerhebung im Zuge der Umfrage eine Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a i.V.m. Art. 7 Datenschutz-Grundverordnung (DS-GVO) benötigen, da Sie nur selten für die Durchführung eines Vertrags oder ein besonderes Interesse erforderlich sein dürfte. Unabhängig davon dürfte sich eine verpflichtende Umfrage i.d.R. auch auf die Qualität der Antworten niederschlagen. Werden die Umfragebögen bereits personenbezogen verteilt und beispielsweise nicht über einen Link an eine Funktions-E-Mail-Adresse beziehungsweise durch Auslage/Intranet, benötigen Sie darüber hinaus eine Rechtsgrundlage, um mit den gewünschten Umfrageteilnehmern in Kontakt treten zu dürfen. Hierfür kann neben einer Einwilligung auch ein bereits bestehender Vertrag gemäß Art. 6 Abs. 1 Satz 1 lit. b DS-GVO in Frage kommen. Aber Achtung: Der BGH hat in seinem Urteil vom 10. Juli 2018 (VI ZR 225/17) entschieden, dass es sich bei Kundenzufriedenheitsumfragen um Werbung handelt und die Anforderungen des § 7 UWG zu beachten sind. Es sind also unter Umständen auch angrenzende Rechtsgebiete zu berücksichtigen.

Vor Durchführung der Umfrage muss der gewünschte Teilnehmer über die Datenverarbeitung nach Art. 13, 14 DS-GVO informiert werden. Dies kann mit der gegebenenfalls erforderlichen Einwilligung verbunden werden und sollte bereits bei der ersten Ansprache z.B. per E-Mail oder Brief, im Rahmen des Umfrageformulars sowie gegebenenfalls im Zusammenspiel mit einer separaten Internetseite zur Datenschutzinformation erfolgen. Wichtig ist nur, dass die Information verständlich, möglichst transparent und vor der Datenerhebung erfolgt. Achten Sie dabei im Interesse der Teilnehmer bitte auch darauf, die Informationen nicht ganz unten auf das Formular bzw. auf die letzte Seite des Fragebogens vor dem „Abschicken“-Button zu packen.

Vor Erhebung und Verarbeitung der Daten muss sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen getroffen wurden. Die Möglichkeiten der technischen Maßnahmen bestimmen sich in weiten Teilen danach, für welches Umfrage-Tool Sie sich entscheiden. Insoweit die Möglichkeit besteht, dass der Anbieter des Umfragetools auf die (personenbezogenen) Daten zugreifen kann, bedarf es des Abschlusses eines Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO. Hierbei ist frühzeitig der Datenschutzbeauftragte Ihrer Einrichtung einzubeziehen.

In Hinblick auf die organisatorischen Maßnahmen ist insbesondere sicherzustellen, dass der Kreis der zugriffsberechtigten Personen möglichst klein bleibt und mit den datenschutzrechtlichen Anforderungen – insbesondere der Vertraulichkeit im Umgang mit personenbezogenen Daten – vertraut ist. Kontaktdaten für die Umfrageverteilung beziehungsweise im Rahmen versprochener Anreize sind möglichst frühzeitig von den Umfragedaten zu trennen. Auch darüber hinaus ist die frühestmögliche Anonymisierung beziehungsweise Pseudonymisierung der Daten zu berücksichtigen. Alle Umfragedaten sind zu löschen, sobald diese nicht mehr für die Durchführung der Umfrage inklusive Auswertung benötigt werden und keine Aufbewahrungspflichten o.ä. bestehen. Eine Veröffentlichung ist in der Regel nur in Bezug auf aggregierte Daten ohne Personenbezug zulässig.

Zumindest wenn Umfragetools dauerhaft eingesetzt werden oder es sich nicht nur um eine einmalige/kurzzeitige Umfrage handelt, sollte eine Prozessbeschreibung in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO aufgenommen werden. Und ganz wichtig: Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig ein! Von diesem können Sie wertvolle Tipps zur Gestaltung Ihrer Umfrage und der erforderlichen Dokumente erhalten.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.