Datenschutz bei Online-Umfragen: Wie macht man es richtig?
In Online-Umfragen werden oftmals personenbezogene Daten wie z.B. E-Mail-Adresse, Beruf, höchster Bildungsabschluss, Familienstand usw. erhoben. Solche Daten unterliegen jedoch strengen Datenschutzregelungen, die im Fall eines Verstoßes hohe Geldbußen vorsehen. In diesem Artikel erklären wir deshalb, worauf Sie bei Ihren Online-Umfragen achten müssen, um sie datenschutzgerecht zu gestalten, und geben Ihnen Beispiele für die Formulierungen der Einwilligungs- und Datenschutzerklärung für Ihre Probanden.
- Über die Datenschutzgrundverordnung (DSGVO)
- Was sind personenbezogene Daten?
- Sind Firmenkontakte personenbezogene Daten?
- Einwilligung zur Speicherung- bzw. Verarbeitung personenbezogener Daten
- Wann ist die Erhebung personenbezogener Daten ohne Einwilligung erlaubt?
- Braucht man die Einwilligung zur Speicherung von IP-Adressen?
- Datenschutzerklärung: ja oder nein?
- Brauche ich die Einwilligung und Datenschutzerklärung wenn ich keine personenbezogene Daten erhebe?
- Wann ist die Umfrage anonym und was ist Pseudonymisierung?
- Wer ist für die Einhaltung der DSGVO zuständig, was ist Auftragsdatenverarbeitung und ADVV?
- Wie hilft mir QUESTIONSTAR die DSGVO einzuhalten?
- Beispiele der Einwilligungs- und Datenschutzerklärungen
- Disclaimer
Über die Datenschutzgrundverordnung (DSGVO)
Seit 25. Mai 2018 gilt europaweit die Datenschutzgrundverordnung (DSGVO, engl. GDPR). Die DSGVO regelt insbesondere wie Unternehmen und öffentliche Behörden personenbezogene Daten verarbeiten. Durch diese Regelung sollen einerseits die Verbraucherrechte gestärkt werden, indem die personenbezogenen Daten besser geschützt sind. Andererseits soll dennoch der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.
Beim Verstoß gegen die DSGVO drohen Unternehmen hohe Geldbußen bis zu 20 Millionen Euro, oder bis zu 4% des weltweiten Umsatzes – je nachdem welcher Wert höher ausfällt. Obwohl zum heutigen Tage keine eindeutige Klassifizierung der Verstöße und der entsprechenden Strafen in offizieller Rechtsprechung erarbeitet wurde, macht die beträchtliche Höhe der maximalen Strafe deutlich, dass der Gesetzgeber es mit dem Datenschutz ernst meint.
Umso wichtiger ist es, sich mit den für die Online-Umfragen relevanten Aspekten der DSGVO auseinanderzusetzen, um innerhalb der Umfragen die Regelungen der DSGVO vollständig erfüllen zu können und möglichen Abmahnungen jegliche Angriffsfläche zu entziehen.
Was sind personenbezogene Daten?
Nach Artikel 4 Nr.1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.
Die natürliche Person gilt dabei dann als identifizierbar, wenn sie “durch die Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.”
Neben den allgemeinen personenbezogenen Daten werden besondere Datenkategorien gesondert ausgewiesen, für die ein höheres Schutzniveau gilt. Zu den besonders schutzwürdigen Daten gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der Person hervorgehen.
Wie Sie sehen, ist die Definition der personenbezogenen Daten per Gesetz ziemlich breit gefasst. Eine abschließende Liste der personenbezogenen Datenarten lässt sich wohl kaum erstellen. Folgende Beispiele vermitteln deshalb den Eindruck davon, was als personenbezogene Daten angesehen werden kann:
- Personendaten, die sich direkt auf die Person beziehen: Name, Anschrift, Alter, Geburtsdatum, Geburtsort usw.
- Kennnummern: Telefonnummer, Kfz-Kennzeichen, Kontonummer, Kreditkartennummer, Personalausweisnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Matrikelnummer, Personalnummer usw.
- Online-Daten: E-Mail-Adresse, Loginname, IP-Adresse, Standortdaten usw.
- Physische Merkmale: Fotos, Geschlecht, Hautfarbe, Augenfarbe, Körper- und Konfektionsgröße, Muttermale, Krankheiten usw.
- Wirtschaftliche Daten: Einkommen, Besitz von Fahrzeugen oder Immobilien, Schulden usw.
- Kulturelle und Soziale Daten: Nationalität, Religion, Sprache, Parteizugehörigkeit, Beruf, Ausbildung, Familienstand, Anzahl von Kindern usw.
- Besonders schutzwürdige Daten: genetische, biometrische, Gesundheitsdaten, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit
- u.v.m.
Dabei sind im Sinne von Rechtsprechung nicht immer dieselbe Art der erhobenen Daten personenbezogen. Andersherum können die Daten, die für sich genommen nicht personenbezogen sind, in Zusammenhang mit anderen Daten aber personenbezogen werden.
Das wichtigste Merkmal, der die Daten im Sinne der DSGVO personenbezogen macht, ist die Möglichkeit, mit Hilfe dieser Daten eine Person zu identifizieren.
Betrachten wir ein Beispiel:
Sie führen eine landesweite Befragung durch, in der Sie u.a. den Bildungsabschluss und das Geschlecht abfragen. Wenn Sie dabei keine weitere Daten wie Kennnummern, E-Mail-Adresse, oder Standortdaten abfragen und/oder die Antworten der Probanden mit solchen Daten nicht verknüpfen können, so reicht das Wissen über den Bildungsabschluss und das Geschlecht für sich nicht aus, um eine Person identifizieren zu können. In diesem Fall stellen Bildungsabschluss und Geschlecht keine personenbezogenen Daten dar.
Anders sieht es aber aus wenn Sie dieselbe Befragung in einem Unternehmen mit einer überschaubaren Mitarbeiteranzahl durchführen. In diesem Fall kann die Kenntnis des Bildungsabschlusses und des Geschlechts bereits Rückschlüsse auf eine konkrete Person erlauben – insbesondere wenn zusätzliche Daten wie z.B. Abteilung oder Beschäftigungsdauer mit abgefragt werden oder mit den Antworten des Probanden verknüpft werden können.
Sind Firmenkontakte personenbezogene Daten?
Jein! Grundsätzlich greift die DSGVO nur für natürliche Personen. Die Einzelangaben zu juristischen Personen wie Kapitalgesellschaften, eingetragenen Vereinen, Körperschaften, Stiftungen, Anstalten, Behörden usw. gehören demnach nicht zu personenbezogenen Daten.
Es sei denn diese Angaben schlagen sich auf die hinter der juristischen Person stehenden natürliche Personen durch, das heißt einen Rückschluss auf sie ermöglichen. Das kann beispielsweise bei der Ein-Personen-GmbH oder einer Einzelfirma der Fall sein.
Gleiches gilt für die Kontaktdaten der Ansprechpartner im Unternehmen z. B. Name, personalisierte E-Mail-Adresse – insbesondere solche, aus der der Vor- und Nachname hervorgehen –, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.
Einwilligung zur Speicherung- bzw. Verarbeitung personenbezogener Daten
Nach dem Datenschutzrecht ist die Erhebung und Verarbeitung von personenbezogenen Daten ohne Einverständnis der Auskunftsperson grundsätzlich verboten. Deshalb müssen Sie im Rahmen einer Online-Umfrage von Ihren Probanden eine Einwilligung zur Datenspeicherung bzw. -verarbeitung einholen und zwar bevor Sie die personenbezogenen Daten erheben. Diese Einwilligung unterliegt nach Art. 4 Nr. 11 DSGVO bestimmten Anforderungen. Nämlich muss sie
- Freiwillig abgegeben worden sein. Sie dürfen die Probanden nicht zwingen, ihre Daten anzugeben – insb. dann nicht wenn sie zur Erfüllung des Zwecks der Datenerhebung gar nicht notwendig sind. Z.B. wenn Sie als Dank für die Teilnahme an Ihrer Befragung unter Ihren Probanden einen Preis verlosen möchten, ist es durchaus zulässig die Einwilligung zur Verarbeitung von E-Mail-Adresse einzuholen. Diese Einwilligung darf jedoch nicht daran gekoppelt sein, dass die E-Mail-Adresse gleichzeitig für Werbezwecke verwendet wird, da Letzteres für die Erfüllung des Zwecks (Gewinnermittlung) nicht notwendig ist.
- In informierter Weise abgegeben worden sein. Das ist nur dann der Fall, wenn der Proband klar und deutlich darüber informiert wird, warum er seine Daten angeben soll und was mit den Daten geschieht.
- Unmissverständlich abgegeben worden sein. Damit ist gemeint, dass der Proband aktiv zustimmen muss – z.B. durch Anklicken eines Häkchens oder Auswahl der Antwort «stimme zu». Die stillschweigende Zustimmung, bei der die Zustimmung vorausgewählt ist, sodass der Proband sie wegklicken muss, um der Einwilligung zu widersprechen, ist unzulässig.
- Nur für einen oder mehrere bestimmte Zwecke abgegeben worden sein. Eine generelle Einwilligung ohne Nennung konkreter Zwecke ist unwirksam.
Auch wenn das alles kompliziert klingt, ist die praktische Umsetzung von gesetzlichen Anforderungen im Fragebogen nicht so schwer.
Beispiel:
Untenstehend sehen Sie Beispiele für gesetzeskonforme Einwilligungen zur Datenspeicherung und -verarbeitung:
Und so sieht das live aus: klick.
Alternativ kann die Einwilligung zur Speicherung und Verarbeitung der personenbezogenen Daten direkt zu Beginn der Umfrage eingeholt werden. Tatsächlich kann das sogar die bevorzugte Stelle dafür sein. In der Regel wird zu Beginn der Umfrage ihr Zweck ausführlich beschrieben. Die Erklärung darüber, welche Daten gespeichert werden und wie mit ihnen umgegangen wird, passt an dieser Stelle organisch ins Konzept. Die meisten wissenschaftlichen Studien gehen genau so vor.
Hier können Sie das Beispiel einer solchen Vorgehensweise sehen: klick.
Wann ist die Erhebung personenbezogener Daten ohne Einwilligung erlaubt?
Nach der aktuellen Rechtsprechung ist die Erhebung und Verarbeitung von personenbezogenen Daten ohne Einwilligung der Auskunftsperson nur in folgenden Ausnahmefällen zulässig:
- Die Datenverarbeitung ist durch Gesetz erlaubt. Das trifft z.B. auf Beschäftigungsunterlagen oder Arbeitsschutzaufzeichungen zu.
- Die Datenverarbeitung ist zur Erfüllung eines Vertrages oder Vertragsanbahnung notwendig. Z.B. ist das Wissen der Kundenanschrift für die Zustellung seiner Bestellung notwendig. Deshalb kann sie ohne Einwilligung erhoben werden. Ähnlich sieht es mit Kontaktdaten eines Interessenten aus, der sich über Ihre Leistungen informieren will.
- Es liegt ein berechtigtes Interesse vor, das höher einzustufen ist, als das Interesse des Betroffenen, seine Daten zu schützen. Ein solches Interesse kann auch wirtschaftlicher Natur sein. Z.B. wird es argumentiert, dass das wirtschaftliche Interesse eines Händlers, der Direktwerbung an seine Bestandskunden versendet, unter Umständen höher einzustufen ist, als der Schutz der Privatsphäre (s. z.B. DSGVO, Erwägungsgrund 47/7).
In diesen Fällen bedarf es keine Einwilligung der betroffenen Person zur Speicherung und Verarbeitung ihrer personenbezogenen Daten.
Obwohl es vom Gesetzgeber nicht gefordert wird, hat es sich in der Praxis dennoch eingelebt, auch in solchen Fällen eine Einwilligung einzuholen, insbesondere um der von der DSGVO angeordneten Rechenschafts- und Dokumentationspflicht nachzukommen. Auf jeden Fall gehört es zum guten Ton, die betroffene Person über den Zweck der Speicherung ihrer personenbezogenen Daten zu informieren, bevor sie ihre personenbezogene Daten mit Ihnen teilt.
Braucht man die Einwilligung zur Speicherung von IP-Adressen?
Nach der aktuellen Rechtsprechung wird die IP-Adresse als personenbezogenes Datum gesehen. Da jedoch die Speicherung der IP-Adresse für die Funktionsweise von Webseiten (und Online-Fragebögen) technisch notwendig ist, geht der europäische Gerichtshof davon aus, dass die Einwilligung zur Speicherung der IP-Adresse des Webseitenbesuchers in dem Moment ihres Aufrufs bereits automatisch vorliegt.
Zudem besteht in der Speicherung der IP-Adresse ein berechtigtes Interesse des Umfragestellers, z.B. die Manipulationen der Umfrageergebnissen durch mehrfaches Ausfüllen des Fragebogens durch einen Probanden verhindern oder die Funktion zum Unterbrechen und Wiederaufnehmen der Ausfüllung einer Umfrage ermöglichen zu können.
All das führt dazu, dass eine gesonderte Einwilligung zu Speicherung von IP-Adressen in Online-Umfragen in der Regel nicht erforderlich ist. Ein Hinweis auf anonymisierte Auswertung reicht in diesem Fall vollkommen aus.
Zu beachten gilt dabei jedoch, dass die IP-Adressen nicht auf Vorrat gespeichert werden dürfen und nach dem Erfüllen des Zwecks – i.d.R. nach wenigen Wochen – gelöscht werden müssen. Wird diese Voraussetzung nicht erfüllt, d.h. wenn Sie die IP-Adressen Ihrer Probanden über längere Zeit hinweg zu speichern und/oder zu verarbeiten beabsichtigen, so wird es notwendig die Einwilligung zur Speicherung der IP-Adresse von Probanden explizit einzuholen.
Datenschutzerklärung: ja oder nein??
Die DSGVO enthält keine Regelung in Bezug darauf, ob bei Online-Umfragen eine Datenschutzerklärung – wie wir sie aus dem Internet kennen – enthalten sein soll. Es ist also nicht erforderlich speziell für eine Umfrage eine separate Webseite einzurichten, auf der alle Nuancen zum Datenschutz erfasst sind und die auf allen Seiten der Umfrage zugänglich sein muss.
Dennoch fordert die DSGVO, dass im Fall wenn in der Umfrage personenbezogene Daten erhoben werden
- Probanden über den Zweck, die Form und den Umfang der Erhebung und Verarbeitung personenbezogener Daten informiert werden.
- Die personenbezogene Daten nur erhoben und genutzt werden, wenn der Proband eine entsprechende Einwilligungserklärung abgibt.
- Probanden über ihre Rechte aufgeklärt werden (Anspruch auf Auskunft, Löschung, Widerruf).
- Probanden über die Dauer der Datenaufbewahrung und -verarbeitung sowie den Verbleib der Daten nach Ablauf der Friste in Kenntnis gesetzt werden.
- Die erhobenen Daten ausreichend vor dem Zugriff Unbefugter geschützt sind. Das erfordert, dass von vornherein die Personen bestimmt werden, die zur Verarbeitung der Daten berechtigt sind.
- Im Fall der Auftragsdatenverarbeitung Informationen zum Auftragnehmer bekannt gegeben werden.
- Zudem muss die Kontaktperson genannt werden, die für den Datenschutz bei der Datenerhebung zuständig ist. Schließlich müssen die Anfragen bzgl. Auskunft, Löschung und Widerruf an jemanden gerichtet werden können.
All diese Informationen lassen sich in der Einleitung zu einer Umfrage organisch unterbringen. Manchmal kann aber die Beschreibung von all den Fakten viel zu viel Platz einnehmen. In solchen Fällen ist die Erstellung einer Datenschutzerklärung auf einer separaten Website, die aus dem Fragebogen verlinkt wird, durchaus berechtigt. Wichtig ist dabei, dass diese Verlinkung noch vor der Erhebung der Daten und möglichst nah an dem Punkt platziert wird, an dem der Proband seine Einwilligung zur Erhebung personenbezogener Daten abgibt.
Beispiel mit Integration in die Einleitung: klick.
Beispiel mit Verlinkung: klick.
Brauche ich die Einwilligung und Datenschutzerklärung wenn ich keine personenbezogene Daten erhebe?
Die DSGVO gilt ausschließlich für personenbezogene Daten. Sofern Sie in Ihrer Umfrage keine personenbezogenen Daten erheben oder sie so erheben, dass mit einem realistischen Aufwand es nicht möglich ist, diese Daten einer konkreten Person zuzuordnen (siehe Beispiel oben), brauchen Sie weder Einwilligung, noch Datenschutzerklärung.
Nichtsdestotrotz können Sie sich entscheiden auch in diesem Fall etwa aus ethischen Gründen oder zur Erhöhung der Transparenz eine Einwilligungs- und Datenschutzerklärung in Ihren Fragebogen zu integrieren.
Die mögliche Formulierung dafür könnte dabei so aussehen:
Beispiel 1
Beispiel 2
Beispiel 3 (Einleitung ohne Einwilligungserklärung)
Wann ist die Umfrage anonym und was ist Pseudonymisierung?
Die Umfrage gilt dann als anonym, wenn die in ihr erhobenen Daten sich nicht auf eine natürliche Person beziehen oder beziehbar sind – also keine Rückschlüsse auf eine konkrete Person erlauben.
Das ist der Fall wenn
- Sie keine personenbezogene Daten erheben, oder
- Daten erheben, die für sich genommen personenbezogen sind, jedoch nicht auf eine konkrete Person bezogen werden können.
Wenn Sie also eine Umfrage öffentlich auf Facebook posten und darin Alter und Geschlecht abfragen, dann wird kaum für einzelne Datensätze ein Personenbezug herstellbar sein. In diesem Fall ist die Umfrage deshalb auch als anonym anzusehen, obwohl darin personenbezogenen Daten erhoben werden (siehe auch Beispiel oben). Für solche Umfragen greift die DSGVO nicht.
Es gibt jedoch einen besonderen Fall, in dem unter Einsatz der DSGVO die personenbezogenen Datenerhebungen trotzdem als anonym angesehen werden. Dieser Fall nennt sich „Pseudonymisierung“.
Artikel 4 Nr.5 DSGVO definiert Pseudonymisierung als “die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.”
Damit die erhobenen personenbezogene Daten als pseudonymisiert gelten, müssen also folgende Voraussetzungen erfüllt sein:
- Getrennte Datenspeicherung: Die personenbezogenen Daten, die auf konkrete Personen beziehbar sind, müssen separat von den personenbezogenen Daten, die keinen Bezug auf konkrete Personen erlauben, aufbewahrt werden.
- Es müssen technische und organisatorische Maßnahmen getroffen werden, die gewährleisten, dass beide Datensätze nicht verknüpft werden, mit der Absicht Personenbezüge herzustellen. Es muss demnach von vornherein feststehen, welche Personen zur Datenverarbeitung berechtigt sind, dass sie dazu organisatorisch verpflichtet werden, keine Personenbezüge aus den verfügbaren Daten herzustellen, und es zu verhindern, dass beide Datensätze an Dritte weitergegeben werden.
Beispiel aus der Praxis von QUESTIONSTAR:
Im Rahmen einer Mitarbeiterumfrage zur Messung des Betriebsklimas nutzt ein Unternehmen die Kontaktliste, in der pro Mitarbeiter sein Name, Vorname, E-Mail-Adresse und Zugehörigkeit zu der Abteilung vermerkt sind.
Die Liste wird genutzt, um den Mitarbeitern Einladungen mit personifizierter Ansprache sowie Erinnerungsmails zu versenden. Pro Mitarbeiter wird dabei jeweils ein persönlicher Link generiert, der es sicherstellt, dass jeder Mitarbeiter nur einmal an der Umfrage teilnimmt, um die Manipulationen an den Umfrageergebnissen zu verhindern. Zudem soll es ermöglicht werden, aggregierte Auswertungen sowohl für das Gesamtunternehmen als auch für einzelne Abteilungen zu generieren. Die Auswertungen sollen anonym sein und keine Rückschlüsse auf die Persönlichkeit der Mitarbeiter erlauben.
Im Fragebogen werden Einstellungen der Mitarbeiter zu verschiedenen Aspekten des Betriebsklimas erhoben. Diese Daten ermöglichen keine Rückschlüsse auf konkrete Personen und werden separat von der Kontaktliste gespeichert. Somit wird der Grundsatz der getrennten Datenspeicherung gewährleistet.
Um die Anonymität der Auswertung zu gewährleisten, bestellt der Betriebsrat einen Verantwortlichen, der mit der Durchführung der Umfrage und Datenauswertung betraut wird. Dieser Person wird alleinige Zugriffsrecht auf die Umfragedaten und Auswertungstools eingeräumt. Zudem wird diese Person zur Einhaltung der DSGVO organisatorisch verpflichtet.
Bei der Datenauswertung werden die Daten beider Datensätze durch die Software zwar miteinander verknüpft, um die Auswertung pro Abteilung zu ermöglichen. Die Ergebnisse der Auswertung werden jedoch aggregiert dargestellt und ermöglichen keine Rückschlüsse auf Einzelpersonen.
Damit werden die Voraussetzungen der Pseudonymisierung erfüllt. Die Umfrage und Umfrageergebnisse gelten in diesem Fall zwar nicht als anonym (weil die Herstellung des Personenbezugs für den Verantwortlichen technisch möglich bleibt), durch die getroffenen organisatorischen Maßnahmen wird die Datenverarbeitung im Sinne der DSGVO als sicher angesehen.
Beispiel: Fragebogen Mitarbeiterbefragung
Wer ist für die Einhaltung der DSGVO zuständig, was ist Auftragsdatenverarbeitung und ADVV?
Nach dem Artikel 4 Nr. 7 der DSGVO ist der Verantwortliche für die Einhaltung der DSGVO jene natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Im Fall der Durchführung einer Online-Umfrage ist das der Umfragesteller. Demnach fällt die Verantwortung für die Speicherung, Verarbeitung von personenbezogenen Daten und deren Schutz formal in Ihren Zuständigkeitsbereich.
Technisch gesehen werden jedoch die im Rahmen Ihrer Umfragen erhobenen Daten auf den Servern von QUESTIONSTAR gespeichert. Zudem werden die erhobenen Daten Ihnen von QUESTIONSTAR zum Download in tabellarischer Form (Rohdaten) oder als aggregierte Auswertung bereitgestellt. Die aktuelle Rechtsprechung sieht darin den Akt der Datenverarbeitung, für den wiederum Sie als Umfragesteller zuständig sind.
Allerdings stellt aus Ihrer Sicht QUESTIONSTAR einen externen Dienstleister dar, den Sie strenggenommen nicht kontrollieren und deshalb dessen Handlungen nicht verantworten können. Damit Sie in diesem Fall trotzdem Ihre Online-Umfragen durchführen und gleichzeitig Gesetze einhalten können, sieht der Artikel 28 Absatz 3 der DSGVO den Abschluss der sogenannten Auftragsdatenverarbeitungsvereinbarung (ADVV) vor. Demnach erfolgt die Datenverarbeitung durch QUESTIONSTAR in Ihrem Auftrag, wobei QUESTIONSTAR den Teil der Verantwortung für die Speicherung, Verarbeitung und Schutz personenbezogener Daten übernimmt, der in seinen Zuständigkeitsbereich fällt. Auf diese Weise sorgt der Gesetzgeber für die gerechte Verteilung der Verantwortung im Rahmen von DSGVO.
Kurzum, wenn Sie in Ihren Online-Umfragen personenbezogene Daten erheben, sind Sie als Umfragesteller für die Einhaltung der DSGVO verantwortlich. Wenn Sie Ihre Online-Umfrage mit Hilfe eines externen Dienstleister wie QUESTIONSTAR durchführen, sollten Sie, um sich für den Fall der Fälle abzusichern, mit diesem eine Auftragsdatenverarbeitungsvereinbarung abschließen.
Dafür können Sie gern unsere Vorlage zu ADVV nutzen, die in voller Entsprechung mit DSGVO ausgearbeitet wurde. Bitte laden Sie diese Vorlage herunter, ergänzen Sie darin die Daten Ihres Unternehmens und schicken Sie uns das unterschriebene Dokument an support@questionstar.de zu – wir schicken Ihnen dann die gegengezeichnete Vereinbarung zurück. Alternativ können Sie uns Ihre eigene ADVV zukommen lassen. Nach der Prüfung durch unseren Juristen werden wir sie unterzeichnen und Ihnen an die von Ihnen angegebene (E-Mail-)Adresse versenden.
Wie hilft mir QUESTIONSTAR die DSGVO einzuhalten?
QUESTIONSTAR hilft Ihnen, mit seinen Instrumenten und Einstellungen, die Bestimmungen der DSGVO im Rahmen Ihrer Umfragen einzuhalten. Dazu gehören insbesondere
- Getrennte Speicherung der Kontaktlisten.
- Getrennte Speicherung personenbezogener Daten.
- Anonymisierung von personenbezogenen Daten.
- Aggregierte Datenauswertung ohne Bezug auf Einzelpersonen.
- Automatisiertes Double-Opt-In-Verfahren bei Erhebung von E-Mail-Adressen im Fragebogen.
- Serverstandort Deutschland.
- Verschlüsselte Verbindung und Datenübertragung.
- Abschluss der Auftragsdatenverarbeitungsvereinbarung (ADVV).
Beispiele der Einwilligungs- und Datenschutzerklärungen
Die in diesem Artikel verwendete Beispiele der Einwilligungs- und Datenschutzerklärungen sind als eigenständige Fragebögen implementiert. Gern können Sie diese Fragebögen in Ihr Nutzerkonto bei QUESTIONSTAR kopieren und ggf. auf die Umstände Ihrer Datenerhebung anpassen. Klicken Sie dafür einfach auf dem entsprechenden Button in dem Fragebogen.
- Beispiel Einwilligungserklärung innerhalb des Fragebogens
- Datenschutzerklärung (detaillierte Fassung)
- Teilnahmebedingungen Gewinnspiel
- Einwilligungs- und Datenschutzerklärung in der Einleitung zur Umfrage
- Datenschutzerklärung lange Version
- Datenschutzerklärung lange Version 2
- Einleitung bei anonymer Erhebung mit Einwilligungserklärung (Beispiel 1)
- Einleitung bei anonymer Erhebung mit Einwilligungserklärung (Beispiel 2)
- Einleitung bei anonymer Erhebung ohne Einwilligungserklärung (Beispiel 3)
- Einleitung mit Verlinkung einer längeren Datenschutzerklärung
- Fragebogen Mitarbeiterzufriedenheit
Disclaimer
Dieser Artikel wurde mit größter Sorgfalt nach einer gründlichen Recherche und Hinzuziehung der juristischen Beratung erstellt. Dennoch erhebt der Autor keinen Anspruch auf Vollständigkeit der dargestellten Sachverhalte und Freiheit von Fehlern.
Die in diesem Artikel aufgeführten Beispiele der Einwilligungs- und Datenschutzerklärungen sollen primär der ersten Orientierung dienen und erheben ebenso keinen Anspruch auf Richtigkeit und Vollständigkeit. Der Autor rät dringend an, Ihre individuelle Einwilligungs- und/oder Datenschutzerklärung von einem Datenschutzbeauftragten erstellen oder prüfen zu lassen.
Sollten Sie beim Lesen von diesem Artikel auf inhaltliche Fehler oder Ungenauigkeiten aufmerksam geworden sein, so wäre der Autor für einen Hinweis dankbar. Bitte schicken Sie dafür eine E-Mail an support@questionstar.de.
Datum: 09.11.2020
Autor: Dr. Paul Marx
Dieser Text ist urheberrechtlich geschützt. Alle Rechte vorbehalten.