Durch die DSGVO ist der Datenschutz für Marktforschungsunternehmen anspruchsvoller geworden. Die befragten Personen sind über ihre umfassenden Rechte aufzuklären und die Kontaktdaten des verantwortlichen Datenschutzbeauftragten zu nennen. Wer einen Datenschutzbeauftragten benennt, eine Datenschutz-Folgenabschätzung vornimmt, ein korrektes Verarbeitungsverzeichnis führt und die projektbezogenen Löschfristen beachtet, ist bei der Umsetzung der Vorschriften auf einem guten Weg hin zur Datenschutzkonformität.
Welchen Zweck verfolgt die Umfrage?
Umfragen dienen dazu, systematisch Informationen über Meinungen, Bildung,
Wissen, Einstellungen, Verhaltensweisen und persönliche Lebensumstände zu
erheben. Zweck ist, repräsentative Aussagen bezogen auf einzelne Gruppen oder
die Gesamtbevölkerung zu erhalten. Neben allgemeinen Daten werden häufig auch
sensible Daten, zum Beispiel zum Einkommen oder der Gesundheit erfragt.
Hinweis auf den Datenschutzbeauftragten
Umfragen können ein Risiko für die Rechte und Freiheit der befragten Personen darstellen. Alle Unternehmen und Forschungsinstitute sollten sich bei der Durchführung ihrer Umfragen an einige Punkte halten, wenn sie Verstöße gegen die Vorschriften der Datenschutz-Grundverordnung und die damit verbundenen Bußgelder vermeiden wollen. Damit die verantwortliche Stelle gesetzeskonform handelt, ist vor der Befragung das Einverständnis der befragten Person einzuholen. Ferner sind die Kontaktdaten des verantwortlichen Datenschutzbeauftragten zu nennen. Sinn und Zweck der Befragung sollte ausführlich erläutert werden, denn mit dieser Vorgehensweise erhöht sich die Bereitschaft der befragten Personen, die entsprechenden Fragen zu beantworten.
Auftragsverarbeitungsvertrag
Nur wenn ein Auftragsverarbeitungsvertrag geschlossen wird, ist die Durchführung der Umfrage gesetzeskonform. Das gilt sowohl für das Unternehmen, das ein Marktforschungsinstitut beauftragt, wie auch für den externen Mitarbeiter, der im Auftrag für die Marktforscher die Befragung vor Ort oder telefonisch durchführt.
Da die Anforderungen an den Schutz personenbezogener Daten nach der DSGVO höher sind als zuvor nach dem alten Bundesdatenschutzgesetz, müssen die Auftragsverarbeitungsverträge an die Vorschriften des neuen Gesetzes angepasst werden.
Dokumentation ernst nehmen
Auch die Prozessdokumentation stellt erhöhte Anforderungen an die verantwortlichen Stellen. Wichtig ist das Verzeichnis der Verarbeitungstätigkeiten. Es dokumentiert alle Verarbeitungsprozesse und gibt Auskunft über den Sinn und Zweck der Datenverarbeitung sowie über den Speicherort und die Speicherfristen. Umfragen sind zweckgebunden, daher dürfen die erhobenen Daten nur bis zum Projektende gespeichert werden. Anschließend müssen sie datenschutzgerecht gelöscht werden. Vorfälle, die gegen die Bestimmungen der Datenschutz-Grundverordnung verstoßen, sind innerhalb von 72 Stunden an die zuständige Behörde zu melden. Nicht zuletzt ist eine ausführliche Schulung der Mitarbeiter durchzuführen, denn die besten Datenschutzdokumente nützen wenig, wenn die Mitarbeiter nicht wissen, wie mit dieser Thematik umzugehen ist.