Datenschutz bei Marktforschung – Was ändert die DSGVO?

Fachbeitrag

Bei der Marktforschung werden eine Vielzahl personenbezogener Daten bei identifizierbaren Personen erhoben. Dabei können auch sensible Daten wie Informationen zum Gesundheitszustand erfasst werden. Daher stellen das Datenschutzrecht sowie die berufliche Verhaltensregelungen strenge Anforderungen an die Durchführung der Marktforschung, um das Persönlichkeitsrecht der Teilnehmer zu wahren und deren Daten vor Missbrauch zu schützen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Was ist Markt- und Meinungsforschung?

Um die datenschutzrechtlichen Prinzipien der Markt- und Meinungsforschung richtig einordnen zu können, ist ein umfassendes Verständnis des Begriffs notwendig. Marktforschungsprojekte beschäftigen sich mit einer Vielzahl von Themen, wie beispielsweise Konsumgewohnheiten, demographischen Entwicklungen und Mediennutzung. Ziel ist es, ein allgemeines gesellschaftliches Bild wiederzugeben. Insbesondere gilt es daher, die Marktforschung von Maßnahmen der Werbung und des Marketings abzugrenzen. Dabei können folgende Grundprinzipien herangezogen werden:

  • Die Marktforschung basiert auf einem wissenschaftlich-methodischen Vorgehen.
  • Sie trifft keine Aussage über Einzelpersonen, sondern interessiert sich für das Verhalten von Gesellschaftsgruppen.
  • Sie ist anonym! Personenbezogene Daten der Teilnehmer dürfen nicht an den Auftraggeber weitergegeben werden.
  • Das Marktforschungsinstitut muss die Daten so schnell wie möglich pseudonymisieren.
  • Die Marktforschung unterliegt einem strengen Zweckbindungsgrundsatz. Zur Marktforschung gewonnene personenbezogene Daten dürfen z.B. nicht zu Werbe- und Marketingzwecken verwendet werden.

Marktforschung nach dem Bundesdatenschutzgesetz

Für die bisherige Rechtslage sind die Regelungen des Bundesdatenschutzgesetzes, sowie die berufsrechtlichen Verhaltensregelungen (ICC / ESOMAR) heranzuziehen.

Nach dem BDSG ist Marktforschung auf Basis einer Einwilligung (§ 4a BDSG) oder nach § 30a BDSG zulässig. Die Einwilligung ist als Erlaubnisnorm jedoch nicht immer ausreichend, da sie den Teilnehmerkreis von vornherein auf die Personen beschränkt, zu denen bereits Kontakt bestand und die zuvor eingewilligt haben.

Um das Interesse einer repräsentativen Marktforschung zu berücksichtigen, ist eine solche nach § 30a BDSG auch ohne Einwilligung zulässig, wenn

  • kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Erhebung, Verarbeitung oder Nutzung seiner personenbezogene Daten hat (§ 30a Abs. 1 Nr. 1 BDSG), oder
  • die personenbezogenen Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle dürfte diese Daten veröffentlichen und es bestehen keine schutzwürdigen Interessen des Betroffenen am Ausschluss der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten.

Die beruflichen Verhaltensregelungen (ICC / ESOMAR) sind teilweise strenger als die Anforderungen des BDSG und fordern für die Durchführung des Marktforschungsprojektes eine informierte Einwilligung und strenge Zweckbindung. Nach diesen ist z.B. eine Weitergabe von personenbezogenen Daten an den Auftraggeber auch bei Vorliegen einer Einwilligung nicht zulässig.

Marktforschung nach der Datenschutz-Grundverordnung

Während im BDSG die Marktforschung in § 30a BDSG ausdrücklich geregelt ist, fehlt es in der DSGVO an einer vergleichbaren Norm. Die Frage der rechtlichen Erlaubnis, die strikte Pseudonymisierung und Anonymisierung, sowie der Zweckbindungsgrundsatz sind für diesen Bereich nicht explizit geregelt. Demnach müssen sich Marktforschungsprojekte künftig an den allgemeinen Grundsätzen der DSGVO orientieren.

Berechtigtes Interesse oder Einwilligung

Als Erlaubnisnorm kommt für die Marktforschung weiterhin die Einwilligung in Betracht (Art. 6 Abs. 1 Lit. a DSGVO). Daneben wird sich die Zulässigkeit auf das berechtigte Interesse des Auftraggebers stützten können (Art. 6 Abs. 1 Lit. f DSGVO). Für die Marktforschung mit Gesundheitsdaten wird Art. 9 DSGVO zu berücksichtigen sein.

Marktforschung als wissenschaftliche Forschung

Außerdem wird es bei der datenschutzrechtlichen Beurteilung eine Rolle spielen, ob die Marktforschung unter dem Begriff der wissenschaftlichen Forschung nach Art. 89 Abs. 1 DSGVO zu subsumieren ist. Dies wird bisher in der Literatur und dem ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.V. vertreten. Mit der Anwendbarkeit des Art. 89 DSGVO können sich für die Marktforschung weitere Privilegierungen ergeben:

  • Daten könnten für Sekundärzwecke genutzt werden (Art. 5 Lit. b DSGVO)
  • Daten können auch nach Zweckerreichung gespeichert werden (Art. 5 Lit. e DSGVO)
  • Von Betroffenrechten können Ausnahmen gemacht werden (Art. 89 Abs. 2 DSGVO)

Weitere Grundsätze der DSGVO

Mit dem Wegfall von § 30a BDSG fällt auch die explizite Regelung der Pseudonymisierung und Anonymisierung weg. Diese Grundsätze werden sich jedoch teilweise aus anderen Regelungen der DSGVO (Art. 25 DSGVO) herleiten lassen, bzw. im Rahmen der Interessenabwägung nach Art. 6 DSGVO zu berücksichtigen sein.

Ferner werden weiterhin die strengeren berufsrechtlichen Reglungen gelten, sodass eine Lockerung der rechtlichen Anforderungen an die Marktforschung sich momentan nicht unmittelbar abzeichnet.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

4 Kommentare zu diesem Beitrag

  1. Sehr geehrter Dr. Datenschutz,
    Ihre Website ist seit langem eine sehr wertvolle, wirklich lehrreiche und prägnant und verständlich geschriebene Informationsquelle für mich – vielen Dank! Als unabhängiger medizinischer Marktforscher möchte ich aber gern einige kleine Anmerkungen zu Ihren Ausführungen machen.

    1. Die Deutschen Marktforschungsrichtlinien der Verbände ADM, BVM, ASI und DGOF sind leider in meinem Verständnis in einem Punkt nicht eindeutig formuliert. So dürfen personenbezogene Daten an den Auftraggeber einer Marktforschungsstudie weitergeleitet werden (https://www.adm-ev.de/wp-content/uploads/2018/07/RL-GDs-und-Quali-Interviews.pdf), nämlich die Video- oder Audioaufzeichnung eines Interviews für max. 3 Monate zu Forschungszwecken und im Sinne des konkreten Untersuchungsziels, wenn „begründet davon ausgegangen werden kann, dass der/die Teilnehmer dem Auftraggeber (Mitarbeiter und externe Berater des Auftraggebers eingeschlossen) aufgrund der Auswahlkriterien nicht bekannt ist/sind“ und nachdem der Auftraggeber unterschrieben hat, dass er die Aufzeichnung vertraulich behandeln wird und jeden Versuch einer De-Anonymisierung unterlassen wird, und nachdem der Befragte über die genannten Bedingungen in Kenntnis gesetzt wurde und zugestimmt hat. Im strengen Sinne der DSGVO-Definition von „personenbezogen“ und im Sinne von Erwägungsgrund 26 könnte der Teilnehmer also noch „identifizierbar“ sein, weil der Auftraggeber vermutlich prinzipiell Mittel hätte und nach allgemeinem Ermessen wahrscheinlich nutzen würde, um den Teilnehmer zu de-identifizieren. Ob die unterzeichnete Erklärung des Auftraggebers, diese Mittel nicht zu nutzen, das Kriterium „nach allgemeinem Ermessen wahrscheinlich“ formal hinreichend entkräftet, so dass man nicht mehr von „identifizierbar“ sprechen dürfte, bezweifle ich (ich bezweifle es nur formal, ich unterstelle unseren Auftraggebern ernsthaft keine bösen Absichten). In der Essenz bedeuten also die Deutschen Marktforschungsrichtlinien, dass Daten dem Auftraggeber zwar personenbezogen, aber in einer Form und mit Zustimmung der Befragten und unter den oben genannten weiteren Einschränkungen übermittelt werden dürfen, die es dem Auftraggeber nicht erlaubt, ihn namentlich zu identifizieren.

    2. Oben erwähnen Sie die berufsrechtlichen internationalen Verhaltensregelungen ICC/ESOMAR. Die gelten aber nur, soweit sie nicht im Widerspruch stehen zur „Erklärung für das Gebiet der Bundesrepublik Deutschland zum ICC/ESOMAR Internationaler Kodex zur Markt-, Meinungs- und Sozialforschung sowie zur Datenanalytik (‚Deutsche Erklärung‘)“ und den Deutschen Marktforschungsrichtlinien von ADM, BVM, ASI und DGOF (https://www.adm-ev.de/standards-richtlinien/#anker2), die viel strenger sind als die ICC-/ESOMAR-Guidelines. So gibt es das Trennungsgebot (Trennung von Marktforschung und nicht-wissenschaftlicher Forschung) und das sog. Anonymisierungsgebot nur in den Deutschen Marktforschungsrichtlinien, nicht in den internationalen ICC-/ESOMAR-Richtlinien. In Deutschland halten wir uns also in erster Linie an die Richtlinien der Deutschen Marktforschungsverbände, und ICC/ESOMAR ist nachrangig.

    3. Sie weisen korrekt darauf hin, dass sich die Zulässigkeit der Verarbeitung u.a. auf das berechtigte Interesse des Auftraggebers stützen kann (Art. 6 Abs. 1 Lit. f DSGVO). Im praktischen Alltag wird man aber auf diese Rechtsgrundlage vermutlich nur dann (also selten) abheben, wenn das Marktforschungsinstitut einem Befragten bei Erstkontakt erklärt, auf welcher Rechtsgrundlage es seine Kontaktdaten nutzt, wenn diese aus öffentlichen Quellen stammen. Falls die Kontaktdaten aus einer Kundenliste des Auftraggebers stammen und sich ein Marktforschungsinstitut auf 6 1 f beziehen muss und sagt: „Guten Tag, Herr Müller, ich rufe Sie zu Marktforschungszwecken an und habe Ihre Kontaktdaten von Firma XYZ, die meint, dass das Geschäftsinteresse von XYZ höher einzustufen ist als Ihre Interessen, Grundrechte und Grundfreiheiten“, dann wird das Vertrauen der Bevölkerung in die Marktforschung womöglich nachhaltig gestört und Firma XYZ verliert Herrn Müller als Kunden. Stammen die Kontaktdaten des Befragten von einer Auftraggeberliste, sollte darum der Auftraggeber immer die Einwilligung seiner Kunden zur Weiterleitung an Marktforschungsinstitute zu Marktforschungszwecken eingeholt haben, damit 6 1 a als Rechtsgrundlage vorliegt. Mit gleicher Begründung sollten auch die Antworten der Befragungsteilnehmer nur auf Basis von 6 1 a, also mit Einwilligung, verarbeitet werden und nicht auf Basis von 6 1 f, also aus Geschäftsinteressen. Und mit gleicher Begründung wird man m.E. in der Markt- und Meinungsforschung selten die von Ihnen genannten Artikel 5 und 89 bemühen wollen: „Ich bin ein wissenschaftlich tätiger, unabhängiger Forscher und verarbeite darum Ihre pers.bez. Daten für eine kommerziell tätige auftraggebende Firma ohne Ihre Einwilligung, garantiere Ihnen aber, dass Sie anonym bleiben“ dürfte für die Bevölkerung nicht überzeugend klingen, um generell bereit zu sein, an Marktforschung teilzunehmen.

    • Vielen Dank für Ihre Ausführungen zu diesem Thema, welches gerade aufgrund der von Ihnen angesprochenen „Vermengung“ von Datenschutzrecht, internationalen ICC/ESOMAR Kodex, nationale Fassung und Verbands-Richtlinien häufig zu Abgrenzungsschwierigkeiten führt. Ich stimme Ihnen zu, dass die Verwendung des Begriffs der Anonymität in der von Ihnen angesprochenen Richtlinie nicht mit der Bedeutung aus der DSGVO übereinstimmt. Solange das Gesicht der gefilmten Person erkennbar und die Person daher identifizierbar ist, dürfte auch bei der Vertretung eines relativen Begriffs des personenbezogenen Datums nicht von Anonymität gesprochen werden. Datenschutzrechtlich wäre die Übermittlung der Aufnahmen an den Auftraggeber auf Basis einer Einwilligung zwar unproblematisch möglich. Hier kommen wir dann aber zu dem von Ihnen in Punkt 2 angesprochenen Problem mit der strengen deutschen Fassung des ICC/ESOMAR Kodexes: Eine Einwilligung wäre hiermit unzulässig.

      Nur bei dem letzten Punkt kann ich Ihnen nicht ganz folgen. Ich halte das berechtigte Interesse an der Marktforschung und die damit einhergehende „Erleichterung“ bei der Datenverarbeitung durchaus für legitim. Auch mit den Informationspflichten sehe ich kein Problem, da diese auch mit einem pragmatischen Ansatz in zwei Schritten übermittelt werden können. Die Zwecke der Datenverarbeitung und die verantwortliche Stelle ergeben sich regelmäßig schon automatisch aus dem Gespräch. Das berechtigte Interesse kann dann auch in einer Datenschutzerklärung auf der Webseite genauer ausgeführt werden.

  2. Sehr geehrter Dr. Datenschutz,
    im Rahmen meiner Bachelorarbeit wollte ich die potentiellen Kunden eines Unternehmens befragen. Die Befragung soll helfen herauszufinden, welche Informationsquellen nutzen diese Personen, wo sie sich z.B. über neue Produkte der Branche informieren.
    Meine Frage ist daher, darf ich diese potentielle Kunden per E-Mail anschreiben und sie dann darum zu bieten, bei meiner Befragung teilzunehmen? Darf ich gleich im ersten Schreiben einen Fragebogen anhängen? Und muss ich sonst noch irgendwas beachten?
    Vielen Dank für Ihre Hilfe im Voraus!
    Anna

    • Dies ist leider eine komplexere Frage, die sich hier nicht im erforderlichen Umfang klären lässt. Grundsätzlich ist es so, dass Datenverarbeitung zu Forschungszwecken von der DSGVO privilegiert betrachtet werden. Das bedeutet, dass für die Anfrage an der Teilnahme nicht zwingend eine Einwilligung erforderlich ist, sondern dies auch schon aufgrund des berechtigten Interesses erfolgen kann. Auf der anderen Seite spielen hier auch noch weitere Punkte mit hinein: Woher hat das Unternehmen die Daten der potentiellen Kunden, darf das Unternehmen die Daten überhaupt an Sie weitergeben, müssen hier noch Informationspflichten erfüllt werden? Dies alles sind Fragen, die der Datenschutzbeauftragte des Unternehmens klären sollte. Weitere Informationen finden Sie hier: https://www.hu-berlin.de/de/datenschutz/einwilligung/datenschutz-in-wissenschaft-und-forschung.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.