Der verflixte Fragebogen
PSP Case Study zur DSGVO: Praxisfall 39

DSGVO: Praktischer Fall

Die Anton Müller gGmbH erbringt gegenüber kleineren Institutionen und Organisationen Hilfestellungen im sozialen Bereich. Sie möchte ihre „Kunden“ zur Zufriedenheit mit ihren Leistungen befragen und lädt daher die Mitarbeiter ihrer „Kunden“ ein, einen Online-Fragebogen auszufüllen. Dieser Fragebogen ist in einen Teil I und einen Teil II gegliedert. Im ersten Teil wird der Betroffene gefragt, zu welcher Institution bzw. Organisation erzählt, wie lange er dort bereits tätig ist, zu welcher Hierarchieebene er zählt etc. Aus der Beantwortung dieser Fragen kann in einigen Fällen durchaus der Betroffene identifiziert werden. Der zweite Teil enthält Fragen, die sich auf die Sichtweise der Organisation bzw. Institution selbst als „Kunde“ der Anton Müller gGmbH beziehen. Die Anton Müller gGmbH fragt sich, welchen datenschutzrechtlichen Aufwand sie im Umfeld der Online-Umfrage betreiben muss.

Auch dieser Fall spielt – wie schon Fall 32 – an der „Grenzlinie“ zwischen anonymen und nicht-anonymen Daten. Geht man davon aus, dass die Anton Müller gGmbH von vornherein über persönliche E-Mail-Adressen der befragten (natürlichen) Personen verfügt und diese mit deren Hilfe und einem personalisierten Link (der den Befragten identifiziert) zum Ausfüllen „einlädt“, ist der Fall schnell zu Ende, denn dann handelt es sich von vornherein um personenbezogene Daten und die Identität des jeweiligen Betroffenen ist bekannt. Fehlt ein solcher personalisierter Link und erfolgt das Besuchen der Webseite zum Ausfüllen des Fragebogens „anonym“, befinden wir uns ebenso in einem Graubereich wie wenn lediglich dem „Kunden“ selbst (Organisation/Institution) ein Link auf die Webseite mit dem Fragebogen (an ein Funktionspostfach) geschickt wird und der Link dann intern beim Kunden weitergeben kann.

Warum Graubereich?

Wenn einzelne „Kunden“ über eine derart kleine Belegschaft verfügen, dass die Fragen des Teils I die Person des Ausfüllenden identifizierbar machen, würde keine „echte“ Anonymität mehr vorliegen. Wenn nach Beantwortung des Teils I feststeht, dass der Betroffene beim Kunden XY – der über 14 Mitarbeiter verfügt – tätig ist, dort seit über fünf Jahren beschäftigt ist – was die Auswahl auf zwei Mitarbeiter verengt, weil der Kunde erst seit sechs Jahren existiert – und die ausfüllende Person zur „Geschäftsführungsebene“ zählt, kann dies – wenn nur noch ein Geschäftsführer aus der damaligen Zeit übrig geblieben ist – die ausfüllende Person identifizierbar machen. Mit ein wenig Recherche ist die Person dann womöglich schnell tatsächlich identifiziert. Die Antworten des Teils II können dann dieser Person zugeordnet werden und sind personenbezogene Daten dieser Person. Eine „echte Anonymität“ wird nach einer Einschätzung des Landesdatenschutzbeauftragten von Baden-Württemberg in dessen Ratgeber Beschäftigtendatenschutz vom März 2019 erst dann unterstellt, wenn mindestens sieben Personen sämtliche zur Verfügung stehenden Identifikationsmerkmale erfüllen und so eine genügend diffuse Gruppe bilden.

Dieser Graubereich kann prinzipiell dadurch verlassen werden, dass der Teil I einfach weggelassen wird und die Einladung und Teilnahme anonym erfolgt. Ohnehin stellt sich die Frage, ob nicht aufgrund der „privacy by default“-Vorgabe des Art. 25 Abs. 2 DSGVO die Antworten des Teils I standardmäßig „ausgegraut“ sein müssten oder ob der Zweck der Befragung so weit definiert werden kann, dass die Antworten auf diese Fragen für die Befragung tatsächlich „erforderlich“ sind. Ohne die Angaben zur Person (Teil I) müssten es schon die „sachlichen“ Antworten im Teil II selbst sein – je nachdem, was im Fragebogen abgefragt bzw. eingegeben werden kann –, welche die Person identifizierbar machen. Dies wird im Regelfall ungleich schwieriger sein.

Einwilligung und Widerrufsmöglichkeit

Gehen wir nun davon aus, dass als Legitimationsgrundlage für die Verarbeitung der Antworten im Fragebogen nur eine Einwilligung in Betracht kommt (s. Fall 17), so muss die Erteilung der Einwilligung später nachweisbar sein. Natürlich wird in derartigen Fallgestaltungen auch eine Interessenabwägung als taugliche Legitimationsgrundlage vertreten, was richtig oder auch falsch sein kann. Neben den Pflichtinformationen muss dem Betroffenen also die Widerruflichkeit seiner Einwilligung mitgeteilt werden (s. Fall 8). Die Durchführung dieser Aufklärungen des Betroffenen kann wohl durch entsprechende Prozesse, die vom Betroffenen durchlaufen werden müssen, nachgewiesen werden (s. Fall 1). Es ist demnach in diesem Stadium (wahrscheinlich) keine Protokollierung eines individuellen „Zugangsnachweises“ (Quittierung des Erhalts der Pflichtinformationen) erforderlich.

Die Frage ist aber nun, wie der Betroffene den Widerruf seiner Einwilligung geltend machen kann. Wenn er die Anton Müller gGmbH anschreibt und sinngemäß erklärt, er habe „neulich“ einen Fragebogen ausgefüllt und wolle nun seine Einwilligung widerrufen (oder einer Interessenabwägung widersprechen), kann diese Eingabe in dieser Form keinem konkreten Datensatz zugeordnet werden. Die Anton Müller gGmbH müsste also mehr Daten erheben, um später das Widerrufsrecht überhaupt umsetzen zu können.

Neben der Möglichkeit zum Widerruf der Einwilligung müssen natürlich auch die anderen Betroffenenrechte erfüllt werden, d. h. Auskunftsrecht, Berichtigungsrecht, Löschrecht etc. Am besten wäre es natürlich – so würden die Datenschutzbehörden argumentieren –, wenn der Betroffene auf der Online-Plattform selbst die Möglichkeit hätte, über einen persönlichen Zugang (Benutzername – der natürlich auch pseudonym sein kann wie „blabla123“ – und Passwort) seine Daten einzusehen, zu löschen und ggf. richtigzustellen (oder sogar zu exportieren).

Keine Datenerhebung nur zu „DSGVO-internen“ Zwecken

Gesetzt den Fall, diese Möglichkeit ist nicht gegeben – was seinerseits zu einem Problem mit dem „privacy by design“-Grundsatz führen kann (s. Fall 40) –, kommt es auf eine Vorschrift an, die es in sich hat: Art. 11 DSGVO. Nach dieser Regelung müssen, salopp gesagt, keine personenbezogenen Daten extra deswegen erhoben werden, nur damit die DSGVO, insbesondere die Betroffenenrechte, eingehalten werden kann. Dieses Prinzip kann aus dem Grundsatz der Datenminimierung hergeleitet werden.

Art. 11 Abs. 1 DSGVO gilt für den Fall, dass der Verantwortliche zwar über personenbezogene Daten verfügt, diese aber die betroffene Person nur „identifizierbar“ machen. Die Person ist nicht „identifiziert“, d. h. ihre Kontakt- bzw. Adressdaten fehlen und sie kann nicht angesprochen bzw. angeschrieben werden. Sie müsste „identifiziert“ werden, was zwar möglich wäre (sie ist ja „identifizierbar“), aber nur zur Erhebung weiterer Daten über die Person führen würde. Dies gilt insbesondere auch in dem Fall, in dem nur ein Pseudonym bekannt ist, unter dem die Person erreicht werden kann, etwa eine Telefonnummer, unter welcher der Verantwortliche theoretisch auch anrufen könnte, um zu versuchen, Namen und Anschrift zu ermitteln: In derartigen Fällen ist die weitere Datenerhebung nicht geboten.

Die fehlende Pflicht zur Identifizierung eines Betroffenen kann so weit führen, dass diesem auch keine Pflichtinformationen zur Verfügung gestellt werden müssen, selbst wenn die Identifizierung möglich und zumutbar wäre, weil dies weitere Datenerhebungen voraussetzen würde. In der Kommentarliteratur wird als Beispiel ein Geoinformationsdienst wie Google Streetview genannt, dessen Betreiber natürlich herausfinden könnte, wer die Eigentümer und Bewohner abgebildeter Häuser sind, um diese über die Verarbeitung von Hausansichten – soweit dies personenbezogene Daten sind – zu informieren. Dies gilt aber natürlich nicht in Fällen wie dem vorliegenden, in dem ein direkter Kontakt mit einem – mehr oder weniger anonymen – Betroffenen besteht.

Identifikationsprobleme

Vor diesem Hintergrund stellen sich nun zwei Probleme. Einerseits soll eine nur identifizierbare, aber nicht identifizierte Person vom Betroffenen darüber informiert werden, dass dieser „nicht in der Lage ist, die betroffene Person zu identifizieren“, sofern diese Unterrichtung möglich ist (Art. 11 Abs. 2 DSGVO). Das trifft aber eigentlich nicht den damit wohl „gemeinten“ Fall: Der Verantwortliche ist in der „gemeinten“ Fallgestaltung sehr wohl in der Lage, die betroffene Person zu identifizieren – wäre er es nicht, wäre nämlich die DSGVO gar nicht anwendbar –, nur ist dies nicht geboten, weil dadurch (noch) mehr Daten verarbeitet werden müssten. So muss also nur der zur Verfügung stehende „Kanal“ – sofern es diesen (in der Regel in Form eines Adress-Pseudonyms) gibt – genutzt werden, um dem Betroffenen mitzuteilen, dass man nicht weiß, wer er ist. Muss man also im obengenannten Beispiel der (einzig) vorliegenden Telefonnummer doch unter der Nummer anrufen und demjenigen, der abnimmt, diese Information kolportieren?

Das zweite Problem liegt darin, wie ein Betroffener, dessen Identität der Verantwortliche nicht kennt, dessen Daten aber vom Verantwortlichen verarbeitet werden, Betroffenenrechte geltend machen kann. Die DSGVO sieht vor, dass in derartigen Situationen keine Betroffenenrechte nach den Artikeln 15 bis 20 DSGVO bestehen, „es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen“ (Art. 11 Abs. 2 S. 2 DSGVO).

Dies führt zu zwei Folgeüberlegungen. Einerseits sind der Widerruf der Einwilligung (Art. 7 DSGVO) und der Widerspruch gegen eine Interessenabwägung (Art. 21 DSGVO) nicht ausgeschlossen, sondern nur die Rechte der Artikel 15 bis 20 DSGVO, d. h. selbst dann, wenn die betroffene Person keine zusätzlichen Informationen zur Identifizierung bereitstellt, müssen diese Rechte „ausübbar“ sein. Es stellt sich also die Frage, wie der Widerruf eines Betroffenen einem Datensatz zugeordnet werden kann, wenn der Betroffene keine weitere Informationen bereitstellt – was er in diesem Fall nicht muss.

Andererseits: Selbst wenn der Betroffene weitere Informationen bereitstellen muss, um seine Betroffenenrechte nach Art. 15 bis 20 DSGVO – also beispielsweise ein Auskunftsrecht – doch ausüben zu dürfen, ist offen, wie der Verantwortliche diese Daten verifizieren und damit die korrekte Zuordnung zum relevanten Datensatz herstellen kann. Im Ausgangsfall könnte etwa jemand, der über die Antworten zu Teil I des Fragebogens identifizierbar ist, ein Auskunftsrecht geltend machen. Dies setzt voraus, dass er mitteilt, bei welchem „Kunden“ der Anton Müller gGmbH er seit wann in welcher Position tätig ist und dies dem Verantwortlichen ggf. nachweist. Der Verantwortliche müsste nun seinerseits – wie auch immer – verifizieren, dass es niemand anderes gibt, auf den das entsprechende Muster der Antworten in Teil I zutrifft. Ansonsten würde dem Betroffenen der Datensatz eines anderen Betroffenen als Auskunft bzw. Kopie übermittelt – ein klassischer Datenschutzverstoß.

Ein in der Kommentarliteratur genannter Fall betrifft in diesem Zusammenhang die Erfassung von Kfz-Kennzeichen in einem Parkhaus. Die Erteilung der Pflichtinformationen ist durch einen entsprechenden Aushang an den jeweiligen, nur identifizierbaren Betroffenen möglich. Dem Parkhausbetreiber ist insbesondere nicht bekannt – und er muss das auch nicht ermitteln –, ob der Fahrer im Parkhaus gleichzeitig der Halter des Wagens mit dem Kennzeichen ist. Wenn nun ein Halter, der nicht der Fahrer war, einen Auskunftsanspruch gegenüber dem Parkhausbetreiber geltend macht, wie kann der Parkhausbetreiber dann verifizieren, dass er den „richtigen“ Betroffenen vor sich hat? Die Literatur geht davon aus, dass dem Halter, der sein Kfz-Zeichen angibt – die Richtigkeit dieser Information könnte möglicherweise durch den Verantwortlichen verifiziert werden –, die Auskunft zu erteilen ist. Aber was wenn der tatsächliche Fahrer auf keinen Fall wollte, dass der Halter erfährt, dass und wie lange er im Parkhaus war?

Wie widerrufen?

Zurück zum Ausgangsfall: Kann ein Widerruf der Einwilligung einem bestimmten Betroffenen zugeordnet werden, wird sich die Frage stellen, wie sich dies auf die weitere Auswertung der Fragebögen auswirkt. Erfolgt der Widerruf zeitlich vor einer weiteren (statistischen) Verarbeitung, ist der Fragebogen zu löschen und darf nicht in das Gesamtergebnis eingehen. Möglicherweise ließe sich aber auch argumentieren, dass nur der betreffende Teil I des Fragebogens zu löschen ist, weil Teil II dadurch anonym wird. Und Anonymisieren soll ja gleichwertig mit Löschen sein, selbst wenn der Vorgang des Anonymisierens seinerseits eine Verarbeitungshandlung ist, die einer datenschutzrechtlichen Legitimation bedarf (s. Fall 32). Erfolgt der Widerruf nach bestimmten Auswertungshandlungen, bleibt die Rechtmäßigkeit dieser Auswertungen (auch betreffend Teil I) unberührt, sofern die Auswertung der Fragebögen zu einem so hohen Aggregationsgrad führt, dass diese keine personenbezogene Information mehr darstellt (d. h. die aggregierten Daten sind anonym). Der Fragebogen muss dann also nicht aus den statistischen Ergebnissen „herausgerechnet“ werden.

Am Ende noch ein neuralgisches Thema sämtlicher Informationserhebungen in digitaler Form: Freitextfelder. Sieht der Fragebogen am Ende vor, dass der Betroffene einen Kommentar in einem Freitextfeld hinterlassen kann, so kann dieser natürlich mit personenbezogenen Daten – auch dritter Personen – befüllt werden. Ein Paradebeispiel wäre: „Insbesondere Klaus Ludwig von der Organisation ‚Blumenfreunde‘ hat auf mich einen sehr befremdlichen Eindruck gemacht, als er beim letzten Sommerfest nackt und besoffen um das Lagerfeuer getanzt ist“. In diesem Fall braucht die Anton Müller gGmbH für die Erhebung dieser Daten eine (dokumentierte) datenschutzrechtliche Rechtsgrundlage und der hier genannte Klaus Ludwig müsste über die Erhebung dieser Daten durch die Anton Müller gGmbH – an der er persönlich nicht mitgewirkt hat – spätestens innerhalb eines Monats mit entsprechenden Pflichtinformationen benachrichtigt werden (Art. 14 DSGVO).

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden