Was muss bei Online-Umfragen beachtet werden?
Der folgende Artikel ist Teil der Service-Reihe Datenschutz auf Webseiten in Zusammenarbeit mit Seitenstark. Seitenstark e.V. ist eine Arbeitsgemeinschaft von Webseiten für Kinder und betreibt unter anderem die Info-Plattform wir-machen-kinderseiten.de. Das Angebot wird vom Bundesministerium für Familie, Senioren, Frauen und Jugend gefördert, die Service-Reihe wird von der EU-Initiative klicksafe.de unterstützt.
Bislang erschienen:
- Reihe „Datenschutz auf Webseiten“: Updates zur Datenschutz-Grundverordnung
- Hintergrund 1: Sieben goldene Regeln des Datenschutzes
- DSGVO-Update
- Hintergrund 2: Datenschutz- und Einwilligungserklärungen, AGB und Impressumspflicht
- Muster: Impressum für einen Verein
- Hintergrund 3: Zusammenarbeit mit Dienstleistern und Auftragsdatenverarbeitung
- DSGVO-Update: Auftragsverarbeitung, Embedding
- Aufbau einer einfachen Datenschutzerklärung
- Muster: einfache Datenschutzerklärung
- DSGVO-Update: Datenschutzerklärungen
- Chats, Foren und Gästebücher
- Muster: Gästebuch, anonymes Posting
- Muster: Forum und Chat mit Registrierung
- Muster in kindgerechter Sprache
- DSGVO-Update: Chats, Foren und Gästebücher
- Was muss bei Online-Umfragen beachtet werden?
- Muster: Einwilligung bei ausführlicher Umfrage
- Webanalyse-Werkzeuge und Datenschutz
- Muster: Datenschutz-Erklärung bei Einsatz von Piwik
- Muster in kindgerechter Sprache
- DSGVO-Update: Webanalyse-Werkzeuge und Datenschutz
- Was sollten Newsletter-Anbieter beachten?
- Muster: Einwilligungserklärung Newsletter in kindgerechter Sprache
- Einwilligungserklärungen bei Kontaktformularen, Mitmach-Aktionen und Gewinnspielen
- Mustertext für die Datenschutzerklärung
- Mustertext in kindgerechter Sprache
- Datenschutz bei Spenden- und Empfehlungsfunktionen
Online-Umfragen sind ein beliebtes Mittel zur Interaktion auf Webseiten, gerade auch bei Angeboten für Kinder. Manchmal dienen sie zum Beispiel dazu, Feedback zu erhalten oder Erkenntnisse zu gewinnen, in anderen Fällen dienen sie zum Beispiel der Unterhaltung. Unter Datenschutz-Gesichtspunkten gilt es, zwischen Umfragen zu unterscheiden, die völlig anonym durchgeführt werden und solchen, bei denen ein Personenbezug existiert.
8.6.2018
Aktueller Hinweis zur neuen EU-Datenschutz-Grundverordnung (DSGVO)
Durch die DSGVO ändert sich bei Online-Umfragen gegenüber den bisherigen, im folgenden beschriebenen Empfehlungen nicht viel. Allerdings sollten die Hinweise zu Einwilligungserklärungen und Transparenzpflichten beachtet werden, die in den Beiträgen „DSGVO-Update: Datenschutzerklärungen“ und „DSGVO-Update: Chats, Foren und Gästebücher“ dargestellt werden.
Einfache Abstimmungen: Meistens unproblematisch
Bei einfachen Umfragen wird oft nur eine Frage gestellt und es werden keine Angaben zur Person gezielt abgefragt. Zum Beispiel, wenn auf einer Webseite eine Abstimmung gemacht wird, welches Foto das schönste ist. Genaugenommen sind diese Abstimmungen auch personenbezogen, weil stets auch die IP-Adresse des Webseiten-Besuchers erfasst wird. Eine ausdrückliche Einwilligungserklärung einzuholen, wäre hier aber übertrieben. Die Erhebung der IP-Adresse sollte schon über die Datenschutzerklärung des Webangebots hinreichend transparent gemacht worden sein.
Beispiele
- Einfache Abstimmung der Kinderseite sowieso.de – Nachrichten für Kinder
- Einfache Umfrage der Kinderseite religionen-entdecken.de
Aufwändigere Umfragen oder sensitive Informationen: Einwilligungserklärung
Anders wäre allenfalls eine Abstimmung einzuordnen, die etwa nach Krankheiten oder anderen sensitiven Daten fragt. Offensichtlich wird das zum Beispiel bei der Frage: „Findest Du, dass Deine Eltern zu viel Alkohol trinken?“. Verknüpft mit der IP-Adresse könnte dies Rückschlüsse auf eine mögliche Alkoholerkrankung der Eltern zulassen – eine Information, die mit Sorgfalt behandelt werden muss. Ähnlich kann es sich aber auch schon bei Fragen verhalten, wie „Bist du von deinen Eltern schon mal geschlagen worden?“ oder „Wie viel Taschengeld bekommst du?“.
Wer derartige, sensitive Daten erhebt und eine aufwändigere Umfrage durchführt, muss sich auch darüber Gedanken machen, welche Daten er genau benötigt, wozu er sie benötigt und wo eventuell Rückschlüsse auf Einzelne möglich sind.
Ein Beispiel für solche Umfragen sind Evaluierungen. Wer zum Beispiel die Qualität einer Unterrichtsreihe über eine Umfrage bewerten will, erfasst zumeist Angaben über die Qualität des Unterrichts, der Unterrichtsmaterialien, aber unter Umständen auch über den Lernerfolg der Teilnehmenden. Da die Veranstalter oder Lehrenden diese oft kennen, ergibt sich oft sehr leicht ein Personenbezog für einen einzelnen Fragebogen, auch wenn nicht nach Namen oder ähnlichen Angaben gefragt wird.
Im Normalfall empfiehlt es sich, zu Beginn der Umfrage eine Einwilligungserklärung zu erbitten und am Ende noch einmal Gelegenheit zu Korrekturen, aber auch zum Widerruf der Einwilligung zu geben.
Gleichzeitig kann durch technische Maßnahmen die Möglichkeit oft deutlich reduziert werden, Rückschlüsse auf bestimmte Personen zu ermöglichen. Manche Dienste für Umfragen lassen sich beispielsweise so einstellen, dass für die Umfrage keine IP-Adressen zusätzlich dauerhaft protokolliert werden. Beim Beispiel zur Frage nach dem Alkoholkonsum der Eltern wäre damit das Risiko einer Verknüpfung drastisch reduziert.
Eine solche Erklärung dient gleichzeitig auch dazu, die oftmals geringe Teilnahmebereitschaft bei Umfragen zu erhöhen. Wer weiß, was mit seinen Daten passiert und Vertrauensanker dafür hat, dass damit nichts Unangenehmes geschieht, wird auch eher bereit sein, mitzumachen.
Option: Vertrauenswürdige Dritte einschalten
Manchmal schaffen auch organisatorische Maßnahmen ein verstärktes Vertrauen. Eine Möglichkeit besteht darin, einen Dritten mit der Durchführung der Umfrage zu betrauen, der nur die Ergebnisse und nicht die einzelnen ausgefüllten Datenbögen an den Webseiten-Betreiber zurückschickt. Der Veranstalter der Unterrichtsreihe im oben genannten Beispiel hat bei dieser Variante selber keine – oder zumindest eine deutlich reduzierte – Möglichkeit, Rückschlüsse auf Einzelne vorzunehmen.
Werden solche technischen und organisatorischen Maßnahmen ergriffen, sollten sie auch Eingang in die Einwilligungserklärung finden, damit der beabsichtigte Vertrauenseffekt erreicht wird.
Muster: Einwilligungserklärung für eine ausführliche Umfrage
Eine Einwilligungserklärung für die Evaluation einer Online-Unterrichtsreihe könnte zum Beispiel wie folgt formuliert werden:
Auf den folgenden Seiten werden wir dir ein paar Fragen zu unserer Unterrichtsreihe zum Thema „Sicher online“ stellen. Hierbei geht es darum, die Qualität der Materialien und der Unterrichtseinheiten bewerten zu können [gegebenenfalls Thema und Erklärung austauschen].
Zum Abschluss folgen ein paar Fragen über dich. Wir möchten so herausfinden, welche Materialien zum Beispiel bei welcher Altersgruppe besonders gut ankommen.
Deinen Namen kannst und brauchst du zum Mitmachen nicht anzugeben.
Du kannst am Ende der Umfrage noch einmal alle Fragen anschauen, bevor du sie endgültig abschickst.
Sofern die Abwicklung der Umfrage durch einen Dritten durchgeführt wird, kann auch folgender Spiegelstrich noch aufgenommen werden:
Die Umfrage wird für uns von einem Meinungsforschungsinstitut [gegebenenfalls Name ergänzen] ausgewertet. Wir erhalten nur die Ergebnisse und nicht die einzelnen Fragebögen.
Am Ende der Umfrage sollte im Idealfall dann noch einmal Gelegenheit gegeben werden, alle Antworten anzuschauen und sie gegebenenfalls noch einmal zu korrigieren. Es reicht dann, wenn mit einem einfachen Klick die Teilnahme noch einmal bestätigt („Antworten abschicken“) wird.
Zusätzliche Angaben zur Umfrage
Wer mit einer Forschungseinrichtung bei der Durchführung der Umfrage zusammenarbeitet, kann die Gelegenheit nutzen, über einen Link Hintergrund-Informationen zur Methodik der Umfrage oder zu den Details technischer oder organisatorischer Maßnahmen anzubieten. Das kann die Transparenz und somit das Vertrauen erhöhen.
Aufpassen bei E-Mail-Einladungen
Werden Einladungen zu Umfragen über E-Mail verschickt, entstehen an zahlreichen Stellen neue Verknüpfungsmöglichkeiten der Daten. Dann sind technische Maßnahmen gefragt, um die Daten richtig zu behandeln. So steht über die Liste der E-Mail-Empfänger oft der mögliche Teilnehmerkreis fest. Das verringert den Grad an Anonymität, die sogenannte Anonymitätsmenge, den die Teilnehmenden besitzen. Zudem enthalten bei verschiedenen Anbietern von Umfragesystemen die E-Mails einen Link, der für jeden Teilnehmenden eindeutig ist. Eine Verknüpfung mit der Person ist dann über die Einladungs-E-Mail und den vom Umfragesystem angelegten Datenbank-Eintrag möglich. Als Gegenmaßnahme kann es sinnvoll sein, die E-Mails nach Versand zu löschen.
Achtung bei der Veröffentlichung und Aussagen über einzelne Personen
Aufpassen muss man bei solchen Umfragen, die im Ergebnis Aussagen über Personen ermöglichen und dann veröffentlicht werden. Zu Bewertungsportalen wie etwa „Spickmich“ ist die Rechtsprechung immer noch in Bewegung. Gerichte haben mit Blick auf die Meinungsfreiheit einerseits anerkannt, dass Bewertungen über Lehrer, Ärzte und andere Berufe im Zweifel auch gegen deren Willen öffentlich gemacht werden dürfen.
Andererseits müssen die Betreiber von solchen Umfragen unter Umständen darlegen, wie sie zu einem bestimmten Ergebnis gelangt sind. Oftmals müssen sie auch sicherstellen, dass keine Beleidigungen ausgesprochen und veröffentlicht werden. Nähere Informationen zu dieser Frage bietet der Artikel „Wann man für fremde Inhalte haftet – und wie man es verhindern kann“ auf iRights.info.
Checkliste: Umfragen für Webseiten-Betreiber
- Einfache Umfrage ohne sensitiven Inhalt? Datenschutzerklärung auf der Webseite ist ausreichend
- Sonst: Einwilligungserklärung zu Beginn der Umfrage und Bestätigung vor dem Absenden der Angaben
- Idealerweise: Möglichkeit zu Korrekturen am Ende
- Wenn möglich: Technische und organisatorische Maßnahmen ergreifen, um einem möglichen Personenbezug zu begegnen
- Bei Einladungen per E-Mail: Erwägen, ob versandte Mails gelöscht werden sollten.
Dieser Artikel steht unter der Creative-Commons-Lizenz Namensnennung 4.0 (CC BY).
Korrektur: In einer früheren Fassung dieses Beitrags wurde die Musterformulierung mit einer vorausgefüllten Checkbox versehen. Besser ist ein Bestätigungsbutton. Vielen Dank für den Hinweis.
10 Kommentare
1 Coudrier am 13. Februar, 2017 um 18:47
Hi Jan,
ich wollte eine Umfrage an Unternehmer senden.
Die Idee dahinter: Erfahren ob sie meine Businessidee gut finden.
Wäre das nun erlaubt oder auch für solche Mails wo man nichts (Keine Ware) verkaufen will nur mit double opt-in erlaubt?
Danke für ein evtl. feedback
Frderic
2 Jan Schallaböck am 13. Februar, 2017 um 21:25
Hallo, ohne genauere Kenntnis der Situation, kann ich die Frage natürlich nicht abschließend beantworten. Die unaufgeforderte Zusendung von E-Mails wird besonders unter dem Gesichtspunkt des Verstoßes gegen den unlauteren Wettbewerb diskutiert. Vielleicht trifft Sie das ja gar nicht. Nichtsdestotrotz ist es aber vielleicht empfehlenswert eher eine persönliche Ansprache, am besten nach erster Kontaktaufnahme auf anderem Wege zu wählen. Sonst ist der Rücklauf meist sehr überschaubar. Zusätzlich kann es sein, dass man die Ansprechpartner mit Massenverschickungen verärgert, was unabhängig von der rechtlichen Zu- oder Unzulässigkeit unschön ist – insbesondere wenn es sich um potentielle zukünftige Kunden handelt. Ich würde mich also fragen: Gibt es vielleicht Messen, Konferenzen oder andere Gelegenheiten, wo Sie mit den Menschen, die sie befragen wollen in Kontakt treten können? MfG Jan Schallaböck
3 Andreas am 10. August, 2017 um 11:25
Haben Sie schon mal von den “pre-ticked boxes” und ihrer Unzulässigkeit gehört?
4 Jan Schallaböck am 11. August, 2017 um 13:24
Vielen Dank, Andreas, für den Hinweis. Die Checkbox war in der Tat
korrekturbedürftig.
Man kann darüber diskutieren, ob eine bereits angewählte Checkbox
zulässig ist. Aus meiner Sicht wäre sie im Beispiel oben zwar zulässig,
aber nicht sinnvoll. Daher haben wir sie durch einen Button ersetzt.
Aber der Einwand gibt mir auch Gelegenheit für folgenden Hinweis:
Unzulässig ist eine vorausgefüllte Checkbox m.E. wohl nur dann,
wenn darüber eine Zustimmung zu einer Verwendung für zusätzliche
Verarbeitungszwecke eingeholt werden soll. Beispiel: Das Abonnement
eines kostenlosen Newsletters zusammem mit einem Online-Einkauf. Hier
bezieht sich der Einwilligungsbutton auf die erklärte Zustimmung zum
Kaufvertrag. Der Newsletterversand wäre jedoch ein zusätzlicher Zweck,
die Zustimmung freiwillig und unabhängig vom Vertragsabschluss. Daher
bedarf es einer getrennten Interaktion.
Bei dem hier dargestellten Fall geht es dagegen allein um die Zustimmung
zur Teilnahme an einer Umfage und zur dafür notwendigen
Datenverarbeitung. Die Einwilligung ergibt sich bereits eindeutig über
einen “Einverstanden”-Button. Eine weitere Checkbox ist hier überflüssig
und führt eher zu Irritationen, denn es ergibt keinen Sinn, auf
“Einverstanden” zu klicken, ohne das Häckchen zu setzen.
Es gibt natürlich noch zahlreiche weitere Möglichkeiten, um
Zustimmungserklärungen abzugeben. Das Gesetz ist hier technologisch offen.
5 Christian Kitte am 13. Oktober, 2017 um 19:23
Hallo Jan,
zunächst möchte ich ein Lob aussprechen. Aktuell habe ich lange nach einer Seite zu diesem Thema abseits der eher einseitigen Betrachtung in Richtung Werbemails und Massenmailing gesucht.
Kurz als Hintergrund:
Für eine Semesterarbeit möchte ich in meiner Stadt eine sehr kleine Umfrage machen. Es sollen nur drei, vier Fragen ohne persönliche Daten erhoben werden. Hierfür möchte ich eine der zahlreichen Seiten für Onlineumfragen nutzen, da diese auch IP Adressen etc. vor mir verbergen.
Ich habe mir überlegt, die möglichen (denke so an maximal 30 bis 50) Unternehmen persönlich und unter meinen eigenen Namen zunächst anzumailen und zu fragen, ob sie Lust hätten, mir ein paar Fragen zu beantworten und worum es geht. Gleichzeitig würde ich ihnen einen nicht personalisierten Link (zur Umfrage) mitsenden und anbieten, mich zu kontaktieren, sofern sie auch an den (ja annonymen) Daten interessiert sind.
Soweit ich die Materie durchdringe und Ihre Erörterungen gelesen habe, scheint mir dies Vorgehen durchaus möglich (und erlaubt) zu sein. Ich sehe (und vergleiche) es eher so, als wenn ich jedes Unternehmen einzelnd besuchen oder anrufen würde.
Für ein paar klärende Worte währe ich sehr dankbar. Ich denke, dass diese auch für andere Personen nützlich sein könnten.
Christian
6 Jan Schallaböck am 16. Oktober, 2017 um 14:55
Hallo, Christian,
grundsätzlich scheint mir das beschriebene Vorgehen durchaus möglich zu sein; allerdings kann ich, ohne die Details zu kennen, natürlich keine belastbare Aussage machen. Vielleicht noch ein paar kleinere Hinweise:
1. Zu Berücksichtigen ist, ob die Umfrage auf einem eigenen Server durchgeführt wird oder auf dem eines anderen Anbieters, dann könnte eine Auftragsdatenvereinbarung erforderlich sein.
2. Eine wirklich anonyme Umfrage ist nur sehr schwer zu erreichen – erst recht, wenn das Sample (also die Anzahl der Befragten) so klein und gleichzeitig bekannt ist. Es wird sich auch bei sehr abstrakten Fragen nur schwer vermeiden lassen, dass die Antworten nicht doch in Einzelfällen einzelnen Teilnehmenden zuzuordnen sein werden. Hinzu kommt, dass der Server – zumindest für einen kurzen Augenblick – die IP-Adressen speichert.
Das alles sollte aber nicht davon abschrecken, die Umfrage duchzuführen. Aber ich würde auf jeden Fall dazu raten, eine Einwilligungserkärung voranzustellen.
7 Christian Kitte am 19. Oktober, 2017 um 15:46
Hallo Jan,
vielen, vielen Dank für die ausführliche und hilfreiche Erörterung und Zuspruch.
Die Umfrage selbst werde ich wahrscheinlich mit “UmfrageOnline” durchführen. Dies ist natürlich nicht der eigene Server, jedoch unterstützt er auch Links, die man z.B. auf Twitter etc. plazieren könnte. Damit meine ich, dass sie nicht personalisiert sind, Die Teilnehmer einfach nur eine ID erhalten.
Was nach wie vor bleibt ist das Loggen der Nutzer auf deren Server, aber gilt dies schon als Auftragsverarbeitung? Der Umfragedienst hat ja keinerlei Kenntnis über die Teilnehmer (da ich selbst ja den Kontakt herstelle und auch keinen personalisierten Links verwende). Er bietet nur den Dienst an.
Ansonsten stimme ich Ihnen zu. Bei kleiner Basis und überschaubarer Anzahl an Fragen ist eine Annonymisierung schwer umzusetzen.
Mit Einverständniserklärung meinen Sie eine wie unter “Einwilligungserklärung für eine ausführliche Umfrage” auf Ihrer Seite angegeben, die man zum Fortfahren mit JA beantworten müsste?
Christian
8 Antje am 12. Juni, 2018 um 21:19
Hallo Jan,
auch ich habe lange nach einer Seite zu diesem Thema gesucht, und mich um so mehr über Deine Beiträge gefreut.
Wir planen für diesen Sommer eine online Umfrage in der Netzwerkdaten einzelner Personen (größtenteils Öffentlicher Dienst) erhoben werden. Es handelt sich um eine Umfrage mit sensitiven Inhalten. Entsprechend gibt es in der Einführung und am Ende der Umfrage eine Datenschutzerklärung und eine Einwilligungserklärung (inklusive Hinweis das die Antworten während der Umfrage korrigiert werden können).
Die Umfrageteilnehmer*innen werden im ersten Schritt durch die Pressestelle der Verwaltung und in darauf folgenden Schritten durch die Umfrageteilnehmer*innen selbst (respondents driven sampling) rekrutiert. Umfrageteilnehmer*innen, die sich am Ende der Umfrage bereiterklären andere Teilnehmer*innen zu rekrutieren, werden um Ihre Emailadresse gebeten damit wir ihnen (einmalig) die Zugangsinformationen für ihre Kontakte senden können. Die Emailadresse wird nach Abschluss der Umfrage (Ende 2018) gelöscht.
Im Rahmen der Umfrage werden die Namen der Befragten und die Namen derer Kontakte (Informationsaustausch zu einem spezifischen Ereignis) über EgoWeb 2.0 (installiert auf einem extra hierfür durch mich eingerichteten AWS Ubuntu 14.04 LTS Server) abgefragt. Die Daten selbst werden nach Abschluss der Umfrage (Ende 2018) pseudonymisiert und lokal auf einer Festplatte gespeichert. Die online Umfragedaten werden gleichzeitig gelöscht.
Nach eigenen Angaben hat AWS die GDPR – Voraussetzungen umgesetzt.
Das passt hoffentlich so?
Meine letzten Fragen betreffen den langfristigen Datenschutz und die Qualitätskontrolle.
Soweit ich weiss, müssen wir in der Lage sein die Daten zur Qualitätskontrolle zu entschlüsseln?
Zugang auf den Schlüssel habe zwar nur ich, trotzdem bleibt damit eine Brücke bestehen über die personenspezifische Daten abgerufen werden können. Kann eine derartige Qualitätskontrolle eingefordert werden, d.h. hat eine dritte Partei das Recht auf Auskunft über die organisatorische Zugehörigkeit oder gar die Namen der Umfrageteilnehmer*innen? Gekoppelt mit Netzwerkdaten können allein Informationen über die organisatorische Zugehörigkeit der Person, zur Identifizierung der Person (Namen) führen.
Daraus ergibt sich die zweite und dritte Frage:
Wenn ich mich nicht täusche, gehören die Daten (inklusive Zugangsschlüssel) der Forschungseinrichtung an der ich zum Zeitpunkt der Umfrage gearbeitet habe?
Wenn es jedoch keine*n zentrale*n Datenschutzbeauftragte*n gibt, an wen wenden sich die Umfrageteilnehmer*innen bzgl. der Löschung ihrer Daten, wenn ich nicht mehr an der Universität arbeite?
Über Feedback (gerne auch per Email) wäre ich Dir sehr dankbar.
Ganz liebe Grüße,
Antje
9 Bob Sala am 3. Dezember, 2018 um 13:47
Vielen Dank für die tollen Infos!
Ich bin gerade dabei eine Studie unter ausländischen Unternehmen vorzubereiten. Die Daten sollen im Anschluss veröffentlicht werden, natürlich nicht bezogen auf einzelne Firmen sondern auf die Durchschnittsergebnisse einer gewissen Gruppe von Unternehmen.
Im Rahmen der Befragung über eine selbstgehostete Webseite werden personenbezogenen Daten gesammelt, die zur Kontaktaufnahme mit den Ergebnissen im Nachgang dienen.
Die Unternehmen sind Partner von uns und wissen bescheid über alles. Ich will aber trotzdem die (im übrigen passwortgeschützte) Survey-Seite DSGVO konform im Netz haben.
Reicht zu Beginn der Umfrage eine Einverständniserklärung zu der komplett beschriebenen und definierten Nutzung der Daten oder muss ich noch etwas anderes beachten? Impressum, Datenschutz und co. sind korrekt angelegt. Lieben Dank
10 Valie Djordjevic am 3. Dezember, 2018 um 14:09
Leider können wir nicht im Einzelfall beraten, was genau Recht ist und was nicht. Dazu müssten Sie sich mit einem spezialisierten Anwalt zusammensetzen.
Was sagen Sie dazu?