Aktuelle Rechtsfragen aus der Marktforschungspraxis Marktforschung und Datenschutzrecht

Dr. Ralf Tscherwinka (Dr. Hönig Rechtsanwälte)

Von Dr. Ralf Tscherwinka

Einführung und Ausblick

Datenschutzrecht betrachten viele als lästiges Übel, Störfaktor oder Bremsklotz und vor allem als weitere Plattform für Juristen, einfache Dinge kompliziert und teuer zu machen. Andere sehen in einer immer vernetzteren Welt die Schutzbedürftigkeit der Privatsphäre als Bringschuld für Kunden und Mitarbeiter, aber auch als bisher unterschätzte unternehmerische Herausforderung, ja sogar als Imagefaktor und wesentlichen Bestandteil für ein seriöses unternehmerisches Gesamtkonzept. Wie man es auch dreht und wendet: Datenschutzrecht gilt! Verstöße können zu Unterlassungs- und Schadensersatzansprüchen, zu Verurteilungen wegen Ordnungswidrigkeiten oder Strafdelikten führen - von öffentlichen (Vor-) Verurteilungen ganz zu schweigen. Die Marktforschung ist von datenschutzrechtlichen Bestimmungen in ganz besonderer Weise betroffen. Marktforschung und Datenschutzrecht wachsen intensiv zusammen.

Daher beginnt heute eine monatliche Folge von Kolumnen zum Datenschutzrecht, in denen wir aktuelle und wesentliche Fragen zu Datenschutzrecht und Marktforschung erörtern. Die Leserinnen und Leser sind eingeladen, die jeweiligen Themen zu diskutieren. Heute beginnen wir mit einem Überblick und einer Einführung in die wesentlichen gesetzlichen Bestimmungen des deutschen Datenschutzrechts.

1. Die hessischen Leserinnen und Leser dieser Kolumne können mit Genugtuung darauf hinweisen: In Hessen gab es im Jahr 1970 das weltweit erste Datenschutzgesetz überhaupt. Das Bundesdatenschutzgesetz (BDSG) trat am 01. Januar 1979 in Kraft; es wurde und wird vielfach novelliert. Im September 2009 folgte eine Novelle, in der § 30 a BDSG eingeführt wurde: die Rechtsnorm zum geschäftsmäßigen Verarbeiten von Daten zu Zwecken der Markt- und Meinungsforschung.

Das deutsche Datenschutzrecht wird vom Europarecht überlagert; die Novelle des BDSG aus dem Jahr 2001 diente der Umsetzung der Europäischen Richtlinie "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (EU-Richtlinie 95/46/EG). In einer aktuellen Entscheidung vom 24. November 2011 (Az.: C 468/10 und C 469/10) hat der Europäische Gerichtshof (EuGH) im Sinne der Vollharmonisierung entschieden, dass der nationale Gesetzgeber nicht nur die Pflicht zur Mindestharmonisierung, sondern zur "grundsätzlich umfassenden Harmonisierung" zu beachten hat, wonach die Mitgliedstaaten nach Artikel 5 der RL 95/46/EG keine zusätzlichen Grundsätze im Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten über die Europäische Richtlinie hinaus einführen dürfen.

Im Januar 2012 stellte die Europäische Union die EU- Datenschutz-Verordnung vor, die voraussichtlich 2016 in Kraft tritt, gleichwohl in der Öffentlichkeit und der Fachliteratur bereits heftig diskutiert wird, stellt sie doch die wesentlichen Grundpfeiler des zukünftigen Datenschutzrechts und der datenschutzrechtlichen Diskussion in den kommenden Jahren dar. Als Verordnung wirken Bestimmungen im nationalen Recht unmittelbar und zwingend, sie bedürfen nicht, wie Richtlinien, der ausdrücklichen Umsetzung des nationalen Gesetzgebers. Wir werden deshalb in der folgenden Kolumne darstellen, was uns die neue EU-Grundlagen-Datenschutzverordnung voraussichtlich bringen wird.

Höchst komplex sind die Bestimmungen zum Datentransfer vom oder ins Ausland. Das deutsche Datenschutzrecht findet keine Anwendung, sofern eine in einem anderen EU-Mitgliedstaat belegene verantwortliche Stelle personenbezogene Daten innerhalb der Bundesrepublik Deutschland erhebt, verarbeitet oder nutzt (Privileg der Europäischen Mitgliedstaaten). Selbstverständlich findet das BDSG bei einem rein innerdeutschen Datenverarbeitungssachverhalt Anwendung. Es findet darüber hinaus auch dann Anwendung, wenn eine verantwortliche Stelle nicht in einem Mitgliedstaat der EU belegen ist und personenbezogene Daten innerhalb Deutschlands verarbeitet werden (§ 1 Abs. 5 Satz 2 BDSG). In diesen Fällen bedarf es einer zweistufigen Prüfung: Zunächst müssen die gemäß § 4 BDSG erforderlichen Zulässigkeitsvoraussetzungen für eine Datenübermittlung vorliegen, zum anderen muss geprüft werden, ob im nicht-europäischen Ausland ein angemessenes Datenschutzniveau gewährleistet wird (§§ 4 b, 4 c BDSG). Im Einzelfall ist dann zu prüfen, ob sogenannte Safe-Harbor-Regelungen, Binding Corporate Rules oder die Standardvertragsklauseln der EU-Kommission (Artikel 25, 26 EU-Richtlinie 95/46/EG) helfen. Das Oberlandesgericht Hamburg bejaht die Anwendbarkeit des BDSG auch dann, wenn die Forenbeiträge eines Internet-Forums zwar ausschließlich auf Servern gespeichert sind, die sich außerhalb der EU befinden, sie aber in der Bundesrepublik abgerufen werden können und sollen. Nach Ansicht des OLG Hamburg findet allein dadurch eine Datenverarbeitung in Deutschland statt, dass personenbezogene Daten von einer Webseite in Deutschland abgerufen werden können.

2. Zweck des BDSG ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Im berühmten Volkszählungsurteil (Bver-fGE 65, 1) hat das Bundesverfassungsgericht die "Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen" festgeschrieben. Grundprinzip des Datenschutzrechts ist das sogenannte "Verbot mit Erlaubnisvorbehalt": Alles was nicht ausdrücklich erlaubt ist, ist verboten. Das Datenschutzrecht stellt somit das Prinzip der Vertragsfreiheit auf den Kopf.

Gemäß § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Erlaubnistatbestände sind entweder eine Einwilligung (die wir unten besprechen), sogenannte "andere Rechtsvorschriften" (dies können Betriebsvereinbarungen mit dem Betriebsrat sein) und gesetzliche Erlaubnisnormen; hierzu zählt auch § 30 a BDSG.

Das BDSG enthält recht übersichtlich gegliederte 48 Bestimmungen. Allgemeine und gemeinsame Bestimmungen finden sich in den §§ 1 bis 11 BDSG; hier geht es z.B. darum, was personenbezogene Daten sind, was eine "verantwortliche Stelle" ist, ferner um Begriffsdefinitionen datenschutzrechtlicher Grundsätze wie Direkterhebung, Datenvermeidung sowie Datensparsamkeit, Einzelheiten zur Einwilligung, über Rechte der Betroffenen und Bestimmungen zur Auftragsdatenverarbeitung. Die §§ 12 bis 26 BDSG gelten für die Datenverarbeitung der öffentlichen Stellen, während für nicht-öffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen die §§ 27 bis 38 a BDSG Anwendung finden. Die Rechtsgrundlagen für die Datenverarbeitung nicht-öffentlicher Stellen einschließlich gesetzlicher Erlaubnisnormen finden sich in den §§ 27 bis 32 BDSG, darauf folgen die Rechte der Betroffenen (§§ 33 bis 35 BDSG) und Bestimmungen zur Aufsichtsbehörde und zur Co-Regulierung (§§ 38, 38 a BDSG). Wichtig sind auch die gesetzlichen Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten (data breach notification) gemäß § 42 a BDSG. Von besonderer und zunehmender Bedeutung sind die strengen Buß- und Strafvorschriften der §§ 43, 44 BDSG.

3. Die besondere Verzahnung zwischen Datenschutz und Marktforschung zeigt sich nicht zuletzt in der gesetzlichen Verpflichtung für Markt- und Meinungsforschungsunternehmen, Datenschutzbeauftragte zu bestellen. Während das BDSG die Verpflichtung zur Bestellung von Beauftragten für den Datenschutz grundsätzlich davon abhängig macht, wie viele Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist in § 4 f Abs. 1 Satz 6 BDSG die Markt- und Meinungsforschung ausdrücklich als nicht-öffentliche Stelle genannt, die "unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen" hat. In der kommenden EU-Datenschutz-Grundverordnung findet sich derzeit (noch) keine Parallelregelung für die Markt- und Meinungsforschung; gleichwohl ist es für Marktforschungsunternehmen angesichts umfassender Compliance-Pflichten unabdingbar, auch ohne ausdrückliche gesetzliche Verpflichtung einen Datenschutzbeauftragten zu bestellen und damit die rechtlichen Risiken datenschutzrelevanter Marktforschungstätigkeit soweit wie möglich zu reduzieren.

4. Die Einwilligung ist eine Zulässigkeitsvoraussetzung für die Datenverarbeitung gemäß § 4 Abs. 1 BDSG und bedarf gemäß § 4 a BDSG zahlreicher Voraussetzungen, nämlich insbesondere der freien Entscheidung des Betroffenen, der konkreten Zweckdefinition für die Datenverarbeitung, der umfassenden Information des Betroffenen und in der Regel der Schriftform (für telefonische Marktforschungsstudien ist grundsätzlich die mündliche Einwilligung ausreichend). Die informierte Einwilligung setzt Informationen über den Zweck der Datenerhebung, die tatsächlich betroffenen Daten, den zugriffsberechtigten Personenkreis und die möglichen Empfänger der Daten voraus. Die Einwilligung muss vorab erteilt werden und sie muss freiwillig sein (die derzeit herrschende Auffassung ist der Meinung, dass im Arbeitsverhältnis Freiwilligkeit ausscheidet; die EU-Grundlagenverordnung lehnt Freiwilligkeit im Über-/Unterordnungsverhältnis, insbesondere in Anstellungsverhältnissen ab). Einwilligungen sind jederzeit frei widerruflich und daher nur von beschränktem Nutzen. Sie müssen darüber hinaus, soweit schriftlich formuliert, den AGB-rechtlichen Anforderungen und der §§ 305 ff. BGB genügen.

5. Viele Fragen sind noch nicht abschließend geklärt. Das beginnt bereits bei der Definition personenbezogener Daten, bei denen es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) handelt, § 3 Abs. 1 BDSG. Anerkannte Beispiele sind Name, Ausweisnummer, Versicherungsnummer, Telefonnummer, Anschrift, Beruf, persönliche Eigenschaften, Aussehen, Gesundheit, vertragliche Beziehungen, Verfahrensdaten, Geodaten und ähnliches. Daten zur Erstellung sogenannter Random-Stichproben können mit vertretbarem Aufwand mit automatisiert abgespeichertem Adressverzeichnis (etwa Telefonbuch) abgeglichen werden und sind daher in der Regel als personenbezogene Daten zu betrachten (vergleiche Gola / Schomerus, Bundesdatenschutzgesetz, Kommentar, 10. Auflage, § 3).

Während die Theorie des absoluten Personenbezugs bereits dann von Personenbezogenheit ausgeht, sobald auch nur eine Stelle über das zur Identifikation erforderliche Zusatzwissen verfügt (wofür aufgrund des technischen Fortschritts und der Verzahnung der Nutzungsinteressen vieles spricht), lässt die Theorie des relativen Personenbezugs nur die Stelle gelten, die selbst über das zur Identifikation erforderliche Zusatzwissen verfügt. In diesem Sinne hat erst unlängst der britische High Court entschieden, dass die Personenbezogenheit variieren kann; je nachdem, ob die Personenbezogenheit von einem Verantwortlichen oder einem Dritten hergestellt werden kann und wer die Daten verarbeitet (UK High Court zur Definition personenbezogener Daten, Entscheidung 2011, ACD 97, 2011, EWHC 1430 (Admin 2011 MEDLR 363)). Die Entscheidung des High Court erging auf der Grundlage des dortigen Data Protection Acts 1998, der wie das BDSG der Umsetzung der Europäischen Datenschutz-Richtlinie 96/45/EG dient.
 
Umstritten ist z.B. auch die Qualifizierung von IP-Adressen: Statische IP-Adressen sind unstreitig personenbezogene Daten, bei dynamischen neigt wohl die Mehrheitsauffassung ebenfalls zur Annahme eines personenbezogenen Datums.

Für die relative Theorie zum Personenbezug spricht § 3 Abs. 6 BDSG. Demnach ist das Anonymisieren personenbezogener Daten das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die bloß getrennte Speicherung innerhalb der selben rechtlichen Einheit stellt allenfalls eine Pseudonymisierung dar. Nutzungsprofile dürfen im übrigen nur bei Verwendung von Pseudonymen (zur Pseudonymisierung siehe § 3 Abs. 6 a BDS) erstellt werden.

Gemäß § 4 Abs. 2 BDSG gilt der Grundsatz der Direkterhebung, personenbezogene Daten sind beim Betroffenen selbst zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt (also eine Einwilligung oder eine Erlaubnisnorm gemäß § 4 BDSG vorliegt), § 4 Abs. 2 BDSG.

Für die Marktforschung ist der Grundsatz der Datenvermeidung und Datensparsamkeit gemäß § 3 a BDSG unbedingt zu beachten, ebenso wie das Datengeheimnis gemäß § 5 BDSG. Die Beschäftigten sind gemäß § 5 Satz 2 BDSG durch ein Merkblatt förmlich zu verpflichten; zahlreiche Auftraggeber von Marktforschungsstudien verlangen von ihren Auftragnehmern im Marktforschungsbereich eine entsprechende Bestätigung.

6. Mit der Novelle 2009 wurde § 30 a BDSG eingefügt und stellt nach ganz herrschender Auffassung eine gesetzliche Erlaubnisnorm im Sinne von § 4 Abs. 1 BDSG dar. Demnach ist das geschäftsmäßige Erheben, Verarbeiten oder Nutzen personenbezogener Daten für Zwecke der Markt- oder Meinungsforschung zulässig, wenn (1) kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung hat oder (2) die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen durfte und das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung gegenüber dem Interesse der verantwortlichen Stelle nicht offensichtlich überwiegt. Neben § 30 a BDSG bleibt § 28 BDSG anwendbar, wenn für die Markt- und Meinungsforschung personenbezogenes Datenmaterial verwendet wird, das bei der verantwortlichen Stelle ursprünglich für einen anderen Zweck erhoben wurde und aus diesem Grund dort vorliegt. Wenn von Anfang an die Weitergabe von Daten bzw. die Verwendung zu Markt- und Meinungsforschung beabsichtigt ist, ist § 30 a BDSG anzuwenden; lag diese Absicht nicht von Anfang an vor, kommt in der Regel § 28 BDSG zur Anwendung.

Der Gesetzgeber hat § 30 a BDSG eingefügt, um den Besonderheiten der Markt- und Meinungsforschung gegenüber der Werbung Rechnung zu tragen. Anders sieht es die Rechtsprechung: Wo Marktforscher Marktforschung sehen, sehen Gerichte, insbesondere bei Kundenzufriedenheitsstudien, Werbung. Wenn Verbrauchergewohnheiten abgefragt werden, die im Zusammenhang mit Produkten oder Dienstleistungen des Auftraggebers stehen, handle es sich in der Regel um Werbung statt um Marktforschung (OLG Köln, 12. Dezember 2008, MMR 2009, 267, 268; OLG Stuttgart, 17. Januar 2001, GRUR 2002, 457, 458; OLG München, 06. April 1995, NJWE Wettbewerbsrecht 1996, 12). Umfragen zu Meinungsforschungszwecken im Auftrag, die als Instrumente der Absatzförderung eingesetzt werden können, also bei Verbrauchergewohnheitsabfragen, seien Werbung (so auch Hefermehl / Köhler / Bornkamm, Gesetz gegen den unlauteren Wettbewerb, Kommentar, UWG, § 7, Rdnr. 131). Damit wird im Ergebnis der Anwendungsbereich von § 30 a BDSG ausgehebelt: Denn wenn es sich gar nicht um Marktforschung handelt, liegt eine Tatbestandsvoraussetzung für § 30 a BDSG (Marktforschung) nicht erst vor. Auch das Oberlandesgericht Köln hat in zwei Entscheidungen telefonische Kundenzufriedenheitsstudien ohne vorherige Einwilligung der angerufenen Person als Werbung angesehen und derartige Anrufe untersagt (OLG Köln vom 12. Dezember 2008, Az.: 6 U 41/08, OLG Köln vom 30. März 2012, Az.: 6 U 191/11). Das Amtsgericht Berlin-Mitte hat in einer Entscheidung vom 21. Juni 2011 (Az.: 5 C 1003/11) die einstweilige Verfügung gegen Anrufe im Zusammenhang mit demoskopischen Wahltrends abgewiesen und derartige Anrufe für zulässig erklärt. Die Rechtsprechung tendiert offenbar dazu, zwischen Umfragen zu aktuellen gesellschaftspolitischen Themen (sozialwissenschaftlichen und politischen Themen) einerseits und anderen Marktforschungsumfragen andererseits zu unterscheiden; bei ersteren sieht sie keine Werbung (und wohl eher die Anwendbarkeit von § 30 a BDSG), in den anderen Fällen bedauerlicherweise sehr wohl.

Im Zusammenhang mit § 30 a BDSG ist hier noch § 11 BDSG (Auftragsdatenverarbeitung) anzusprechen. Wir werden die Auftragsdatenverarbeitung gemäß § 11 BDSG in einer gesonderten Kolumne im Einzelnen ausführlich (voraussichtlich noch im III. Quartal 2012) erörtern. § 11 BDSG stellt eine Privilegierung des Auftragnehmers dar, der rechtlich nicht als Dritter, sondern als verlängerter Arm des Auftraggebers betrachtet wird (§ 11 BDSG in Verbindung mit § 3 Abs. 8 Satz 3 BDSG). § 11 Abs. 2 BDSG normiert in einem 10-Punkte-Katalog Mindestanforderungen an Datenverarbeitungsverträge, die schriftlich festgelegt werden müssen (§ 11 Abs. 2 Satz 2 BDSG). § 11 BDSG Verträge enthalten erhebliche Verpflichtungen zu Lasten des Auftragnehmers, die zu kosten- und zeitrelevanten Kontrollen des Auftraggebers führen. Das Auftragsverhältnis nach § 11 BDSG muss so ausgestaltet sein, dass die beauftragte Stelle nur eine Unterstützungsfunktion hat. Geht die Tätigkeit von Auftragnehmern darüber hinaus und führen sie Aufgaben für den Auftraggeber unter Verwendung personenbezogener Daten weisungsunabhängig durch, kann es sich um eine sogenannte Funktionsübertragung handeln, die nicht mehr in den Anwendungsbereich von § 11 BDSG fällt. Hilfreich für die grundsätzliche Zulässigkeit von § 11 BDSG Verträgen bei Marktforschungs-Unterbeauftragungen ist die Bekanntmachung des Innenministeriums Baden-Württemberg, Hinweise für Datenschutz für die private Wirtschaft, Nr. 37 vom 11. Januar 1999. Da § 30 a BDSG eine gesetzliche Erlaubnisnorm ist, ist der Rückgriff auf § 11 BDSG eigentlich überflüssig. Allerdings ist in Rechtsprechung und Kommentarliteratur "noch nicht abschließend geklärt, ob der neue § 30 a BDSG eine eigenständige Auftragsgrundlage darstellt, die gegebenenfalls ein Vorgehen nach § 11 BDSG entbehrlich macht" (Gola / Schomerus, BDSG, § 11, Rdnr. 9 mit Nachweisen). Es ist paradox: Seit Einführung des § 30 a BDSG sind offenbar viele Unternehmen "aufgewacht" und bestehen auf dem Abschluss von § 11 BDSG Verträgen, obwohl § 30 a BDSG die Chance einer eigenständigen, marktforschungsspezifischen Rechtsgrundlage gibt. Nach dem Motto lieber etwas mehr als etwas zu wenig, will man offenbar auf Nummer sicher gehen. Hier liegt noch erhebliche Überzeugungsarbeit vor den Marktforschungsinstituten und ihren Vertretern.

7. Eine besondere Herausforderung für die Marktforschung stellen die Sozialen Medien, nicht-reaktive Erhebungsmethoden und insbesondere Profiling und Behavioural Advertising dar. Zu den damit verbundenen datenschutzrechtlichen und telemedienrechtlichen Problemen, zur Definition und Abgrenzung von Bestands-, Nutzungs- und Inhaltsdaten, zur pseudonymen Möglichkeit der Erstellung von Nutzungsprofilen, zu Apps, Cookies etc. werden wir noch im III. Quartal 2012 in einer gesonderten Kolumne ausführlich Stellung nehmen.