Einleitung

Die Richtlinie zum Schutz persönlicher Daten enthält allgemeine Regeln zur Verarbeitung persönlicher Daten in der EU. Die Bestimmungen dieser Richtlinie wurden in der gesamten EU und im EWR in die nationale Gesetzgebung übernommen und werden von den einzelnen Mitgliedsstaaten umgesetzt.

Da sie die Instanz darstellen, die den Zweck und Nutzen von Umfragen, Panels und Communities definiert, gelten die Kunden von Questback im Sinne der Richtlinie als "Datenverantwortliche" und tragen daher die Verantwortung dafür, dass die Daten im Einklang mit der Richtlinie verarbeitet werden.

Dieses Dokument soll einen Überblick über die in der Richtlinie verankerten allgemeinen Pflichten des Datenverantwortlichen bieten. Es stellt keine umfassende Auflistung der Verpflichtungen des Datenverantwortlichen dar und deckt keine spezifischen nationalen Gesetze ab.

Definitionen

Die Definitionen der in diesem Dokument enthaltenen Begriffe entsprechen denen der Richtlinie:

Datensubjekt: eine identifizierte oder identifizierbare natürliche Person. Unter einer identifizierbaren Person versteht man jemanden, der direkt oder indirekt identifiziert werden kann, insbesondere mit Hilfe einer Identifikationsnummer oder mit Hilfe eines oder mehrerer Faktoren, die spezifisch für dessen physische, physiologische, geistige, wirtschaftliche, kulturelle oder soziale Identität sind. In der Praxis handelt es sich dabei um die Befragten, Panel-Teilnehmer und Mitglieder der Communities.

Persönliche Daten: sämtliche Informationen, die sich auf Datensubjekte beziehen.

Verarbeitung: ein Vorgang oder eine Reihe von Vorgängen, mit denen persönliche Daten bearbeitet werden. Dies kann automatisch oder nicht automatisch erfolgen. Beispiele sind die Erfassung, Protokollierung, Organisation, Speicherung, Adaptierung oder Änderung von Daten, deren Abruf, Zuhilfenahme, Nutzung oder Offenlegung durch Übertragung, Verbreitung oder sonstige Methoden, deren Abstimmung oder Kombination, deren Blockieren, Löschen oder Vernichtung. Die Verarbeitung darf ausschließlich im Einklang mit dem Zweck erfolgen.

Datenveranwortlicher: die natürliche oder Rechtsperson, öffentliche Autorität, Agentur oder sonstige Behörde, die allein oder in Zusammenarbeit mit anderen festlegt, zu welchem Zweck und mit welchen Mitteln persönliche Daten verarbeitet werden. Im Fall von Umfragen, die vom Kunden initiiert werden oder im Auftrag des Kunden durchgeführt werden, ist der Kunde gemäß der Richtlinie der Datenverantwortliche.

Verarbeiter: eine natürliche oder Rechtsperson, öffentliche Autorität, Agentur oder sonstige Behörde, die im Auftrag des Datenverantwortlichen persönliche Daten verarbeitet. Da Questbacks Software und Speichereinrichtungen zur Verarbeitung von Daten genutzt werden können, ist Questback der Verarbeiter für den Kunden, sofern dieser Software von Questback zur Verarbeitung persönlicher Daten nutzt.

Einverständnis der Datensubjekte

Im Rahmen der Richtlinie ist die Verarbeitung persönlicher Daten nur dann zulässig, wenn eine Reihe von Voraussetzungen erfüllt wird. Die erforderliche Voraussetzung zur Durchführung von Umfragen ist in den meisten Fällen das Einverständnis des Datensubjekts. Die Bedingungen für das Einverständnis werden weiter unten ausgeführt.

Wenn das Einverständnis erteilt wurde, dürfen die persönlichen Daten im Einklang mit den Bestimmungen der Richtlinie verarbeitet werden. Dieser Überblick stellt keine Auflistung dieser Bestimmungen dar.

Der Datenverantwortliche muss das Einverständnis des Datensubjekts einholen, bevor er damit beginnt, persönliche Daten zu verarbeiten. Im Folgenden werden die Bedingungen für das Einverständnis näher ausgeführt.

Das Einverständnis kann nur unter den folgenden Voraussetzungen erteilt werden:

  • Freiwillig: Die Zustimmung muss freiwillig erteilt werden. Es darf keinerlei Druck ausgeübt werden oder Überzeugungsarbeit erfolgen. Darüber hinaus muss das Datensubjekt die Möglichkeit haben, sein Einverständnis jederzeit zu widerrufen.
  • Spezifisch: Die Zustimmung des Datensubjekts muss spezifisch sein. Das heißt, das Datensubjekt muss die Verarbeitung seiner Daten aktiv und positiv genehmigen.
  • Bewusst: Die Zustimmung darf erst erfolgen, nachdem dem Datensubjekt die im Folgenden beschriebenen Informationen zur Verfügung gestellt wurden.
  • Unmissverständlich: Die erteilte Zustimmung muss sich eindeutig auf die Bestimmungen und Daten beziehen, die in den Informationen enthalten sind, sodass keinerlei Zweifel bestehen, worauf sich das Einverständnis bezieht.

Die Informationen müssen die folgenden Voraussetzungen erfüllen:

  • Sie müssen spätestens zum Zeitpunkt der Datenerfassung zur Verfügung gestellt werden: Wenn die Daten mittels einer Umfrage erfasst werden, bedeutet das, dass die Information zu Beginn der Umfrage erfolgt, bevor jegliche Daten übermittelt werden.
  • Falls es sich bei den persönlichen Daten um eine E-Mail-Adresse oder Telefonnummer handelt, die bereits vor Beginn der Umfrage erfasst wurde, sollten die Informationen bereits zum Zeitpunkt der Erfassung zur Verfügung gestellt worden sein, müssen aber spätestens zu Beginn der Umfrage abermals bereitgestellt werden.
  • Sie müssen klarstellen, welche Informationen verarbeitet werden sollen: Im Fall von Umfragen, Communities und Panels handelt es sich bei den erfassten Daten häufig um jene, die vom Datensubjekt selbst zur Verfügung gestellt werden. Sollen zusätzliche Daten erfasst werden, muss festgehalten werden, um welche Art von Daten es sich handelt und aus welcher Quelle diese stammen.
  • Sie müssen die Identität des Datenverantwortlichen und seiner Vertreter umfassen: Zur Identität zählen der offizielle Name und die Anschrift. Außerdem muss das Datensubjekt erfahren, wer die Datenverarbeiter sind (in diesem Fall Questback).
  • Es muss angegeben werden, zu welchem Zweck die Daten verarbeitet werden sollen: Einer der wichtigsten Punkte der Richtlinie zum Schutz persönlicher Daten lautet, dass der Datenverantwortliche die Daten zu keinem anderen Zweck verarbeiten darf, als zu dem, für den ausdrücklich die Zustimmung erteilt wurde. Deshalb ist es wichtig, dass der Zweck der Datenverarbeitung ausreichend detailliert beschrieben wird. Der Zweck muss genau und ausdrücklich angeführt werden und rechtmäßig sein.
  • Des weiteren sollte nicht außer Acht gelassen werden, dass die Richtlinie jegliche Nutzung von Daten verbietet, die nicht dem in den Informationen angegebenen Zweck entspricht. Wenn die Daten zu einem neuen oder einem vom ursprünglichen Zweck abweichenden Zweck verarbeitet werden sollen, muss erneut das Einverständnis dazu erteilt werden. Sollte der Datenverantwortliche vorhaben, die persönlichen Daten nach dem Ende der Umfrage zu behalten, muss dies ebenfalls in der Beschreibung des Zwecks festgehalten werden.
  • Die Informationen müssen klarstellen, ob Daten an Dritte weitergegeben werden sollen, und wenn ja, an welche: In diesem Abschnitt muss auch erklärt werden, dass ein Datenverarbeiter zum Einsatz kommen wird.
  • Sie müssen beinhalten, dass Daten freiwillig zur Verfügung gestellt werden: Die Bereitstellung sämtlicher Daten erfolgt auf freiwilliger Basis und die Informationen müssen die Datensubjekte klar und deutlich darüber in Kenntnis setzen.
  • Sie müssen weitere relevante Informationen enthalten, die es den Datensubjekten ermöglichen, ihre Rechte wahrzunehmen: Das Datensubjekt muss dazu berechtigt sein, sich über die Daten zu informieren, die über das Datensubjekt gespeichert wurden. In manchen Fällen muss es ihm auch möglich sein, auf die Daten zuzugreifen, um diese zu korrigieren und zu löschen. Damit dieses Recht wahrgenommen werden kann, muss der Datenverantwortliche auf die Möglichkeiten hinweisen. Der Datenverantwortliche muss diese Informationen unter Berücksichtigung der besonderen Umstände der jeweiligen Umfrage, des jeweiligen Panels oder der jeweiligen Community zur Verfügung stellen.
  • Es wird empfohlen, zu erwähnen, das die Daten nach Erfüllung ihres Zwecks gelöscht werden und dass der Datenverantwortliche gegebenenfalls fehlerhafte Daten korrigieren wird.
  • Die Informationen müssen über den Datentransfer in Kenntnis setzen: Dem Datensubjekt muss klar sein, dass die Daten weitergeleitet werden. Questback speichert keinerlei Daten außerhalb der EU und des EWR, es sei denn, dies wird mit dem Kunden vereinbart.