DSGVO - Was darf man eigentlich noch? Teil 1

26. April 2019

Interview mit der praemandatum GmbH

Im Mai 2018 veränderte sich für Firmen, Vereine, Stiftungen, Kultureinrichtungen aller Art und natürlich auch für Privatpersonen – also für ALLE – der Umgang mit Personendaten. Die DSGVO und sämtliche daraus resultierende Regeln gab es natürlich nicht erst seit diesem Zeitpunkt, aber seither können hohe Bußgelder verhängt werden. Es stehen sich aktuell eine vielfältig nutzbare Technik durch u.a. Maschinelles Lernen in der Besucherforschung und die Sorge bei der Verarbeitung von Personendaten Fehler zu machen und einer resultierenden Zurückhaltung gegenüber. Mit Peter Leppelt und Dr. Michael Koch der praemandatum GmbH, die sich bereits seit 2007 mit dem Thema beschäftigt, habe ich grundlegende Fragen zur Besucher-/Nutzerforschung besprochen. Herausgekommen ist ein kurzer Leitfaden für vor allem kleinere Kultureinrichtungen. 

 

Wer sind unsere Besucher? 

In der Besucherforschung gibt es Minimalstandards, die praktisch an allen Kulturorten durchgeführt werden. Hierzu gehört die Abfrage der Postleitzahl des Wohnortes, der anonym erhoben wird, ebenso wie eine Besuchszählung über die Registrierung der verkauften Tickets hinaus. 

Beim Umgang mit personenbezogenen Daten gibt es zwei grundlegende Begriffe, die wir zu Beginn klären müssen. 

„Als Pseudonymisierung bezeichnet man „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ (Art. 4 Nr. 5 DSGVO)

Anonymisiert sind hingegen „[…]Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“ (DSGVO-Erwägungsgrund 26, S. 5)

Bei Besucherbefragungen jeglicher Art ist es sinnvoll, vor der Durchführung einen Erklärungstext im Sinne einer Datenschutz-Folgeabschätzung zu qualitativem und quantitativem Umfang der Befragung, Zweck und Auswertungszielen zu verfassen, der auch an Dritte gegeben werden kann. In der Befragung müssen die Befragten über den Zweck, die Auswertungsziele und die Freiwilligkeit aller Angaben informiert werden. Der Befragungszweck und die Auswertungsziele sind auch im Nachhinein bindend, anonymisierte Daten können jedoch aus weiteren Blickwinkeln interpretiert werden. Für die Nutzung von z.B. Maschinellem Lernen für die Datenanalyse gibt es aktuell nur unzureichende rechtliche Vorgaben. Im Datenschutzrecht gilt vielmehr das selbstauferlegte Motto „Privacy by Design“ (Datenschutz durch Technikgestaltung), das im krassen Gegensatz zu dem Kontrollverlust beim Einsatz von Algorithmen steht. Eine Abfrage der Nationalität oder des kulturellen/religiösen Hintergrunds unterliegt strengeren Voraussetzungen, ist aber legitim, soweit es im Rahmen der freiwilligen Angaben geschieht. Die Selbstauskunft von Kindern unter 16 Jahren ist ohne die Einbeziehung der Erziehungsberechtigten nicht erlaubt. 

 

Nächste Woche folgt Teil 2...

Das Interview führte
Dr. Tabea Golgath
Projektleitung LINK