"Privacy" um personenbezogene Daten zu schützen

Das Thema Privacy hat im Verlauf der Jahre eine umfassende Entwicklung erfahren, sowohl bezüglich der begrifflichen Bedeutung als auch im Hinblick auf den Gegenstandsbereich, wie er vom Gesetz geregelt wird.

Ursprünglich bezieht sich der Begriff Privacy auf "das Recht, alleine gelassen zu werden", "the right to be alone". Im Zuge der technologischen Entwicklungen des 21. Jahrhunderts und den damit verknüpften Möglichkeiten, in die Privatsphäre des Individuums einzudringen, verändert sich die Bedeutung und der Begriff wird Teil des alltäglichen Sprachgebrauchs – des öfteren jedoch ohne klare Kenntnis der eigentlichen Bedeutung.

In der heutigen, hoch technologisierten Welt ist das sogenannte Recht auf Privacy nicht mehr gleichbedeutend mit dem Recht darauf, das eigene Privatleben vor anderen Personen zu schützen. Privacy bedeutet vielmehr: Kontrolle über die Informationen zur eigenen Person zu haben.
Diese Definition soll als Ausgangspunkt dafür dienen, die Tätigkeiten von apollis – als Institut für Sozialforschung und Demoskopie besser zu beschreiben.

Aufgrund einer Vermischung der Begrifflichkeiten werden die Sozialforschung mit sozio-politischer oder demoskopischer Ausrichtung sowie die Marktforschung leider öfters mit dem Telefonmarketing gleichgesetzt.

Die Vermischung in diesem Sektor hat durch den Gesetzgeber selbst eine Zuspitzung erfahren, der im Privacy-Gesetz L. 675/1996 und im nachfolgenden Legislativdekret Nr. 196/2003 unter der Bezeichnung "Markforschungen" die Tätigkeiten der Marktforschung und das Direktmarketing gleichstellt. Dadurch werden fälschlicherweise Studien zu Forschungszwecken, die sich nicht auf persönliche Daten oder Verhaltensweisen einzelnen Individuen beziehen, mit Aktivitäten des Direktmarketings gleichgestellt, die sich auf namentlich zu erfassende Personen beziehen.

Was unterscheidet Forschung von Marketingaktivität?

Der Unterschied liegt in der Zielsetzung: Forschung studiert ein (soziales) Phänomen und will Erkenntnisse erlangen, zu diesem Zweck werden telefonische Interviewfragen gestellt; Marketingaktivität hingegen zielt auf den Verkauf eines Produktes oder einer Dienstleistung.

Im Bereich der Forschung bedeutet Privacy an erster Stelle, dass ein bestimmter Datenschutzkodex respektiert werden muss, der die wissenschaftlichen Tätigkeiten in diesem Sektor regelt und vom Garanten anerkannt ist. Es handelt sich um den Anhang A.4 – Deontologie- und Verhaltenskodex für die Verarbeitung personenbezogener Daten zu statistischen und wissenschaftlichen Zwecken ("Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici"; Provvedimento del Garante n. 2 del 16 giugno 2004, Gazzetta Ufficiale 14 agosto 2004, n. 190), der eine erste soziale Anerkennung des realen Status der Sozialforschung und der Marktforschung darstellt.

Demoskopische Untersuchungen zielen darauf, das Verhalten, die Meinungen, Bedürfnisse und Motivationen von Individuen im Bereich ihrer täglichen Aktivitäten zu messen, seien diese wirtschaftlicher, sozialer oder politischer Natur. Dafür werden wissenschaftliche Methoden angewandt, die Daten auf standardisierte Weise klassifizieren. Nur Befragungen dieser Art sind von statistischem Wert. Andere Typen von Forschungen stellen in keiner Weise sicher, dass die Repräsentativität bezüglich der betrachteten Population gewährleistet ist.

Für eine demoskopische Erhebung oder Marktforschung ist es absolut nicht notwendig, dass die interviewte Person identifizierbar ist. Die personenbezogenen Daten werden nur erhoben, um eine Kontrolle über die Qualität der Erhebung (Stichprobe) durchführen zu können. Sie werden am Ende der Befragung vernichtet, die statistischen Ergebnisse liegen in Form von anonymen Daten vor.

Diesen Forschungen mit (wissenschaftlichem) Erkenntniszweck wird eine soziale Nützlichkeit zuerkannt. Daher wird der Datenschutzkodex für die Statistik und wissenschaftliche Forschung angewandt, der vom Garanten und anderen Vertretern der wissenschaftlichen Community offiziell anerkannt ist.

Wie werden die Daten von apollis verarbeitet?

Persönliche Informationen der interviewten Personen werden von apollis – Institut für Sozialforschung und Demoskopie gemäß den Verordnungen des Datenschutzkodexes (Legislativdekret vom 30. Juni 2003, Nr. 196) behandelt. Personenbezogene Daten wie z.B. Name, Nachname und Telefonnummer der Interviewten werden gespeichert, weil dies notwendig ist, um die telefonischen Interviews mittels Fragebogen durchführen zu können (z.B. werden die Befragungspersonen kontaktiert, um einen Termin für das Interview zu vereinbaren).

Diese personenbezogenen Daten sowie die im Rahmen der Befragungen erhobenen Informationen dürfen ausschließlich für Zwecke verwendet werden, die den Interviewten mitgeteilt werden: für ein bestimmtes Forschungsprojekt, für das sie in anonymisierter Form ausgewertet werden. Die Aufbereitung der Forschungsergebnisse lässt keinerlei Rückschluss auf einzelne befragte Personen zu. Die erhobenen Daten und Informationen dürfen auch an keine anderen öffentlichen oder privaten Körperschaften weitergegeben werden.

Der Rechtsinhaber, der Verantwortliche für den Datenschutz und die mit der Verarbeitung der Daten betrauten Personen sind dazu angehalten, spezielle Sicherheitsvorkehrungen bezüglich der elektronischen Verarbeitung und Archivierung der Daten zu berücksichtigen. Um den Schutz und die Vertraulichkeit der behandelten Daten zu garantieren, wurden zudem organisatorische, logistische, methodologische und statistische Maßnahmen definiert, die sich nach den Standards des Legislativdekrets vom 30. Juni 2003, Nr. 196 (Datenschutzkodex) richten.

Nicht alle Daten sind gleich

Im Allgemeinen wird zwischen folgenden Typen von Daten unterschieden:
  • "Identifizierungsdaten": personenbezogenen Daten, welche die direkte Identifizierung der betroffenen Person ermöglichen (Name, Betriebsbezeichnung, in manchen Fällen auch die Wohnsitzgemeinde oder die Art des Berufes);
  • "Personenbezogene Daten": alle Informationen über eine bestimmte oder auch nur indirekt bestimmbare natürliche Person, juristische Person, Körperschaft oder Vereinigung durch Bezugnahme auf irgendeine andere Information, auch eine persönliche Kennnummer;
  • "Sensible Daten": jene personenbezogenen Daten, welche Aufschluss geben können über die rassische und ethnische Herkunft, die religiöse, die philosophische oder eine andere Weltanschauung, die politischen Anschauungen, die Mitgliedschaft bei einer Partei, Gewerkschaft, Vereinigung oder Organisation mit religiöser, philosophischer, politischer oder gewerkschaftlicher Ausrichtung oder den Gesundheitszustand oder das Sexualleben einer Person. Diese Art von Daten darf bei statistischen Erhebungen nicht Gegenstand verpflichtender Antworten sein (auch nicht bei Erhebungen des Nationalinstituts für Statistik ISTAT und der Koordinationsstelle für die amtliche Statistik auf Landesebene ASTAT).
  • "Gerichtsdaten": jene personenbezogenen Daten in Zusammenhang mit dem Strafregister, dem Register über anhängige Verwaltungsstrafverfahren und die verhängten Verwaltungsstrafen oder über die Eigenschaft einer Person als Angeklagter oder Verdächtiger. Auch diese Art von Daten darf nicht Gegenstand verpflichtender Antworten sein, wenn es um statistische Erhebungen geht.

Welche Daten sind vom Gesetz geschützt?

Alle gesetzlichen Regelungen zum Schutz der persönlichen Daten sind im bereits oben genannten Datenschutzkodex (Legislativdekrets vom 30. Juni 2003, Nr. 196) festgeschrieben. Das Dokument definiert eine Reihe von Normen, die darauf zielen, sowohl das Recht auf Privatsphäre als auch das Recht auf statistische Informationen zu schützen.

Das Gesetz schützt alle Daten, die sich auf eine Person beziehen über spezifische Vorschriften zur Datenverarbeitung, die von den Rechtsinhabern der Daten eingehalten werden müssen. Eine besondere Kategorie bilden die sensiblen Daten (s. o.), die einem strengeren Schutz unterliegen als alle anderen Daten. Daher bedarf die Erhebung und Verarbeitung dieser Daten sowohl die persönliche Zustimmung der betroffenen Person als auch eine vorhergehende Autorisierung von Seiten des Garanten.

Bei den autorisierten sensiblen Daten handelt sich um eine geschlossene Liste im Sinne, dass keine weiteren Daten beliebig hinzugefügt werden dürfen. Zum Beispiel wurde geklärt, dass der soziale Status, die erhaltenen Sozialleistungen sowie das erlangte Einkommen und Vermögen nicht in den strengen Bereich der sensiblen Daten fallen (doch diese Daten sind natürlich über das Privacy-Gesetzt geschützt).

Der Widerstand, über das eigene Einkommen oder den persönlichen Notzustand zu sprechen, ist im Allgemeinen ausgeprägter als die Bereitschaft, seine politische Meinung kundzutun. Dieser scheinbare Widerspruch erklärt sich aus der Zielsetzung des Privacy-Gesetzes: Schutz der grundlegenden Rechte und Freiheiten, aber auch der Würde der Person bzw. der persönlichen Identität.

apollis achtet daher im Zuge seiner Forschungsaktivitäten sehr darauf, die Rechte, die Grundfreiheiten und die Würde der befragten Personen zu schützen, mit besonderem Augenmerk auf die Privatsphäre und die persönliche Identität.

An wen kann man sich wenden und welche Rechte haben die Interviewten?

Für jede statistische Erhebung werden ein Rechtsinhaber, ein Verantwortlicher und einer oder mehrere Beauftragte für die Datenerhebung bestimmt:
  • "Rechtsinhaber" ist die natürliche Person, juristische Person, öffentliche Verwaltung oder andere Körperschaft, Vereinigung oder Einrichtung, die das Recht hat, über den Zweck der Verarbeitung personenbezogener Daten, über die jeweilige Verfahrensweise und über die dafür verwendeten Mittel, einschließlich der Datensicherung, zu entscheiden. In unserem Fall ist der Rechtsinhaber immer apollis OHG, mit Sitz am Dominikanerplatz 35, 39100 Bozen;
  • "Verantwortlicher" ist die natürliche Person, juristische Person, öffentliche Verwaltung oder andere Körperschaft, Vereinigung oder Einrichtung, die vom Rechtsinhaber mit der Verarbeitung personenbezogener Daten betraut wird. In unserem Fall ist Dr. Helmuth Pörnbacher der Verantwortliche für die Verarbeitung der Daten, die dem Telefonlabor anvertraut werden. Er ist auch die Ansprechperson für weitere Informationen, z.B. bezüglich der Rechte der betroffenen Personen;
  • "Beauftragter" ist die natürliche Person, die vom Rechtsinhaber oder Verantwortlichen die Befugnis zur Durchführung der Datenverarbeitung erhält.

Alle diese Zuständigen sind dazu angehalten, die Privatsphäre der Befragten zu respektieren und zu schützen, sowohl in der Phase der Informationserhebung als auch bei der Auswertung und Verbreitung der statistischen Daten.
Die "betroffene Person" ist hingegen die natürliche Person, juristische Person, Körperschaft oder Vereinigung, auf die sich die personenbezogenen Daten beziehen. Die betroffene Person hat in jedem Moment der Datenverarbeitung das Recht, Auskunft zu erhalten über:
  • die Herkunft der personenbezogenen Daten;
  • den Zweck und die Modalitäten der Verarbeitung;
  • das angewandte System, falls die Daten elektronisch verarbeitet werden;
  • die wichtigsten Daten zur Identifizierung des Rechtsinhabers, der Verantwortlichen und des namhaft gemachten Vertreters;
  • die Personen oder Kategorien von Personen, denen die personenbezogenen Daten übermittelt werden können oder die als im Staatsgebiet namhaft gemachte Vertreter, als Verantwortliche oder als Beauftragte davon Kenntnis erlangen können.

Die betroffene Person hat darüber hinaus das Recht:
  • die Aktualisierung, die Berichtigung oder, sofern interessiert, die Ergänzung der Daten zu verlangen – in den Grenzen des Art. 16 des zitierten Deontologie- und Verhaltenskodexes für die Verarbeitung von Daten zu statistischen und wissenschaftlichen Zwecken (Anhang A.4 des Legislativdekretes Nr. 196/2003);
  • zu verlangen, dass widerrechtlich verarbeitete Daten gelöscht, anonymisiert oder gesperrt werden; dies gilt auch für Daten, deren Aufbewahrung für die Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht erforderlich ist.