HRweb | Die erfrischende Plattform für Human Resources

Datenschutz bei Mitarbeiterbefragungen

Im Mai 2018 endet die Anpassungsfrist der EU-DSGVO und bringt für Unternehmen auch im personalistischen Fachgebiet einiges an Herausforderungen mit sich. Ein bisher wenig behandeltes Thema: „Datenschutz bei Mitarbeiterbefragungen“. Was können Unternehmen tun um ihre Befragung DSGVO-konform zu gestalten?

Viel wird bereits über die Auswirkungen der DSGVO auf Personalverwaltung oder Rekrutierung neuer Mitarbeiter diskutiert. Noch wenig Überlegungen wurde bzgl. der Auswirkungen auf das klassische Instrument der Mitarbeiterbefragungen verwendet. Unter Mitarbeiterbefragungen sind nachfolgend

  • klassische schriftliche Vollbefragungen aller Mitarbeiter eines Unternehmens gemeint,
  • die meist im Auftrag der Geschäftsführung oder Personalleitung erfolgen,
  • als Online-Befragung oder mittels Papierfragebögen durchgeführt werden
  • um Meinungen, Stimmungen und subjektive Eindrücke der Belegschaft zu erfassen
  • und üblicherweise freiwillig und anonym erfolgen.

Es sind damit keine Personalfragebögen gemeint, in denen der Arbeitgeber Daten erhebt, die für die Durchführung des Arbeitsverhältnisses nötig und/oder für Arbeitnehmer verpflichtend sind. Ich gehe hier auch vom Fall einer externen Durchführung der Mitarbeiterbefragung durch ein extern beauftragtes Befragungsinstitut aus. Sollte die Mitarbeiterbefragung intern bspw. durch die Marktforschungsabteilung selbst durchgeführt werden, liegen andere Ausgangsbedingungen vor, die die Regelungen der DGSVO wesentlich stärker auf die Agenda rufen. Externe Dienstleister nehmen ihren Auftraggebern hier einiges an Sorgen und Pflichten ab.

Datenschutz in der Beauftragungs- und Vorbereitungsphase

Der neuen Wortwahl der DSGVO folgend gibt es im Datenschutz Betroffene, Verantwortliche und Auftragsverarbeiter. Im Rahmen einer Mitarbeiterbefragung sind dies in der klassischen Sichtweise:

  • Betroffene = Mitarbeiter
  • Verantwortliche = Unternehmen(sleitung)
  • Auftragsverarbeiter = Externe Befragungsinstitute

Diese klassische Sichtweise „externes Befragungsinstitut = Auftragsdatenverarbeiter“ ist in manchen Aspekten und Situationen zu hinterfragen. Denn gerade bei 100% standardisierten Befragungsinstrumenten/portalen mit keiner Einflussmöglichkeit der Auftraggeber auf die Ausgestaltung, ist auch eine Rolle des externen Befragungsinstitutes als „Verantwortlicher“ argumentierbar. V.a. da die überlassenen Daten (bei Online-Befragungen meist Emailadressen zur Einladung der Betroffenen zur Befragung) ja gänzlich anderer Natur sind als die anonymen Meinungen und Antworten der Mitarbeiter. Die Ausgangsdaten werden schlicht zur Kommunikation genutzt. Eine Sichtweise als „Verantwortlicher“ bringt damit unter Umständen Vorteile durch eine stärkere (symbolische) Trennung mit anderen Rechten und Pflichten (v.a. Erfüllung der Betroffenenrechte) bei identem Niveau an technischem und organisatorischem Datenschutz.

Rechtsgrundlage im Datenschutz

Als erste Frage stellt sich, welche Rechtsgrundlage für die Datenverarbeitung besteht. Dabei sind wohl v.a. zwei Ausnahmen vom Verbot der Verarbeitung personenbezogener Daten im Zusammenhang mit Mitarbeiterbefragungen relevant:

  1. Rechtliche Verpflichtungen:
    In bestimmten Anlassfällen – dabei sei bspw. die Evaluierung psychischer Belastungen nach dem Arbeitnehmerschutzgesetz erwähnt – hat der Arbeitgeber die Pflicht derartige Befragungen durchzuführen. Dies erscheint als belastbarster Datenverarbeitungsgrund.
  2. Berechtigte Interessen der Verantwortlichen:
    Jedes Unternehmen hat das wohl mehr als nur berechtigte Interesse zu erheben, ob die Gestaltung des Arbeitsumfeldes, die Personalarbeit, etc. aus Sicht der Belegschaft motivierend und/oder produktiv ist. Wenn dazu bestimmte personenbezogene Daten der eigenen Mitarbeiter genutzt werden müssen erscheint dies als plausibler Grund.

Zuletzt kann man natürlich auch die Zustimmung der Betroffenen heranziehen. Dies sei aber nur der Vollständigkeit halber erwähnt und erscheint nur in bestimmten Aspekten nutzbar. Auch erscheint die nachweisbare Zustimmung bei einer anonymen Befragung als Kontradiktion.

Daten als Ausgangsbasis

Die zweite Frage ist wohl welche Daten überhaupt für die Durchführung einer klassischen Papierbefragung nötig wären. Dabei gibt es zwei idealtypische Szenarien

  1. Bei klassischen Mitarbeiterbefragungen in Mitteleuropa wird für die Durchführung bei Online-Befragungen de facto nur die Firmen-Emailadresse der Befragten benötigt. So genannte Soziodemographika werden klassischerweise von den Befragten selbst im Fragebogen angegeben (in durch Kategorien stark vergröberter Form wie bspw. Altersklassen). Bei Papier-Befragungen, nur Informationen die der Verteilung der Fragebögen oder der Vermeidung von Mehrfachverteilungen dienen (bspw. Namenslisten, Postanschrift für den Versand).Unter gewissen Umständen lässt sich jegliche Befragung sogar ohne jegliche Daten über die Belegschaft organisieren (dazu später mehr).
  2. Bei vielen amerikanischen Anbietern im Bereich Mitarbeiterbefragungen findet man den Rat Hintergrundinformationen über Mitarbeiter – bspw. Anstellungsverhältnis, Arbeitszeitausmaß, Organisationseinheit in der man arbeitet, Alter, Geschlecht – aus der Personaldatenbank zu exportieren, im Rahmen von Online-Befragungen im Hintergrund mitzuschleifen und hinterher für Auswertungen zu nutzen. Auch wenn dies per se für die Auswertung noch keine Anonymitätsverletzungen bedeuten muss, bedeutet es zumindest, dass eine Verknüpfung personenbezogener Daten gegeben ist und legitimiert werden muss.

Im Sinn des Datenschutzgesetzes sind übertragene Informationen wie in Fall 1 – dem aus meiner Sicht klassischen Fall in österr. und deutschen Unternehmen – keine oder nur sehr geringe Bedenken aus Datenschutzsicht anzuführen. Der Anwendungsfall 2 ruft verstärkt Datenschutzfragen auf die Agenda.

Rechtliche Vereinbarungen zum Datenschutz

Die dritte Frage bezieht sich nun auf die nötigen vertraglichen Grundlagen die es zur Nutzung von bspw. Emailadressen im Rahmen einer Mitarbeiterbefragung gibt. Dabei sind wohl wieder zwei Komponenten relevant:

  1. Nutzung von Daten im Unternehmens(verbund):
    Da es per se keine Konzernprivilegien im Datenschutz gibt ist zu prüfen ob bspw. die Holding – bei Großunternehmensstrukturen – die personenbezogenen Daten der Mitarbeiter von Tochterunternehmen oder Beteiligungsunternehmen verwenden darf. Es braucht dabei jeweils eine schriftliche Vereinbarung.
  2. Beauftragung externer Dienstleister:
    Werden externe Befragungsinstitute beauftragt so gilt es hier entsprechende Datenschutzvereinbarungen (bspw. Auftragsverarbeiterverträge) aufzusetzen. In diesen sind die hinreichenden Garantien zur Verarbeitung der Daten in Einklang mit den Anforderungen der DGSVO zu verschriften. Dabei sind sowohl organisatorische als auch technische Maßnahmen zum Datenschutz zu treffen.

Was in diesem Artikel keine Beachtung findet ist die Frage ob eine Befragung seitens des Betriebsrates aufbauend auf den Regelungen des Arbeitsverfassungsgesetzes zustimmungspflichtig ist. Mehr zum Thema „Mitarbeiterbefragung und Betriebsrat“ finden Sie auch im HRweb-Artikel „Mitarbeiterbefragung und Betriebsrat“.

Datenschutz in der Erhebungsphase

Fokussieren wir nun auf Aspekte des Datenschutzes bei Durchführung der Befragung durch externe Dienstleister. Hier sind die folgenden Aspekte von zentraler Bedeutung:

  • Wo werden die Daten verarbeitet?
    Diese Frage läuft auf die geographische Lokalisation der Befragungssoftware hinaus. Server innerhalb der EU und/oder Ländern mit entsprechend akzeptierten Datenschutzstandard sind in jedem Fall passend. Ansonsten ist der Sachverhalt individuell zu prüfen.
  • Wie sicher ist die Datenverarbeitung?
    Da auch die Datensicherheit die DSGVO interessiert, ist es wichtig die technischen und organisatorischen Maßnahmen der Datenverarbeitung zu prüfen und ggf. Mindeststandards von Dienstleistern einzufordern.
  • Wie wird die „Anonymität“ der Befragten garantiert?
    Dies betrifft alle technischen und organisatorischen Maßnahmen um die Anonymität der Ergebnisse entlang der Prozesskette „Erhebung – Auswertung“ zu garantieren.
  • Wie wird die „Freiwilligkeit“ der Befragung sichergestellt?
    Freiwilligkeit drückt das Prinzip aus, dass nicht nur meine inhaltlichen Antworten anonym sind, sondern auch ob ich überhaupt an der Befragung teilgenommen habe oder nicht. Hier ist eine Gratwanderung zu gehen zwischen Anforderungen an Validität und Reliabilität der Daten (bspw. einmalig nutzbare Zugangslinks zur Vermeidung von Doppelteilnehmern) und logistischen Anforderungen (bspw. Erinnerungsemails an Befragte) einerseits, sowie andererseits zu vermeidende „Überwachung“ und „Belästigung“ durch zu offensive Erinnerungsarbeit.
  • Wie werden Informationspflichten/rechte berücksichtigt?
    Eine Mitarbeiterbefragung DSGVO-konform durchzuführen bedeutet aus meiner Sicht klar auch in Zukunft den Befragten vorab transparente Informationen zu geben: Dazu gehört die Art der erhobenen Daten, die Verwertungszusammenhänge, das Auswertungsprocedere oder auch die Speicherdauer von Daten.
  • Wie werden andere Datenschutzgrundsätze verwirklicht?
    Dazu zählen v.a. die Transparenz den Befragten gegenüber (siehe vorheriger Absatz), die Zweckbindung der Auswertungen, die Datenminimierung und damit Fokussierung der Erhebung auf relevante Fragestellungen (bspw. Minimierung von Sozidemographika) und ein breites Spektrum an organisatorischen und technischen Schutzmaßnahmen um Integrität und Vertraulichkeit der Daten zu sichern; bis hin zu definierten Löschfristen.

Bei einer anonymisierten Befragung sind gewisse DSGVO Aspekte nur noch am Rande anwendbar. Bspw. könnten Befragte hinterher keine Löschung ihrer abgegebenen Antworten fordern, wenn der Befragungsdienstleister diese nur anonym vorliegen hat und diese schon per Definition nicht entsprechend identifizieren kann um diese zu löschen.

Andererseits kann eine Befragung im skizzierten Sinne zum „Grenzfall“ werden, wenn bspw. vertiefende Gesundheitsfragen gestellt würden. Man denke bspw. an die Erhebung von aktuellen, diagnostizierten Krankheitsbildern in einer Mitarbeiterbefragung – dies würde, auch wenn Präzedenzfälle fehlen, ggf. eine erhöhte Schutzbedürftigkeit der Daten nahelegen.

Datenschutz in der Auswertungsphase

Als dritter Abschnitt von Interesse muss die Datenauswertung und Berichtslegung betrachtet werden. Wie schon skizziert: Ich gehe immer von anonymen und freiwilligen Befragungen aus bzw. einer stets anonymisierten und aggregierten Auswertung. Dabei können folgende Aspekte als wesentlich gelten:

  • Anonyme Daten: Die Ergebnisdatensätze der Befragung sollten keinerlei Datenbezug zu bestimmten Personen beinhalten. Die mögliche Bestimmbarkeit von Personen durch die Kombination von bspw. Soziodemographika wird durch die nachfolgend beschriebenen Vorgehensweisen eliminiert.
  • Aggregation mit Mindestauswertungsgrenzen : Die Auswertung von Befragungsdaten erfolgt stets aggregiert für die jeweilige Auswertungseinheit (bspw. Abteilungen bei Mitarbeiterbefragungen). Die Auswertung erfolgt nur für Personengruppen und Auswertungseinheiten, die eine bestimmte Mindestauswertungsgrenze (= Zahl an ausgefüllten Fragebögen) erreichen. Ergebnisse unter der Auswertungseinheit werden generell nicht gesondert dargestellt. Diese müssen mit einer anderen Einheit verschmolzen werden oder fließen nur in das Gesamtergebnis ein.
  • Vermeidung von Kreuzauswertungen: Es erfolgen keine Kreuzauswertungen (= Kombinationen soziodemographischer Merkmale) oder nur solche, in denen alle Zellen die Mindestauswertungsgrenze erreichen. Dadurch werden mögliche de-anonymisierende Grenzfälle vermieden.

Resümee: Datenschutz bei Mitarbeiterbefragungen

Mitarbeiterbefragungen stellen aus meiner Sicht einen nicht zu komplexen Fall in Bezug auf die DSGVO dar – solange diese freiwillig und anonym bzw. anonymisiert erfolgen. Die folgenden Faktoren erhöhen dabei die Komplexität in Bezug auf die DSGVO merkbar:

  • Interne Durchführung (anstelle externer Durchführung)
  • Komplexe Unternehmensstrukturen (wer ist für welche Ausgangsdaten verantwortlich)
  • Unklare Verwertungszusammenhänge und fehlende Transparenz gegenüber den Befragten
  • Abfrage von Themen mit erhöhtem Schutzniveau (bspw. vertiefte Gesundheitsfragen)
  • Verpflichtungen zur Teilnahme, die die Freiwilligkeit in Frage stellen.
  • Sehr niedrige Mindestauswertungsgrenzen und/oder eine Vielzahl an feingliedrigen Soziodemographika, die die Anonymität in Frage stellen

Es ist daher in jedem Fall anzuraten, auch seit Jahren durchgeführte Mitarbeiterbefragungen im Lichte der DSGVO zu prüfen und ggf. Konzeptanpassungen durchzuführen. Ein professionelles externes Befragungsinstitut kann Unternehmen dabei eine wertvolle Unterstützung sein und erleichtert der DSGVO gerecht zu werden.

teilen

8 Kommentrare

  1. Mario Filoxenidis am

    Lieber Kollege Beidernikl,
    wie immer ein sehr kompetenter und äußerst gut zusammengefasster Artikel!
    Danke und Gratulation! Ich darf noch ergänzen, dass es seit einigen Monaten seitens der Auftraggeber einer Mitarbeiterbefragung verstärkte Aktivitäten gibt, die Auftragsdatenverarbeitungs-Vereinbarungen an die neuen gesetzlichen Ansprüche zu adaptieren. Ist zwar ein erhöhter bürokratischer Aufwand auf beiden Seiten im Zuge eines Projekts mit einem externen Dienstleister, aber meines Erachtens ein lohnenswerter Aufwand!

  2. Gerd BEIDERNIKL am

    Lieber Kollege Filoxenidis,
    Sie haben vollkommen recht: Bei manchen Kunden merkt man erhöhtes Interesse. Andere muss man gezielt darauf hinweisen. Wie bei jedem gesetzlichen Thema…der Vorbereitungsgrad ist je Kunde sehr verschieden. Und wir als Dienstleister können dabei unterstützen professionell zu agieren.
    Danke für Ihr Interesse an diesem Thema. Es freut mich wenn die Vorreiterrolle, die vieconsult in diesem Thema einnehmen möchte, auch vom Fachpublikum gesehen und geschätzt wird. Danke!

  3. Sabine Pairer am

    Sehr geehrter Herr Beidernikl,
    danke für den ausgezeichneten Artikel. Sie haben mit einfachen Worten das Thema klar verständlich gemacht.

  4. Gerd BEIDERNIKL am

    Danke für das Feedback. Es freut mich, wenn ein Artikel bei der Zielgruppe Nutzen stiftet!!
    LG, Gerd Beidernikl

  5. Gerhard Florian am

    Hallo Herr Beidernikl,
    danke alles sehr informativ, aber eine Frage möchte ich noch gerne beantwortet haben. Wie wird ausgewertet wenn der Fragebogen in Papieform vorliegt? Kann das Auswerten eine einzelne Person übernehmen, die auch manipulieren könnte oder wird noch jemand wie der Betriebsrat involviert?

  6. Gerd BEIDERNIKL am

    Hallo Hr. Florian,

    Bei der Auswertung von Papierfragebögen ist die Datenerfassung und damit die Digitalisierung der wesentliche Zwischenschritt. Die Auswertung etc. erfolgt prinzipiell aber nach den selben Auswertungsregeln wie Online-Fragebögen (bspw. Mindestauswertungsgrenzen).

    Bei der Datenerfassung sind Fehlerfreiheit und Vertraulichkeit ebenso wichtige Grundprinzipien auf die selbstverständlich geachtet wird.

    Nein. Der Betriebsrat wird nicht prinzipiell auf irgendeine Art und Weise in die Datenerfassung involviert. Denn auch der Betriebsrat wäre hier nicht vollständig objektiv und neutral. Der Betriebsrat ist bei der Ausarbeitung der entsprechenden Vertragsgrundlagen bzw. einer möglichen Betriebsvereinbarung vorab involviert.

    Die Datenerfassung und Auswertung der Papierfragebögen erfolgt im Regelfall ebenso extern durch ein Institut, das aufgrund seiner Neutralität und Professionalität diesen Schritt übernimmt. Bei vieconsult gelten dabei v.a. die folgenden Qualitätssicherungsschritte:
    – Datenerfassung erfolgt je nach Projekt manuell oder per Scansoftware
    – Wenn manuell erfasst wird dann nur durch entsprechend geschultes Personal mit Datenschutzvereinbarungen
    – Falls externe Scandienstleister involviert sind gelten ebenso vertragliche Grundlagen des Datenschutzes
    – In jedem Fall wird jeder Papierfragebogen beim Eingang mit einer Eingangsnummer versehen (Stempel) und damit vom Posteingang bis zum Datensatz verfolgbar
    – Nach der Datenerfassung erfolgt eine automatisierte Prüfung auf bspw. Vollständigkeit und Plausibilität
    – Nach der Datenerfassung erfolgt eine stichprobenartige Detailkontrolle von erfassten Daten mit den Originaldaten

    Durch diese – und noch einige vertiefende Verfahrensweisen – lässt sich Fehlerfreiheit und Vertraulichkeit durchgängig garantieren. Fragebögen werden danach bei uns für 3-6 Monate gelagert und nach Abschluss des Projektes von einem zertifizierten Aktenvernichter abgeholt und geschreddert.

    Bei Detailfragen kommen Sie gerne auf mich zu!

  7. Gerhard Florian am

    Hallo Herr Beidernikel,
    danke für die schnelle Rückantwort, das heißt mit anderen Worten eine Auswertung kann kein Bertriebsangehöriger durchführen wegen der Objektivität.
    Sehe das auch richtig, eine Manipulation kann nur durch eine außenstehende Fachfirma verhindert werden.

  8. Gerd BEIDERNIKL am

    Hallo Hr. Florian,
    Es mag Fälle geben in denen Organisationen intern Befragungen durchführen und dies – unter Zuhilfenahme von Umfragetools – selbst administrieren. Der häufigste Fall in der Praxis ist aus meiner Sicht und in Branchenstudien die ich kenne die Durchführung durch Externe. Dies garantiert neben einer professionellen und effizienten Durchführung auch ein gesteigertes Maß an Neutralität/Objektivität und Anonymität (bzw. lässt manche Fragen rund um Objektivität und Anonymität gar nicht erst aufkommen).
    Absichtliche Manipulation hätte aus meiner Sicht schon Vorsatzcharakter. Dies schließe ich bei Externen aus. Fahrlässige Manipulation im Sinne von Schlamperei lässt sich durch Beauftragung von Qualitätsanbietern mit entsprechenden Qualitätsmanagementsystemen verhindern.
    Mit freundlichen Grüßen,
    Gerd Beidernikl

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.