HRweb | Die erfrischende Plattform für Human Resources

Datenschutz bei Mitarbeiterbefragungen

Im Mai 2018 endet die Anpassungsfrist der EU-DSGVO und bringt für Unternehmen auch im personalistischen Fachgebiet einiges an Herausforderungen mit sich. Ein bisher wenig behandeltes Thema: „Datenschutz bei Mitarbeiterbefragungen“. Was können Unternehmen tun um ihre Befragung DSGVO-konform zu gestalten?

Viel wird bereits über die Auswirkungen der DSGVO auf Personalverwaltung oder Rekrutierung neuer Mitarbeiter diskutiert. Noch wenig Überlegungen wurde bzgl. der Auswirkungen auf das klassische Instrument der Mitarbeiterbefragungen verwendet. Unter Mitarbeiterbefragungen sind nachfolgend

  • klassische schriftliche Vollbefragungen aller Mitarbeiter eines Unternehmens gemeint,
  • die meist im Auftrag der Geschäftsführung oder Personalleitung erfolgen,
  • als Online-Befragung oder mittels Papierfragebögen durchgeführt werden
  • um Meinungen, Stimmungen und subjektive Eindrücke der Belegschaft zu erfassen
  • und üblicherweise freiwillig und anonym erfolgen.

Es sind damit keine Personalfragebögen gemeint, in denen der Arbeitgeber Daten erhebt, die für die Durchführung des Arbeitsverhältnisses nötig und/oder für Arbeitnehmer verpflichtend sind. Ich gehe hier auch vom Fall einer externen Durchführung der Mitarbeiterbefragung durch ein extern beauftragtes Befragungsinstitut aus. Sollte die Mitarbeiterbefragung intern bspw. durch die Marktforschungsabteilung selbst durchgeführt werden, liegen andere Ausgangsbedingungen vor, die die Regelungen der DGSVO wesentlich stärker auf die Agenda rufen. Externe Dienstleister nehmen ihren Auftraggebern hier einiges an Sorgen und Pflichten ab.

Datenschutz in der Beauftragungs- und Vorbereitungsphase

Der neuen Wortwahl der DSGVO folgend gibt es im Datenschutz Betroffene, Verantwortliche und Auftragsverarbeiter. Im Rahmen einer Mitarbeiterbefragung sind dies in der klassischen Sichtweise:

  • Betroffene = Mitarbeiter
  • Verantwortliche = Unternehmen(sleitung)
  • Auftragsverarbeiter = Externe Befragungsinstitute

Diese klassische Sichtweise „externes Befragungsinstitut = Auftragsdatenverarbeiter“ ist in manchen Aspekten und Situationen zu hinterfragen. Denn gerade bei 100% standardisierten Befragungsinstrumenten/portalen mit keiner Einflussmöglichkeit der Auftraggeber auf die Ausgestaltung, ist auch eine Rolle des externen Befragungsinstitutes als „Verantwortlicher“ argumentierbar. V.a. da die überlassenen Daten (bei Online-Befragungen meist Emailadressen zur Einladung der Betroffenen zur Befragung) ja gänzlich anderer Natur sind als die anonymen Meinungen und Antworten der Mitarbeiter. Die Ausgangsdaten werden schlicht zur Kommunikation genutzt. Eine Sichtweise als „Verantwortlicher“ bringt damit unter Umständen Vorteile durch eine stärkere (symbolische) Trennung mit anderen Rechten und Pflichten (v.a. Erfüllung der Betroffenenrechte) bei identem Niveau an technischem und organisatorischem Datenschutz.

Rechtsgrundlage im Datenschutz

Als erste Frage stellt sich, welche Rechtsgrundlage für die Datenverarbeitung besteht. Dabei sind wohl v.a. zwei Ausnahmen vom Verbot der Verarbeitung personenbezogener Daten im Zusammenhang mit Mitarbeiterbefragungen relevant:

  1. Rechtliche Verpflichtungen:
    In bestimmten Anlassfällen – dabei sei bspw. die Evaluierung psychischer Belastungen nach dem Arbeitnehmerschutzgesetz erwähnt – hat der Arbeitgeber die Pflicht derartige Befragungen durchzuführen. Dies erscheint als belastbarster Datenverarbeitungsgrund.
  2. Berechtigte Interessen der Verantwortlichen:
    Jedes Unternehmen hat das wohl mehr als nur berechtigte Interesse zu erheben, ob die Gestaltung des Arbeitsumfeldes, die Personalarbeit, etc. aus Sicht der Belegschaft motivierend und/oder produktiv ist. Wenn dazu bestimmte personenbezogene Daten der eigenen Mitarbeiter genutzt werden müssen erscheint dies als plausibler Grund.

Zuletzt kann man natürlich auch die Zustimmung der Betroffenen heranziehen. Dies sei aber nur der Vollständigkeit halber erwähnt und erscheint nur in bestimmten Aspekten nutzbar. Auch erscheint die nachweisbare Zustimmung bei einer anonymen Befragung als Kontradiktion.

Daten als Ausgangsbasis

Die zweite Frage ist wohl welche Daten überhaupt für die Durchführung einer klassischen Papierbefragung nötig wären. Dabei gibt es zwei idealtypische Szenarien

  1. Bei klassischen Mitarbeiterbefragungen in Mitteleuropa wird für die Durchführung bei Online-Befragungen de facto nur die Firmen-Emailadresse der Befragten benötigt. So genannte Soziodemographika werden klassischerweise von den Befragten selbst im Fragebogen angegeben (in durch Kategorien stark vergröberter Form wie bspw. Altersklassen). Bei Papier-Befragungen, nur Informationen die der Verteilung der Fragebögen oder der Vermeidung von Mehrfachverteilungen dienen (bspw. Namenslisten, Postanschrift für den Versand).Unter gewissen Umständen lässt sich jegliche Befragung sogar ohne jegliche Daten über die Belegschaft organisieren (dazu später mehr).
  2. Bei vielen amerikanischen Anbietern im Bereich Mitarbeiterbefragungen findet man den Rat Hintergrundinformationen über Mitarbeiter – bspw. Anstellungsverhältnis, Arbeitszeitausmaß, Organisationseinheit in der man arbeitet, Alter, Geschlecht – aus der Personaldatenbank zu exportieren, im Rahmen von Online-Befragungen im Hintergrund mitzuschleifen und hinterher für Auswertungen zu nutzen. Auch wenn dies per se für die Auswertung noch keine Anonymitätsverletzungen bedeuten muss, bedeutet es zumindest, dass eine Verknüpfung personenbezogener Daten gegeben ist und legitimiert werden muss.

Im Sinn des Datenschutzgesetzes sind übertragene Informationen wie in Fall 1 – dem aus meiner Sicht klassischen Fall in österr. und deutschen Unternehmen – keine oder nur sehr geringe Bedenken aus Datenschutzsicht anzuführen. Der Anwendungsfall 2 ruft verstärkt Datenschutzfragen auf die Agenda.

Rechtliche Vereinbarungen zum Datenschutz

Die dritte Frage bezieht sich nun auf die nötigen vertraglichen Grundlagen die es zur Nutzung von bspw. Emailadressen im Rahmen einer Mitarbeiterbefragung gibt. Dabei sind wohl wieder zwei Komponenten relevant:

  1. Nutzung von Daten im Unternehmens(verbund):
    Da es per se keine Konzernprivilegien im Datenschutz gibt ist zu prüfen ob bspw. die Holding – bei Großunternehmensstrukturen – die personenbezogenen Daten der Mitarbeiter von Tochterunternehmen oder Beteiligungsunternehmen verwenden darf. Es braucht dabei jeweils eine schriftliche Vereinbarung.
  2. Beauftragung externer Dienstleister:
    Werden externe Befragungsinstitute beauftragt so gilt es hier entsprechende Datenschutzvereinbarungen (bspw. Auftragsverarbeiterverträge) aufzusetzen. In diesen sind die hinreichenden Garantien zur Verarbeitung der Daten in Einklang mit den Anforderungen der DGSVO zu verschriften. Dabei sind sowohl organisatorische als auch technische Maßnahmen zum Datenschutz zu treffen.

Was in diesem Artikel keine Beachtung findet ist die Frage ob eine Befragung seitens des Betriebsrates aufbauend auf den Regelungen des Arbeitsverfassungsgesetzes zustimmungspflichtig ist. Mehr zum Thema „Mitarbeiterbefragung und Betriebsrat“ finden Sie auch im HRweb-Artikel „Mitarbeiterbefragung und Betriebsrat“.

Datenschutz in der Erhebungsphase

Fokussieren wir nun auf Aspekte des Datenschutzes bei Durchführung der Befragung durch externe Dienstleister. Hier sind die folgenden Aspekte von zentraler Bedeutung:

  • Wo werden die Daten verarbeitet?
    Diese Frage läuft auf die geographische Lokalisation der Befragungssoftware hinaus. Server innerhalb der EU und/oder Ländern mit entsprechend akzeptierten Datenschutzstandard sind in jedem Fall passend. Ansonsten ist der Sachverhalt individuell zu prüfen.
  • Wie sicher ist die Datenverarbeitung?
    Da auch die Datensicherheit die DSGVO interessiert, ist es wichtig die technischen und organisatorischen Maßnahmen der Datenverarbeitung zu prüfen und ggf. Mindeststandards von Dienstleistern einzufordern.
  • Wie wird die „Anonymität“ der Befragten garantiert?
    Dies betrifft alle technischen und organisatorischen Maßnahmen um die Anonymität der Ergebnisse entlang der Prozesskette „Erhebung – Auswertung“ zu garantieren.
  • Wie wird die „Freiwilligkeit“ der Befragung sichergestellt?
    Freiwilligkeit drückt das Prinzip aus, dass nicht nur meine inhaltlichen Antworten anonym sind, sondern auch ob ich überhaupt an der Befragung teilgenommen habe oder nicht. Hier ist eine Gratwanderung zu gehen zwischen Anforderungen an Validität und Reliabilität der Daten (bspw. einmalig nutzbare Zugangslinks zur Vermeidung von Doppelteilnehmern) und logistischen Anforderungen (bspw. Erinnerungsemails an Befragte) einerseits, sowie andererseits zu vermeidende „Überwachung“ und „Belästigung“ durch zu offensive Erinnerungsarbeit.
  • Wie werden Informationspflichten/rechte berücksichtigt?
    Eine Mitarbeiterbefragung DSGVO-konform durchzuführen bedeutet aus meiner Sicht klar auch in Zukunft den Befragten vorab transparente Informationen zu geben: Dazu gehört die Art der erhobenen Daten, die Verwertungszusammenhänge, das Auswertungsprocedere oder auch die Speicherdauer von Daten.
  • Wie werden andere Datenschutzgrundsätze verwirklicht?
    Dazu zählen v.a. die Transparenz den Befragten gegenüber (siehe vorheriger Absatz), die Zweckbindung der Auswertungen, die Datenminimierung und damit Fokussierung der Erhebung auf relevante Fragestellungen (bspw. Minimierung von Sozidemographika) und ein breites Spektrum an organisatorischen und technischen Schutzmaßnahmen um Integrität und Vertraulichkeit der Daten zu sichern; bis hin zu definierten Löschfristen.

Bei einer anonymisierten Befragung sind gewisse DSGVO Aspekte nur noch am Rande anwendbar. Bspw. könnten Befragte hinterher keine Löschung ihrer abgegebenen Antworten fordern, wenn der Befragungsdienstleister diese nur anonym vorliegen hat und diese schon per Definition nicht entsprechend identifizieren kann um diese zu löschen.

Andererseits kann eine Befragung im skizzierten Sinne zum „Grenzfall“ werden, wenn bspw. vertiefende Gesundheitsfragen gestellt würden. Man denke bspw. an die Erhebung von aktuellen, diagnostizierten Krankheitsbildern in einer Mitarbeiterbefragung – dies würde, auch wenn Präzedenzfälle fehlen, ggf. eine erhöhte Schutzbedürftigkeit der Daten nahelegen.

Datenschutz in der Auswertungsphase

Als dritter Abschnitt von Interesse muss die Datenauswertung und Berichtslegung betrachtet werden. Wie schon skizziert: Ich gehe immer von anonymen und freiwilligen Befragungen aus bzw. einer stets anonymisierten und aggregierten Auswertung. Dabei können folgende Aspekte als wesentlich gelten:

  • Anonyme Daten: Die Ergebnisdatensätze der Befragung sollten keinerlei Datenbezug zu bestimmten Personen beinhalten. Die mögliche Bestimmbarkeit von Personen durch die Kombination von bspw. Soziodemographika wird durch die nachfolgend beschriebenen Vorgehensweisen eliminiert.
  • Aggregation mit Mindestauswertungsgrenzen : Die Auswertung von Befragungsdaten erfolgt stets aggregiert für die jeweilige Auswertungseinheit (bspw. Abteilungen bei Mitarbeiterbefragungen). Die Auswertung erfolgt nur für Personengruppen und Auswertungseinheiten, die eine bestimmte Mindestauswertungsgrenze (= Zahl an ausgefüllten Fragebögen) erreichen. Ergebnisse unter der Auswertungseinheit werden generell nicht gesondert dargestellt. Diese müssen mit einer anderen Einheit verschmolzen werden oder fließen nur in das Gesamtergebnis ein.
  • Vermeidung von Kreuzauswertungen: Es erfolgen keine Kreuzauswertungen (= Kombinationen soziodemographischer Merkmale) oder nur solche, in denen alle Zellen die Mindestauswertungsgrenze erreichen. Dadurch werden mögliche de-anonymisierende Grenzfälle vermieden.

Resümee: Datenschutz bei Mitarbeiterbefragungen

Mitarbeiterbefragungen stellen aus meiner Sicht einen nicht zu komplexen Fall in Bezug auf die DSGVO dar – solange diese freiwillig und anonym bzw. anonymisiert erfolgen. Die folgenden Faktoren erhöhen dabei die Komplexität in Bezug auf die DSGVO merkbar:

  • Interne Durchführung (anstelle externer Durchführung)
  • Komplexe Unternehmensstrukturen (wer ist für welche Ausgangsdaten verantwortlich)
  • Unklare Verwertungszusammenhänge und fehlende Transparenz gegenüber den Befragten
  • Abfrage von Themen mit erhöhtem Schutzniveau (bspw. vertiefte Gesundheitsfragen)
  • Verpflichtungen zur Teilnahme, die die Freiwilligkeit in Frage stellen.
  • Sehr niedrige Mindestauswertungsgrenzen und/oder eine Vielzahl an feingliedrigen Soziodemographika, die die Anonymität in Frage stellen

Es ist daher in jedem Fall anzuraten, auch seit Jahren durchgeführte Mitarbeiterbefragungen im Lichte der DSGVO zu prüfen und ggf. Konzeptanpassungen durchzuführen. Ein professionelles externes Befragungsinstitut kann Unternehmen dabei eine wertvolle Unterstützung sein und erleichtert der DSGVO gerecht zu werden.

teilen

2 Kommentrare

  1. Mario Filoxenidis am

    Lieber Kollege Beidernikl,
    wie immer ein sehr kompetenter und äußerst gut zusammengefasster Artikel!
    Danke und Gratulation! Ich darf noch ergänzen, dass es seit einigen Monaten seitens der Auftraggeber einer Mitarbeiterbefragung verstärkte Aktivitäten gibt, die Auftragsdatenverarbeitungs-Vereinbarungen an die neuen gesetzlichen Ansprüche zu adaptieren. Ist zwar ein erhöhter bürokratischer Aufwand auf beiden Seiten im Zuge eines Projekts mit einem externen Dienstleister, aber meines Erachtens ein lohnenswerter Aufwand!

  2. Gerd BEIDERNIKL am

    Lieber Kollege Filoxenidis,
    Sie haben vollkommen recht: Bei manchen Kunden merkt man erhöhtes Interesse. Andere muss man gezielt darauf hinweisen. Wie bei jedem gesetzlichen Thema…der Vorbereitungsgrad ist je Kunde sehr verschieden. Und wir als Dienstleister können dabei unterstützen professionell zu agieren.
    Danke für Ihr Interesse an diesem Thema. Es freut mich wenn die Vorreiterrolle, die vieconsult in diesem Thema einnehmen möchte, auch vom Fachpublikum gesehen und geschätzt wird. Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Spielregeln