Eine unternehmensinterne Befragung starten, ohne einen vertiefenden Blick auf das Thema Datenschutz zu werfen? Undenkbar, spätestens seit der Einführung der DSGVO vor drei Jahren. Was gibt es zu bedenken, um dem Datenschutz gerecht zu werden?
Wenn Sie in Ihrem Unternehmen regelmäßig Mitarbeiterbefragungen durchführen, dann werden Ihnen die datenschutzrechtlichen Erfordernisse dazu sicher bekannt sein, zumindest nicht ganz unbekannt. Steht eine Mitarbeiterbefragung allerdings erstmals oder seit längerem wieder auf der Agenda, dann sollte man sich sicher eingehender mit dem Thema Datenschutz in einer Befragung auseinandersetzen. Worauf sollte bzw. muss man achtgeben?
Ich gehe hier vom Fall einer externen Durchführung der Mitarbeiterbefragung durch ein extern beauftragtes Befragungsinstitut aus. Sollte die Befragung intern bspw. durch die Marktforschungsabteilung selbst durchgeführt werden, liegen andere Ausgangsbedingungen vor, die die Regelungen der DSGVO wesentlich stärker auf die Agenda rufen. Externe Dienstleister nehmen ihren Auftraggebern hier einiges an Sorgen und Pflichten ab. Es sind in Bezug auf die Erhebung der personenbezogenen Daten keine Personalfragebögen gemeint, in denen der Arbeitgeber Daten erhebt, die für die Durchführung des Arbeitsverhältnisses nötig und/oder für Arbeitnehmer verpflichtend sind. Als Mitarbeiterbefragung versteht man im Allgemeinen:
- klassische schriftliche Vollbefragungen aller Mitarbeiter eines Unternehmens
- die meist im Auftrag der Geschäftsführung oder Personalleitung erfolgen,
- als Online-Befragung oder mittels Papierfragebögen durchgeführt werden
- um Meinungen, Stimmungen und subjektive Eindrücke der Belegschaft zu erfassen
- und üblicherweise freiwillig und anonym erfolgen.
Datenschutz in der Beauftragungs- und Vorbereitungsphase
Der Wortwahl der DSGVO folgend gibt es im Datenschutz Betroffene, Verantwortliche und Auftragsverarbeiter. Im Rahmen einer Mitarbeiterbefragung sind dies in der klassischen Sichtweise:
- Betroffene = Mitarbeiter
- Verantwortliche = Unternehmen(sleitung)
- Auftragsverarbeiter = Externe Befragungsinstitute
Diese klassische Sichtweise „externes Befragungsinstitut = Auftragsdatenverarbeiter“ ist in manchen Aspekten und Situationen zu hinterfragen. Denn gerade bei 100% standardisierten Befragungsinstrumenten/portalen mit keiner Einflussmöglichkeit der Auftraggeber auf die Ausgestaltung, ist auch eine Rolle des externen Befragungsinstitutes als „Verantwortlicher“ argumentierbar. V.a. da die überlassenen Daten (bei Online-Befragungen meist Emailadressen zur Einladung der Betroffenen zur Befragung) ja gänzlich anderer Natur sind als die anonymen Meinungen und Antworten der Mitarbeiter. Die Ausgangsdaten werden schlicht zur Kommunikation genutzt. Eine Sichtweise als „Verantwortlicher“ bringt damit unter Umständen Vorteile durch eine stärkere (symbolische) Trennung mit anderen Rechten und Pflichten (v.a. Erfüllung der Betroffenenrechte) bei identem Niveau an technischem und organisatorischem Datenschutz.
Rechtsgrundlage im Datenschutz bei Befragungen
Als erste Frage stellt sich, welche Rechtsgrundlage für die Datenverarbeitung besteht. Dabei sind wohl v.a. zwei Ausnahmen vom Verbot der Verarbeitung personenbezogener Daten im Zusammenhang mit Mitarbeiterbefragungen relevant.
Rechtliche Verpflichtungen
In bestimmten Anlassfällen – dabei sei bspw. die Evaluierung psychischer Belastungen nach dem Arbeitnehmerschutzgesetz erwähnt – hat der Arbeitgeber die Pflicht derartige Befragungen durchzuführen. Dies erscheint als belastbarster Datenverarbeitungsgrund.
Berechtigte Interessen der Verantwortlichen
Jedes Unternehmen hat das wohl mehr als nur berechtigte Interesse zu erheben, ob die Gestaltung des Arbeitsumfeldes, die Personalarbeit, etc. aus Sicht der Belegschaft motivierend und/oder produktiv sind. Wenn dazu bestimmte personenbezogene Daten der eigenen Belegschaft genutzt werden müssen, erscheint dies als plausibler Grund.
Zuletzt kann man natürlich auch die Zustimmung der Betroffenen heranziehen. Dies sei aber nur der Vollständigkeit halber erwähnt und erscheint nur in bestimmten Aspekten nutzbar. Auch erscheint die nachweisbare Zustimmung bei einer anonymen Befragung als Kontradiktion.
Daten als Ausgangsbasis
Die zweite Frage ist wohl welche Daten überhaupt für die Durchführung einer klassischen Papierbefragung nötig wären. Dabei gibt es zwei idealtypische Szenarien.
- Bei klassischen Mitarbeiterbefragungen in Mitteleuropa wird für die Durchführung bei Online-Befragungen de facto nur die Firmen-Emailadresse der Befragten benötigt. So genannte Soziodemographika werden klassischerweise von den Befragten selbst im Fragebogen angegeben (in durch Kategorien stark vergröberter Form wie bspw. Altersklassen). Bei Papier-Befragungen, nur Informationen die der Verteilung der Fragebögen oder der Vermeidung von Mehrfachverteilungen dienen (bspw. Namenslisten, Postanschrift für den Versand). Unter gewissen Umständen lässt sich jegliche Befragung sogar ohne jegliche Daten über die Belegschaft organisieren (dazu später mehr).
- Bei vielen amerikanischen Anbietern im Bereich Mitarbeiterbefragungen findet man den Rat, Hintergrundinformationen über Mitarbeiter und Mitarbeiterinnen – bspw. Anstellungsverhältnis, Arbeitszeitausmaß, Organisationseinheit in der man arbeitet, Alter, Geschlecht – aus der Personaldatenbank zu exportieren, im Rahmen von Online-Befragungen im Hintergrund mitzuschleifen und hinterher für Auswertungen zu nutzen. Auch wenn dies per se für die Auswertung noch keine Anonymitätsverletzungen bedeuten muss, bedeutet es zumindest, dass eine Verknüpfung personenbezogener Daten gegeben ist und legitimiert werden muss.
Im Sinn des Datenschutzgesetzes sind übertragene Informationen wie in Fall 1 – dem aus meiner Sicht klassischen Fall in österr. und deutschen Unternehmen – keine oder nur sehr geringe Bedenken aus Datenschutzsicht anzuführen. Der Anwendungsfall 2 ruft verstärkt Datenschutzfragen auf die Agenda.
Rechtliche Vereinbarungen zum Datenschutz
Die dritte Frage bezieht sich nun auf die nötigen vertraglichen Grundlagen die es zur Nutzung von bspw. Emailadressen im Rahmen einer Mitarbeiterbefragung gibt. Dabei sind wohl wieder zwei Komponenten relevant.
Nutzung von Daten im Unternehmens(-verbund)
Da es per se keine Konzernprivilegien im Datenschutz gibt, ist zu prüfen, ob bspw. die Holding – bei Großunternehmensstrukturen – die personenbezogenen Daten der Mitarbeiter und Mitarbeiterinnen von Tochterunternehmen oder Beteiligungsunternehmen verwenden darf. Es braucht dabei jeweils eine schriftliche Vereinbarung.
Beauftragung externer Dienstleister
Werden externe Befragungsinstitute beauftragt, so gilt es hier entsprechende Datenschutzvereinbarungen (bspw. Auftragsverarbeiterverträge) aufzusetzen. In diesen sind die hinreichenden Garantien zur Verarbeitung der Daten in Einklang mit den Anforderungen der DSGVO zu verschriften. Dabei sind sowohl organisatorische, als auch technische Maßnahmen zum Datenschutz zu treffen.
Was in diesem Artikel keine Beachtung findet, ist die Frage, ob eine Befragung seitens des Betriebsrates aufbauend auf den Regelungen des Arbeitsverfassungsgesetzes zustimmungspflichtig ist. Mehr zum Thema „Mitarbeiterbefragung und Betriebsrat“ finden Sie auch in unserem Blogartikel Mitarbeiterbefragungen und Betriebsrat.
6 wichtige Aspekte des Datenschutzes in der Erhebungsphase einer Befragung
Fokussieren wir nun auf Aspekte des Datenschutzes bei Durchführung der Befragung durch externe Dienstleister. Hier sind die folgenden Aspekte von zentraler Bedeutung.
1. Wo werden die Daten verarbeitet?
Diese Frage läuft auf die geographische Lokalisation der Befragungssoftware hinaus. Server innerhalb der EU und/oder Ländern mit entsprechend akzeptierten Datenschutzstandards sind in jedem Fall passend. Ansonsten ist der Sachverhalt individuell zu prüfen.
2. Wie sicher ist die Datenverarbeitung?
Da die DSGVO auch die Datensicherheit betrifft, ist es wichtig, die technischen und organisatorischen Maßnahmen der Datenverarbeitung zu prüfen und ggf. Mindeststandards von Dienstleistern einzufordern.
3. Wie garantiert man die „Anonymität“ der Befragten?
Dies betrifft alle technischen und organisatorischen Maßnahmen, um die Anonymität der Ergebnisse entlang der Prozesskette „Erhebung – Auswertung“ zu garantieren.
4. Wie stellt man die „Freiwilligkeit“ der Befragung sicher?
Freiwilligkeit drückt das Prinzip aus, dass nicht nur meine inhaltlichen Antworten anonym sind, sondern auch, ob ich überhaupt an der Befragung teilgenommen habe oder nicht. Hier ist eine Gratwanderung zu gehen zwischen Anforderungen an Validität und Reliabilität der Daten (bspw. einmalig nutzbare Zugangslinks zur Vermeidung von Doppelteilnehmern) und logistischen Anforderungen (bspw. Erinnerungsemails an Befragte) einerseits, sowie andererseits zu vermeidende „Überwachung“ und „Belästigung“ durch zu offensive Erinnerungsarbeit.
5. Wie berücksichtigt man Informationspflichten/rechte?
Eine Mitarbeiterbefragung DSGVO-konform durchzuführen bedeutet aus meiner Sicht, den Befragten vorab transparente Information zu geben über:
- Die Art der erhobenen Daten
- Die Verwertungszusammenhänge
- Das Auswertungsprocedere
- Die Speicherdauer von Daten
6. Wie verwirklicht man andere Datenschutzgrundsätze?
Dazu zählen v.a. die Transparenz den Befragten gegenüber (siehe vorheriger Absatz), die Zweckbindung der Auswertungen, die Datenminimierung und damit Fokussierung der Erhebung auf relevante Fragestellungen (bspw. Minimierung von Soziodemographika) und ein breites Spektrum an organisatorischen und technischen Schutzmaßnahmen um Integrität und Vertraulichkeit der Daten zu sichern; bis hin zu definierten Löschfristen.
Bei einer anonymisierten Befragung sind gewisse Datenschutz Aspekte nur noch am Rande anwendbar. Bspw. könnten Befragte hinterher keine Löschung ihrer abgegebenen Antworten fordern, wenn der Befragungsdienstleister diese nur anonym vorliegen hat und diese schon per Definition nicht entsprechend identifizieren kann, um diese zu löschen.
Andererseits kann eine Befragung im skizzierten Sinne zum „Grenzfall“ werden, wenn bspw. vertiefende Gesundheitsfragen gestellt würden. Man denke bspw. an die Erhebung von aktuellen, diagnostizierten Krankheitsbildern in einer Mitarbeiterbefragung – dies würde, auch wenn Präzedenzfälle fehlen, ggf. eine erhöhte Schutzbedürftigkeit der Daten nahelegen.
Datenschutz in der Auswertungsphase einer Befragung
Als dritter Abschnitt von Interesse muss die Datenauswertung und Berichtslegung betrachtet werden. Wie schon skizziert: Ich gehe immer von anonymen und freiwilligen Befragungen aus bzw. einer stets anonymisierten und aggregierten Auswertung. Dabei können folgende Aspekte als wesentlich gelten:
- Anonyme Daten: Die Ergebnisdatensätze der Befragung sollten keinerlei Datenbezug zu bestimmten Personen beinhalten. Die mögliche Bestimmbarkeit von Personen durch die Kombination von bspw. Soziodemographika eliminiert man durch die nachfolgend beschriebenen Vorgehensweisen.
- Aggregation mit Mindestauswertungsgrenzen : Die Auswertung von Befragungsdaten erfolgt stets aggregiert für die jeweilige Auswertungseinheit (bspw. Abteilungen bei Mitarbeiterbefragungen). Die Auswertung erfolgt nur für Personengruppen und Auswertungseinheiten, die eine bestimmte Mindestauswertungsgrenze (= Zahl an ausgefüllten Fragebögen) erreichen. Ergebnisse unter der Auswertungseinheit werden generell nicht gesondert dargestellt. Diese müssen mit einer anderen Einheit verschmolzen werden, oder fließen nur in das Gesamtergebnis ein.
- Vermeidung von Kreuzauswertungen: Es erfolgen keine Kreuzauswertungen (= Kombinationen soziodemographischer Merkmale) oder nur solche, in denen alle Zellen die Mindestauswertungsgrenze erreichen. Dadurch werden mögliche de-anonymisierende Grenzfälle vermieden.
Resümee: Datenschutz bei Mitarbeiterbefragungen
Mitarbeiterbefragungen stellen aus meiner Sicht einen nicht zu komplexen Fall in Bezug auf die DSGVO dar – solange diese freiwillig und anonym bzw. anonymisiert erfolgen. Die folgenden Faktoren erhöhen dabei die Komplexität in Bezug auf den Datenschutz bei der einer Befragung jedoch merkbar:
- Interne Durchführung (anstelle externer Durchführung)
- Komplexe Unternehmensstrukturen (wer ist für welche Ausgangsdaten verantwortlich)
- Unklare Verwertungszusammenhänge und fehlende Transparenz gegenüber den Befragten
- Abfrage von Themen mit erhöhtem Schutzniveau (bspw. vertiefte Gesundheitsfragen)
- Verpflichtungen zur Teilnahme, die die Freiwilligkeit in Frage stellen.
- Sehr niedrige Mindestauswertungsgrenzen und/oder eine Vielzahl an feingliedrigen Soziodemographika, die die Anonymität in Frage stellen
Es ist daher in jedem Fall anzuraten, auch seit Jahren durchgeführte Befragungen immer wieder im Lichte der DSGVO zu prüfen und ggf. Konzeptanpassungen im Sinne des Datenschutzes durchzuführen. Ein professionelles externes Befragungsinstitut kann Unternehmen dabei eine wertvolle Unterstützung sein und erleichtert es dem Datenschutz gerecht zu werden.
Nutzen Sie unsere Expertise!
Das Thema dieses Beitrags interessiert Sie? In unserem vieJournal-Newsletter teilen wir mit Ihnen regelmäßig Praxistipps und Praxiserfahrungen aus unserem Projektalltag. Bleiben Sie am Laufenden!
Newsletter abonnieren