Wieso ist Datenschutz bei Befragungen relevant?

Das Thema Datenschutz ist insbesondere bei der Befragung von Mitarbeitenden nicht zu unterschätzen, da es maßgeblich zum Erfolg eines Umfrageprozesses beiträgt, indem es zum einen die Akzeptanz der Befragung und ihrer Maßnahmen fördert und zum anderen die Datenqualität der Ergebnisse steigert.

Checkliste zum Datenschutz bei Mitarbeiterbefragungen

  • Der Umfragedienstleister hält die nötigen technischen und organisatorischen Maßnahmen ein
  • Mit dem Dienstleister wurde ein ADV-Vertrag geschlossen
  • Der Kreis der Teilnehmer wurde definiert
  • Die erforderlichen personenbezogenen Daten wurden definiert (Name, Email, Abteilung, etc)
  • Es wurde ein Prozess für die Übertragung der Teilnehmerdaten an den Dienstleister definiert
  • Es wurde ein Prozess für die Übertragung der Ergebnisdaten durch den Dienstleister definiert
  • Der Empfängerkreis der Ergebnisdaten im Unternehmen wurde definiert
  • Die Anonymitätsgrenze für Ergebnisberichte wurde definiert
  • Das Umfragemedium und, falls relevant, der Standort und Anbieter des Umfrageservers wurden definiert
  • Falls offene Kommentare abgegeben werden dürfen, wurde das Auswertungsverfahren definiert
  • Der Umfragezeitraum und der Umgang mit den Rohdaten nach Auswertung wurden definiert
  • Datenschutzbeauftragter und Betriebsrat haben dem Konzept zugestimmt
  • Die Mitarbeitenden wurden über das Datenschutzkonzept informiert und haben einen Ansprechpartner für Rückfragen

Gerade bei Umfragen im Personalbereich, wie z.B. der Mitarbeiterbefragung oder dem Führungsfeedback, möchte das Unternehmen von den Mitarbeitenden ehrliche und offene Antworten bekommen. Diese Offenheit von Seiten der Teilnehmenden einer Befragung tritt nur dann ein, wenn gewährleistet ist, dass die gegebenen Antworten anonym sind und die Teilnehmenden keinerlei Konsequenzen aus gegebenen Antworten befürchten müssen.

Ein gutes Datenschutzkonzept in Verbindung mit einem externer Dienstleister, der die Durchführung und die Auswertung der Ergebnisse vornimmt, fangen diese Ängste auf, indem sie Anonymität gewährleisten und durch eine transparente Kommunikation die Beteiligten über den Verbleib ihrer Daten aufklären.

Bei Umfragen werden oft personenbezogene Daten sowie selbstdeklarierte Meinungsdaten erfasst und verarbeitet.

  • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu gehören im Arbeitskontext bspw.: Name, Alter, Geschlecht, Geburtsdatum, Anschrift, Telefonnummer, Email-Adresse, Abteilungs- und Unternehmenszugehörigkeit.
  • Meinungsdaten sind die abgegebenen Antworten auf Fragen im Fragebogen.

Wie kann das Thema Datenschutz im Umfrageprozess aufgegriffen werden?

Mit dem Thema Datenschutz sollte proaktiv umgegangen werden, das Thema sollte also früh in den Umfrageprozess integriert und in jeder Prozessphase verankert werden. Für die Datenschutzplanung ist es von Vorteil, verschiedene Sichtweisen und Anregungen einzuholen und einen klaren Prozess zu definieren. Hierbei können die entsprechenden Stakeholder wie z.B. Datenschutzbeauftragte, Betriebsräte sowie der Befragungsdienstleister weiterhelfen.

Datenschutz im Umfrageprozess

Datenschutz in der Vorbereitungsphase

Innerhalb der Vorbereitungsphase eines Umfrageprozesses sollte ein Datenschutzkonzept entwickelt werden, welches alle notwendigen Informationen zur Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten enthält. Es sollte außerdem klar geregelt sein, wie und in welchem Umfang die erhobenen Daten weiterverarbeitet werden dürfen.

Während der Informationskampagne, in der Mitarbeitende über den Ablauf und das Ziel einer Umfrage aufgeklärt werden, sollte auch präzise über den Umgang mit personenbezogenen Daten gesprochen werden. Hierbei sollte kommuniziert werden, dass die Durchführung und die Auswertung durch externe Dienstleister erfolgt und folglich niemand in der Organisation Zugriff auf die Rohdaten der Befragung erhält. Es ist empfehlenswert, alle wichtigen Informationen zum Thema Datenschutz in einem zentralen Dokument zu bündeln und dieses online oder in Form eines Flyers zur Verfügung zu stellen. Darüber hinaus sollte ein Ansprechpartner für Rückfragen zum Datenschutz bei der Befragung genannt werden, an den sich Mitarbeitende jederzeit wenden können.

Ebenfalls in der Vorbereitungsphase müssen die personenbezogenen Daten der Teilnehmenden an den externen Befragungsdienstleister übermittelt werden. In der Praxis werden diese leider viel zu häufig in unverschlüsselten Excel-Listen per Email verschickt, wobei bereits eine einfache Verschlüsselung der Excel-Liste in einem Zip-Archiv unter Verwendung einer sicheren Passphrase einen datenschutzkonformen Versand ermöglichen würde.

Falls die Befragung auch ohne personalisierte Einladungslinks auskommt, ist die Bereitstellung einer allgemeingültigen Umfrage-URL vorzuziehen, da die Verknüpfung von personenbezogenen Daten mit erhobenen Meinungsdaten so von Vornherein ausgeschlossen ist. Theoretische Nachteile eines für alle Mitarbeitenden gültigen Zugangslinks, wie eine Mehrfachteilnahme, sind in der Praxis zu vernachlässigen und haben praktisch keine Auswirkungen auf die Auswertung der erhobenen Daten.

Datenschutz bei der Datenerhebung

Im Bereich der Datenerhebung hat sich die verschlüsselte Datenübertragung für Onlinefragebögen bereits etabliert. Die in der Umfrage erhobenen Daten werden verschlüsselt über den Browser des Teilnehmenden zum Server des Befragungsanbieters verschickt.

Eine getrennte Speicherung von personenbezogenen Daten und Meinungsdaten ist jedoch bislang noch nicht überall gegeben. Im Idealfall sollte es für den Befragungsdienstleister nach dem Ausfüllen eines Fragebogens nicht mehr möglich sein, diesen einem Teilnehmenden zuzuordnen, da Name und Email eines Umfrageteilnehmenden nur für die Einladung verwendet, und getrennt von den Antwortdaten gespeichert werden. So findet schon auf technischer Ebene keine Zuordnung zwischen personenbezogenen Daten und Meinungsdaten statt, was sowohl die objektive Sicherheit als auch das Vertrauen in die Anonymität der Befragung erhöht.

Datenschutz bei der Umfrageauswertung

In der Auswertungsphase spielt das Thema Datenschutz eine Rolle, wenn entschieden wird, für welche Personen oder Organisationseinheiten Ergebnisberichte erstellt werden. Hier sollte am besten im Vorfeld eine Anonymitätsgrenze definiert werden, die regelt, wie viele Personen aus einer Berichtseinheit (Abteilung, Organisationseinheit, Team etc.) mindestens geantwortet haben müssen, damit ein Bericht überhaupt erstellt werden darf. Nehmen zu wenige Personen aus einer Berichtseinheit teil, fließen die Ergebnisse nur in den Bericht der nächsthöheren Ebene mit ein. Rückschlüsse auf einzelne Personen sind dadurch nicht möglich und die Anonymität wird gesichert.

Neben der Anonymitätsgrenze sollten klar definiert werden, wer Zugriff auf die Ergebnisse der Umfrage bekommt. Gehen diese an die oberste Führungsebene, an die Personalabteilung, an einzelne Führungskräfte oder an alle Mitarbeitenden? Grundsätzlich kann jede dieser Fragen individuell und unternehmensspezifisch beantwortet werden. Allgemein gilt, dass es wichtig ist, einen klar definierten und transparenten Prozess zu haben, der offen kommuniziert wird.

Die Vorlage der Ergebnisberichte in digitaler Form oder als Ausdruck, bringt verschiedene Vor- und Nachteile mit sich. Werden die Berichte digital zugestellt, können die Ergebnisse leicht in weitere Präsentationen oder Strategiepapiere eingearbeitet werden. Die papierbasierten Ergebnisberichte haben jedoch den Vorteil, dass sie, beispielsweise nach einer Abteilungsbesprechung oder einem Workshop, wieder eingesammelt werden können und die Ergebnisse so mit höhere Wahrscheinlichkeit in dem „geschützten Raum“ des Workshops verbleiben. Beide Möglichkeiten sollten, vor dem Hintergrund von Art und Zielsetzung der Befragung, abgewogen werden.

Falls im Rahmen der Umfrage offene Kommentare abgegeben werden, sollte das Auswertungsverfahren frühzeitig abgestimmt und transparent an die Mitarbeitenden kommuniziert werden. Bei manchen Befragungen werden die Antworten zwar anonymisiert, aber im „Klartext“ in den Ergebnisberichten wiedergegeben. Bei anderen Auswertungsmethoden werden die Antworten einer Inhaltsanalyse unterzogen und die Ergebnisse nur zusammengefasst dargestellt.

Auswahl eines Befragungsdienstleisters

Mit dem externen Befragungsdienstleister, der für die Durchführung sowie die Auswertung der Befragungsergebnisse verantwortlich ist, sollte ein Vertrag zur Auftragsdatenverarbeitung (ADV) abgeschlossen werden. Dieser beinhaltet u.a. den Umfang, Art und Zweck der Dienstleistung sowie die Festlegungen zu technischen und organisatorischen Maßnahmen (TOMs), die in §9 des Bundesdatenschutzgesetzes geregelt sind.

Laut diesem Gesetz sind alle Stellen, die personenbezogene Daten erheben und nutzen, dazu verpflichtet, den Datenschutz mit wirksamen Maßnahmen in folgenden Kategorien sicherzustellen: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und das Trennungsgebot.

Der Befragungsdienstleister wiederum sollte seinerseits über gültige ADV-Verträge mit Subunternehmen wie Rechenzentren und Serveranbietern verfügen.

Die Rolle des Datenschutzbeauftragten

Ein Datenschutzbeauftragter sorgt für die Einhaltung des Datenschutzes, indem er sich an die EU Datenschutzgrundverordnung, das Bundesdatenschutzgesetz sowie an das jeweilige Landesdatenschutzgesetz des Bundeslandes hält. Bei Befragungen ist ihr Datenschutzbeauftragter der richtige Ansprechpartner und kann Sie bei der Prozessplanung unterstützen. In der Regel begrüßen es Datenschutzbeauftrage ohnehin, früh in die Planung einbezogen zu werden.

    Beziehen Sie Ihren Datenschutzbeauftragten frühzeitig in die Planung und Konzeption Ihrer Umfrage mit ein. So stellen Sie sicher, dass der Befragungsprozess gesetzeskonform durchgeführt wird, sorgen für die Anonymität der Umfrageteilnehmenden und steigern die Datenqualität und Beteiligungsquote.

Laut Bundesdatenschutzgesetz sind Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn das Unternehmen mindestens 9 Mitarbeitende beschäftigt, die personenbezogene Daten automatisiert verarbeiten.

Die mit dem Datenschutz beauftragte Person kann entweder zu den Mitarbeitenden des Unternehmens gehören, oder auch extern bestellt werden. Vorteilhaft bei einem internen Datenschutzbeauftragten ist, dass dieser das Unternehmen sowie wichtige Abläufe und Kernprozesse kennt. Demgegenüber bringt ein externer Datenschutzbeauftragter den Vorteil mit sich, mit einer objektiven Betrachtungsweise auf datenschutzrechtliche Aspekte zu schauen. Oftmals besitzt dieser auch mehr Erfahrungen und kann schneller auf Veränderungen gesetzlicher Anforderungen reagieren.

Unabhängig davon, wie sich ein Unternehmen entscheidet, muss ein Datenschutzbeauftragter notwendige Fachkunde besitzen und sich regelmäßig fortbilden.