EU-Datenschutzgrundverordnung: Das müssen Sie bei der Mitarbeiterbefragung beachten
Die neue EU-Datenschutz-Grundverordnung hat besondere Relevanz Mitarbeiterbefragungen, weil dort im grossen Stil mitarbeiterbezogene Daten gesammelt und verarbeitet werden. Da in der Schweiz rund 80 Prozent der Unternehmen Mitarbeiterbefragungen durchführen, dürften bei vielen bald konkrete Fragen dazu auftauchen. Diese Fragen haben wir einem Arbeitsrecht-Experten und einer Expertin für Mitarbeiterbefragungen gestellt.
Die neue EU-Datenschutz- Grundverordnung betrifft fast alle Bereiche der HR-Arbeit – besonders, wenn im grossen Stil mitarbeiterbezogene Daten gesammelt werden. (Bild: 123RF)
HR Today: Herr Prinz, was genau muss man beachten, wenn man plant, demnächst eine Mitarbeiterbefragung durchzuführen?
Marc Prinz: Grundsätzlich tritt die EU-Datenschutz-Grundverordnung (GDPR) am 25. Mai 2018 im Europäischen Raum in Kraft – Schweizer Unternehmen sind allerdings indirekt ebenfalls betroffen, und zwar dann, wenn Sie z.B. Grenzgänger beschäftigen, oder Ihr Befragungsprovider die Befragung in einem EU-Land hosten. Deshalb gilt es bereits jetzt einiges zu beachten. Ist z.B. die Datenverarbeitung zwischen Ihnen und dem Anbieter Ihrer Befragung geregelt, das heisst, gibt es einen Vertrag, der Datenschutz sicherstellt und Verantwortlichkeiten klärt? Sowohl das Unternehmen, das die Befragung in Auftrag gibt, als auch der Anbieter der Befragung haben nämlich Pflichten zu erfüllen. Beispielsweise müssen sie gewährleisten, dass die Rechte der Teilnehmer laut GDPR gewahrt bleiben und Transparenz besteht, was mit den persönlichen Daten geschieht.
Wie sieht denn nun Transparenz bei einem Befragungsprojekt im Kontext der GDPR genau aus?
Anna Scherzer: Um die Befragung durchzuführen, müssen persönliche Daten vom Unternehmen zum Anbieter der Befragung übermittelt werden. Neu ist es wichtig, dass nur notwendige persönliche Daten übermittelt werden, der Zweck der Übermittlung klar definiert ist und den Mitarbeitenden folgende Informationen zugänglich sind:
- Wer ist verantwortlich? Kontakt des internen Projektleiters bei HR
- An wen kann ich mich wenden, wenn ich zum Datenschutz Fragen habe? Kontakt des Datenschutzbeauftragten beim eigenen Arbeitgeber (und auch beim Anbieter)
- Welche persönlichen Daten werden von mir übermittelt? Kategorien der persönlichen Daten, die dem Befragungsanbieter übermittelt werden (z.B. e-Mailadresse, Name etc.)
- Wer bekommt die Auswertungen? Die Daten werden für den eigenen Arbeitgeber erhoben (und die Antworten auf die Fragen nur in zusammengefasster Form weitergegeben)
- Wann werden die persönlichen Daten beim Anbieter der Befragung gelöscht? Z.B. 6 Monate nach der Befragung
- Was für Rechte habe ich?
Zur Person
Okay – wenn ein Mitarbeitender also diese Informationen bekommt und Bedenken hat, was kann er dann unternehmen?
Marc Prinz: Teilnehmende haben das Recht auf ...
- ... Auskunft welche Daten über sie gespeichert sind (also z.B. nicht nur, dass allgemein die Information übermittelt wird, in welcher Einheit Mitarbeitende arbeiten, sondern auch, welcher Einheit sie zugeteilt wurden).
- ... Auskunft woher die Daten stammen.
- ... Berichtigung und Löschung der Daten.
- ... Einreichung von Beschwerden – intern oder extern.
Wenn nun ein Mitarbeitender auf Löschung seiner persönlichen Daten besteht, wie geht man in der Praxis mit einer solchen Anfrage um?
Anna Scherzer: Da gäbe es die Möglichkeit, beim externen Anbieter, der die Befragung durchführt, die persönlichen Daten dieses Mitarbeitenden löschen zu lassen. Vom Prozess her würde der Mitarbeitende die Löschung dem internen Projektleiter beim Unternehmen in Auftrag geben, der diese Anfrage dann an den Befragungsanbieter weiterleitet. Da es sich bei einer Mitarbeiterbefragung nach wie vor um eine Auftragsdatenverarbeitung handelt, kann der Anbieter nicht ohne Weisung seines Auftraggebers (also des internen Projektleiters bei Ihnen) tätig werden.
Wie sieht es mit den Antworten von Befragungen aus? Was ist da zu beachten?
Marc Prinz: Grundsätzlich dürfen keine Einzelantworten, die im Rahmen der Befragung gesammelt wurden, an den Arbeitgeber der Befragten übergeben werden. Das ist auch schon bisher gängige Praxis. Da der externe Anbieter ohnehin die Daten pseudonymisiert (d.h. Antworten strikt trennt von persönlichen Daten), müssen bzw. können die Antworten eines einzelnen Teilnehmers nicht mehr identifiziert und gelöscht werden.
Zur Person
Worauf sollte ich bei der Wahl eines Befragungsproviders achten?
Anna Scherzer: Der Anbieter sollte die GDPR von sich aus ansprechen und Sie zu IT-Gegebenheiten (z.B. wo die Befragung gehostet ist, wie Cookies verwendet werden etc.) informieren, eine IT-Plattform verwenden, bei der auf der technischen Ebene persönliche Daten und Antworten der Befragten klar getrennt behandelt werden und Ihnen Unterstützung anbieten bzgl. GDPR-Anforderungen bei Ihnen im Unternehmen (z.B. Vorschläge für FAQs).
Gibt es Möglichkeiten, wie man eine Mitarbeiterbefragung durchführen kann ohne diesen ganzen bürokratischen Aufwand?
Anna Scherzer: Ja, hier gibt es verschiedene Optionen. Man kann z.B. einen Befragungslink verwenden, der nicht personalisiert ist und ihn im Intranet aufschalten. Oder man kann die Angabe von Merkmalen zur Person (Alter, Funktion etc.) auf freiwilliger Basis im Fragebogen sammeln und so die Übermittlung der persönlichen Daten auf ein Minimum beschränken.
In Kürze
Vier Punkte sind besonders wichtig für eine GDPR-konforme Durchführung einer Befragung, nämlich:
- Einen Vertrag abschliessen, der regelt, was der Auftraggeber und der Anbieter der Befragung in Bezug auf Datenschutz unternehmen müssen.
- Nur Daten übermitteln, die für die Befragung auch wirklich notwendig sind.
- Die Datenschutzbeauftragten informieren.
- Die Mitarbeitenden informieren, welche Daten über sie für die Befragung übermittelt werden und warum, was ihre Rechte und wer ihre Ansprechpartner bei Fragen sind.