← Best-Practice-Bibliothek
Governance0 € · kostenlosunter 30 Min.

10-Minuten-Datenschutz-Audit für Mitarbeiterbefragungen

Der häufigste DSGVO-Fehler im BGM passiert nicht beim Auswerten von Diagnosen — er passiert bei scheinbar harmlosen Mitarbeiterbefragungen. Demografische Fragen, die in der Kombination Einzelpersonen erkennbar machen, sind ein Datenschutzverstoß nach Art. 9 DSGVO.

Was schnell schiefgeht

Ein einfaches Beispiel: Eine Befragung fragt nach Abteilung + Geschlecht + Alter. In einer kleinen Abteilung mit 4 Personen, wo eine Person weiblich und über 55 ist, ist diese Person de facto identifizierbar — auch ohne Namen. Das reicht für einen DSGVO-Verstoß.

Ein zweiter Klassiker: Die Umfrage-URL enthält einen Personalcode oder wird per personalisierten Link versendet. Auch wenn das Tool 'anonym' sagt — wenn der Versand individualisiert ist, ist die Anonymität aufgehoben.

Der 3-Punkte-Check

Vor jeder Befragung 10 Minuten für diese drei Fragen:

**Check 1 — Rückschluss-Test:** Kann die Kombination der demografischen Fragen in kleinen Gruppen (unter 5 Personen) zur Identifizierung führen? Wenn ja: entweder Demografiefragen streichen oder Gruppen zusammenfassen.

**Check 2 — Freiwilligkeits-Klausel:** Steht auf der Startseite der Befragung unmissverständlich: 'Teilnahme ist freiwillig. Es werden keine IP-Adressen, Cookies oder Zeitstempel gespeichert.'?

**Check 3 — Zweckbindungs-Nachweis:** Ist sichergestellt — technisch und vertraglich mit dem Tool-Anbieter — dass die Daten ausschließlich für BGM-Planung genutzt und danach gelöscht werden? Verknüpfung mit Leistungsbeurteilungen ist streng verboten.

So setzt du es um

  1. 1
    Demografiefragen auf Identifizierbarkeitsrisiko prüfen (Gruppen < 5 Personen?)
  2. 2
    Freiwilligkeitserklärung auf Startseite der Befragung platzieren
  3. 3
    IP-Speicherung und Zeitstempel im Tool-Backend deaktivieren prüfen
  4. 4
    Auftragsverarbeitungsvertrag (AVV) mit Befragungstool-Anbieter prüfen
  5. 5
    Zweckbindung dokumentieren: Nur BGM-Planung, kein Leistungsbezug
  6. 6
    Betriebsrat vor Versand einbinden (§ 87 BetrVG Mitbestimmung)
  7. 7
    Mindestgruppengröße 5 für Auswertung im System konfigurieren

Was du brauchst

Aufwand
unter 30 Min.
Kosten
0 €
Dauer
10 Minuten
Setup
10 Min.
  • DSGVO Art. 9 Compliance für besondere Datenkategorien
  • Betriebsrätliche Mitbestimmung gewahrt — verhindert Unterlassungsklagen
  • Höhere Teilnahmequote durch glaubwürdige Anonymitätszusage
  • GKV-Leitfaden Checks 23–35 (Analysephase) sicher erfüllt

Förderfähig: bis 600 € steuerfrei

Als Teil eines strukturierten BGM-Prozesses ist diese Maßnahme nach § 3 Nr. 34 EStG bis 600 € pro Mitarbeitendem und Jahr steuerfrei. Zertifizierte Angebote bezuschusst zusätzlich die Krankenkasse nach § 20b SGB V.

Im BGM-Tool umsetzen

EasyBGM verbindet diese Maßnahme mit deinen BGM-Zielen, Anlässen und KPIs — alles an einem Ort, ohne Excel.

EasyBGM kostenlos testen

Zahlt ein auf

DSGVO-Konformität bei BGM-Analysen sicherstellenGKV-Leitfaden Phase 3 (Checks 23–35) rechtssicher abdeckenBetriebsrat frühzeitig einbinden

Handlungsfeld

Governance

Passende Best Practices

Nicht sicher, wo ihr anfangen sollt? BGM-Reifegrad prüfen →