Diese Frage wurde
von Phia Weber
am 03.07.2026 um 20:02 Uhr gestellt.
Was müssen wir beim Datenschutz beachten?
Wir sind ein KMU und möchten zum ersten Mal eine Mitarbeitendenbefragung durchführen.
Könnten Sie kurz aufzeigen, was wir zum Thema Datenschutz beachten müssen?
Vielen Dank!
Johannes Joppien schrieb am 03.07.2026 um 20:15 Uhr:
Kurz gesagt, ja, bei einer Mitarbeiterbefragung werden personenbezogene Daten verarbeitet, also gelten die DSGVO und das BDSG, bei Behörden zusätzlich die Landesdatenschutzgesetze. Mit einem strukturierten Vorgehen ist das aber gut zu beherrschen. Zwei Dinge stehen beim Datenschutz bei einer Mitarbeiterbefragung im Mittelpunkt, die rechtliche Grundlage und die tatsächlich gelebte Anonymität.
Zur rechtlichen Grundlage. Sobald Sie einen externen Anbieter für Mitarbeiterbefragungen beauftragen, brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Darin wird der Umgang mit den Daten geregelt, etwa Zugriff, Speicherdauer und Löschfristen. Verantwortlich für den Abschluss ist Ihr Unternehmen als Auftraggeber, den Vertragstext stimmen Ihr Datenschutzbeauftragter und die Projektleitung mit dem Dienstleister ab. Ein seriöser Anbieter stellt dafür ein Muster samt der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO bereit. Wird ein weiterer Dritter eingebunden, etwa ein wissenschaftlicher Partner, muss dieser im Vertrag benannt sein. Achten Sie außerdem auf eine Zertifizierung nach ISO/IEC 27001, denn sie belegt, dass die Informationssicherheit des Anbieters von einer unabhängigen Stelle nach internationalem Standard geprüft wurde.
Noch wichtiger für die Akzeptanz ist die Anonymität bei einer Mitarbeiterbefragung, denn ehrliche Antworten bekommen Sie nur, wenn sich niemand identifizierbar fühlt. Anonym heißt, dass sich keine Antwort einer einzelnen Person zuordnen lässt, weder in der Auswertung noch in den Berichten. Drei Bausteine sichern das ab.
1. Auswertegrenze. Vereinbaren Sie vorab eine Auswertegrenze, meist mindestens fünf Antworten je Organisationseinheit, unterhalb derer kein Einzelbericht erstellt wird. Gerade für ein KMU ist das zentral, weil kleine Abteilungen sonst schnell identifizierbar wären.
2. Aggregation. Antworten aus zu kleinen Einheiten gehen nicht verloren, sondern fließen in die nächsthöhere Ebene ein, etwa in den Gesamtbericht. Ein Detail ist dabei zu beachten. Zeigt man einen übergeordneten Bericht zusammen mit den Einzelberichten der enthaltenen Einheiten, lässt sich eine zu kleine Einheit rechnerisch wieder herauslösen, also übergeordneter Bericht minus die vorhandenen Einheitenberichte. Ein guter Anbieter kennt diese Differenzbildung und verhindert solche Rückschlüsse.
3. Datensparsamkeit. Für Einladung und Verteilung sind die E-Mail-Adresse, bei Bedarf der Name und die Zuordnung jeder Person zu ihrer Einheit, also Abteilung oder Standort, notwendig. Für die Auswertung selbst braucht ein guter Dienstleister darüber hinaus keine weiteren personenbezogenen Angaben wie Personalnummer oder Geburtsdatum, sondern nur die Bezeichnung und die Mitarbeiterzahl der Einheiten und bei Bedarf den Namen der jeweiligen Führungskraft, damit erkennbar ist, wer im Fragebogen ein Feedback erhält. Je weniger Daten übergeben werden, desto geringer das Risiko. Demografische Angaben werden idealerweise – aus Datenschutzperspektive – freiwillig im Fragebogen selbst erhoben, auch wenn größere Unternehmen oft vorcodierte Datensätze aus Systemen wie SAP oder Workday übergeben möchten.
Ein Wort zum Betriebsrat, falls bei Ihnen einer besteht. Eine anonyme Mitarbeiterbefragung unterliegt in der Regel keiner erzwingbaren Mitbestimmung, es gilt aber eine Informationspflicht nach § 80 BetrVG. Binden Sie den Betriebsrat trotzdem früh und aktiv ein, das erhöht Vertrauen und Beteiligung spürbar. Anders liegt der Fall, wenn Sie die Befragung mit einer Gefährdungsbeurteilung psychischer Belastung verbinden. Dann geht es um den Gesundheitsschutz und um gesundheitsbezogene, besonders geschützte Daten im Sinne von Art. 9 DSGVO, und der Betriebsrat hat ein echtes Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 7 BetrVG. In diesem Verbund ist die enge Einbindung des Betriebsrats nicht nur sinnvoll, sondern rechtlich geboten.
Zwei Dinge zum Schluss. Kommunizieren Sie die getroffenen Schutzmaßnahmen offen an die Belegschaft, denn wer weiß, wie seine Anonymität konkret gewahrt wird, nimmt eher und ehrlicher teil. Und binden Sie Ihren Datenschutzbeauftragten von Anfang an ein.
Ein oft unterschätzter Punkt: Ein externer Dienstleister für Mitarbeiterbefragungen erhöht nicht nur die tatsächliche, sondern vor allem die gefühlte Anonymität. Wenn die Daten bei einem neutralen Partner liegen und der Arbeitgeber nachweislich keine Einsicht in einzelne Antworten hat, trauen sich die Beschäftigten eher, offen zu antworten. Genau das ist die Grundlage für belastbare Ergebnisse.
Kurz gesagt, ja, bei einer Mitarbeiterbefragung werden personenbezogene Daten verarbeitet, also gelten die DSGVO und das BDSG, bei Behörden zusätzlich die Landesdatenschutzgesetze. Mit einem strukturierten Vorgehen ist das aber gut zu beherrschen. Zwei Dinge stehen beim Datenschutz bei einer Mitarbeiterbefragung im Mittelpunkt, die rechtliche Grundlage und die tatsächlich gelebte Anonymität.
Zur rechtlichen Grundlage. Sobald Sie einen externen Anbieter für Mitarbeiterbefragungen beauftragen, brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Darin wird der Umgang mit den Daten geregelt, etwa Zugriff, Speicherdauer und Löschfristen. Verantwortlich für den Abschluss ist Ihr Unternehmen als Auftraggeber, den Vertragstext stimmen Ihr Datenschutzbeauftragter und die Projektleitung mit dem Dienstleister ab. Ein seriöser Anbieter stellt dafür ein Muster samt der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO bereit. Wird ein weiterer Dritter eingebunden, etwa ein wissenschaftlicher Partner, muss dieser im Vertrag benannt sein. Achten Sie außerdem auf eine Zertifizierung nach ISO/IEC 27001, denn sie belegt, dass die Informationssicherheit des Anbieters von einer unabhängigen Stelle nach internationalem Standard geprüft wurde.
Noch wichtiger für die Akzeptanz ist die Anonymität bei einer Mitarbeiterbefragung, denn ehrliche Antworten bekommen Sie nur, wenn sich niemand identifizierbar fühlt. Anonym heißt, dass sich keine Antwort einer einzelnen Person zuordnen lässt, weder in der Auswertung noch in den Berichten. Drei Bausteine sichern das ab.
1. Auswertegrenze. Vereinbaren Sie vorab eine Auswertegrenze, meist mindestens fünf Antworten je Organisationseinheit, unterhalb derer kein Einzelbericht erstellt wird. Gerade für ein KMU ist das zentral, weil kleine Abteilungen sonst schnell identifizierbar wären.
2. Aggregation. Antworten aus zu kleinen Einheiten gehen nicht verloren, sondern fließen in die nächsthöhere Ebene ein, etwa in den Gesamtbericht. Ein Detail ist dabei zu beachten. Zeigt man einen übergeordneten Bericht zusammen mit den Einzelberichten der enthaltenen Einheiten, lässt sich eine zu kleine Einheit rechnerisch wieder herauslösen, also übergeordneter Bericht minus die vorhandenen Einheitenberichte. Ein guter Anbieter kennt diese Differenzbildung und verhindert solche Rückschlüsse.
3. Datensparsamkeit. Für Einladung und Verteilung sind die E-Mail-Adresse, bei Bedarf der Name und die Zuordnung jeder Person zu ihrer Einheit, also Abteilung oder Standort, notwendig. Für die Auswertung selbst braucht ein guter Dienstleister darüber hinaus keine weiteren personenbezogenen Angaben wie Personalnummer oder Geburtsdatum, sondern nur die Bezeichnung und die Mitarbeiterzahl der Einheiten und bei Bedarf den Namen der jeweiligen Führungskraft, damit erkennbar ist, wer im Fragebogen ein Feedback erhält. Je weniger Daten übergeben werden, desto geringer das Risiko. Demografische Angaben werden idealerweise – aus Datenschutzperspektive – freiwillig im Fragebogen selbst erhoben, auch wenn größere Unternehmen oft vorcodierte Datensätze aus Systemen wie SAP oder Workday übergeben möchten.
Wie sich die Anonymität bei einer Mitarbeiterbefragung im Detail sicherstellen lässt, lesen Sie hier: https://cubia.com/leistungen/mitarbeiterbefragung/anonyme-mitarbeiterbefragungen/
Ein Wort zum Betriebsrat, falls bei Ihnen einer besteht. Eine anonyme Mitarbeiterbefragung unterliegt in der Regel keiner erzwingbaren Mitbestimmung, es gilt aber eine Informationspflicht nach § 80 BetrVG. Binden Sie den Betriebsrat trotzdem früh und aktiv ein, das erhöht Vertrauen und Beteiligung spürbar. Anders liegt der Fall, wenn Sie die Befragung mit einer Gefährdungsbeurteilung psychischer Belastung verbinden. Dann geht es um den Gesundheitsschutz und um gesundheitsbezogene, besonders geschützte Daten im Sinne von Art. 9 DSGVO, und der Betriebsrat hat ein echtes Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 7 BetrVG. In diesem Verbund ist die enge Einbindung des Betriebsrats nicht nur sinnvoll, sondern rechtlich geboten.
Zwei Dinge zum Schluss. Kommunizieren Sie die getroffenen Schutzmaßnahmen offen an die Belegschaft, denn wer weiß, wie seine Anonymität konkret gewahrt wird, nimmt eher und ehrlicher teil. Und binden Sie Ihren Datenschutzbeauftragten von Anfang an ein.
Ein oft unterschätzter Punkt: Ein externer Dienstleister für Mitarbeiterbefragungen erhöht nicht nur die tatsächliche, sondern vor allem die gefühlte Anonymität. Wenn die Daten bei einem neutralen Partner liegen und der Arbeitgeber nachweislich keine Einsicht in einzelne Antworten hat, trauen sich die Beschäftigten eher, offen zu antworten. Genau das ist die Grundlage für belastbare Ergebnisse.
Mehr Details, etwa zur Auswertegrenze, zur Einbindung des Betriebsrats und zur Datensparsamkeit, finden Sie in unserem Planungsleitfaden im Abschnitt Datenschutz: https://mitarbeiterbefragungen.com/mitarbeiterbefragungen/planung/#datenschutz