Wie wird die Anonymität bei einer Mitarbeiterbefragung gewährleistet?
Die umfassende Durchdringung des Berufsalltags mit Informationstechnologien ist mittlerweile zur Regel geworden, erst recht im Zeitalter der Digitalisierung. Bei der Datenerhebung spielt vor allem der ökonomische Aspekt eine große Rolle. Dabei gerät der Schutz der Daten nicht erst seit der DSGVO zunehmend in den Blick.
Für die Marktforschung relevant erweist sich das Thema Anonymität im Rahmen der Durchführung von codegeschützten Umfrageprojekten. Um etwa zu einer pseudonymisierten Mitarbeitendenbefragung eingeladen werden zu können, werden in aller Regel die E-Mail-Adressen der Angestellten verwendet, damit diese individuell und persönlich zu der Befragung eingeladen werden können. Dabei stellt sich natürlich die Frage nach Anonymität und Datenschutz in Bezug auf personenbezogene Daten. Wie sich dieser vermeintliche Widerspruch lösen lässt, zeigt der vorliegende Blogartikel.
Was „Datenschutz“ bedeutet
Unter „Datenschutz“ wird der Schutz individueller, privater Daten oder Informationen vor Unbefugten oder der Allgemeinheit verstanden. Vor allem die unbefugte Verwendung, Aufdeckung oder Weitergabe personenbezogener Daten (Informationen, die sich auf eine identifizierbare natürliche Person beziehen) soll vermieden werden. Hierbei geht es darum, die betreffenden Personen vor Indiskretionen und Benachteiligungen und somit in ihrem Persönlichkeitsrecht zu schützen. Datensicherheit und Anonymität gehen mit dem Datenschutz Hand in Hand.
Datenschutz in der Marktforschung
Für die Marktforschung stellt sich in einem codegeschützten Befragungsvorhaben früh die Frage nach persönlichen Daten, etwa wenn es um die persönliche Anrede der gewünschten Teilnehmer geht. Wer ein Umfrageprojekt plant, benötigt Kontaktdaten (E-Mail-Adresse usw.) der gewünschten Probandinnen und Probanden. Für die durchführende Institution gilt es, hierbei trotz Datenübermittlung die Teilnehmer-Anonymität sicherzustellen.
Anonymität und Datentransfer – ein Widerspruch?
Für die reibungslose Durchführung codegeschützter Mitarbeiterbefragungen sind Kontaktdaten bzw. persönliche Daten wichtig (beispielsweise beim Anschreiben) und stellen in puncto Datenschutz eine nicht unerhebliche Herausforderung dar. Gerade bei der Online-Marktforschung herrschen oft Bedenken in Bezug auf Anonymität und Datenschutz bei der Durchführung von Befragungen, weil hier ein individueller Zugangslink benötigt wird.
Herausforderung 1: Pseudonymisierung
Bei der codegeschützten Online-Befragung erhält jeder Proband in der Regel einen Teilnahmecode. Dieser Code wird eingebaut in einen Link übermittelt. Um hierbei den Rückschluss auf die teilnehmende Person zu verhindern, kommt ein Verfahren zum Einsatz, das aus zwei Aspekten besteht: Pseudonymisierung und Schlüsselliste. Im Rahmen der Pseudonymisierung wird jedem Probanden ein Pseudonym in Form eines Umfragecodes zugeordnet. Ein Zufallsalgorithmus wählt in der Regel eine Kombination aus Großbuchstaben, Kleinbuchstaben und Ziffern. Mithilfe dieses Pseudonyms wird der Rückschluss auf die teilnehmende Person verhindert.
Herausforderung 2: Schlüsselliste
Eine personenbezogene Verknüpfung und damit Identifizierung eines Teilnehmers ist nur mit der sogenannten Schlüsselliste möglich. Hierbei handelt es sich um die bedeutsamste Datei in Bezug auf die Sicherstellung der Anonymität bei einer Befragung mit Codeschutz. In der Schlüsselliste sind die genannten Pseudonyme mit mindestens einem Datum verknüpft, welches auf den Teilnehmenden zurückschließen lässt (in der Regel Name und/oder E-Mail-Adresse).
Diese Verknüpfung ist an dieser Stelle nicht zu vermeiden, weil dem Probanden sein Teilnahmecode bzw. sein Umfragelink ja mithilfe dieser Informationen zugestellt werden muss. Meist geschieht dies in einem Programm zum Aussenden von individualisierten Massenmails oder aber auch mithilfe eines Word-Serienbriefs. In diesem Fall ist die entsprechende Datei die Schlüsselliste. Ohne diese Verknüpfung der Informationen ist eine persönliche Einladung bei diesem Verfahren unmöglich.
Herausforderung 3: Trennung von Schlüssel- und Pseudonymliste
Der „Trick“ zur Herstellung sogenannter pseudonymisierter Befragungsdaten ist es nun, zwei Versionen der Listen zu führen, auf der einen Seite die streng zu schützende komplette Schlüsselliste mit allen Informationen und auf der anderen Seite die sogenannte Pseudonymliste, welche nur noch die Pseudonyme und nicht-personenbezogene Daten enthält und nicht mehr Name oder E-Mail-Adresse.
Die Schlüsselliste wird zum Versand der Einladungen benötigt, die Pseudonymliste wird als Zusatzdatei an die Befragung angespielt. Da mit diesem Prinzip keine Daten wie E-Mail oder Name auf dem Befragungsserver liegen, können keine personenbezogenen Umfragedaten entstehen. Am Ende wird die Schlüsselliste gelöscht, womit auch der letzte Bezug zur Person aufgelöst ist.
Wie lassen sich Mitarbeiterbefragungen anonym durchführen?
Anonymität und Datenschutz lassen sich im Rahmen eines Befragungsprojekts auf einfache Weise gewährleisten durch Hinzuziehung eines externen Dienstleisters. Hierbei sollte es sich idealerweise um eine neutrale Institution handeln, welche die Daten verwaltet und sich gängigen Datenschutzvereinbarungen verpflichtet. Eine solche externe Organisation greift auf folgende Aspekte zurück:
- Dateiübertragung mittels SSL-gesicherter Plattform
- Verwaltung der Rohdaten
- Pseudonymisierung der personenbezogenen Daten (für alle Auswertungsgruppen gilt eine Auswertungsschwelle von n>5, auch für die Kombination von Merkmalen, dadurch wird das Profiling personenbezogener Daten erschwert)
- neutrale Umfrageserver ohne Manipulationsmöglichkeit durch den Auftraggeber
- permanente Überwachung und Kontrolle (Monitoring) sämtlicher Umfrageprozesse
- Anfertigung und Versand der Berichte
Mit Datenschutz auf Nummer sicher
Der Datenschutz ist die wichtigste Stellschraube für ein Höchstmaß an Anonymität und Datensicherheit. Dies wird ermöglicht durch vertragliche Garantien zur Datenverarbeitung per Datenschutzvereinbarung. Hierfür sollten folgende Aspekte vereinbart werden:
- Daten dürfen nicht an Dritte weitergegeben werden.
- Es dürfen ausschließlich aggregierte und anonyme Daten verarbeitet werden.
- Der Auftraggeber darf nicht auf die Rohdaten zugreifen.
- Einige Zeit nach Abschluss des Projektes werden die Schlüssellisten gelöscht.
Weiterer Datenschutz-Faktor: Einladungsmanagement
Ein professionelles Einladungsmanagement bildet den Auftakt zu Ihrer Mitarbeitendenbefragung. Entscheiden Sie sich für Rogator als Dienstleister, umfasst die Abwicklung der Einladungen folgende Aspekte:
- Erzeugung zufallsbasierter Codes/Pseudonyme
- Sicherer Versand über Rogator-Domäne
- Trennung von Pseudonym- und Schlüsselliste
- Gesicherte Speicherung der Schlüsselliste bei Rogator
- Löschen der Schlüsselliste nach Projektende
Fazit
Anonymität und Datenschutz bei Mitarbeiterbefragungen müssen kein Widerspruch sein. Die Herausforderungen lassen sich meistern, indem man das Thema Datenschutz großschreibt. Hierfür ist es ratsam, eine neutrale, externe Institution zu beauftragen, welche die genannten kritischen Aspekte im Blick hat und über langjährige Erfahrung verfügt – beispielsweise Rogator als „Treuhänderin“ Ihrer Daten. Auf diese Weise lässt sich der Datenschutz von der Einladung bis zur finalen Übermittlung der Resultate auch bei Mitarbeitendenbefragungen gewährleisten.
Referenzprojekt zum Nachlesen
Erfahren Sie mehr zum Thema Anonymität in unserer Case Study ,,Anonymität bei Mitarbeiterfeedbacks – Flexible Hybridbefragung“.
>> zur Case Study <<
Folgende Blogbeiträge könnten für Sie auch interessant sein:
- Wie wird die Anonymität in Dashboards gewahrt?
- In welchen Situationen lohnt sich eine klassische Mitarbeiterbefragung für Unternehmen?
- Warum ist ein externer Partner die bessere Wahl zur Durchführung einer Mitarbeiterbefragung?
- Sollten Unternehmen eine Mitarbeiterbefragung durchführen, obwohl sie negative Ergebnisse befürchten?
- Gefälschte Fragebögen vermeiden – Anonymität und Datenschutz bei Mitarbeiterbefragungen