06.05.2021
Digitales 360-Grad-Feedback für Mitarbeiterinnen und Mitarbeiter: Was ist zu beachten?
Mit dem zunehmenden Einsatz von digitalen 360-Grad-Feedback-Lösungen stellen sich auch vermehrt Fragen des Datenschutzrechts. Im folgenden Beitrag wollen wir Ihnen deshalb einen kurzen Überblick über die rechtlichen Fragestellungen geben.
Dr. Philipp Siedenburg
Director Datenschutz
360-Grad-Feedback für Mitarbeiterinnen und Mitarbeiter wird in der modernen digitalen Arbeitswelt immer beliebter. Die ursprünglich nur für Führungskräfte eingesetzte Methode wird durch die Verfügbarkeit digitaler Tools kostensparender und effizienter. Daher werden auch immer öfter Mitarbeiter und Mitarbeiterinnen mit einbezogen. Mit dem zunehmenden Einsatz von digitalen 360-Grad-Feedback-Lösungen stellen sich auch vermehrt Fragen des Datenschutzrechts. Im folgenden Beitrag wollen wir Ihnen deshalb einen kurzen Überblick über die rechtlichen Fragestellungen geben.
Wie 360-Grad-Feedback für Mitarbeiter funktioniert
Das klassische Top-Down-Feedback, also eine Leistungsbewertung allein durch Vorgesetzte, hat den Nachteil, dass es sehr einseitig sein kann. Diese Feedback-Form ist stark subjektiv geprägt. 360-Grad-Feedback kann da Abhilfe schaffen. Durch eine Gegenüberstellung von Selbst- und Fremdbild kann Leistung objektiver erfasst und die Entwicklungspotenziale von Mitarbeitenden besser identifiziert werden. Dazu werden die Einschätzungen zu Mitarbeitenden von allen Seiten eingeholt.
Als Workshop ist eine 360-Grad-Feedback-Runde sehr zeit- und ressourcenintensiv. Dieses Problem lässt sich durch einfach skalierbare digitale Tools lösen. Für die konkrete Ausgestaltung der Tools gibt es keine definitiv beste Form. Die Anwendung kann auf das jeweilige Bedürfnis des Unternehmens zugeschnitten werden. Während die Details variieren, bleibt das Grundprinzip gleich: Mit dem Tool wird eine Rundumbeurteilung der Mitarbeiterinnen und Mitarbeiter aus mehreren, möglichst unterschiedlichen Perspektiven, also eine Mischung aus Selbst- und Fremdeinschätzung, vorgenommen. Dabei gibt der Mitarbeitende eine Selbsteinschätzung ab. Die Fremdeinschätzung erfolgt durch Vorgesetzte, Teammitglieder, sonstige Mitarbeitende und gegebenenfalls sogar die Kundschaft.
Die Feedbacks sind im besten Fall Beurteilungen in Textform. Standardisierte Fragebögen eignen sich zu diesem Zweck sehr gut. Durch die Standardisierung kann trotz der individuellen Einträge eine gewisse Vergleichbarkeit hergestellt werden. Möglich ist auch der Einsatz von Punktskalen, um Ergebnisse in der Auswertung grafisch darstellen zu können. Inhaltlich können die Fragebögen so ausgestaltet werden, dass sie Feedback zu einzelnen definierten Kategorien erlauben: Kontakt- und Kommunikationsfähigkeit, Konflikt- und Kritikfähigkeit, Reflexionsfähigkeit, Belastbarkeit, Lern- und Entwicklungsfähigkeit, etc. Die Kategorien sollten auf den jeweiligen Anwendungsfall angepasst werden. Zahlreiche Tools sind daher so konzipiert, dass sie das Anlegen verschiedener Fragebögen bzw. das Abfragen individueller Qualitäten zulassen. Alle Einträge werden zusammengefasst und den Vorgesetzten zur Auswertung zur Verfügung gestellt. Diese können mit dem jeweiligen Mitarbeitenden die Ergebnisse besprechen.
Das Erfassen der zahlreichen Aspekte einer Mitarbeiterin oder eines Mitarbeiters durch unterschiedliche Personen weckt allerdings datenschutzrechtliche Bedenken. Auch wenn die Feedback-Tools sich in den Details unterscheiden, tauchen aus Datenschutzperspektive regelmäßig dieselben Probleme auf.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Rechtsgrundlage für das 360-Grad-Feedback
360-Grad-Feedback stellt eine Datenverarbeitung dar und bedarf deshalb nach Art. 6 DSGVO einer Rechtsgrundlage. Für die Erhebung, Verwendung und Speicherung von Mitarbeiterdaten ist § 26 Abs. 1 BDSG i. V. m. Art. 88 Abs. 2 DSGVO die maßgebliche Norm.
Nach dieser Vorschrift dürfen Daten für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, wenn dies für die Durchführung des Verhältnisses erforderlich ist. Erforderlichkeit ist hier im Sinne einer Verhältnismäßigkeit zwischen Mittel und Zweck zu verstehen.
Der Zweck von 360-Grad-Feedback ist die möglichst objektive und konstruktive Erfassung der Entwicklungspotenziale der Kollegenschaft. Unternehmen wollen ihre Mitarbeitenden schließlich möglichst effektiv einsetzen können. Das erfordert einen Überblick über den Leistungsstand der Beschäftigten. Insofern findet eine auf die Vergangenheit bezogene Leistungs- und Verhaltenskontrolle statt. Dieser Vorgang ist als zur Durchführung von Beschäftigungsverhältnissen gehörend anerkannt. 360-Grad-Feedback ist eine Möglichkeit diese Kontrolle vorzunehmen.
In der modernen Arbeitskultur wird es von Mitarbeitenden auch erwartet, regelmäßig zeitnahes Feedback zu erhalten. So gehört es derweil zum Selbstverständnis bzw. zu den Bedürfnissen und Erwartungen vor allem der Generation Y, dass ihnen regelmäßig aufgaben- und teambezogenes Feedback mitgeteilt wird. 360-Grad-Feedback ist daher auch gefordert, um als Unternehmen wettbewerbsfähig zu bleiben.
Kein permanenter Überwachungsdruck
Die Erforderlichkeit der Leistungskontrolle findet dort eine Grenze, wo „permanenter Überwachungsdruck“ droht (wie es bei dauerhafter Videoüberwachung der Fall ist). Ein solcher Druck könnte entstehen, wenn etwa die gesamte Belegschaft eine Person in einer Feedback-Runde bewerten müsste.
Eine Reduzierung der Feedback-Geber ist daher sinnvoll. Dadurch kann auch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO eingehalten werden. Die Mitarbeitenden sollten für den Umgang mit 360-Grad-Feedback geschult werden, sowohl im Hinblick auf die Abgabe von Feedback als auch im Umgang mit dem Tool selbst. Die Feedbackrunden sollten auch nicht zu kurz gewählt werden, sondern auf eine möglichst kleine Zahl pro Jahr beschränkt sein. Das verhindert, dass vereinzelt auftretendes Verhalten eine Feedbackrunde dominiert, was auch die Objektivität gefährden würde. Ein solches Vorgehen verhindert aber effektiv dauerhaften Überwachungsdruck, da Mitarbeitende nicht befürchten müssen, dass ein einmaliges Verhalten sich sofort auf die Leistungsbewertung auswirkt.
Gewährleistung der Betroffenenrechte
Die Betroffenenrechte müssen gewahrt bleiben, insbesondere das Auskunftsrecht nach Art. 15 DSGVO. Den Betroffenen steht eine Auskunft über das Feedback zu ihrer Person zu.
Auskunft über die einzelnen Feedbacks während der Feedbackrunde zu erteilen, kann jedoch den Feedback-Prozess gefährden. Eine laufende Feedback-Runde könnte dadurch beeinflusst werden.
Zudem besteht die Gefahr, dass kein ehrliches Feedback gegeben wird, wenn Vorgesetzte Einblick in die Einzelfeedbacks von untergeordneten Mitarbeiterinnern und Mitarbeitern erhalten. Die Mitarbeitenden könnten durch nicht wohlwollendes Feedback von Seiten der vorgesetzten Person Nachteile befürchten.
Eine zulässige Datenverarbeitung durch Ausübung des Auskunftsrechts zu gefährden, ist aber nicht im Sinn der DSGVO. Daher kann das Auskunftsrecht nach Art. 23 Abs. 1 DSGVO eingeschränkt werden, sofern der Wesensgehalt der Grundrechte und Grundfreiheiten geachtet wird und die jeweilige einschränkende Vorschrift selbst verhältnismäßig ist. Sofern eine Auskunft also nicht per se ausgeschlossen wird, dürften gewisse Einschränkungen zulässig sein. Auch der Erhalt einer Kopie der verarbeiteten Daten nach Art. 15 Abs. 4 DSGVO darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Das bedeutet nicht, dass Vorgesetzten der Einblick in Mitarbeiterfeedback grundsätzlich verwehrt ist.
Naheliegend ist daher die Beschränkung des Auskunftsrechts auf ein zeitliches Fenster nach Abschluss der Feedbackrunde. Auch die anonymisierte Bereitstellung von Feedback sollte man in Betracht ziehen.
Das Recht der Betroffenen auf Berichtigung bzw. Vervollständigung aus Art. 16 DSGVO kommt bei der Durchführung von 360-Grad-Feedbacks regelmäßig nicht zur Anwendung. Bei den verarbeiteten Daten handelt es sich um die subjektiven Einschätzungen von mehreren verschiedenen Personen, die aus Betroffenensicht keiner Berichtigung bedürfen.
Das Recht auf Löschung aus Art. 17 Abs. 1 DSGVO ist ebenfalls regelmäßig nicht relevant. Die Speicherdauer der Feedbacks orientiert sich unabhängig davon streng am Verarbeitungszweck. Eine Löschung erfolgt nach Art. 17 Abs. 1 lit. a DSGVO nur, wenn die erhobenen Daten für die Verarbeitung nicht mehr benötigt werden. Das bedeutet, dass die Daten erst nach Besprechung mit der zu bewertenden Person gelöscht werden müssen. Das gilt auf jeden Fall hinsichtlich der konkreten Einzelbewertungen. Eine erstellte Gesamtbewertung kann wie ein Arbeitszeugnis zur Personalakte genommen werden und unterliegt den dafür vorgesehen Speicherfristen.
Art. 12 Abs. 2 S. 1 DSGVO enthält die Vorgabe, dass der Verantwortliche den betroffenen Personen die Ausübung ihrer Rechte erleichtert. Die Vorgabe lässt sich durch die Einrichtung entsprechender Funktionen in den für das 360-Grad-Feedback verwendeten Tools erfüllen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Sonstige Anforderungen im 360-Grad-Feedback
Im Übrigen sind die Grundsätze der DSGVO einzuhalten. Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO gilt auch für 360-Grad-Feedback. Daher sollten mit dem 360-Grad-Feedback-Tool auch Berechtigungskonzepte, sowie technische und organisatorische Maßnahmen eingerichtet werden. So kann für ein angemessenes Schutzniveau gesorgt werden. Werden Tools von externen Dienstleistern verwendet ist darauf zu achten, dass ein Auftragsverarbeitungsvertrag abgeschlossen wird. Hat der Dienstleister seinen Sitz in einem Drittstaat (oder findet auf andere Weise eine Drittlandübermittlung von Daten statt), müssen die Vorgaben des Art. 44 ff. DSGVO und die Rechtsprechung des Europäischen Gerichtshofs (insb. das Schrems II – Urteil) beachtet werden.
Fazit
Zusammenfassend lässt sich sagen, dass digitales 360-Grad-Feedback datenschutzkonform betrieben werden kann, wenn man die datenschutzrechtlichen Probleme vorwegnimmt und die digitalen Anwendungen entsprechend einrichtet. Vielen Problemen kann durch Anonymisierung und Steuerung der zeitlichen Abläufe des Feedbacks begegnet werden.
Daneben sollte man Wert auf Transparenz gegenüber den Mitarbeitenden legen. Das kann durch Schulungen und Informierung über die konkrete Datenverarbeitung und den Verarbeitungszweck geschehen. Dann lassen sich die Vorteile von 360-Grad-Feedback nutzen, ohne sich dem Risiko fehlenden Datenschutzes auszusetzen.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern