Datenschutzrechtliche Anforderungen an Vorgesetztenbewertungen durch Beschäftigte

10.06.2025

Bei jeder Verarbeitung von personenbezogenen Daten und so auch im Rahmen der Vorgesetztenbewertungen durch Beschäftigte müssen die Vorgaben des Art. 5 DS-GVO eingehalten werden. Dies sind die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, die Zweckbindung, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung sowie die Integrität und Vertraulichkeit sowie die Rechenschaftspflicht, die verlangt, dass nicht nur datenschutzkonform agiert wird, sondern dies dokumentiert nachgewiesen werden muss.

Diese Grundsätze bilden das Rahmenprogramm auf dem Weg zum datenschutzkonformen Einsatz von unternehmensinternen Bewertungen.

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten

Unternehmen benötigen also wie dargestellt für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Bei der Verarbeitung von personenbezogenen Daten im Rahmen der Vorgesetztenbewertung durch Beschäftigte sind aus Sicht des Datenschutzes regelmäßig zwei Gruppen von Betroffenen vorhanden. Auf der einen Seite die Gruppe der Vorgesetzten, die bewertet werden sollen, und auf der anderen Seite die Gruppe der Beschäftigten, welche die Bewertungen vornehmen.

Für die Verarbeitung der personenbezogenen Daten kann als Rechtsgrundlage die Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) in Betracht kommen. Das bedeutet, dass die Teilnahme an einer Vorgesetztenbewertung stets freiwillig sein muss.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DS-GVO) kann regelmäßig nicht als Rechtsgrundlage herangezogen werden, da eine Vorgesetztenbewertung durch die Beschäftigten regelmäßig nicht für die Durchführung des Arbeitsverhältnisses objektiv gesehen erforderlich ist.

Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DS-GVO) kann ggfs. als Rechtsgrundlage herangezogen werden, wobei eine Interessensabwägung durchzuführen ist. Diese wird allerdings aus der Perspektive des Unternehmens bei der Verarbeitung der Beschäftigtendaten meist negativ ausfallen, da die Schutzrechte der Mitarbeiter überwiegen.

Wenn es jedoch um die Verarbeitung der Vorgesetztendaten geht, sollte eine Abwägung im Regelfall positiv ausfallen, sofern die Schutzrechte des betroffenen Vorgesetzten ausreichend gewahrt werden können.

Zusammengefasst sollte die Teilnahme der Beschäftigten auf der Freiwilligkeit beruhen, also der datenschutzrechtlichen Einwilligung, während man sich bei der Verarbeitung der Daten von Vorgesetzten auf überwiegende Unternehmensinteressen stützen kann.

Auftragsverarbeitung

Sofern im Zusammenhang mit der Vorgesetztenbewertungen ein Dienstleister oder ein z.B. cloudbasiertes Datenverarbeitungssystem eingesetzt werden soll, muss das Unternehmen im Vorfeld prüfen, inwieweit die Vorgaben des Artikel 28 DS-GVO (Auftragsverarbeitung) relevant sind. Gerade der Einsatz eines Dienstleisters für ein cloudbasiertes Datenverarbeitungssystem zur Vorgesetztenbewertung erfordert besondere Sorgfalt und bringt damit einhergehend eine besondere Prüf- und Überwachungsplicht mit sich. Das Unternehmen bleibt Verantwortlicher gemäß Art. 4 Nr. 7 DS-GVO und ist somit auch für die Einhaltung des Datenschutzes beim Dienstleister verantwortlich. Das bedeutet, dass das Unternehmen sicherstellen muss, dass der als Auftragsverarbeiter klassifizierte Dienstleister geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten (so genannte „TOM“) implementiert hat und vertraglich an deren Einhaltung gebunden ist (vgl. Art. 28 DS-GVO).  Eine unterlassene oder auch unzureichende Prüfung des Dienstleisters kann ein erhebliches Compliance-Risiko für das Unternehmen darstellen, da dies regelmäßig zu einem Verstoß gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO führt und erhebliche Bußgelder nach sich ziehen kann, selbst wenn der Datenschutzverstoß auf Seiten des Dienstleisters passiert.

Wahrung der Betroffenenrechte

Informationspflicht

Das Unternehmen muss gemäß Artt. 13 und 14 DS-GVO die von der Verarbeitung personenbezogener Daten Betroffenen (sowohl die Vorgesetzten als auch die bewertenden Beschäftigten) umfassend über die Verarbeitung ihrer personenbezogenen Daten informieren und die nachfolgenden Informationen bereitstellen:

• Kontaktdaten des für die Verarbeitung personenbezogener Daten Verantwortlichen (Unternehmen) und des Datenschutzbeauftragten.
• Zwecke der Verarbeitung und deren Rechtsgrundlage.
• Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
• Speicherdauer der Daten oder Kriterien für deren Festlegung.
• Hinweis auf die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit) und das Beschwerderecht bei der Aufsichtsbehörde.
• Hinweis auf die Freiwilligkeit der Teilnahme und das Widerrufsrecht bei Einwilligung.

Wichtig ist hierbei, dass die vollständige Information vor der Teilnahme an der Befragung bereitgestellt wird, da die nachträgliche Information ggfs. die Freiwilligkeit der Teilnahme und damit einhergehend die Rechtmäßigkeit der Datenverarbeitung (insbesondere bei Einwilligung als Rechtsgrundlage) in Frage stellen könnte.

Auskunftsanspruch

Ein Vorgesetzter hat im Rahmen der Bewertung durch Beschäftigten das Recht auf Auskunft darüber, welche personenbezogenen Daten über ihn durch das Unternehmen verarbeitet werden. Dies umfasst nicht nur Stammdaten, sondern auch interne Vermerke, Korrespondenzen und Ergebnisse im Kontext mit dem Bewertungsverfahren. Der Auskunftsanspruch beinhaltet auch das Recht, Informationen darüber zu erhalten, ob überhaupt personenbezogenen Daten des Vorgesetzten verarbeitet werden, sowie Auskunft über die Verarbeitungszwecke, die Datenkategorien, die Empfänger und die Speicherdauer. Auch hier hat der Vorgesetzte das Recht auf eine Kopie der verarbeiteten Daten.

Zu beachten ist, dass der Auskunftsanspruch eines Vorgesetzten gemäß Art. 15 DS-GVO in einem direkten Konflikt mit dem Schutz der Anonymität eines bewertenden Beschäftigten stehen kann. Das Unternehmen wird hier eine sorgfältige Abwägung der Interessen vornehmen und zudem technische und organisatorische Maßnahmen implementieren müssen, um dem Auskunftsanspruch des Vorgesetzten nachzukommen, ohne die Identität der bewertenden Beschäftigten offenzulegen. Dies ist besonders relevant für die Anonymität der bewertenden Beschäftigten (Art. 15 Abs. 4 DS-GVO).

Widerspruchsrecht

Das Widerspruchsrecht gemäß Art. 21 DS-GVO ermöglicht einen von der Bewertung betroffenen Vorgesetzten, gegen die Verarbeitung seiner personenbezogenen Daten im Rahmen der Bewertung durch Beschäftigte zu widersprechen, sofern die Verarbeitung seiner personenbezogenen Daten auf der Rechtsgrundlage der Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) oder des berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO) beruht. Vor allem bei der Verarbeitung auf Basis des berechtigten Interesses wird das Unternehmen eine erneute einzelfallbezogene Interessensabwägung vornehmen müssen.

Sicherheit der Verarbeitung

Das Unternehmen sowie ggfs. ein beauftragter Dienstleister müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei richtet sich die Angemessenheit der TOM regelmäßig nach den Schutzbedarf der verarbeiteten personenbezogenen Daten. Der Schutzbedarf ist somit dynamisch und risikobasiert zu beurteilen. Bei der Vorgesetztenbewertung ist regelmäßig von einem hohen Schutzbedarf auszugehen. Daher sind neben einer strukturierten und dokumentierten Bewertung eine kontinuierliche Überprüfung und Anpassung der erforderlichen Maßnahmen unausweichlich, um der Forderung nach dem „Stand der Technik“ gerecht zu werden.

Die TOM müssen die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherstellen.

Vertrauen ist gut, Kontrolle ist besser

Die Sicherstellung des Datenschutzes bei der Vorgesetztenbewertungen ist wichtig und von strategischer Bedeutung. Eine datenschutzkonforme Verarbeitung von personenbezogenen Daten der Beschäftigten fördert deren Vertrauen in das Unternehmen und erhöht die Akzeptanz von derartigen Bewertungsinstrumenten. Denn nur dann, wenn sich Beschäftigte auf die Wahrung ihrer Anonymität verlassen können und ihre personenbezogenen Daten angemessen geschützt sind, werden sie bereit sein, freiwillig Feedback zu geben, das auch negative Punkte beinhaltet. In der Praxis sind genau diese negativen Rückmeldungen elementar, wenn ein Unternehmen ernsthaft und nachhaltig an einer Verbesserung seiner Unternehmenskultur arbeiten möchte.

Ein fehlender oder unvollständiger Datenschutz kann schnell zu einem Misstrauen bei den Beschäftigten führen und unaufrichtige bzw. geschönte Rückmeldungen zur Folge haben. Das Unternehmen wird dann keine Verbesserung erleben, im Gegenteil, die Beschäftigten werden demotiviert und werden sich nicht mehr aktiv im Unternehmen einbringen. Damit ist die Gewährleistung des Datenschutzes nicht nur eine lästige Pflicht, sondern entscheidender Erfolgsfaktor.

Fazit

Unternehmen sind gut beraten, wenn sie

• frühzeitig den Datenschutzbeauftragten in die Überlegungen zur Umsetzung eines Prozesses zur Vorgesetztenbewertung einbinden,
• beim Einsatz einer automatisierten Datenverarbeitung auf eine vollständig anonyme Datenerfassung setzen,
• die Beschäftigten frühzeitig transparent und umfassend über den Prozess der Vorgesetztenbewertung informieren,
• dem Risiko angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten implementieren und
• eingesetzte Dienstleister regelmäßig überwachen.