Datenschutzkonzept für das Service vom Kompetenzcenter für Befragungen
Datenschutzkonzept
Trigon Entwicklungsberatung Marktwirksame Unternehmensentwicklung GmbH, Radetzkystraße 2, 9020 Klagenfurt, Österreich.
Stand: 04.07.2019
Vorbemerkung: Das nachfolgende Datenschutzkonzept gilt für sämtliche Befragungsprojekte und gilt bei Angebotsannahme vom Vertragspartner als akzeptiert. Das Konzept berücksichtigt die besonderen Anforderungen an Befragungsprojekte hinsichtlich Anonymität und Kontinuität.
1. Allgemeine Informationen
Personenbezogene Daten werden unter Einhaltung aller datenschutzrechtlichen Vorschriften mit höchster Sorgfalt und nach Maßgabe der tragenden Prinzipien des europäischen Datenschutzrechts verarbeitet.
2. Zweck und Gegenstand der Datenverarbeitung
Zweck von Mitarbeiterbefragungen und Führungsfeedbacks ist die Erhebung eines Stimmungsbildes von Mitarbeitern und Führungskräften zu organisationsrelevanten Aspekten sowie deren Veränderung im Zeitverlauf. Grundlage der Befragung bildet ein berechtigtes Interesse des Vertragspartners an Rückmeldungen der „betroffenen Personen“ zur Gestaltung des Arbeitsumfeldes.
Gegenstand der Datenverarbeitung bildet die Erstellung und Weitergabe von Ergebnisberichten für organisatorische Einheiten an den Vertragspartner (z. B. für Gesellschaften, Bereiche, Abteilungen, Teams etc.) bzw. für Führungskräfte mit folgenden Inhalten: Statistische Auswertungen in Form von Durchschnitten, Häufigkeiten nach Antwortkategorien, Rückläufen, internen anonymisierten Benchmarks, Rankings sowie Auflistung von Textkommentaren. Der Zweck der Datenverarbeitung wird den Befragten im Projektverlauf kommuniziert.
3. Verarbeitete personenbezogene Daten
Es werden nur für den Zweck der Datenverarbeitung zwingend notwendige Daten erhoben. Folgende Datenkategorien werden in Trigon-Befragungsprojekten verarbeitet: Informationen aus dem Organigramm (Aufbauorganisation und Zuordnung der Befragten), Email-Adresse, Vorname, Nachname, unsensible sozio-demografische Merkmale (z. B. Geschlecht, Alter, Dauer der Unternehmenszugehörigkeit, Ausbildungsstand, berufliche Tätigkeit, Sprache, Standort Arbeitsplatz), Rückmeldungen (Skalen- und offene Fragen) aus der Online- bzw. der Hardcopybefragung (z. B. Arbeitszufriedenheit, Einschätzung zu Aspekten der Arbeit, Führung, Zusammenarbeit etc.). Der erhobenen Datenkategorien werden den Befragten im Projektverlauf kommuniziert.
4. Teilnehmer der Befragung, Kategorien betroffener Personen
Der Auftrag an Trigon umfasst die Erhebung und Verarbeitung von personenbezogenen Daten von Mitarbeitern des Vertragspartners als „betroffene Personen“. Der Vertragspartner stellt die rechtlich korrekte Erhebung und Weitergabe seiner Mitarbeiter- und/oder Kundendaten sicher. Die tatsächliche Teilnahme an der Befragung ist stets freiwillig.
5. Vertraulichkeit und Anonymität der Befragungsteilnehmer
Trigon setzt bei Online-Erhebungen im Regelfall zufallsgenerierte, individuelle Zugangscodes ein, die eine Mehrfachteilnahme der Teilnehmer ausschließen und eine eindeutige Zuordnung zur jeweiligen Unternehmenseinheit/zum Feedbacknehmer ermöglichen. Diese Zugangscodes sind dem Vertragspartner nicht bekannt, eine Zuordnung zu Einzelpersonen ist damit ausgeschlossen.
Die Teilnahme an der Onlinebefragung erfolgt über eine verschlüsselte Verbindung.
Die erhobenen Daten werden aus Gründen der Vertraulichkeit gegenüber den Befragungsteilnehmern niemals als vollständige Rohdaten weitergegeben. Der Vertragspartner erhält Ergebnisberichte auf der Grundlage aggregierter – gemäß dem Anonymitätskonzept – anonymisierter Daten.
Trigon stellt sicher, dass die Vertraulichkeitszusagen gegenüber den Befragungsteilnehmern ausnahmslos eingehalten werden. Betroffenenrechte werden unter dem Gesichtspunkt der „Vertraulichkeit und Anonymität der Befragungsteilnehmer“ eingehalten.
Es werden in der Projektplanung der Befragung klare Regeln (Anonymitätskonzept) für das Erstellen der Ergebnisberichte mit dem Vertragspartner festgelegt. Dazu gehören: Auswertungsuntergrenzen, Ergebnisdarstellung, Umgang mit Textkommentaren, Empfänger der Ergebnisse. Die Regeln werden den Befragungsteilnehmern im Vorfeld der Befragung ausgeschildert.
Bei Führungsfeedbacks ist die Nachvollziehbarkeit einzelner Feedbackgebergruppen (i.d.R. Führungskraft selbst und der direkten Führungskraft) ausdrücklich Teil der Wirksamkeit bzw. des Zwecks des Instruments.
6. Verpflichtung zur Geheimhaltung durch Trigon
Trigon verpflichtet sich, keinerlei vertrauliche Informationen im Projektzusammenhang an Dritte weiterzugeben.
Vertrauliche Informationen werden ausschließlich an jene Trigon-MitarbeiterInnen und -BeraterInnen weitergegeben, die für die oben genannten Zwecke Zugang erhalten müssen. Alle mit der Datenverarbeitung beauftragten bzw. involvierten Personen haben entsprechende Geheimhaltungserklärungen unterzeichnet und werden regelmäßig und umfassend vom Auftragnehmer zum Thema Datenschutz geschult.
Die operative Abwicklung eines Befragungsobjekts erfolgt jeweils durchgängig durch eine möglichst geringe Zahl verantwortlicher Personen.
Insbesondere bleibt die Geheimhaltungserklärung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und bei Ausscheiden von Trigon aufrecht.
7. Datenspeicherung
Trigon sichert für die Zeit zwischen zwei Befragungen bis auf Widerruf (längstens aber 10 Jahre) die Archivierung aller Projektdetails und Daten zu. Diese Archivierung stellt den Zeitvergleich bei Folgebefragungen sicher. Etwaige Fragebögen in Papierform werden zur Datenerfassung eingescannt und anschließend vernichtet. Beim Widerruf hat der Vertragspartner die Wahl, nur die Löschung oder auch die Herausgabe der Ergebnisdaten (keine Rohdaten) zu fordern.
8. Datensicherheit
Trigon stellt sicher, dass ausreichende Sicherheitsmaßnahmen im Sinne der DSGVO ergriffen werden, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden. Alle erhobenen Daten werden auf professionell geschützten Servern gespeichert.
Trigon stellt sicher, dass durch weitere Kontrollmaßnahmen die Datensicherheit gewährleistet ist, wie etwa eine Zutrittskontrolle (Schlüsselverwaltung), mehrere Firewalls (Hard- und Softwarebasiert), ein klar definiertes Rollen und Berechtigungskonzept (Passwörter, Lese-, Schreib- und. Löschrechte), Protokollierung (Zugriffsversuche, etc.).
Trigon gewährleistet, dass die Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Um dies sicherzustellen, verfügen die Server über USV-Stromversorgung, Datensicherung, Virenschutz und ein Disaster Recovery -Konzept.
9. Datenschutzbeauftragter
Trigon beschäftigt einen Datenschutzbeauftragten. Die Kerntätigkeit liegt im laufenden Monitoring von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung erfordern.
10. Informationspflichten
Sobald für Trigon Umstände erkennbar werden, die eine vertragsgemäße Erfüllung des Auftrages in Frage stellen können, selbst wenn diese Umstände nicht von Trigon verschuldet sind (etwa höhere Gewalt), so hat er den Vertragspartner unverzüglich schriftlich über diese Umstände und allfällige von ihm zu erwägenden Maßnahmen zu verständigen.
11. Trigon Benchmarkdaten
Die Ergebnisse der Befragung können in einer pseudonymisierten und/oder anonymisierten Form in eine Benchmarkdatenbank einfließen. Trigon garantiert, dass keine Rückschlüsse auf den Auftraggeber und die betroffenen Personen gezogen werden können. Trigon kann aber generelle Erkenntnisse aus der Befragung weiterverwenden, z. B. zur Normierung von Frageformulierungen oder zur Bildung pseudonymisierter und/oder anonymisierter Durchschnittswerte aus verschiedenen Befragungsprojekten. Trigon sorgt dafür, dass Dritte aus der Verwendung dieser generellen Erkenntnisse nicht auf die Resultate der Befragung und die Identität des Vertragspartners oder der betroffenen Personen schließen können.
12. Trigon Subunternehmer
Für folgende Kategorien arbeiten wir mit qualifizierten Subunternehmern zusammen:
• Professionelle Datenvernichtung von Print-Unterlagen
• Hosting der Befragung und der Ergebnisse
• Logistische Unterstützung (Druck, Versand) von Print-Unterlagen
Die Subunternehmer sind verpflichtet gemäß der DSGVO zu arbeiten.
13. Rechtlicher Rahmen
Allfällige spätere Abänderungen und Ergänzungen dieses Konzepts bedürfen zu ihrer Rechtswirksamkeit der Schriftform; dies gilt auch für ein Abgehen von diesem Formerfordernis.
Für alle sich aus diesem Vertrag ergebenden Streitigkeiten (einschließlich über dessen wirksames Zustandekommen) gilt ausnahmslos österreichisches Recht (unter Ausschluss aller Weiterverweisungen auf ausländisches Recht).
Die Vertragspartner vereinbaren als Gerichtsstand für alle sich aus diesem Konzept ergebenden Streitigkeiten (einschließlich über dessen wirksames Zustandekommen) das jeweils sachlich zuständige Gericht in Klagenfurt.
Sollten eine oder mehrere Bestimmungen dieses Konzepts ungültig, unwirksam, undurchführbar oder undurchsetzbar sein oder werden, oder sollten eine oder mehrere dieser Bestimmungen lückenhaft sein oder werden, bleiben die restlichen Bestimmungen dieses Konzepts dennoch rechtswirksam. Jede mangelhafte oder lückenhafte Bestimmung ist durch eine gültige, wirksame, durchführbare und durchsetzbare Bestimmung zu ersetzen oder zu ergänzen, die den wirtschaftlichen und rechtlichen Wirkungen, welche die Vertragspartner mit der unwirksamen Bestimmung übereinstimmend bezweckt haben, am nächsten kommt.