zuordenbares Kundenfeedback als Leistungsdaten + "Daten, die nicht bei der betroffenen Person erhoben werden"

Ich bin für den Datenschutz in einer Unternehmensberatung zuständig. Jedem Unternehmen ist ein Mitarbeiter zugeordnet, der das Unternehmen hauptsächlich berät. Im Rahmen des Qualitätsmanagements wird jährlich eine Kundenzufriedenheitsbefragung durchgeführt. Die Beratungsleistung ist stark von der Interaktion zwischen Kunden und Mitarbeiter abhängig. Das Feedback bzgl. des subjektiven Eindrucks des Kunden bzgl. der Beratungsleistung ist also wichtig für die Fortentwicklung von QM-Prozessen allgemein und der Beratung dieses speziellen Kunden. Wir haben also ein berechtigtes Interesse an den Daten.

Jetzt meine Frage: handelt es sich eurer Meinung nach dabei um Daten, die nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO)? D.h. darauf müsste ich die Mitarbeiter gesondert hinweisen. Könnten die Mitarbeiter die Erfassung der Daten verweigern?

Bisher werden die Mitarbeiter informiert, dass die Befragung rausgeschickt wird. Sie erhalten eine Kopie der Rückmeldung, sowie der QMB zur summarischen Auswertung des Kundenfeedbacks und der Vorgesetzte (zur Einleitung von Verbesserungsmaßnahmen bzw. Thematisierung bei Mitarbeitergesprächen).

Auszug aus dem Fragenkatalog:

Wie beurteilen Sie … (sehr gut/ gut/ angemessen/ schlecht/ sehr schlecht)

  • die Fachkompetenz unseres Personals?
  • die Zuverlässigkeit unseres Personals?
  • unsere Termintreue?
  • das Auftreten unseres Personals?
  • das Engagement unseres Personals?

Wie beurteilen Sie die Eigeninitiative unseres Personals bei der Auftragsbearbeitung? (zu viel/ angemessen/ zu wenig/ keine Eigeninitiative beobachtet)

Es gibt keine Betriebsvereinbarung, keinen Betriebsrat, etc.

Frau_H

Hallo Frau H.

die Beziehung ist

- Ihre Firma (Verantwortlicher) und
- die Kunden Ihrer Firma, die als Betroffene Person bezeichnet werden

Ihre Frage geht in die Richtung, dass Sie Informationen über Ihre Mitarbeiter erhalten, über die Sie informieren müssten?
Also Firmenintern?
Richtig?

Nach Artikel 6 - Rechtmäßgkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist.....
Schauen Sie bitte in diesen Artikel und vermute dass Sie hier fündig werden.

Liefern Sie mir gerne noch weitere Infos und schaue dass ich Ihnen eine richtige Einschätzung geben kann.

Viele Grüße
Gerd Reunert
e. datenschutz@reunert.de

 

Gerd_M_R

Vielen Dank Herr Reunert,

die betroffene Person ist der Mitarbeiter. Der Kunde die externe Datenquelle. Wir erheben vom Kunden Feedback, wie er die Leistung des Mitarbeiters einschätzt (wie bei einem 360-Grad-Feedback). Anonymisierung kommt nicht in Frage. Es geht ja genau um die Zuordenbarkeit zum einen zum Kunden, zum anderen zum Mitarbeiter - nur in diesem Fall kann das Feedback auch zur Verbesserung genutzt werden, da die Beratungsleistung höchst kundenindividuell ist.

Ich würde die Rechtmäßigkeit anhand Artikel 6f bejahen:

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Unser Unternehmen (und nicht der ausführende beratende Mitarbeiter) haftet für die korrekte Erbringung der vertraglich geschuldeten Beratungsleistung am Kunden, inkl. Erfüllung von Nebenpflichten wie der Termineinhaltung oder fachlichen Korrektheit der Beratung. Das jährliche Einholen von Feedback, um die Einhaltung der Leistungsvereinbarung zu verifizieren (ohne dass sie vorher vom Mitarbeiter gefiltert wird) scheint mir angemessen - unter der Prämisse, dass die dabei gewonnenen Daten im benannten Personenkreis bleiben.

Offen ist noch die Frage, ob die Mitarbeiter der Erfassung der Daten widersprechen dürften.

Frau_H

Hallo Frau H

der DSGVO Artikel 6f ist ein wunderbarer "Gummiparagraph" und eignet sich immer.

Euer Mitarbeiter, bei dem es um seine personenbezogenen Daten geht, könnte nein sagen.
Mein Vorschlag ist darum mit einer Betriebsvereinbarung die Rechtmäßigkeit zu eurem geplanten Prozess zu bekommen.
Der Erwägungsgrund 40 zu DSGVO Art. 6 - Rechtmäßigkeit der Datenverarbeitung* gibt hier noch weitere Infos als Grundlage für eure geplante Verarbeitung.

Ich würde diesen Prozess über ein Verabeitungsverzeichnis DSGVO Art. 30 dokumentieren. Das kann eine einfache Excel Liste sein.
Jedes Verzeichnis muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO beinhalten.

In Kürze:
Der Mitarbeiter muss wie auch immer zustimmen!
- ggf. über Betriebsvereinbarung
oder dass geht sich schneller
- einfach ein Dokument entwerfen Din A4 Blatt, was vom Mitarbeiter gegenzeichnet wird und er seine Erlaubnis erteilt. Man kann hier auch Löschfristen etc. einbauen, damit es kein Dauerhaftes Dokument werden kann (das geht schneller als eine Betriebsvereinbarung).
Mitarbeiter haben immer Stress wenn etwa in die Personalakte wandern könnte. Auch dies kann, mit entsprechenden Statements im Din A4 Dokument was beiden Seite unterschreiben, ausgeschlossen werden.

Ich denke damit sollte das Thema rund sein.

Falls es noch Fragen gibt, bitte einfach melden.

Ggf. über meine Email: datenschutz@reunert.de, da schaue ich öfter rein, als hier ins Portal

Viele Grüße
Gerd

Gerd_M_R

Bitte melden Sie sich an, um auf diese Frage zu antworten.