Zum Inhalt springen
🎉 Nur für kurze Zeit: Sparen Sie die Einrichtungsgebühr von 199€ - jetzt registrieren! Jetzt sparen
Pillar · Datenschutz GB Psych · Stand 7. Mai 2026

Wenn der Arbeitgeber die GB Psych selbst erhebt — wann beginnt der DSGVO-Verstoß?

Die psychische Gefährdungsbeurteilung ist Pflicht. Wer sie aber selbst über Excel, Google Forms oder ein Inhouse-Tool erhebt, verarbeitet Gesundheitsdaten nach Art. 9 DSGVO und scheitert in der Praxis regelmäßig an Anonymisierung, DSFA-Pflicht und Mitbestimmung. Dieser Leitfaden zeigt im Detail, wo der Verstoß beginnt — und welche Bauteile eine compliante Erhebung tragen.

Auf einen Blick

  • Kernproblem: Sobald der Arbeitgeber selbst Rohantworten zu Belastung, Stress oder Konflikten speichern oder einsehen kann, verarbeitet er Gesundheitsdaten nach Art. 9 DSGVO. Damit greift der höchste Schutzstandard.
  • Trennungsprinzip: Anonymität ist nur dann wirksam, wenn sie technisch erzwungen ist. Eine Excel-Tabelle mit Rohantworten zerstört die Anonymitätszusage architektonisch — selbst wenn keine Namen erfasst werden.
  • DSFA-Pflicht: Beschäftigtendaten + Gesundheitsdaten + systematische Erhebung — drei Treffer auf der WP248-Liste, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist faktisch immer Pflicht.
  • Bußgeld-Stack: § 25 ArbSchG (bis 30.000 €), Art. 83 (5) DSGVO (bis 20 Mio € oder 4 % vom Konzernumsatz), § 43 BDSG (bis 50.000 €) — drei unabhängige Risiken parallel.
  • Lösung: Auftragsverarbeitung nach Art. 28 DSGVO mit klar getrennter Erheber- und Auswerter-Schicht, technisch erzwungener n ≥ 5-Schwelle und dokumentierten TOM nach Art. 32 DSGVO.

1. Was die GB Psych datenschutzrechtlich ist

Die psychische Gefährdungsbeurteilung erhebt nach der GDA-Leitlinie systematisch Daten zu sechs Gestaltungsbereichen — Arbeitsinhalt und Arbeitsaufgabe, Arbeitsorganisation, Arbeitszeit, soziale Beziehungen, Arbeitsmittel, Arbeitsumgebung. Die wissenschaftlichen Standardinstrumente wie COPSOQ III fragen direkt nach Erschöpfung, Schlafstörungen, depressiver Verstimmung, Burnout-Symptomen.

Aus diesen Antworten lassen sich Rückschlüsse auf den körperlichen oder psychischen Zustand des Antwortenden ziehen — und damit greift Art. 9 (1) DSGVO (besondere Kategorien personenbezogener Daten). Der Europäische Datenschutzausschuss bestätigt in seinen Leitlinien zu Art. 9, dass auch indirekte Rückschlüsse auf den Gesundheitszustand erfasst sind. Die deutsche Datenschutzkonferenz (DSK) folgt dieser Linie.

Die Konsequenz: Verarbeitung ist grundsätzlich verboten und nur in den engen Ausnahmen des Art. 9 (2) DSGVO zulässig. Bei Beschäftigtendaten greift typischerweise lit. b — Erfüllung arbeitsrechtlicher Pflichten — konkretisiert durch § 26 BDSG und eine Betriebsvereinbarung nach Art. 88 DSGVO.

2. Das Trennungsprinzip: Wer sieht die Rohdaten?

Die GDA-Leitlinie verlangt Anonymität als methodische Grundvoraussetzung. Ohne sie wird der Fragebogen nachweislich verzerrt — Beschäftigte antworten sozial erwünscht, die Validität der Erhebung kollabiert. Datenschutzrechtlich verlangt Art. 25 DSGVO (privacy by design), dass Datenschutz technisch und organisatorisch eingebaut ist — nicht versprochen wird.

In der Eigenbau-Variante gibt es kein Trennungsprinzip: Wer die Erhebung organisiert, kann technisch auch die Rohdaten einsehen. Selbst wenn das organisatorisch verboten ist — die Möglichkeit reicht bereits aus, um das Anonymitätsversprechen rechtlich zu untergraben. Der Bundesbeauftragte für den Datenschutz und die Datenschutzkonferenz folgen hier einer einfachen Linie: Was technisch möglich ist, muss als Risiko gewertet werden.

In der Auftragsverarbeitung nach Art. 28 DSGVO liegt die Rohdaten-Schicht außerhalb des Arbeitgebers. Der Auftragsverarbeiter erhebt, anonymisiert nach technisch erzwungener Schwelle und übergibt nur Aggregate — der Arbeitgeber bleibt Verantwortlicher, hat aber strukturell keinen Rohdatenzugriff. Das ist die saubere Lösung, die der Gesetzgeber im Hinterkopf hatte.

3. Fünf typische Eigenbau-Konstellationen

Wo sitzen die Rohdaten in der Praxis? Eine ehrliche Aufstellung der gängigen Eigenbau-Setups und der jeweils typischen DSGVO-Probleme. Keine pauschale Verurteilung — sondern eine konkrete Aufstellung der Bauteile, die eine Aufsichtsbehörde bei einer Prüfung sehen will.

Excel-Vorlage

Risiko: Hoch

Rohdatenzugriff: Arbeitgeber sieht alle Rohantworten direkt nach Eingang.

  • Keine technische Anonymisierung (Art. 25 DSGVO, privacy by design)
  • Re-Identifizierung in kleinen Gruppen praktisch unvermeidlich
  • In der Regel keine TOM nach Art. 32 DSGVO dokumentiert

Google Forms / MS Forms

Risiko: Hoch

Rohdatenzugriff: Antworten landen im Postfach des Form-Erstellers, oft inkl. Mailadresse oder IP.

  • Mailadresse / IP wird häufig automatisch geloggt
  • Drittlandtransfer (Google) — eigener AVV nötig, in der Praxis nicht abgeschlossen
  • Keine technisch erzwungene n ≥ 5-Schwelle

SharePoint / Microsoft Lists

Risiko: Mittel bis hoch

Rohdatenzugriff: Antworten in Tenant-Speicher, IT-Admins haben Zugriff.

  • Audit-Logs erlauben Re-Identifizierung über Anmelde-Konto
  • Mitarbeiter mit Admin-Rechten können auf Rohdaten zugreifen
  • Keine spezifische DSFA für GB Psych dokumentiert

Eigenes Tool / Inhouse-Software

Risiko: Mittel bis hoch

Rohdatenzugriff: Datenbank-Admins und Entwickler können auf Rohdaten zugreifen.

  • Privacy-by-Design selten architektonisch umgesetzt
  • Keine externe Auftragsverarbeitung — Arbeitgeber bleibt alleiniger Datenherr
  • Pflicht zu DSFA, TOM, BV regelmäßig nicht vollständig erfüllt

Papierfragebogen

Risiko: Mittel

Rohdatenzugriff: Wer den Umschlag öffnet, sieht den Bogen.

  • Identifizierung über Handschrift, Rückumschlag-Stempel, Eingangsdatum möglich
  • Manuelle Aggregation ohne Audit-Trail
  • Aufbewahrung physischer Originale meist ungeklärt

4. Welche Rechtsnormen gleichzeitig greifen

Die GB Psych ist datenschutzrechtlich kein Einzelverstoß-Kontext. Mehrere Rechtsregimes laufen parallel und greifen bei einer behördlichen Prüfung kumulativ:

NormGegenstandBei Verstoß
Art. 9 DSGVOVerarbeitung besonderer Kategorien (Gesundheitsdaten)bis 20 Mio € / 4 % Konzernumsatz
Art. 25 DSGVOPrivacy by design / by defaultbis 10 Mio € / 2 % Konzernumsatz
Art. 32 DSGVOSicherheit der Verarbeitung (TOM)bis 10 Mio € / 2 % Konzernumsatz
Art. 35 DSGVODatenschutz-Folgenabschätzungbis 10 Mio € / 2 % Konzernumsatz
§ 26 BDSGBeschäftigtendatenschutzbis 50.000 € (§ 43 BDSG)
§ 87 (1) Nr. 6/7 BetrVGMitbestimmung BetriebsratMaßnahme rechtswidrig, Unterlassungsanspruch
§ 5 / § 25 ArbSchGPflicht zur GB, Bußgeldnormbis 30.000 €

Bei einer Aufsichtsprüfung greifen diese Normen unabhängig voneinander. Die Gewerbeaufsicht prüft das ArbSchG, die Datenschutzaufsicht des Landes prüft DSGVO und BDSG, der Betriebsrat hat eigenständige Unterlassungsansprüche aus dem BetrVG.

5. Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Die DSFA ist Pflicht, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko" für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Art-29-Datenschutzgruppe (heute EDSA) hat in WP 248 neun Kriterien entwickelt; ab zwei Treffern wird Hochrisiko vermutet. Die GB Psych trifft regelmäßig drei:

  • Sensible Daten / besondere Kategorien: Gesundheitsdaten nach Art. 9 DSGVO
  • Bewertung oder Einstufung: Belastungsfaktoren werden systematisch bewertet
  • Daten von schutzbedürftigen Betroffenen: Beschäftigte gelten in der DSGVO-Praxis als schutzbedürftig wegen des Subordinationsverhältnisses

Die DSK nennt zudem in ihrer Muss-Liste DSFA die „Verarbeitung von Beschäftigtendaten zur Bewertung von Verhalten oder Leistung mit Rechts- oder ähnlich erheblicher Wirkung" explizit. GB-Psych-Erhebungen können diese Schwelle erreichen, sobald aus den Ergebnissen Maßnahmen für einzelne Tätigkeitsbereiche abgeleitet werden.

In der Praxis: Bei Eigenbau-Lösungen wird die DSFA so gut wie nie erstellt. Ihr Fehlen ist nach Art. 83 (4) lit. a DSGVO eigenständig bußgeldbewehrt — auch ohne dass ein konkreter Datenschutzvorfall vorliegt.

6. Mindestgruppengröße n ≥ 5 — Methodikregel oder Datenschutzpflicht?

Die GDA-Leitlinie und die einschlägigen wissenschaftlichen Verfahren (COPSOQ, BAuA-Toolbox) verlangen, dass Auswertungen erst ab einer Gruppengröße von typischerweise n ≥ 5 berichtet werden — manche Empfehlungen gehen auf n ≥ 10. Der Hintergrund ist statistisch und ethisch: Bei kleineren Gruppen lassen sich einzelne Antworten praktisch immer auf bestimmte Personen zurückführen.

Datenschutzrechtlich ist diese Schwelle keine Empfehlung, sondern Bedingung für Anonymität im Sinne von Erwägungsgrund 26 DSGVO. Wird sie nicht eingehalten, bleibt der Datensatz personenbezogen — und alle DSGVO-Pflichten greifen vollständig.

Der entscheidende Punkt im Eigenbau: In Excel oder einem Inhouse-Tool ist n ≥ 5 nur eine Soll-Regel. Wer die Datei öffnet, sieht alle Antworten — die Schwelle ist erst im Auswertungs-Bericht wirksam, nicht in der Datenhaltung. In einer Auftragsverarbeitung mit eingebauter Schwelle wird unterhalb von 5 schlicht nichts angezeigt; die Möglichkeit zur Re-Identifizierung existiert architektonisch nicht.

7. Was eine compliante Erhebung ausmacht

Aus Sicht der Aufsichtsbehörden ist eine professionelle Auftragsverarbeitung das saubere Modell — egal ob über einen externen Berater, einen wissenschaftlichen Dienstleister oder eine spezialisierte Software. Die Bauteile, die in jedem Fall sitzen müssen:

  1. Architektonische Trennung von Erheber und Auswerter. Der Arbeitgeber sieht nur Aggregate, niemals Rohantworten. Die Trennung ist im System eingebaut, nicht im Versprechen.
  2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Schriftlich, mit allen Pflichtinhalten, Subprocessor-Liste, Weisungsrecht.
  3. Technisch erzwungene n ≥ 5-Schwelle. Unterhalb der Schwelle wird im Bericht schlicht nichts angezeigt — die Anonymität ist dadurch architektonisch wirksam.
  4. TOM nach Art. 32 DSGVO dokumentiert. Verschlüsselung, Zugriffsbeschränkung, Pseudonymisierung, Löschkonzept — schriftlich und prüfbar.
  5. DSFA vor Beginn der Erhebung. Risikoanalyse, Konsultation des / der DSB, Eintragung im Verzeichnis von Verarbeitungstätigkeiten.
  6. Betriebsvereinbarung nach § 87 BetrVG / Art. 88 DSGVO. Mitbestimmung des Betriebsrats und gleichzeitig Rechtsgrundlage nach Art. 88 DSGVO.
  7. Information der Beschäftigten nach Art. 13 DSGVO. Vor Beginn der Befragung, transparent, mit allen Pflichtangaben.
  8. Definierte Löschfristen. Rohdaten werden nach Auswertung gelöscht, nur Aggregate bleiben für die Dokumentationspflicht nach § 6 ArbSchG erhalten.

8. Praxis-Checkliste — 10 Punkte für die Aufsicht

Bei einer Prüfung durch die Datenschutzaufsicht oder die Gewerbeaufsicht werden diese Punkte durchgegangen. Wer alle vorlegen kann, hat den Hauptteil des Risikos im Griff.

  • 1 Schriftliche Rechtsgrundlage festgelegt (i. d. R. § 26 BDSG i. V. m. Art. 9 (2) lit. b DSGVO + Betriebsvereinbarung nach Art. 88 DSGVO)
  • 2 Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt und im Verzeichnis von Verarbeitungstätigkeiten eingetragen
  • 3 Auftragsverarbeitungsvertrag (AVV) mit allen externen Beteiligten nach Art. 28 DSGVO
  • 4 Technische und organisatorische Maßnahmen nach Art. 32 DSGVO dokumentiert
  • 5 Mindestgruppengröße n ≥ 5 in der Auswertungs-Architektur technisch erzwungen, nicht nur im Leitfaden
  • 6 Trennung zwischen Erheber und Auswerter architektonisch sichergestellt — Arbeitgeber sieht nur Aggregate
  • 7 Betriebsvereinbarung mit dem Betriebsrat nach § 87 (1) Nr. 6 und Nr. 7 BetrVG
  • 8 Datenschutzbeauftragte:r vor Beginn der Erhebung eingebunden (Art. 38 DSGVO)
  • 9 Information der Beschäftigten nach Art. 13 DSGVO vor Beginn der Befragung
  • 10 Definierte Löschfristen für Rohdaten nach Abschluss der Auswertung

9. Drei Bußgeld-Stränge laufen parallel

Wer die GB Psych im Eigenbau erhebt und scheitert, riskiert nicht ein Bußgeld, sondern drei. Die Aufsichtsbehörden sind unabhängig voneinander zuständig, die Verfahren laufen parallel.

Strang 1

bis 30.000 €

§ 25 ArbSchG — wegen mangelhafter oder fehlender Gefährdungsbeurteilung. Verhängt durch die Gewerbeaufsicht des Landes.

Strang 2

bis 20 Mio €

Art. 83 (5) DSGVO — oder 4 % vom weltweiten Konzernumsatz, je nachdem was höher ist. Bei Verstoß gegen Art. 5, 6 oder 9. Verhängt durch die Datenschutzaufsicht des Landes.

Strang 3

bis 50.000 €

§ 43 BDSG — bei Verstoß gegen den Beschäftigtendatenschutz nach § 26 BDSG. Subsidiär zur DSGVO, in der Praxis aber separat anwendbar.

Hinzu kommen Schadensersatzansprüche einzelner Beschäftigter nach Art. 82 DSGVO — für materiellen und immateriellen Schaden — sowie Unterlassungsansprüche des Betriebsrats.

Häufige Fragen

Darf der Arbeitgeber die psychische Gefährdungsbeurteilung überhaupt selbst durchführen?
Grundsätzlich ja — § 3 ArbSchG verpflichtet ihn zur Durchführung, das ArbSchG schreibt keinen externen Anbieter vor. Datenschutzrechtlich entsteht das Problem erst in der konkreten Umsetzung: Sobald der Arbeitgeber selbst Rohantworten zu Belastung, Konflikten oder Gesundheit speichert oder einsehen kann, verarbeitet er Gesundheitsdaten nach Art. 9 DSGVO und benötigt eine wasserdichte Rechtsgrundlage, technische Anonymisierung und in der Regel eine Datenschutz-Folgenabschätzung. Genau diese Trennung von Erheber und Auswerter lässt sich im Eigenbau (Excel, Office-Forms, eigene Datenbank) faktisch nicht umsetzen.
Sind GB-Psych-Antworten wirklich Gesundheitsdaten nach Art. 9 DSGVO?
Ja, sobald sich aus den Antworten Rückschlüsse auf den körperlichen oder psychischen Zustand ziehen lassen — und das ist Sinn der Erhebung. Die GDA-Leitlinie nennt Belastungsfaktoren, deren Auswirkungen Beanspruchungsfolgen wie Erschöpfung, Schlafstörungen oder depressive Symptomatik sind. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz behandeln solche Daten regelmäßig als besondere Kategorie nach Art. 9 (1) DSGVO. Der höchste Schutzstandard greift damit ab Tag 1 der Erhebung.
Was ist die richtige Rechtsgrundlage — Einwilligung oder § 26 BDSG?
Im Beschäftigungsverhältnis ist die Einwilligung problematisch, weil sie freiwillig sein muss und das Subordinationsverhältnis zum Arbeitgeber Zweifel an der Freiwilligkeit nährt (Art. 7 (4) DSGVO, EDSA-Leitlinien). Die Aufsichtsbehörden präferieren § 26 BDSG i. V. m. Art. 9 (2) lit. b DSGVO als Rechtsgrundlage, gestützt durch eine Betriebsvereinbarung nach Art. 88 DSGVO. Bei Eigenbau-Lösungen fehlt diese Betriebsvereinbarung in der Regel — der Verstoß beginnt damit bereits bei der Erhebung selbst.
Brauche ich eine Datenschutz-Folgenabschätzung (DSFA)?
Nahezu immer ja. Die DSFA-Pflicht nach Art. 35 DSGVO greift bei voraussichtlich hohem Risiko, und die Datenschutzkonferenz listet die systematische Verarbeitung von Beschäftigtendaten zur Bewertung von Verhalten oder Leistung explizit auf. Dazu kommen Gesundheitsdaten als besondere Kategorie und großflächige Erhebung — drei Treffer auf der WP248-Liste der Art-29-Gruppe genügen für Hochrisiko. In der betrieblichen Praxis wird die DSFA bei Eigenerhebung praktisch nie erstellt; ihr Fehlen ist nach Art. 83 (4) DSGVO selbständig bußgeldbewehrt.
Was hat die Mindestgruppengröße n ≥ 5 mit Datenschutz zu tun?
Die GDA-Leitlinie und die einschlägige Praxis verlangen, dass Auswertungen erst ab einer Gruppengröße von typischerweise n ≥ 5 (in einigen Empfehlungen n ≥ 10) berichtet werden, weil sonst Re-Identifizierung möglich ist. Der entscheidende Punkt für den Datenschutz: Diese Schwelle muss technisch erzwungen sein, nicht bloß im Auswertungsleitfaden stehen. Bei einer Excel-Liste, in der der Arbeitgeber alle Rohantworten sieht, ist die Schwelle nur eine Soll-Regel — die Re-Identifizierungsmöglichkeit besteht bereits beim Öffnen der Datei.
Muss der Betriebsrat zustimmen?
Ja, in der Regel nach § 87 (1) Nr. 6 BetrVG (Einführung und Anwendung technischer Einrichtungen, die zur Überwachung von Verhalten oder Leistung der Arbeitnehmer geeignet sind) und § 87 (1) Nr. 7 BetrVG (Regelungen über Gesundheit und Unfallverhütung). Das Bundesarbeitsgericht hat die Mitbestimmung bei der Gefährdungsbeurteilung mit Beschluss vom 8. 6. 2004 (1 ABR 13/03) und für psychische Belastungen explizit am 11. 1. 2011 (1 ABR 104/09) bestätigt. Ohne Betriebsvereinbarung fehlt zudem die Rechtsgrundlage nach Art. 88 DSGVO.
Welche Bußgelder können sich kumulieren?
Drei Stränge laufen parallel. § 25 ArbSchG: bis 30.000 € bei mangelhafter oder fehlender Gefährdungsbeurteilung. Art. 83 (5) DSGVO: bis 20 Mio € oder 4 % des weltweiten Jahresumsatzes bei Verstößen gegen Art. 5, 6, 9. § 43 BDSG: bis 50.000 € bei Verstößen gegen den Beschäftigtendatenschutz. Die Stränge sind unabhängig — eine Aufsichtsbehörde kann ArbSchG-Bußgeld verhängen, eine andere unabhängig davon DSGVO-Bußgeld. In der Wirkung wird das Datenschutz-Bußgeld bei größeren Unternehmen schnell zum dominanten Risiko.
Wo ist der Unterschied zur Auftragsverarbeitung mit AVV?
Bei der Auftragsverarbeitung nach Art. 28 DSGVO bleibt der Arbeitgeber zwar Verantwortlicher, aber die Rohdaten liegen architektonisch beim Auftragsverarbeiter. Eine wirksame Anonymisierung kann technisch erzwungen werden, der Arbeitgeber sieht nur Aggregate. Das ist genau die Trennung, die der Eigenbau strukturell nicht herstellen kann. Aus Sicht der Aufsichtsbehörden ist eine professionelle Auftragsverarbeitung mit AVV, technisch erzwungener n ≥ 5-Schwelle und dokumentierten TOM nach Art. 32 DSGVO der wesentlich sauberere Weg.
Wir haben nur 4 Leute im Team — geht das überhaupt?
Bei Tätigkeitsgruppen unter n ≥ 5 darf nicht auf dieser Ebene berichtet werden. Die GDA-Leitlinie sieht vor, dass solche Gruppen entweder zu größeren Einheiten zusammengefasst oder qualitativ ausgewertet werden (Beobachtungsinterviews, moderierte Workshops). Eine Befragung mit Excel-Auswertung über 4 Antworten ist datenschutzrechtlich nicht durchführbar — selbst freie Textfelder sind in solchen Konstellationen praktisch identifizierend, weil Schreibstil und Inhalt Rückschlüsse erlauben.
Reicht es, wenn ich keine Namen erfasse?
Nein. Anonym im Sinne der DSGVO heißt: Identifizierung ist mit verhältnismäßigem Aufwand nicht mehr möglich. Browser-Fingerprint, IP-Adresse, Antwortmuster, kleine Abteilungen, freie Textfelder, Versandzeitpunkt einer E-Mail-Einladung — all das sind Identifizierungsmöglichkeiten. Erwägungsgrund 26 DSGVO ist hier streng. Pseudonymisierung allein (Mitarbeiter-Nummer statt Name) genügt nicht; Pseudonyme bleiben personenbezogene Daten und unterliegen der DSGVO vollständig.

Quellen und vertiefende Links

Art. 9 DSGVO — Verarbeitung besonderer Kategorien personenbezogener Daten Art. 25 DSGVO — Datenschutz durch Technikgestaltung und Voreinstellungen Art. 28 DSGVO — Auftragsverarbeitung Art. 32 DSGVO — Sicherheit der Verarbeitung (TOM) Art. 35 DSGVO — Datenschutz-Folgenabschätzung Art. 88 DSGVO — Beschäftigungskontext § 26 BDSG — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses § 87 BetrVG — Mitbestimmungsrechte des Betriebsrats § 5 ArbSchG — Beurteilung der Arbeitsbedingungen GDA-Leitlinie — Beratung und Überwachung bei psychischer Belastung WP 248 — Leitlinien zur Datenschutz-Folgenabschätzung (Art-29-Gruppe / EDSA) DSK Muss-Liste DSFA — Konferenz der unabhängigen Datenschutzaufsichtsbehörden

Weiterlesen im Wissenshub

Behördliche Prüfung der GB Psych 2026

Wer prüft, was geprüft wird, welche Bußgelder realistisch sind — die 5%-Quote ab 2026.

Selbst machen oder Software nutzen?

Kostenvergleich, Risiken und Entscheidungsgrundlagen zwischen Eigenentwicklung und Auftragsverarbeitung.

Anonymitätskonzept Safe Mind

Wie ein Auftragsverarbeiter die Trennung von Erheber und Auswerter konkret umsetzt.

GDA-Konformität Safe Mind

Methodik nach GDA-Leitlinie: Merkmalsbereiche, COPSOQ-III-Grundlage, Prozessabdeckung — und ehrlich ausgewiesene Grenzen.

Wissenshub GB Psych

Alle Gesetze, Behörden, Studien, Tools und Ratgeber rund um die GB Psych — kuratiert.

Hinweis: Dieser Leitfaden bildet die rechtliche Lage nach Stand 7. Mai 2026 ab. Er ersetzt keine individuelle Rechtsberatung. Konkrete Konstellationen sollten mit dem oder der betrieblichen Datenschutzbeauftragten und ggf. einer auf Datenschutzrecht spezialisierten Kanzlei besprochen werden. Quellen sind durchgängig direkt verlinkt — Paragraphen und Behördendokumente, keine Mittler-Seiten.