Welche Daten dürfen Führungskräfte und Kolleg*innen sehen?
Es stellt sich immer wieder die Frage, welche Daten und Dokumente durch die Vorgesetzten und Kolleg*innen eingesehen werden dürfen. Einerseits muss man natürlich miteinander arbeiten können, anderseits muss dafür trotzdem nicht allen alles bekannt sein.
Beschäftigtendatenschutz
Gemäß § 26 BDSG ist eine Verarbeitung der Beschäftigtendaten zulässig, wenn dies „für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich“ ist. Weiter dürfen die Daten verarbeitet werden, wenn es zur Erfüllung von Rechten und Pflichten aus Gesetzen, Tarifverträgen oder Dienstvereinbarungen erforderlich ist.
Somit ist zunächst zu prüfen, ob die geplante Datenverarbeitung für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist. Wobei „erforderlich“ eng auszulegen ist.
Ist eine Verarbeitung nicht für diese Zwecke erforderlich, kann sich eine anwendbare Rechtsgrundlage auch aus Art. 6 DSGVO ergeben. Das ist beispielsweise dann der Fall, wenn eine rechtliche Verpflichtung zur Verarbeitung besteht (Art. 6 Abs. 1 lit. c DSGVO). Ein gutes Beispiel für die Anwendbarkeit dieser Rechtsgrundlage war die Verarbeitung personenbezogener Daten der Beschäftigten im Zusammenhang mit der COVID-19 Pandemie. Auch eine Einwilligung kann eine mögliche Rechtsgrundlage darstellen. Eine Verarbeitung ist darüber hinaus zulässig, wenn diese für die Erfüllung eines Vertrages notwendig ist. Dies muss nicht zwingend der Arbeitsvertrag sein (der sich ohnehin in der Spezialregelung des § 26 BDSG wiederfindet), sondern könnte auch ohne direkte Erforderlichkeit für das Beschäftigungsverhältnis bestehen (beispielsweise im Zusammenhang mit der Abrechnung für Mahlzeiten in der Kantine) Im Beschäftigungsverhältnis ist hier jedoch besonderes Augenmerk auf das Bestehen der Freiwilligkeit zu richten, da ein Abhängigkeitsverhältnis der Beschäftigten gegenüber dem Arbeitgeber besteht. Sehr gute und im BDSG ausdrücklich genannte Indizien für das Bestehen der Freiwilligkeit liegen dann vor, wenn die Beschäftigten einen rechtlichen oder wirtschaftlichen Vorteil von der Erteilung der Einwilligung haben oder beide Parteien (Arbeitgeber und Beschäftigte) gleichgerichtete Interessen verfolgen. Weitere gemäß Art. 6 DSGVO konstituierte Rechtsgrundlagen, wie die Verarbeitung, um lebenswichtige Interessen der Beschäftigten oder einer anderen natürlichen Person zu schützen oder für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, dürften im Beschäftigungsverhältnis eine absolute Ausnahme sein, weshlab wir diese hier nicht weiter betrachten. Nachfolgend gehen wir auf einige praxisrelevante Beispiele von Daten bzw. Verarbeitungen ein und nehmen kurz Stellung:
Personalakte
Generell dürfen nur Mitarbeiter*innen auf die Personalakte zugreifen, die diesen Zugriff zur Aufgabenerfüllung benötigen. Dabei ist es unerheblich, ob die Personalakte papierhaft oder digital geführt wird. Hierbei ist zu beachten, dass der Zugriff auch nur in dem Umfang erfolgen darf, wie er zur Aufgabenerfüllung notwendig ist.
Auch der Betriebsrat, darf grundsätzlich nicht eigenständig in die Personalakte schauen, sondern nur sofern die*der Beschäftigte ihn bei eigener Akteneinsicht dazu holt.
Geburtstagslisten
Es ist sicherlich eine nette Geste den Beschäftigten zum Geburtstag zu gratulieren. Allerdings darf dies nicht zu einer „Zwangsbeglückung“ führen. Eine Geburtstagsliste darf nur mit den Daten von Beschäftigten gefüllt und veröffentlicht werden, die hierzu ihre Einwilligung gegeben haben. Zu unterscheiden ist hier auch zwischen dem eigentlichen Datum (also Tag und Monat) und dem Geburtsjahr. Für „einfache“ Glückwünsche reicht das Datum vollkommen aus. Und nicht jede*r Beschäftigte möchte das eigene Alter veröffentlicht sehen. Daher empfehlen wir, für die Veröffentlichung einer Geburtstagsliste mit vollständigen Geburtsdaten zwei Einwilligungen einzuholen: Eine für das Datum und eine für das Geburtsjahr.
Dienstplan
Um den Dienst der Beschäftigten zu organisieren, werden Dienstpläne erstellt. Das ist auch im Sinne der Beschäftigten, da sie so eine verbindliche Möglichkeit haben ihre Zeit zu planen. Der Arbeitgeber trägt dazu die An- und Abwesenheitszeiten der Beschäftigten in die Liste ein. Es sind nur die Daten zulässig, die für das Führen des Dienstplanes erforderlich sind. Der Umfang dieser Daten kann je nach Art der Beschäftigung unterschiedlich sein (beispielsweise aufgrund spezialgesetzlicher Regelungen im Bereich von Pflegeeinrichtungen).
Krankheit
Egal welche Liste geführt und ausgehängt wird, die Gründe für die Abwesenheiten wie Krankheit oder Urlaub sind dort nicht aufzuführen.
Interne Telefonverzeichnisse
Auch wenn das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Jahr 2002 noch unter dem alten BDSG die Meinung vertrat (die Seite ist leider nur noch im Webarchiv abrufbar), dass ein konzernweites Telefonverzeichnis eher als kritisch einzustufen ist, ist diese Ansicht in einer modernen Kommunikation als wohl nicht mehr haltbar einzustufen. Über eine Interessenabwägung wird in den meisten Fällen die Bekanntgabe der Telefonnummern und E-Mailadressen intern wie im Konzern zulässig sein. Einen entsprechenden Hinweis liefert auch ErwG 48 zur DSGVO. Sollten im Intranet auch die Fotos des Beschäftigten dazu abgebildet werden, bedarf dies allerdings einer Einwilligung.
Die Einwilligung heilt alles…?!
Wie in allen Bereichen hat die Einwilligung auch hier ihre Grenzen. Und da es sich um Beschäftigtendaten handelt, sind diese Grenzen schneller erreicht als in anderen Verarbeitungssituationen (siehe § 26 Abs. 2 BDSG).
Entscheidend ist die Freiwilligkeit der Einwilligung. Aufgrund des bestehenden Abhängigkeitsverhältnisses zwischen Beschäftigten und Arbeitgeber besteht in vielen Fällen die Gefahr, dass keine Freiwilligkeit vorliegt. Somit sollten Sie dieses Mittel nur restriktiv einsetzen.
Für alle gilt…
Die Daten, Dokumente, Listen etc. dürfen auch bei einer rechtmäßigen Verarbeitung nicht Dritten zugänglich gemacht werden, die diese nicht benötigen.
Es dürfen nicht mehr Daten enthalten sein, als für die Zweckerreichung notwendig sind. Wenn Sie umfangreiche Dienstpläne vorhalten müssen für z. B. aufsichtsrechtliche Prüfungen, bedeutet das nicht, dass diese mit allen Angaben auch ausgehängt werden dürfen. Specken Sie den Plan ab und stellen Sie nur die Angaben zur Verfügung, die objektiv benötigt werden.
Um den Aushang zu umgehen, kann nicht auf ein anderes Medium wie beispielsweise Mail an einen großen Empfängerkreis gewechselt werden. Die oben getroffenen Aussagen gelten unabhängig vom Medium.
Wenn Sie einen Betriebsrat haben, muss dieser in einigen Fällen eingebunden werden.
Prüfen Sie, ob die Beschäftigten gemäß Art. 13, 14 DSGVO ausreichend über die Verarbeitung informiert sind.
Vergessen Sie nicht, zu prüfen, ob das Verzeichnis von Verarbeitungstätigkeiten (VVT) zu ergänzen ist.
Auch die direkten Führungskräfte oder deren übergeordnete Führungskräfte dürfen nicht anlasslos auf alle Daten zugreifen. Und sogar der Geschäftsführung, der grundsätzlich sehr weitgehende Zugriffsrechte zustehen, weil sie für die Rechtmäßigkeit der Verarbeitungen des Unternehmens verantwortlich ist, darf kein unkontrollierter Vollzugriff auf alle personenbezogenen Daten eingeräumt werden.
Die Zugriffe müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DSGVO). Das bedeutet, dass bei der Einführung neuer Verfahren und Techniken darauf geachtet werden muss, dass auch für die Führungskräfte und die Geschäftsführung eine abgestufte Berechtigungsvergabe möglich ist. So wird verhindert, dass bei Aufruf eines einzelnen Datums gleichzeitig die gesamten Daten einsehbar sind. Hierbei handelt es sich um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO. Es sollte eine technische Protokollierung eingerichtet sein, mindestens aber sollten die Zugriffe manuell dokumentiert werden, so dass außerordentliche anlassbezogene Zugriffe nachvollziehbar sind.