Datenschutz im Beschäftigungsverhältnis – Anforderungen der Aufsichtsbehörden

Im Rahmen eines Beschäftigungsverhältnisses werden durch die jeweiligen Arbeitgeber*innen in großem Umfang Daten der Beschäftigten verarbeitet.

Dabei ist diese Verarbeitung in vielen Fällen deshalb problematisch, weil der Schutz der Rechte und Freiheiten der Beschäftigten gegen das Interesse der Arbeitgeber*innen an der Verarbeitung und Nutzung der Informationen über die Beschäftigten leider nicht oder zumindest zu einseitig abgewogen wird.

Es gibt viele Verarbeitungssituationen, in denen die Frage nach der Zulässigkeit einer Verarbeitung seitens der für die Datenverarbeitung Verantwortlichen erst gar nicht gestellt wird. Die Daten werden im großen Stil in verschiedenen Tabellen, Listen, Fragebögen, Aushängen oder in Drittanbietertools verarbeitet. Nach eigenem Verständnis weil man es „unbedingt muss“. Und weil man es muss, darf man es dann ja auch und zwar ohne Einschränkungen. So die Denkweise bei vielen (nicht ausreichend sensibilisierten) Verantwortlichen.

Um für die nötige Sensibilisierung zu sorgen, haben wir uns mit einzelnen Spezialfragen zum Datenschutz im Beschäftigungsverhältnis in einer Reihe unserer Beiträge beschäftigt. Folgende könnten für Sie in diesem Zusammenhang besonders interessant sein:

• Einsicht in die Personalunterlagen durch Vorgesetzte
• Welche Daten dürfen Führungskräfte und Kolleg*innen sehen?
• Datenschutz im Bewerbungsverfahren
• Dürfen private Kontaktdaten Beschäftigter verarbeitet werden?
• BAG zum Betrieblichen Eingliederungsmanagement (BEM)
• Sensibilisierung der Beschäftigten – Pflicht oder Kür?

Auch die Aufsichtsbehörden für den Datenschutz haben bisher zahlreiche Hilfestellungen für Verantwortliche veröffentlicht, die sich mit einzelnen Aspekten der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses befassen.

Ganz besonders möchten wir im Folgenden auf die „FAQ Beschäftigtendatenschutz“ vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) sowie die aktuellen Hinweise zu einzelnen praxisrelevanten Fragen der einzelnen Landesbehörden in ihren aktuellen Tätigkeitsberichten eingehen.

FAQ des BfDI zum Beschäftigtendatenschutz

Die FAQ-Liste des BfDI enthält viele Informationen zu den häufig gestellten Fragen zu den Rechten der betroffenen Personen im Beschäftigungsverhältnis oder Bewerbungsverfahren sowie entsprechenden Pflichten der Verantwortlichen.

Besonders interessant aus unserer Sicht ist hier die Beantwortung der Frage nach den Zugriffsrechten der Vorgesetzten (wir bevorzugen eigentlich den Begriff „Führungskraft“, übernehmen hier und nachfolgend aber den Wortlaut des BfDI), die diese auf die Beschäftigtendaten zulässigerweise haben dürfen.

Der BfDI betont in seiner Antwort zu dieser Frage, dass die Verwaltung von Daten und Führung von Personalunterlagen einzelner Beschäftigten grundsätzlich Aufgabe der Personalabteilung sei, so dass Vorgesetzte regelmäßig keinen Zugang zu den Daten in der Personalakte haben dürfen. Auch dürfen keine Paralleldatenbanken aufgebaut und Schatten-Personalakten geführt werden, beispielsweise in Form von Teil- oder Nebenakten.

Allerdings gibt es hier Ausnahmen, die in der Praxis eine Verarbeitung der personenbezogenen Daten der Beschäftigten durch Vorgesetzte erforderlich machen und zulässig sind. Dabei handelt es sich um folgende Fälle:

Organisatorische und personelle Führung der Beschäftigten

Sofern Vorgesetzte personenbezogene Informationen für die organisatorische und personelle Führung der jeweiligen Organisationseinheit verarbeiten und diese Verarbeitung dem Zweck der Organisation und der Führung von Beschäftigten erforderlich ist, bestehen nach Auffassung des BfDI grundsätzlich keine Bedenken gegen diese Verarbeitung. Erlaubt ist es daher beispielsweise, die einer Person erteilten Arbeitsaufträge schriftlich zu fixieren und diese Daten zur Kontrolle und Steuerung der Erledigung jeweiliger Aufgaben zu verwenden.

Dabei gehört zur Führung und Organisation von Beschäftigten auch die Verarbeitung der Beschäftigtendaten im Rahmen einer Abwesenheits- und Urlaubsliste. Der BfDI geht davon aus, dass Vorgesetzte Angaben über geplante Abwesenheitszeiten der Beschäftigten in ihrem Team unter der Beachtung des Speicherbegrenzungsgrundsatzes beispielsweise für das Urlaubsjahr notieren dürfen, um die Funktionsfähigkeit der Organisation in ihrem Zuständigkeitsbereich sicherstellen zu können.

Nach Erreichung des Zwecks sind die Daten unbedingt zu löschen. Zu achten ist auch darauf, dass die An- oder Abwesenheitslisten innerhalb einer Organisation im Fall ihrer Bekanntgabe an die Teammitglieder keine Abwesenheitsgründe, insbesondere keine krankheitsbedingten, enthalten. Als Vermerk für eine persönlich bedingte Abwesenheit (beispielsweise aufgrund der Krankheit, Urlaub, Freistellung, Gleittag, etc.) wäre eine möglichst allgemeine Angabe zu wählen wie „persönlich abwesend“ oder „nicht anwesend“. Als Löschfrist für solche Daten gilt nach Auffassung des BfDI regelmäßig ein Jahr nach Ablauf des vorherigen Kalenderjahres. Diese Frist erscheint uns schon fast etwas lang. Die Organisation mittels in der Vergangenheit liegender Daten kommt nach unserem Wissen eher selten vor und im Bedarfsfall liegen diese Daten auch in der Personalabteilung noch vor. Bei einer zulässigen Verwendung der Daten dürfte es unseres Erachtens kein Problem sein, durch Vorgesetzte bereits frühzeitig gelöschte Daten über Abwesenheiten, auf diesem Weg wiederzuerlangen.

Bezüglich der Behandlung von Krankheitstagen und Krankmeldungen empfiehlt der BfDI die ärztlichen Bescheinigungen und kurzzeitige (telefonische) Krankmeldungen der Beschäftigten an Vorgesetzte durch die jeweiligen Beschäftigten direkt an die Personalverwaltung weiterzuleiten. Dabei sollten keine Notizen oder Dokumentationen parallel bei den Vorgesetzten angefertigt werden. Ausnahmsweise ist es jedoch aus organisatorischen Gründen erforderlich, dass eine Mitteilung über die Abwesenheit an einen Arbeitsbereich erfolgen muss, um die Aufgabenerledigung dort zu planen. Das hält der BfDI für zulässig. Allerdings weist er darauf hin, dass die Angabe des Abwesenheitsgrunds regelmäßig nicht erforderlich sein wird, so dass auch hier eine möglichst allgemeine Angabe wie „persönlich abwesend“ zu wählen wäre.

Verarbeitung von Daten zur Beurteilung der Beschäftigten

Zur Beurteilung der Beschäftigten dürfen durch die Vorgesetzten ihre persönlichen Eindrücke und Bewertungen zu einer beschäftigten Person als Notiz und Gedächtnisstütze schriftlich festgehalten und entsprechende Entwürfe der Beurteilungen jeweils angefertigt werden. Ein Rückgriff auf frühere Beurteilungen wäre nach Auffassung des BfDI dabei allerdings nicht zulässig.

Sofern die Notizen und Gedächtnisprotokolle an die Personalabteilung weitergegeben werden, sind diese bis zum Abschluss des Beurteilungsverfahrens in der Personalakte aufzubewahren und danach zu löschen bzw. datenschutzkonform zu vernichten.

Nach Abschluss des Beurteilungsverfahrens sind die Unterlagen in der Personalakte aufzubewahren. Ihre Aufbewahrung und Verwaltung durch Vorgesetzte ist unzulässig.  

Hinweise der Landesdatenschutzbeauftragten

In ihren aktuellen Tätigkeitsberichten gehen auch die Landesdatenschutzbeauftragten auf praxisrelevante Fragen des Datenschutzes im Beschäftigungsverhältnis ein. Hier möchten wir die Hinweise der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hervorheben.

Hinweise der LDI NRW

Bezüglich der krankheitsbedingten Abwesenheiten äußert sich auch die LDI NRW in ihrem aktuellen Tätigkeitsbericht unter der Ziffer 8.1 zu dieser sehr praxisrelevanten Frage.

Die LDI NRW stellt fest, dass es grundsätzlich keine rechtliche Grundlage für die Übermittlung der Anzahl von zurückliegenden Krankheitstagen an Fachvorgesetzte gebe. Es bleibt also dabei, dass Vorgesetzte über aktuelle krankheitsbedingte Ausfälle und deren voraussichtliche Dauer nur Informationen erhalten dürfen, um beispielsweise betriebliche Abläufe zu organisieren und insbesondere Vertretungsregelungen zu treffen. Wie lange jedoch eine Person insgesamt krank war in einem zurückliegenden Zeitraum, dürfen die Fachvorgesetzten regelmäßig nicht erfahren, da die Kenntnis über die Anzahl zurückliegender Krankheitstage für betriebliche Zwecke regelmäßig nicht erforderlich sein wird.

Bezüglich der Mitteilungen seitens der Personalabteilung an Vorgesetzte, beispielsweise im Fall der Über- oder Unterschreitung einer bestimmten Grenze an Überstunden weist die LDI NRW darauf hin, dass hier konkrete Festlegungen, insbesondere zu den betreffenden Zeitrahmen zu treffen seien. Bei Mitteilungen an Vorgesetzte zu Resturlaubstagen einer beschäftigten Person sei zu beachten, dass sofern die Kenntnis der Resturlaubstage zur Wahrnehmung einer Führungsaufgabe erforderlich ist, eine entsprechende Mitteilung erfolgen dürfe. Allerdings sei diese Information in erster Linie bei der betroffenen Person zu erfragen. Hier stellen wir uns die Frage, welchen Zweck die LDI NRW mit dieser Einschränkung verfolgt, ist das Ergebnis (Informationen über Resturlaubstage sind bei den Fachvorgesetzten vorhanden) doch das gleiche. Und es liegt auch keine Erhebung bei Dritten vor, denn auch die Fachvorgesetzten sind Teil der Arbeitgeber*in und damit des für die Verarbeitung Verantwortlichen.

Hinweise der BlnBDI

Im Rahmen ihrer Zuständigkeit musste die BlnBDI einer Beschwerde nachkommen, die sie zum Anlass nahm, um in ihrem Tätigkeitsbericht darauf hinzuweisen, dass in der Personalakte nur Informationen über den zeitlichen Umfang eines bewilligten Sonderurlaubs gespeichert werden dürfen (siehe Ziffer 8.4 des Tätigkeitsberichts der BlnBDI). Unzulässig wäre dagegen die Speicherung von Informationen, die Rückschlüsse auf die Art des Urlaubs oder über die jeweilige Begründung ermöglichen, sofern es sich um Daten handelt, die dem besonderen Schutz des Art. 9 Abs. 1 DSGVO unterliegen. Speicherung von Informationen, aus denen sich die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit oder Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung ergeben können, ist im Rahmen der Bewilligung oder Ablehnung von Sonderurlaubsanträgen aus Sicht der BlnBDI damit unzulässig.

Und obwohl sich der Fall, zu dem die BlnBDI ihre Feststellung getroffen hat, im Beamtenrecht abgespielt hatte, dürften sich vergleichbare Fälle auch in der Privatwirtschaft in ähnlicher Form finden. Die Verantwortlichen sollten daher überprüfen, inwiefern in den Personalakten gegebenenfalls Daten verarbeitet werden, die in diese nicht hingehören und bei denen die Aufsichtsbehörden sehr wahrscheinlich von einer unzulässigen Verarbeitung ausgehen würden. Werden solche Daten dort gespeichert, sollten diese zeitnah aus den Personalakten entfernt werden.

Fazit

Im Rahmen eines Beschäftigungsverhältnisses dürfen die Arbeitgeber*innen die Daten der Beschäftigten verarbeiten. Jedoch ist dabei zu beachten, dass für die Verarbeitung der Daten oft Einschränkungen gelten. Vor allem sollte nicht zu schnell davon ausgegangen werden, dass die Verarbeitung der Daten erforderlich und damit zulässig ist. Im Rahmen der Erforderlichkeitsprüfung ist jeweils das Ergebnis zu dokumentieren. Zu beachten ist dabei, dass diese Prüfung objektiv erfolgen muss und die Interessen der betroffenen Beschäftigten ausreichend berücksichtigen muss. Empfehlenswert ist auch die Einschaltung der*des Datenschutzbeauftragten – sofern vorhanden – bereits in der Planungsphase einer Verarbeitungstätigkeit, damit die rechtlichen Voraussetzungen und die im Rahmen der Compliance zu beachtenden Aspekte ausreichend geklärt werden können.