Zugriff von direkten Vorgesetzten auf Beschäftigtendaten

Die Verwaltung von Unterlagen über einzelne Mitarbeiterinnen und Mitarbeiter – unabhängig davon, ob dies automatisiert oder manuell erfolgt – ist grundsätzlich die Aufgabe der Personalabteilung. Daher haben Fachvorgesetzte keinen Zugriff auf die Personalakten ihrer Belegschaft. Ebenso dürfen in den Fachabteilungen keine separaten Teildokumente oder Nebenakten geführt werden.

I. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Der BfDI weist in seinen FAQs darauf hin, dass es den (direkten) Führungskräften im Rahmen ihrer Führungsaufgaben in Einzelfällen gestattet sein kann, personenbezogene Daten ihrer ihnen unterstellten Mitarbeiterinnen und Mitarbeiter zu verarbeiten, wenn dies für die folgenden Zwecke erforderlich ist:

1. Arbeitsorganisation und personelle Führung:
Aus Datenschutzsicht besteht kein Problem, wenn Vorgesetzte personenbezogene Informationen über ihre Teammitglieder verwenden, soweit dies für die organisatorische und personelle Führung der jeweiligen Organisationseinheit notwendig ist. Dies kann beispielsweise die schriftliche Dokumentation von Arbeitsaufträgen und terminlichen Vorgaben für eine Person zur Steuerung der Aufgabenerledigung umfassen.

2. Abwesenheitslisten:
Die Führung eines Abwesenheits- und Urlaubsplans gehört zu den organisatorischen Aufgaben einer Vorgesetzten oder eines Vorgesetzten. Es gibt keine datenschutzrechtlichen Bedenken, wenn Fachvorgesetzte geplante Abwesenheitszeiten für einen bestimmten Zeitraum, wie zum Beispiel das Urlaubsjahr, notieren, um die Funktionsfähigkeit ihrer Organisationseinheit hinsichtlich der Abwesenheitszeiten der Beschäftigten zu steuern und sicherzustellen.

3. Beurteilungsdaten:
Ebenfalls muss es für Vorgesetzte legitim sein, im Entwurfsstadium von Beurteilungen Daten der Beschäftigten zu nutzen und entsprechende Entwürfe – jedoch ohne Bezugnahme auf frühere Beurteilungen – erstellen zu dürfen. Ebenso ist es erlaubt, notwendige Angaben zur zukünftigen Beurteilung von Beschäftigten als Gedächtnisstütze schriftlich festzuhalten. Dies beschränkt sich jedoch ausschließlich auf persönliche Notizen. Im Falle einer Weitergabe innerhalb der Dienststelle sind diese Notizen als dienstliche Aufzeichnungen zu betrachten und zumindest bis zum Abschluss des Beurteilungsverfahrens ordnungsgemäß zu verwahren. Nach Abschluss des Verfahrens werden die eröffneten Beurteilungen in die Personalakte aufgenommen. Diese unterliegen der Vertraulichkeit der Personalakten und dürfen – auch als Kopien – nicht bei Fachvorgesetzten aufbewahrt werden. Das Gleiche gilt für etwaige Entwurfsfassungen, unabhängig davon, ob sie in elektronischer oder Papierform vorliegen. Demzufolge sind Entwürfe und vorbereitende Notizen zu löschen.

Generell gilt aber auch hier, dass die von den Vorgesetzten für die Arbeitsorganisation und personelle Führung genutzten Mitarbeiterdaten gelöscht werden müssen, wenn sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind.

Insbesondere wenn der An- oder Abwesenheitsplan innerhalb einer Organisationseinheit von allen Beschäftigten eingesehen werden kann, ist darauf zu achten, dass die Gründe für die Abwesenheit, insbesondere krankheitsbedingte Gründe, nicht erkennbar sind. Persönlich bedingte Abwesenheit (einschließlich Krankheit, Urlaub, Gleittage, Freistellung usw.) sollte ohne Angabe des genauen Grundes, z. B. mit „persönlich abwesend“, angezeigt werden. Diese Daten sollten regelmäßig ein Jahr nach Ablauf des vorherigen Kalenderjahres gelöscht werden.

II. Die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LfDI NRW)

Auch die LfDI äußert sich in ihrem aktuellen Tätigkeitsbericht (Ziffer 8.1) zu dieser äußerst praxisrelevanten Frage.

1. Krankheitsbedingte Abwesenheitszeiten
Die LfDi NRW stellt fest, dass es sich bei Daten über krankheitsbedingte Abwesenheitszeiten in Verbindung mit der Angabe des Grundes der Erkrankung nicht nur um vertrauliche Personaldaten handelt, sondern auch um besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DS-GVO (Gesundheitsdaten). Ergänzt wird diese Feststellung mit dem Hinweis, dass die Verarbeitung solcher Daten gemäß § 26 Absatz 3 BDSG in Verbindung mit Artikel 9 Absatz 2 DS-GVO für Zwecke des Beschäftigungsverhältnisses zulässig ist, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an einer Einschränkung der Verarbeitung überwiegt.

Grundsätzlich bestehe keine rechtliche Grundlage für die Übermittlung der Anzahl von zurückliegenden Krankheitstagen an Fachvorgesetzte. Obwohl es in der Regel notwendig sein wird, Vorgesetzte über aktuelle krankheitsbedingte Ausfälle und deren voraussichtliche Dauer zu informieren, um beispielsweise betriebliche Abläufe anzupassen oder Vertretungen zu regeln, ist die Kenntnis über die Anzahl zurückliegender Krankheitstage für diesen Zweck nicht erforderlich.

Arbeitsunfähigkeitsbescheinigungen enthalten auch Angaben zur ausstellenden Arztpraxis und lassen Rückschlüsse auf die Fachrichtung und damit die Art der Erkrankung zu. Hier sollten Verantwortliche und der HR-Bereich bereits die notwendigen Prozesse erarbeitet und etabliert haben, die sich in Folge Anforderungen aus der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) ergeben haben. Fragen und Antworten zur elektronischen Arbeitsunfähigkeitsbescheinigung (eAU), insbesondere auch datenschutrzrechtliche Aspekte werden in diesem BDA-Papier verständlich aufgearbeitet.

Bei der Verarbeitung solcher Gesundheitsinformationen handelt es sich um besondere Kategorien personenbezogener Daten, für deren Verarbeitung strengere Anforderungen gelten. In der Regel besteht daher keine Erforderlichkeit, dass solche Informationen außerhalb der personalverantwortlichen Stelle bekannt sind.

2. Überstunden
Eine Mitteilung an Vorgesetzte kann, auch im Hinblick auf die Fürsorgepflicht von Arbeitgebern, in Betracht kommen, wenn bestimmte Zeitrahmen für Überstunden überschritten (oder unterschritten) werden. In diesem Zusammenhang empfiehlt die LDI NRW, konkrete Festlegungen, insbesondere zu den betreffenden Zeitrahmen, beispielsweise in einer Betriebsvereinbarung zu treffen, um entsprechende Mitteilungen an bestimmte Personen vorzunehmen.

3. Urlaubstage
Die Erforderlichkeit einer Mitteilung von Resturlaubstagen an Vorgesetzte kann nach Auffassung der LDI NRW nicht pauschal beurteilt werden. Führungskräfte dürfen nur auf diejenigen Daten zugreifen, die zur Wahrnehmung ihrer Führungsaufgabe erforderlich sind.

Eine Mitteilung von Resturlaubstagen kann beispielsweise erforderlich sein, wenn die Kenntnis dieser Informationen für die Personalplanung notwendig ist. In Branchen mit projektbasierten Arbeiten kann es beispielsweise erforderlich sein, bestimmte Beschäftigte oder eine bestimmte Anzahl von Personen für ein Projekt einzuplanen, um einen reibungslosen Ablauf sicherzustellen.

Gleichzeitig können sich die Projektzeiträume mit den Verfallsfristen für Urlaubstage der Beschäftigten überschneiden. Um eine effektive Personalplanung für die Projekte zu ermöglichen und sicherzustellen, dass Beschäftigte ihren ihnen zustehenden Urlaub nehmen können, ist es für Vorgesetzte erforderlich, Kenntnis von den Resturlaubstagen der Beschäftigten zu haben. Diese Informationen sollten erforderlichenfalls in erster Linie direkt bei der betroffenen Person erfragt werden.

(Foto: metamorworks – stock.adobe.com)