Datenschutz bei Anwesenheitsplanung und Urlaubslisten

Inhalt

Anwesenheitsplanung und Urlaubslisten sind wichtige Tools für Arbeitgeber, um den Betrieb ihres Unternehmens zu organisieren und sicherzustellen, dass Mitarbeiter im Dienst sind, wenn sie benötigt werden. Naturgemäß werden mit Hilfe dieser Tools personenbezogener Daten verarbeitet, weshalb die Vorschriften des Datenschutzes zu beachten sind. Wir geben Ihnen Tipps für den rechtskonformen Einsatz im Unternehmen.

Warum sind An- und Abwesenheit der Mitarbeiter datenschutzrechtlich relevant?

Anwesenheitsplanung und Urlaubslisten sind für Unternehmen essenziell, um den Arbeitsalltag zu organisieren. Dabei werden personenbezogene Daten wie der Name, die Abteilung, das Datum und der Abwesenheitsgrund der Mitarbeiter erfasst. Diese Daten sind besonders sensibel, da sie u. U. Rückschlüsse auf die Gesundheit und private Situation der Arbeitnehmer zulassen. Die Verarbeitung ist jedoch notwendig, um beispielweise zu ermitteln, ob eine krankheitsbedingte Abwesenheit begründet ist oder ob etwa ein Anspruch auf Mutterschutz besteht.

Welche datenschutzrechtlichen Vorgaben sind bei Anwesenheitsplanung und Urlaubslisten zu beachten?

Um sowohl den Bedürfnissen der Unternehmen als auch der Verantwortung gegenüber Arbeitnehmern gerecht zu werden, hat der Gesetzgeber spezielle Voraussetzungen für die Verarbeitung (besonderer) personenbezogener Daten in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) festgeschrieben.

Die rechtmäßige Verarbeitung von personenbezogenen Daten verlangt nach einer Rechtsgrundlage. Diese ist Art. 6 DSGVO zu entnehmen.

Gemäß Art. 6 Abs. 1 lit. c DSGVO ist eine Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt. Diese ergibt sich für die Erstellung eines Urlaubsplans und ähnliche Verarbeitungen aus § 1 BurlG, der eine rechtliche Verpflichtung für den Arbeitgeber zur Erfüllung von Urlaubsansprüchen darstellt. Diese Verpflichtung ist nach Art. 88 Abs. 1 DSGVO im Vermessen mit § 26 Abs. 3 BDSG zur Durchführung eines Arbeitsverhältnisses erforderlich.

Gemäß Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten auf das notwendige Minimum beschränkt werden (Prinzip der Datenminimierung). Das bedeutet, dass Unternehmen nur diejenigen Daten erheben dürfen, die sie für den Zweck, also Anwesenheitsplanung und Urlaubslisten, tatsächlich benötigen.

In den Urlaubskalender dürfen deshalb grundsätzlich nur der Name des Mitarbeiters und der Zeitraum der Abwesenheit eingetragen werden, während Daten wie das Geburtsdatum, die Telefonnummer oder der Grund der Abwesenheit zumeist nicht als angemessen erscheinen. Noch besser ist es mit Namenskürzeln in den Listen zu arbeiten.

Personenbezogene Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Bei Anwesenheitsplanung und Urlaubslisten bedeutet das, dass die Daten nur für die Organisation des Arbeitsablaufs verwendet werden dürfen.

Neben dem Datenschutz spielt auch die Datensicherheit eine entscheidende Rolle. Unternehmen müssen sicherstellen, dass die Anwesenheitsdaten und Urlaubslisten in einem sicheren System gespeichert werden, das nur befugten Personen zugänglich ist. Dazu sollten passende technische und organisatorische Maßnahmen ergriffen werden, wie zum Beispiel die Verschlüsselung und die Zugangs- und Zugriffsbeschränkung der Daten. Mitarbeiter sind entsprechend zu schulen und auf Vertraulichkeit zu verpflichten.

Personenbezogene Daten dürfen nur für einen angemessenen Zeitraum aufbewahrt werden und müssen dann gelöscht werden. Sowohl für Urlaubslisten als auch Anwesenheitsplanung gibt es grundsätzlich keine gesetzlichen Aufbewahrungsfristen. Sie gehören zu den allgemeinen Personalunterlagen. Es empfiehlt sich, diese nach Ablauf eventueller Verfallklauseln, spätestens jedoch nach dem Ablauf der Verjährungsfristen zu beseitigen. Die Verjährungsfrist beträgt nach § 195 BGB drei Jahre. Allerdings können sich Ausnahmen ergeben, z.B. bei Urlaubslisten für die Berechnung der Rückstellungen oder aus dem Arbeitszeitgesetz für Überstunden.

Die betroffenen Personen haben ein Recht auf Information darüber, welche personenbezogenen Daten über sie gespeichert und wie diese verarbeitet werden. Bei Anwesenheitsplanung und Urlaubslisten müssen die betroffenen Mitarbeiter über die Erhebung und Verarbeitung ihrer Daten informiert werden. Dies erfolgt idealerweise im Mitarbeiterinformationsschreiben.

Welche datenschutzrechtlichen Besonderheiten gelten bei digitaler Personalplanung?

Immer mehr Unternehmen setzen auf digitale Lösungen zur Anwesenheitsplanung und Urlaubslistenführung. Mittels webbasierter Lösungen zur Urlaubsverwaltung können klassische Excel-Tabellen oder Wandpläne ersetzt werden. Solche Tools automatisieren die Berechnung von Urlaubstagen, vermeiden manuelle Fehler und ermöglichen eine übersichtliche Darstellung aller Abwesenheiten.

Datenschutz bei digitalen Tools

Digitale Urlaubsplanungssysteme steigern also erheblich die Effizienz in der Personalabteilung. Gleichzeitig können potenzielle Sicherheitslücken in solchen Systemen ebenso zu datenschutzrechtlichen Risiken führen. Daher ist ein sorgfältiges Auswahlverfahren, das technische und organisatorische Schutzmaßnahmen sowie vertragliche Garantien – beispielsweise zur Datenübertragbarkeit, in den Mittelpunkt stellt, unabdingbar.

Zu beachten ist, dass Mitarbeitende zwingend darüber informiert werden müssen, wer ihre Daten verarbeitet und wer darauf zugreifen darf. Außerdem sollten Mitarbeiter hinsichtlich des verantwortungsvollen Umgangs mit personenbezogenen Daten im digitalen Raum besonders geschult werden. Wenn Sie ein externes Tool nutzen, müssen zudem die Anforderungen an eine Auftragsverarbeitung erfüllt sein.

Datensicherheit bei digitalen Tools

Zusätzlich sollten Unternehmen sicherstellen, dass die eingesetzte Software alle notwendigen Maßnahmen im Sinne der Datensicherheit implementiert hat. Darunter fallen beispielsweise der Einsatz von SSL-Verschlüsselungen (Technik, für sichere Datenübertragung im Internet) und rollenbasierte Zugriffsrechte (Methode zur Zugriffssteuerung auf bestimme Systeme und Daten).

Was ist beim Einsatz von KI bei der Anwesenheitsplanung zu beachten?

Ebenso können KI-Tools Routineaufgabe übernehmen und dadurch die Personalabteilungen entlasten. Da KI-Systeme permanent zur Verfügung stehen, können Mitarbeitende jederzeit ihre verbleibenden Urlaubstage abrufen, Anträge einsehen oder den Genehmigungsstatus einsehen, ohne auf einen HR-Mitarbeitenden angewiesen zu sein. Darüber hinaus können KI-Tools Überschneidungen mit anderen Abwesenheiten erkennen und frühzeitig auf mögliche Konflikte in der Einsatzplanung hinweisen.

Gerade bei KI-gestützten Tools ist es wichtig, dass sensible bzw. kompliziertere Sachverhalte weiterhin durch die zuständige HR-Abteilung bearbeitet werden, da Entscheidungen, die rechtliche Konsequenzen haben, nicht automatisiert getroffen werden dürfen. Allgemeine Anfragen, zum Beispiel zu gesetzlichen Feiertagen, Regelungen zu Brückentagen, Urlaubsansprüchen oder Voraussetzungen für Krankmeldungen, können dagegen vollständig automatisiert bearbeitet werden.

Aus diesem Grund empfiehlt es sich, eine interne Richtlinie für den Einsatz von KI-Systemen in der An- und Abwesenheitsplanung zu erarbeiten. Darin sollte insbesondere festgelegt werden, für welche Anwendungsfälle KI eingesetzt wird, auf welche Datenquellen sie zugreifen kann und welche Entscheidungen ausschließlich durch die Personalabteilung getroffen werden müssen. Darüber hinaus sollten klare Vorgaben zum Umgang mit Fehlantworten, Verzerrungen, unbeabsichtigter Offenlegungen von sensiblen Daten sowie zu Datenschutzkontrollen definiert werden. Ebenso muss sichergestellt sein, dass Mitarbeitende transparent darüber informiert werden, dass sie mit einem KI-System interagieren.

Zudem empfiehlt sich, Pilotprojekte mit ausgewählten Nutzergruppen durchzuführen, um nicht nur die Bedienbarkeit, sondern auch die Akzeptanz der Mitarbeiter zu prüfen, bevor das System unternehmensweit angewendet wird.

Was gilt bei Abwesenheitsbenachrichtigungen oder automatischer Weiterleitung von E-Mails?

Abwesenheitsbenachrichtigungen

Während der Urlaubszeit aktivieren viele Mitarbeitende automatische Abwesenheitsmeldungen (Out-of-Office-Benachrichtigungen) in ihrem E-Mail-Programm, um Absender über ihre Abwesenheit zu informieren.

Dies ist eine datenschutzkonforme Lösung und es ist dem Absender möglich, selbst zu entscheiden, ob er eine genannte Vertretung kontaktiert oder seine Anfrage zu einem anderen Zeitpunkt erneut an den eigentlichen Adressaten sendet.

Achtung: Abwesenheitsbenachrichtigungen können aber ein Einfallstor für Hacker sein, da sie relevante Informationen enthalten. Lesen Sie dazu unsere Empfehlungen zu Abwesenheitsnotizen als Schwachstelle.

Automatische Weiterleitungen

Sowohl der Inhalt einer empfangenen E-Mail als auch bereits die E-Mail-Adresse des Absenders fallen unter den Schutz der DSGVO. Eine automatische Weiterleitung eingehender E-Mails an Kollegen, die die Urlaubsvertretung übernehmen, gilt deshalb rechtlich gesehen als Datenübermittlung an Dritte und bedarf somit einer eigenen Rechtsgrundlage.

In der Praxis wird es jedoch wohl kaum realisierbar sein, dass jeder Absender zuvor seine ausdrückliche Einwilligung dafür gibt. Daher sollte grundsätzlich auf eine automatische E-Mail-Weiterleitung verzichtet werden oder, falls sie unvermeidbar ist, vorab auf sie hingewiesen werden, damit die Informationspflichten eingehalten werden.

Checkliste für DSGVO-konforme Anwesenheitsplanung und Urlaubslistenführung

  1. Stellen Sie sicher, dass alle Datenschutzgrundsätze eingehalten werden. Verarbeiten Sie insbesondere nur diejenigen Daten, die für die Anwesenheitsplanung und Urlaubslisten tatsächlich benötigt werden.
  2. Vergewissern Sie sich, dass die Anwesenheitsdaten und Urlaubslisten vor unbefugtem Zugriff geschützt sind. Dazu gehört auch, dass innerhalb des Unternehmens nur diejenigen Personen Zugriff auf die Daten haben, die diese für ihre Arbeit benötigen und dazu befugt sind, wie beispielsweise die Personalabteilung (Need-to-know-Prinzip).
  3. Nutzen Sie beim Einsatz von digitalen Urlaubskalendern nur Software, die den Anforderungen der DSGVO entspricht und ergänzen Sie gegebenenfalls passende technische und organisatorische Maßnahmen zum Schutz der Daten.
  4. Legen Sie vor dem Einsatz von KI klare Richtlinien fest und stellen Sie sicher, dass für Mitarbeitende erkennbar ist, dass sie mit einem KI-System interagieren.
  5. Schulen Sie Ihre Mitarbeiter in Bezug auf den richtigen Umgang mit personenbezogenen Daten im Rahmen der Anwesenheitsplanung und Urlaubslistenführung.
  6. Prüfen Sie, ob Abwesenheitsbenachrichtigungen eingerichtet sind und vermeiden Sie, wenn möglich, automatische Weiterleitungen ohne Einwilligung.

Fazit

Anwesenheitsplanung und Urlaubslistenführung sind wichtige Instrumente zur Organisation des Arbeitsalltags. Deshalb können Arbeitgeber die entsprechenden personenbezogenen Daten im Rahmen der Erfüllung des Arbeitsvertrages verarbeiten.

Wer die hier skizzierten Maßnahmen zu Schutz und Sicherheit der Daten umsetzt, kann eine rechtskonforme Verarbeitung gewährleisten. Ein sorgsamer Umgang mit den personenbezogenen Daten von Mitarbeitern stärkt nachhaltig deren Vertrauen und erhöht so die Attraktivität des Unternehmens für aktuelle sowie potenzielle Mitarbeiter.

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.