Welche Daten dürfen Führungskräfte und Kolleg*innen sehen?

Selbst die Geschäftsführung darf nicht anlasslos Zugriff auf alle personenbezogene Daten haben.

08.06.2022

Es stellt sich immer wieder die Frage, welche Daten und Dokumente durch die Vorgesetzten und Kolleg*innen eingesehen werden dürfen. Einerseits muss man natürlich miteinander arbeiten können, anderseits muss dafür trotzdem nicht allen alles bekannt sein.

Beschäftigtendatenschutz

Gemäß § 26 BDSG ist eine Verarbeitung der Beschäftigtendaten zulässig, wenn dies „für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich“ ist. Weiter dürfen die Daten verarbeitet werden, wenn es zur Erfüllung von Rechten und Pflichten aus Gesetzen, Tarifverträgen oder Dienstvereinbarungen erforderlich ist.

Somit ist zunächst zu prüfen, ob die geplante Datenverarbeitung für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist. Wobei „erforderlich“ eng auszulegen ist.

Ist eine Verarbeitung nicht für diese Zwecke erforderlich, kann sich eine anwendbare Rechtsgrundlage auch aus Art. 6 DSGVO ergeben. Das ist beispielsweise dann der Fall, wenn eine rechtliche Verpflichtung zur Verarbeitung besteht (Art. 6 Abs. 1 lit. c DSGVO). Ein gutes Beispiel für die Anwendbarkeit dieser Rechtsgrundlage war die Verarbeitung personenbezogener Daten der Beschäftigten im Zusammenhang mit der COVID-19 Pandemie. Auch eine Einwilligung kann eine mögliche Rechtsgrundlage darstellen. Eine Verarbeitung ist darüber hinaus zulässig, wenn diese für die Erfüllung eines Vertrages notwendig ist. Dies muss nicht zwingend der Arbeitsvertrag sein (der sich ohnehin in der Spezialregelung des § 26 BDSG wiederfindet), sondern könnte auch ohne direkte Erforderlichkeit für das Beschäftigungsverhältnis bestehen (beispielsweise im Zusammenhang mit der Abrechnung für Mahlzeiten in der Kantine). Im Beschäftigungsverhältnis ist hier jedoch besonderes Augenmerk auf das Bestehen der Freiwilligkeit zu richten, da ein Abhängigkeitsverhältnis der Beschäftigten gegenüber dem Arbeitgeber besteht. Sehr gute und in der DS-GVO ausdrücklich genannte Indizien für das Bestehen der Freiwilligkeit liegen vor, wenn die Beschäftigten einen rechtlichen oder wirtschaftlichen Vorteil von der Erteilung der Einwilligung haben oder wenn beide Parteien (Arbeitgeber und Beschäftigte) gleichgerichtete Interessen verfolgen. Weitere gemäß Art. 6 DSGVO konstituierte Rechtsgrundlagen, wie die Verarbeitung, um lebenswichtige Interessen der Beschäftigten oder einer anderen natürlichen Person zu schützen oder für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, dürften im Beschäftigungsverhältnis eine absolute Ausnahme sein, weshalb wir diese hier nicht weiter betrachten. Nachfolgend gehen wir auf einige praxisrelevante Beispiele von Daten bzw. Verarbeitungen ein und nehmen kurz Stellung:

Personalakte

Generell dürfen nur Mitarbeiter*innen auf die Personalakte zugreifen, die diesen Zugriff zur Aufgabenerfüllung benötigen. Dabei ist es unerheblich, ob die Personalakte papierhaft oder digital geführt wird. Hierbei ist zu beachten, dass der Zugriff auch nur in dem Umfang erfolgen darf, wie er zur Aufgabenerfüllung notwendig ist.

Auch der Betriebsrat, darf grundsätzlich nicht eigenständig in die Personalakte schauen, sondern nur sofern die*der Beschäftigte ihn bei eigener Akteneinsicht dazu holt.

Geburtstagslisten

Es ist sicherlich eine nette Geste, den Beschäftigten zum Geburtstag zu gratulieren. Allerdings darf dies nicht zu einer „Zwangsbeglückung“ führen. Eine Geburtstagsliste darf nur mit den Daten von Beschäftigten gefüllt und veröffentlicht werden, die hierzu ihre Einwilligung gegeben haben. Zu unterscheiden ist hier auch zwischen dem eigentlichen Datum (also Tag und Monat) und dem Geburtsjahr. Für „einfache“ Glückwünsche reicht das Datum vollkommen aus. Und nicht jede*r Beschäftigte möchte das eigene Alter veröffentlicht sehen. Daher empfehlen wir, für die Veröffentlichung einer Geburtstagsliste mit vollständigen Geburtsdaten zwei Einwilligungen einzuholen: Eine für das Datum und eine für das Geburtsjahr.

Dienstplan

Um den Dienst der Beschäftigten zu organisieren, werden Dienstpläne erstellt. Das ist auch im Sinne der Beschäftigten, da sie so eine verbindliche Möglichkeit haben ihre Zeit zu planen. Der Arbeitgeber trägt dazu die An- und Abwesenheitszeiten der Beschäftigten in die Liste ein. Es sind nur die Daten zulässig, die für das Führen des Dienstplanes erforderlich sind. Der Umfang dieser Daten kann, ja nach Art der Beschäftigung, unterschiedlich sein (beispielsweise aufgrund spezialgesetzlicher Regelungen im Bereich von Pflegeeinrichtungen).

Krankheit

Egal welche Liste geführt und ausgehängt wird, die Gründe für die Abwesenheiten wie Krankheit oder Urlaub sind dort nicht aufzuführen.

Interne Telefonverzeichnisse

Auch wenn das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Jahr 2002 noch unter dem alten BDSG die Meinung vertrat (die Seite ist leider nur noch im Webarchiv abrufbar), dass ein konzernweites Telefonverzeichnis eher als kritisch einzustufen ist, ist diese Ansicht in einer modernen Kommunikation als wohl nicht mehr haltbar einzustufen. Über eine Interessenabwägung wird in den meisten Fällen die Bekanntgabe der Telefonnummern und E-Mail-Adressen intern wie im Konzern zulässig sein. Einen entsprechenden Hinweis liefert auch ErwG 48 zur DSGVO. Sollten im Intranet auch die Fotos des Beschäftigten dazu abgebildet werden, bedarf dies allerdings einer Einwilligung.

Die Einwilligung heilt alles…?!

Wie in allen Bereichen hat die Einwilligung auch hier ihre Grenzen. Und da es sich um Beschäftigtendaten handelt, sind diese Grenzen schneller erreicht als in anderen Verarbeitungssituationen (siehe § 26 Abs. 2 BDSG).

Entscheidend ist die Freiwilligkeit der erteilten Einwilligung. Aufgrund des bestehenden Abhängigkeitsverhältnisses zwischen Beschäftigten und Arbeitgeber besteht in vielen Fällen die Gefahr, dass keine Freiwilligkeit vorliegt.  Somit sollten Sie dieses Mittel nur restriktiv einsetzen.

Für alle gilt…

Auch die direkten Führungskräfte oder deren übergeordnete Führungskräfte dürfen nicht anlasslos auf alle Daten zugreifen. Und sogar der Geschäftsführung, der grundsätzlich sehr weitgehende Zugriffsrechte zustehen, weil sie letztlich für die Rechtmäßigkeit der Verarbeitungen des Unternehmens verantwortlich ist, darf kein unkontrollierter Vollzugriff auf alle personenbezogenen Daten erteilt werden.

Die Zugriffe müssen dem Zweck angemessen und auf das notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DSGVO). Das bedeutet, dass bei der Einführung neuer Verfahren und Techniken darauf geachtet werden muss, dass auch für die Führungskräfte und die Geschäftsführung eine abgestufte Berechtigungsvergabe möglich ist. So wird verhindert, dass bei Aufruf eines einzelnen Datums gleichzeitig die gesamten Daten einsehbar sind. Hierbei handelt es sich um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO. Es sollte eine technische Protokollierung eingerichtet sein, mindestens aber sollten die Zugriffe manuell dokumentiert werden, so dass außerordentliche anlassbezogene Zugriffe nachvollziehbar sind.

 

 

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.