Ein effektives Management von Mitarbeiterdaten ist für Personalabteilungen unerlässlich. Es stellt sicher, dass die Aufbewahrung und Verarbeitung von teilweise sensiblen Mitarbeiter-Informationen den geltenden Datenschutzbestimmungen entsprechen. Allerdings stellt sich die Frage, ob Fachvorgesetzte Zugriff auf die Personalakten ihrer Mitarbeiter haben sollten. In diesem Blogartikel werden die Sichtweisen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie der Landesbeauftragten für Datenschutz und Informationsfreiheit in NRW (LfDI NRW) beleuchtet.
Mitarbeiterdaten gehören in die Personalabteilung
Nach dem Dafürhalten des BfDI liegt die Verantwortung für die Verwaltung von Mitarbeiterdaten grundsätzlich bei der Personalabteilung. Fachvorgesetzte sollten keinen Zugriff auf Personalakten haben und auch keine inoffiziellen Nebenakten führen. Es gibt jedoch bestimmte Situationen, in denen es für Führungskräfte erforderlich sein kann, personenbezogene Daten ihrer Mitarbeiter zu verarbeiten. Dies ist beispielsweise im Rahmen der Arbeitsorganisation und personellen Führung zulässig. Die Dokumentation von Arbeitsaufträgen und terminlichen Vorgaben für die Aufgabenerledigung kann Teil dieser Führungsaufgaben sein.
Ein weiterer Aspekt betrifft die Führung von Abwesenheitslisten. Fachvorgesetzte dürfen geplante Abwesenheitszeiten ihrer Mitarbeiter für die organisatorische Planung erfassen, um sicherzustellen, dass die Arbeitsabläufe reibungslos funktionieren. Zudem können sie im Entwurfsstadium von Beurteilungen Daten der Mitarbeiter nutzen, um entsprechende Entwürfe zu erstellen. Diese dürfen jedoch keine Bezugnahme auf frühere Beurteilungen enthalten und müssen nach Abschluss des Verfahrens gelöscht werden.
Löschfristen von Mitarbieterdaten beachten
Es ist wichtig zu beachten, dass die von den Vorgesetzten genutzten Mitarbeiterdaten gelöscht werden müssen, wenn sie für die konkrete Aufgabenerfüllung nicht mehr erforderlich sind. Wenn der An- oder Abwesenheitsplan von allen Mitarbeitern eingesehen werden kann, sollten personenbezogene Gründe für Abwesenheit nicht erkennbar sein. Persönlich bedingte Abwesenheit kann beispielsweise als “abwesend” gekennzeichnet werden. Diese Daten sollten regelmäßig ein Jahr nach Ablauf des vorherigen Kalenderjahres gelöscht werden.
Achtung Gesundheitsdaten
Die LfDI NRW ergänzt diese Informationen in ihrem Tätigkeitsbericht. Im Hinblick auf krankheitsbedingte Abwesenheitszeiten stellt die LfDI NRW fest, dass es sich dabei um vertrauliche Personaldaten und besondere Kategorien personenbezogener Daten handelt. Die Verarbeitung solcher Daten ist gemäß den geltenden Datenschutzbestimmungen zulässig, wenn es zur Erfüllung rechtlicher Pflichten oder zur Ausübung von Rechten im Arbeitsrecht und Sozialschutz erforderlich ist.
Die Übermittlung der Anzahl von zurückliegenden Krankheitstagen an Fachvorgesetzte ist jedoch grundsätzlich nicht rechtlich gerechtfertigt. Die Kenntnis über die Anzahl von Krankheitstagen ist für die Anpassung betrieblicher Abläufe oder Vertretungsregelungen nicht erforderlich. Bei der Verarbeitung von Gesundheitsinformationen gelten strengere Anforderungen, und in der Regel sollten solche Informationen nur innerhalb der personalverantwortlichen Stelle bekannt sein.
Im Hinblick auf Überstunden empfiehlt die LDI NRW konkrete Festlegungen, beispielsweise in Betriebsvereinbarungen, um Mitteilungen an bestimmte Personen vorzunehmen. Die Mitteilung von Resturlaubstagen an Vorgesetzte hängt von der Erforderlichkeit für die Personalplanung ab. Insbesondere in projektbasierten Branchen kann die Kenntnis von Resturlaubstagen notwendig sein, um eine reibungslose Projektabwicklung sicherzustellen.
Gesetzliche Regelungen für Mitarbeiterdaten
Bei der Verarbeitung von Mitarbeiterdaten gelten verschiedene gesetzliche Regelungen zum Datenschutz. Im Folgenden werden einige der wichtigsten genannt:
- Datenschutz-Grundverordnung (DS-GVO): Die DS-GVO ist eine EU-weite Verordnung, die den Schutz personenbezogener Daten regelt. Sie legt allgemeine Grundsätze für die Verarbeitung personenbezogener Daten fest und enthält spezifische Bestimmungen für die Verarbeitung von Mitarbeiterdaten. Dazu gehören unter anderem die Erforderlichkeit der Datenverarbeitung, die Einwilligung der betroffenen Personen, die Sicherheit der Daten und die Rechte der Betroffenen.
- Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt die Regelungen der DS-GVO und enthält spezifische Bestimmungen für den Datenschutz in Deutschland. Es regelt unter anderem die Rechtmäßigkeit der Datenverarbeitung, die Informationspflichten, die Auftragsverarbeitung sowie die Befugnisse der Datenschutzaufsichtsbehörden.
- Betriebsverfassungsgesetz (BetrVG): Das BetrVG enthält Regelungen zum Datenschutz im Arbeitsverhältnis. Es schützt die Persönlichkeitsrechte der Arbeitnehmer und regelt unter anderem die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung technischer Einrichtungen, die der Überwachung der Arbeitnehmer dienen.
- Sozialgesetzbuch (SGB): Das SGB enthält verschiedene Regelungen zum Datenschutz im Bereich der sozialen Sicherheit und des Sozialschutzes. Es legt die Voraussetzungen fest, unter denen personenbezogene Daten im Zusammenhang mit Sozialleistungen verarbeitet werden dürfen.
- Tarifverträge und Betriebsvereinbarungen: In vielen Fällen werden Datenschutzfragen im Arbeitskontext durch Tarifverträge oder Betriebsvereinbarungen geregelt. Diese können spezifische Regelungen zur Verarbeitung von Mitarbeiterdaten enthalten, die über die gesetzlichen Anforderungen hinausgehen.
Es ist wichtig zu beachten, dass die genauen gesetzlichen Regelungen je nach Land und Rechtsordnung variieren können. Es ist ratsam, sich mit den einschlägigen nationalen Gesetzen und den Empfehlungen der Datenschutzaufsichtsbehörden vertraut zu machen, um die Einhaltung der Datenschutzbestimmungen bei der Verarbeitung von Mitarbeiterdaten zu gewährleisten.
Fazit
Die Verarbeitung von Mitarbeiterdaten durch Personalabteilungen und Vorgesetzte ist durch die gesetzlichen Vorgaben zum Datenschutz streng geregelt. Der freizügige und teilweise übergriffige Umgang längst vergangener Zeiten ist nicht mehr rechtmäßig. Fachvorgesetzte sollten personenbezogene Daten von Mitarbeitern nur im Rahmen ihrer Führungsaufgaben verarbeiten und angemessene Schutzmaßnahmen treffen. Die Personalabteilung sollte hierfür geeignete Vorgaben und Prozesse konzipieren und deren Einhaltung sicherstellen. Eine klare Kommunikation und Schulung der Führungskräfte in Bezug auf den Umgang mit Mitarbeiterdaten sind unerlässlich, um Datenschutzverletzungen zu vermeiden.
Bildquellen:
- Mitarbeitergespräch: insta_photos (616686275) | stock.adobe.com