Die Erfassung von Krankheitstagen und Urlaubsansprüchen der Mitarbeitenden ist ein sensibler Bereich, der sowohl für eine effiziente Personalverwaltung als auch für den Schutz der Privatsphäre der Beschäftigten entscheidend ist. Eine unbedachte Handhabung dieser Daten kann zu Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) führen. In diesem Artikel beleuchten wir die Anforderungen und Best Practices für eine rechtssichere und praktikable Dokumentation.
Warum sind Krankheitstage und Urlaubsansprüche datenschutzrechtlich sensibel?
Krankheitsdaten zählen zu den besonders schützenswerten personenbezogenen Daten gemäß Art. 4 Nr. 15 und Art. 9 Abs. 1 DSGVO. Diese Daten dürfen nur unter strengen Voraussetzungen verarbeitet werden. Der Grund: Sie enthalten Gesundheitsinformationen, deren Veröffentlichung oder unbefugte Einsichtnahme die Privatsphäre der Betroffenen erheblich beeinträchtigen kann.
Urlaubsansprüche sind weniger sensibel, fallen aber ebenfalls unter die allgemeinen Regeln des Datenschutzes. Sie sollten nur insoweit öffentlich zugänglich gemacht werden, wie dies für die Organisation der Arbeitsabläufe notwendig ist.
Was sagt das Gesetz?
- Erfassung von Krankheitstagen:
- Zulässig: Arbeitgeber dürfen Krankheitstage erfassen, wenn dies zur Erfüllung arbeitsrechtlicher Pflichten erforderlich ist, z. B. zur Einhaltung der Entgeltfortzahlungspflicht (§ 3 Entgeltfortzahlungsgesetz, Art. 6 DSGVO).
- Unzulässig: Die Weitergabe dieser Daten an andere Mitarbeitende, außer es besteht eine gesetzliche oder vertragliche Notwendigkeit, ist nicht erlaubt. Ein öffentlich zugängliches Verzeichnis verstößt gegen die Schutzinteressen der Betroffenen (§ 26 Abs. 3 BDSG).
- Dokumentation von Urlaubsansprüchen:
- Zulässig: Arbeitgeber dürfen Listen führen, um Urlaubsansprüche gemäß § 1 Bundesurlaubsgesetz (BurlG) zu verwalten.
- Unzulässig: Die Einsicht aller Mitarbeitenden in diese Daten ist nicht erforderlich und widerspricht den Grundsätzen der Datenminimierung und Vertraulichkeit gemäß Art. 5 DSGVO.
Empfehlungen für Unternehmen
Um sowohl die Effizienz der Personalverwaltung zu gewährleisten als auch die Datenschutzanforderungen einzuhalten, sollten Unternehmen folgende Maßnahmen ergreifen:
Krankheitstage intern verwalten:
- Die Dokumentation von Krankheitstagen sollte nur durch die Personalabteilung erfolgen.
- Zugriff auf diese Daten sollte streng limitiert und gut abgesichert sein.
Urlaubslisten datenschutzkonform führen:
- Statt die Urlaubstage einzelner Personen offenzulegen, kann eine Übersicht erstellt werden, die lediglich zeigt, wer anwesend oder abwesend ist.
- Für Planungszwecke reicht es aus, Abwesenheiten anonym oder durch Abwesenheitsstatus („im Urlaub“) darzustellen.
Technische und organisatorische Maßnahmen umsetzen:
- Sensible Daten sollten mit Passwörtern geschützt und nur autorisierten Personen zugänglich gemacht werden.
- Eine regelmäßige Überprüfung der Datenverarbeitungssysteme hilft, Schwachstellen frühzeitig zu erkennen.
Mitarbeitende informieren:
- Unternehmen sollten ihre Mitarbeitenden über die Erhebung und Nutzung personenbezogener Daten gemäß Art. 13 DSGVO informieren.
- Es sollte klar kommuniziert werden, wie Daten geschützt und verarbeitet werden.
Praktisches Beispiel: Anpassung einer bestehenden Datei
Ein Forschungsunternehmen führte eine öffentlich zugängliche Excel-Datei, in der Krankheits- und Urlaubsdaten aller Beschäftigten dokumentiert waren. Nach Hinweisen der Datenschutzbehörde wurde die Datei angepasst: Nun enthält sie lediglich Informationen über An- und Abwesenheiten ohne detaillierte Krankheits- oder Urlaubsinformationen. Diese Lösung erfüllt die Anforderungen der DSGVO und sorgt dennoch für Transparenz im Arbeitsalltag.
Fazit
Die Dokumentation von Krankheitstagen und Urlaubsansprüchen ist notwendig, sollte aber stets datenschutzkonform erfolgen. Unternehmen können sensible Daten effizient verwalten, indem sie den Zugriff auf autorisierte Personen beschränken und den Grundsatz der Datenminimierung einhalten. Eine klare Kommunikation und transparente Prozesse schaffen zudem Vertrauen unter den Beschäftigten.
Mit diesen Maßnahmen vermeiden Unternehmen nicht nur rechtliche Konsequenzen, sondern fördern auch eine verantwortungsbewusste Unternehmenskultur.