Elektronische Systeme zur Zeiterfassung und Personaleinsatzplanung werden im Arbeitsleben immer beliebter. Grund dafür ist ihre Effizienz und die dynamische Nutzungsmöglichkeit sowohl für die Beschäftigten als auch für Arbeitgeber. So kann insbesondere die frühzeitige Erkennung und Berücksichtigung von einem gegebenenfalls zu ändernden Personalbedarf durch dazu vorgesehene Personalplanungssysteme hilfreich sein.
Doch wann werden solchen Systemen durch das Datenschutzrecht Grenzen gesetzt? Welche Anforderungen müssen die Systeme erfüllen, um datenschutzkonform ausgestaltet zu sein? Die Antwort zu diesen Fragen gibt Ihnen unser Partner Sascha Kremer in seinem Artikel Zeitwirtschaft und Datenschutz – Was geht (nicht), der in der Zeitschrift HR Performance veröffentlicht wurde. Im Folgenden werden die wesentlichen Ergebnisse kurz zusammengefasst.
Was ändert sich durch die DSGVO?
Mit Inkrafttreten der DSGVO, die am 25.05.2018 wirksam wird, wird das zentrale deutsche Datenschutzgesetz (BDSG) von der Datenschutz-Grundverordnung (DSGVO) und einem völlig neuen, die DSGVO ergänzenden, BDSG ersetzt. Zu beachten sind die Regelungen der DSGVO und die des neuen BDSG von allen Unternehmen und den meisten Behörden.
Erweiterungen wird es insbesondere auf technischer und organisatorischer Ebene geben. Zur Verhinderung von Datenpannen wird es zunehmend und in größerem Umfang wichtiger, Verzeichnisse der Datenverarbeitungen und weitere technische und organisatorische Schutzmaßnahmen zu treffen. Dabei müssen unter anderem auch die Datenschutzanforderungen von IT-Systemen und Cloud-Services beachtet werden. Zudem müssen Beschäftigte in Betrieben von ihrem Arbeitgeber über die Verarbeitung ihrer Daten verständlich und unentgeltlich informiert werden.
Die Datenschutzbeauftragten übernehmen bei der Anpassung an die DSGVO und bei der Ausführung der Datenschutzpflichten nur eine beratende Rolle, ihnen obliegen keine operativen Pflichten in der Datenschutz-Organisation. Die Erfüllung von operativen Aufgaben und Pflichten obliegt weiterhin allein dem Verantwortlichen oder Auftragsverarbeiter. Bei einer entsprechenden Delegation können die operativen datenschutzrechtlichen Pflichten auch dem HR-Leiter auferlegt werden.
Wann dürfen Beschäftigtendaten verarbeitet werden?
Auch die DSGVO statuiert im Datenschutzrecht ein Verbot mit Erlaubnisvorbehalt. Gesetze, Betriebsvereinbarungen oder die Einwilligung des Betroffenen können nach Art. 88 DSGVO eine Datenverarbeitung weiterhin gestatten. Zukünftig wird dabei gesetzlich klargestellt, dass auch Beschäftigte gegenüber dem Arbeitgeber wirksam einwilligen können, wenn die Einwilligung freiwillig und informiert erteilt wird (vgl. § 26 BDSG-neu).
Dient die Zeiterfassung der Erfüllung von Arbeitgeberpflichten, können Beschäftigtendaten auch ohne die vorherige Einwilligung des Beschäftigten verarbeitet werden. Dies folgt aus § 32 BDSG (§ 26 Abs. 1 BDSG-neu). Darunter zu fassen sind solche Beschäftigtendaten, die sowohl dem Arbeitsschutz (z.B. Arbeitszeit, Lenk- und Ruhezeiten) als auch der Personaleinsatzplanung (welche Arbeitsplätze sind zu besetzen, wann muss die Produktion aufrechterhalten werden) dienen.
Wichtig: Da die Verarbeitung der Beschäftigtendaten auch immer dazu geeignet sein kann, das Verhalten und die Leistung des jeweiligen Beschäftigten zu überwachen, sind die in mitbestimmten Unternehmen die Mitbestimmungsorgane wie Betriebsrat (vgl. § 87 BetrVG), Mitarbeitervertretung oder Personalrat rechtzeitig in Entscheidungen einzubinden.
Keine automatische Zulässigkeit von Zusatzfunktionen
Weiterführende Zusatzfunktionen, die über die bloße Zeiterfassung und Personaleinsatzplanung hinausgehen, sind separat auf ihre datenschutzrechtliche Zulässigkeit zu prüfen.
Unter einer solchen Zusatzfunktion kann unter anderem die Leseansicht für Beschäftigte bei der Personaleinsatzplanung gesehen werden. Eine solche Leseansicht ermöglicht den Beschäftigten, zu wissen, mit wem sie arbeiten, um An- und Abwesenheiten selbstständig zu planen. Datenschutzrechtlich zulässig ist eine solche Leseansicht, solange die Planzeiten nur für das betroffene Team und Abwesenheiten ohne Gründe angezeigt werden. Anderen Beschäftigten sollte der Zugriff auf Daten bezüglich krankheitsbedingter Abwesenheiten nicht gewährt werden. In der Leseansicht darf also den Kollegen nur ein beschränkter Informationssatz zur Verfügung gestellt werden.
Dienen die Zusatzfunktionen dazu, Profile der Beschäftigten zu erstellen und Leistungen und Erfolge der Beschäftigten auszuwerten, ist zu beachten, dass dies zur Qualitätssicherung und Optimierung von Arbeitsabläufen möglich ist. Unzulässig sind dabei Dauerüberwachungen, die selbst bei Vorliegen einer Einwilligung des Beschäftigten nicht gestattet sind.
Wichtig: Die Beschäftigten sind grundsätzlich nach Art. 13, 14 DSGVO von den zu treffenden Maßnahmen in Kenntnis zu setzen, damit sie sich auf diese einstellen können. Ausnahmen können nur dann gelten, wenn anlassbezogene Auswertungen, wie zum Beispiel beim Verdacht der Verletzung der Arbeitnehmerpflichten (wie etwa Arbeitszeitbetrug) getroffen werden müssen.
Fazit
Bei Beachtung der sich aus dem Datenschutzrecht ergebenden Vorgaben ist die elektronische Zeiterfassung zulässig. Vorsicht ist hingegen bei Zusatzfunktionen geboten, die den Zugriff auf diese Daten durch andere Beschäftigte ermöglichen oder für Auswertungen und Profiling nutzbar sind.
Möchten Sie die Zeiterfassung und Personaleinsatzplanung in Ihrem Unternehmen datenschutzkonform gestalten? Wir helfen Ihnen gerne dabei. Hier finden Sie unsere Ansprechpartner.