Digitaler Urlaubskalender und Datenschutz?

Ein Betrieb möchte einen digitalen Urlaubskalender für seine Mitarbeiter führen, in denen jeder seine Urlaubstage einstellen soll. Dabei kann jeder Mitarbeiter auch sehen, welcher Kollege wann Urlaub eingetragen hat. Ist dies zulässig ohne Einwilligung sämtlicher Mitarbeiter?

1.

Der Datenschutz im Arbeitsrecht basiert zum einen auf dem Strukturprinzip der Rechtmäßigkeit der Verarbeitung gem. Art 6 DSGVO und beinhaltet ein sog. Verbot mit Erlaubnisvorbehalt.  Danach dürfen personenbezogene Daten nur automatisiert verarbeitet werden, wenn die betroffene Person in die Datenverarbeitung eingewilligt hat oder die Datenverarbeitung auf eine gesetzliche Erlaubnisvorschrift bzw. eine wirksame Kollektivvereinbarung gestützt werden kann.

Die Verarbeitung kann gem. Art 6 6 Abs. 1 lit. c DSGVO rechtmäßig sein, wenn die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

Die Führung einer Urlaubsliste dient der Erfüllung von Urlaubsansprüchen des Arbeitgebers gegenüber Arbeitnehmern gem. § 1 BurlG.

2.

Weiterhin gilt der als zweiter Grundsatz des Datenschutzes die Zweckbindung ( Art 6 Abs. 1 lit. a DSGVO : ….“für einen oder mehrere bestimmte Zwecke“).

Der Zweck muss hinreichend bestimmt sein. Urlaubsgewährung und -planung sind hinreichend bestimmte Zwecke im Rahmen der Durchführung eines Arbeitsverhältnisses.

Das Führen eines digitalen Urlaubskalenders dürfte daher zunächst gem. Art 6 Abs. 1 lit. c DSGVO gedeckt sein.

3.

Als dritter Grundsatz des Datenschutzes gilt aber gem. Art. 5 Abs. 1 lit. f DSGVO das Prinzip der Transparenz, Datenminimierung, Integrität und Vertraulichkeit gem. Art 5 DSGVO.  Personenbezogene Daten dürfen nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, damit Nachteile vor unbefugter Verarbeitung oder Schädigung der Betroffenen verhindert werden. Das heißt, die Datenverarbeitung muss vor allem transparent sein, die Zweckbindung erkennen lassen und auf das notwendige Maß beschränkt sein (Art 5 Abs. 1 lit. a-c) und Nachteile verhindern.

Zu diesem Zweck soll der Verantwortliche insbesondere geeignete technische und organisatorische Schutzmaßnahmen einsetzen. Diese Verpflichtung des Verantwortlichen wird insbesondere durch Art. 32 DS-GVO konkretisiert (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle).

Bei einem für alle Arbeitnehmer frei zugänglichen Urlaubskalender, in welchem nicht nur die eigenen Urlaubstage, sondern auch die der Kollegen eingetragen und eingesehen werden können, ist zwar die Transparenz und Zweckbindung gegeben, nicht aber die Integrität, Vertraulichkeit und Nachteilsvermeidung gewahrt. So kann man an einem solchen öffentlichen Urlaubskalender leicht erkennen und errechnen, ob und wie viele Urlaubstage ein Kollege eventuell mehr hat als man selbst.

Hier werden daher mehr Daten preisgegeben als gesetzlich zulässig ist.

4.

Wenn es für die Einführung des digitalen Urlaubskalenders daher keine Kollektivvereinbarung mit dem Betriebsrat gibt – die aber ebenfalls den Datenschutz berücksichtigen muss! –, müssen von jedem einzelnen Arbeitnehmer Einwilligungen eingeholt werden, die wiederum freiwillig (zweifelhaft, weil Abhängigkeit im Arbeitsverhältnis) und zudem jederzeit widerruflich sein müssen.

Freiwilligkeit gem. Art 4 Nr. 11 DSGVO i.V.m § 26 Abs. 2 S. 1 BDSG liegt nur dann vor, wenn für den Beschäftigten ein Vorteil erreicht wird oder Arbeitgeber und Arbeitnehmer gleich gelagerte Interessen verfolgen. Damit dürften hier zunächst hohe Informationspflichten des Arbeitgebers bestehen, auch über die Folgen bei nicht erteilter Einwilligung. Außerdem ist der Arbeitnehmer darüber aufzuklären, dass er die Einwilligung jederzeit widerrufen kann.

Fazit: Ohne weiteres ist die Einführung eines digitalen Urlaubskalenders, in welchem alle Mitarbeiter auch die Urlaubsdaten der anderen Kollegen einsehen können, nicht zulässig.

Hier über Individualeinwilligungen zu gehen, scheint ebenfalls kein empfehlenswerter Weg, da ein hohes Risiko besteht, dass diese den Anforderungen des Gesetzes nicht gerecht werden und damit im Zweifelsfall unwirksam sind und damit erhebliche Geldbußen gem. Art 83 DSGVO ( bis zu 4 % des Jahresumsatzes !)  und Schadensersatzansprüche der Arbeitnehmer gem. Art 82 DSGVO ausgelöst werden können.