Was Sie über die Verfahren zur Urlaubsverwaltung wissen sollten
Urlaubsverwaltung, d. h. die Verwaltung von Jahresurlaub, Sonderurlaub, Krankheitsurlaub, Ausgleich von Überstunden durch Freizeit usw., ist im Arbeitsalltag der Personalabteilungen in den Organen und Einrichtungen Routine. Hierzu gehören die Erhebung und Verarbeitung personenbezogener Daten (auch als persönliche Daten bekannt) von Mitarbeitern und manchmal von deren Angehörigen. Diese Verfahren können sich auf die Verarbeitung gesundheitsbezogener Daten (sensible Daten) beziehen und sind notwendig, um zum Beispiel festzustellen, ob Krankheitsurlaub begründet ist oder ob eine Mitarbeiterin Anspruch auf Mutterschutz hat.
Da ein Sonderurlaub (für Umzug, Heirat, Tod eines Angehörigen, Krankheit eines Kindes, Wahlen usw.) durch Vorlage von Belegen begründet werden muss, können auch andere Arten persönlicher Daten betroffen sein. Ärztliche Bescheinigungen, Sterbeurkunden und Informationen, die medizinische Untersuchungen, Kranken- und Unfallversicherungen betreffen, können ebenfalls erhoben und verarbeitet werden.
Welche sind die wichtigsten Datenschutzfragen?
Qualität der Daten – Es ist wichtig, nicht mehr personenbezogene Daten zu verarbeiten als notwendig. Wie? Indem von vornherein nur relevante und nicht mehr Informationen als nötig erhoben werden. Ärztliche Bescheinigungen und andere medizinische Daten (Überweisungen von Ärzten, medizinische Untersuchungsberichte, Laboruntersuchungen usw.) sollten außerdem nur vom ärztlichen Dienst des Organs bzw. der Einrichtung – nicht von der Personalabteilung – bearbeitet werden. Letztere sollte nur die zur Verarbeitung des Krankheitsurlaubs notwendigen Verwaltungsdaten (zum Beispiel die Anzahl der Abwesenheitstage wegen Krankheit) erhalten.
Recht auf Information – Die Mitarbeiter müssen über ihre Rechte und darüber informiert werden, zu welchen Zwecken ihre Daten verarbeitet werden. Eine derartige Information muss den Mitarbeitern ausdrücklich mitgeteilt werden, wenn ein neues Verfahren eingeführt wird, und sie muss dauerhaft zugänglich gemacht werden (zum Beispiel über das Intranet der Organisation). Dadurch wird gewährleistet, dass die Mitarbeiter jederzeit Zugriff auf die Information haben.
Auskunftsrecht – Den Mitarbeitern sollte Auskunft über ihre abwesenheitsbezogenen Daten gewährt werden, damit sie deren Richtigkeit überprüfen und gegebenenfalls berichtigen lassen können. Sie müssen darüber unterrichtet werden, wie sie dabei vorgehen müssen.
Aufbewahrungsfrist – Organisationen müssen sicherstellen, dass Informationen, die die Urlaubsverwaltung betreffen, nicht länger als notwendig aufbewahrt werden. Es müssen klare Aufbewahrungsfristen festgelegt werden. Diese können je nach Art der betreffenden Abwesenheit variieren.
Datensicherheit – Angesichts der Sensibilität der Verarbeitung von gesundheitsbezogenen Daten sollten alle Personalmitarbeiter, die Urlaubsantragsverfahren bearbeiten, eine spezielle Vertraulichkeitserklärung unterzeichnen und regelmäßig an ihre Vertraulichkeitsverpflichtungen erinnert werden.
Weitere Informationen
Die folgende nicht erschöpfende Liste ist eine Auswahl weiterführender Literatur:
EDSB-Leitlinien:
Leitlinien des EDSB für die Verarbeitung von personenbezogenen Daten im Bereich Urlaub und Gleitzeit
EDPS Guidelines on the processing of health data in the workplace (Leitlinien des EDSB für die Verarbeitung von Gesundheitsdaten am Arbeitsplatz)
Stellungnahme des EDSB zur Vorabkontrolle: