Datenschutz & Dienstplan: DSGVO für Schichtbetriebe

Aus der Praxis: "Datenschutz im Dienstplan wird häufig als bürokratische Pflicht wahrgenommen. Tatsächlich geht es um den respektvollen Umgang mit Mitarbeiterdaten. Wenn Krankheitsgründe am schwarzen Brett hängen oder Pläne unkontrolliert über WhatsApp geteilt werden, leidet das Vertrauen im Team. Im Wettbewerb um Fachkräfte ist das ein erhebliches Risiko. Eine saubere Umsetzung schützt Daten und Teamgefühl gleichermaßen."

„Der Plan hängt doch schon ewig am schwarzen Brett!“ – diese Aussage fällt in der Beratungspraxis regelmäßig. In vielen Betrieben hat sich an der Verteilung von Dienstplänen seit den 90er-Jahren wenig geändert. Die Rechtslage hat sich jedoch deutlich gewandelt.

Seit Mai 2018 gilt die DSGVO. Dennoch bestehen in der Praxis weiterhin erhebliche Unsicherheiten. Darf der Plan noch aushängen? Wer darf ihn sehen? Und wie problematisch ist die WhatsApp-Gruppe tatsächlich? Im Folgenden ordnen wir die Sachlage praxisnah und ohne juristisches Fachvokabular ein.

Warum der Dienstplan ein Datenschutz-Thema ist

Jeder Dienstplan enthält personenbezogene Daten: Namen, Arbeitszeiten, Einsatzorte und insbesondere Abwesenheiten. Sobald diese Daten verarbeitet werden, also notiert, gespeichert, verteilt oder ausgehängt werden, greift die Datenschutz-Grundverordnung.

Das gilt für jeden Betrieb. Ob Sie einen Sicherheitsdienst führen, einen Gastronomiebetrieb leiten oder in der Pflege planen: Die Verantwortung für die Daten des Teams liegt bei Ihnen.

Die drei hartnäckigsten Mythen, und was wirklich stimmt

Mythos 1: "Wir dürfen den Dienstplan gar nicht mehr aushängen"

Das stimmt nicht. Sie dürfen den Plan aushängen, allerdings nicht an jedem Ort. Ein Aushang im Pausenraum, der ausschließlich vom Team betreten wird, ist zulässig. Der Plan am Empfang, wo Gäste oder Kunden Einsicht nehmen können, ist nicht zulässig.

Begründung für den Pausenraum: Die Datenverarbeitung ist zur Durchführung des Arbeitsverhältnisses erforderlich (Art. 6 Abs. 1 lit. b DSGVO). Ihre Mitarbeiter müssen wissen, wer wann und wo arbeitet, um den Betrieb aufrechtzuerhalten.

Mythos 2: "Ich brauche für jeden Plan eine Einwilligung"

Ebenfalls nicht zutreffend. Für die übliche Erstellung und Verteilung des Plans innerhalb des Teams ist keine gesonderte Einwilligung erforderlich. Die Erlaubnis ergibt sich aus dem Arbeitsvertrag. Dasselbe gilt für die Zeiterfassung, die nach dem BAG-Urteil ohnehin verpflichtend ist.

Eine Einwilligung wird erst dann erforderlich, wenn Sie Daten verarbeiten, die für die Arbeit nicht zwingend notwendig sind, etwa die Aufnahme der privaten Handynummer in den Plan zur Schichttausch-Kommunikation.

Mythos 3: "DSGVO betrifft nur Software"

Auch das stimmt nicht. Die DSGVO greift bereits bei nicht-automatisierter Verarbeitung, sobald Daten in einem Dateisystem abgelegt werden (Art. 2 Abs. 1 DSGVO). Der Leitz-Ordner im Büro und der Zettel am schwarzen Brett sind genauso DSGVO-relevant wie eine Cloud-Lösung.

Welche Daten in den Plan gehören und welche nicht

Die Faustregel: Erfassen Sie nur das, was für die Organisation zwingend erforderlich ist.

Zulässig:

• Vor- und Nachname
• Schichtzeiten
• Einsatzort oder Objekt
• Status als Oberbegriff: "Urlaub", "Krank", "Frei"
• Relevante Qualifikationen (z. B. § 34a-Sachkunde im Sicherheitsdienst)

Nicht zulässig:

• Krankheitsgründe oder Diagnosen: "Krank" ist erlaubt. "Hat Magen-Darm" oder "Burnout" sind unzulässig. Gesundheitsdaten sind nach Art. 9 DSGVO besonders schützenswert. Mehr Details dazu finden Sie in unserem Artikel Krankmeldung & Dienstplan.
• Private Handynummern ohne Einwilligung: Nur mit ausdrücklicher, schriftlicher Zustimmung.
• Gehälter oder Stundenlöhne: Im öffentlich einsehbaren Plan unzulässig.
• Religiöse Zugehörigkeit: Auch zur Feiertagsplanung nicht im Plan vermerken.

Die WhatsApp-Gruppe: Warum diese Lösung problematisch ist

In vielen Betrieben wird der Plan als Foto per WhatsApp verschickt. Aus Datenschutz-Sicht ist das jedoch problematisch:

• Meta verarbeitet mit: WhatsApp übermittelt Metadaten an US-Server.
• Ehemalige Mitarbeiter: Die Entfernung ausgeschiedener Mitarbeiter aus Gruppen wird häufig versäumt. Sie haben dann weiter Zugriff auf sensible Betriebsdaten.
• Kontrollverlust: Screenshots werden schnell erstellt und weitergeleitet.
• Keine Korrekturmöglichkeit: Ein einmal versendeter falscher Plan lässt sich nicht zurückrufen.

Nutzen Sie stattdessen ein digitales Mitarbeiter-Portal. Jeder sieht ausschließlich die für ihn relevanten Informationen, private Nummern müssen nicht offengelegt werden, und Sie behalten die volle Kontrolle.

Worauf Sie bei Dienstplan-Software achten müssen

Wenn Sie auf eine Software-Lösung umstellen, prüfen Sie diese drei Punkte:

1. Liegt ein AV-Vertrag vor?

Wenn ein Anbieter Ihre Pläne in einer Cloud speichert, ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO zwingend erforderlich. Ohne diesen Vertrag besteht ein erhebliches rechtliches Risiko. Seriöse Anbieter stellen den AV-Vertrag standardmäßig zur Verfügung.

2. Wo stehen die Server?

Die Daten sollten in der EU, idealerweise in Deutschland gespeichert sein. Prüfen Sie auch das Kleingedruckte: Manche Anbieter nutzen EU-Server, lagern Backups jedoch in den USA.

3. Berechtigungskonzept

Datensparsamkeit ist entscheidend. Ein Auszubildender benötigt nicht denselben Einblick wie ein Disponent:

• Disponenten benötigen den vollen Überblick.
• Teamleiter sehen ausschließlich ihr Team.
• Mitarbeiter sehen den eigenen Plan und maximal, wer mit ihnen in der Schicht eingeteilt ist.
• Die Lohnbuchhaltung benötigt Zeiten, nicht den Schichtplan im Detail.

Speicherung und Löschung

Die DSGVO verlangt eine Speicherbegrenzung. Eine pauschale Aufbewahrung ohne Anlass ist nicht zulässig.

Hier sind die wichtigsten Fristen für Sie:

Nach Ablauf dieser Fristen müssen die Daten gelöscht oder vernichtet werden.

Konsequenzen bei Verstößen

Die Strafen für DSGVO-Verstöße können erheblich ausfallen (theoretisch bis zu 20 Mio. Euro). Für kleine und mittlere Betriebe sind Bußgelder im Bereich von 5.000 bis 20.000 Euro realistisch. Hinzu kommen mögliche Abmahnungen durch Mitarbeiteranwälte sowie ein erheblicher Imageschaden.

Praxis-Tipps

Datenschutz ist nicht nur eine behördliche Pflichtübung, sondern auch ein Zeichen der Wertschätzung gegenüber dem Team. Die folgende Checkliste hilft bei der Umsetzung:

• ☐ Datenminimierung: Stehen ausschließlich erforderliche Informationen im Plan? (Keine Diagnosen.)
• ☐ Sichtschutz: Hängt der Plan ausschließlich im Pausenraum, nicht im Kundenbereich?
• ☐ Kommunikationskanal: Wurde die WhatsApp-Gruppe abgelöst?
• ☐ AV-Vertrag: Liegt der unterschriebene AV-Vertrag des Software-Anbieters vor?
• ☐ Serverstandort: Hostet die Software in der EU, idealerweise in Deutschland?
• ☐ Berechtigungen: Hat in der Software ausschließlich derjenige Zugriff, der ihn benötigt?
• ☐ Löschroutine: Werden alte Pläne nach Ablauf der 2- bzw. 6-Jahres-Fristen verlässlich gelöscht?
• ☐ Transparenz: Sind Ihre Mitarbeiter über Art und Umfang der Datenverarbeitung informiert?

Dienstify hostet alle Daten sicher in Deutschland, stellt den AV-Vertrag bereit und bietet ein durchgängiges Berechtigungskonzept. Erfahren Sie mehr über sichere Dienstplanung.