Datenschutz in der Dienstplanung (DSGVO)
Was die DSGVO für Dienstpläne bedeutet: Welche Daten dürfen erfasst werden, wer darf den Plan sehen und wie lange müssen Dienstpläne aufbewahrt werden?
Aus der Praxis: "In vielen Betrieben hängt der klassische Excel-Plan noch am schwarzen Brett, häufig direkt neben der Kaffeemaschine, wo auch Lieferanten und Gäste vorbeilaufen. Datenschutz wird in der Dienstplanung oft stiefmütterlich behandelt. Dabei ist es nicht aufwendig, wenn einige einfache Spielregeln eingehalten werden. Es gibt keinen Grund zur Panik, aber Sie sollten sich bewusst sein: Ein Dienstplan enthält zahlreiche sensible Daten Ihres Teams."
Warum das Thema alle Schichtbetriebe betrifft
Ein Dienstplan ist im Kern eine umfangreiche Sammlung personenbezogener Daten. Er enthält Namen, genaue Arbeitszeiten, Urlaubs- und Krankheitszeiten und teilweise auch Mobilfunknummern oder Qualifikationen. Damit fällt er in den Geltungsbereich der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
In der Praxis wird das häufig unterschätzt. Pläne werden per WhatsApp in Teamgruppen geteilt oder ungeschützt auf gemeinsamen Laufwerken abgelegt. Das kann teuer werden, lässt sich aber mit wenigen Maßnahmen vermeiden.
Der Klassiker: Darf der Plan ans schwarze Brett?
Eine der häufigsten Fragen. Die kurze Antwort: Ja, der Dienstplan darf ausgehängt werden, aber nicht überall und nicht für jeden sichtbar.
Was zulässig ist
- Name und Arbeitszeiten: Erforderlich für den Betriebsablauf (Art. 6 Abs. 1 lit. b DSGVO). Das Team muss wissen, wer wann eingeteilt ist.
- Aushang im internen Bereich: Im Personalraum oder Backoffice, zu dem ausschließlich Mitarbeiter Zugang haben, ist ein Aushang unproblematisch.
Wo es kritisch wird
- Zu viele Details bei Abwesenheiten: Ein einfaches "Krank", "Urlaub" oder "Frei" reicht aus. Wer Diagnosen oder konkrete Gründe ("Magen-Darm", "Kind krank") einträgt, verarbeitet Gesundheitsdaten nach Art. 9 DSGVO. Das ist unzulässig.
- Öffentlicher Aushang: Wenn Kunden, Patienten oder Lieferanten den Plan an der Rezeption oder im Flur einsehen können, liegt ein Datenschutzverstoß vor.
- Die typische WhatsApp-Gruppe: Wenn der Plan in eine Gruppe gepostet wird, in der ehemalige Mitarbeiter oder externe Dienstleister Mitglied sind, werden personenbezogene Daten an Unbefugte weitergegeben. Das ist ein klarer DSGVO-Verstoß.
Was darf in den Plan und was nicht?
Eine Übersicht, welche Daten in den Plan gehören und welche nicht:
| Datenart | Erlaubt? | Begründung |
|---|---|---|
| Name des Mitarbeiters | Ja | Ohne nicht praktikabel |
| Schichtzeiten (Beginn/Ende) | Ja | Erforderlich für die Arbeitsorganisation |
| Einsatzort/Objekt | Ja | Wichtig für die Planung |
| Status (Urlaub/Krank/Frei) | Ja (nur das Wort) | Wichtig für die Kollegen, aber keine Details |
| Diagnose/Krankheitsgrund | Nein | Besonders schützenswerte Gesundheitsdaten |
| Private Mobilfunknummer | Nur mit Einwilligung | Für den Plan nicht zwingend erforderlich |
| Qualifikation (z. B. § 34a) | Ja | Relevant für Rollenbesetzungen |
| Religion | Nein | Gehört nicht in den Dienstplan |
| Gehalt/Lohn | Nein | Keine Information für die Kollegen |
Anforderungen bei Software-Einsatz
Eine digitale Dienstplan-Software wie Dienstify erleichtert vieles. Einige Punkte sind dabei zu beachten:
Der AV-Vertrag ist Pflicht
Bei einem Cloud-Tool verarbeitet der Anbieter die Daten Ihres Teams in Ihrem Auftrag. Ohne einen Auftragsverarbeitungsvertrag (AV-Vertrag nach Art. 28 DSGVO) ist der Einsatz datenschutzrechtlich nicht zulässig. Klären Sie das zu Beginn.
Berechtigungskonzept
Nicht jeder Nutzer benötigt Administratorrechte. Ein durchdachtes Berechtigungskonzept ist entscheidend:
- Planer und Disponenten: Vollständiger Überblick.
- Teamleiter: Sehen nur ihr eigenes Team.
- Mitarbeiter: Sehen ihren Plan und gegebenenfalls die Schichten direkter Kollegen (für Tauschvorgänge oder Absprachen).
- Lohnbuchhaltung: Benötigt nur die Zeiten, nicht den vollständigen Planverlauf.
Server-Standort
Die DSGVO ist hier eindeutig: Daten sollten in der EU oder im EWR liegen. Achten Sie darauf, dass das Hosting Ihres Software-Anbieters in Deutschland oder zumindest in der EU stattfindet. Das vermeidet rechtliche Komplikationen.
Aufbewahrungsfristen
Es gelten verschiedene Fristen:
- Arbeitszeitnachweise (§ 16 ArbZG): Zeiten über 8 Stunden hinaus müssen mindestens 2 Jahre gespeichert werden.
- Lohnunterlagen: Abrechnungsrelevante Unterlagen sind 6 Jahre aufzubewahren (§ 257 HGB).
- Minijobber: Die Zeiterfassung ist nach dem Schwarzarbeitsbekämpfungsgesetz ebenfalls 2 Jahre vorzuhalten.
Wichtig: Nach Ablauf der Frist müssen die Daten gelöscht werden (Art. 5 Abs. 1 lit. e DSGVO). Eine unbefristete Aufbewahrung ist nicht zulässig.
Rechte der Mitarbeiter
Mitarbeiter haben gesetzlich verankerte Rechte an ihren Daten:
- Recht auf Auskunft (Art. 15).
- Recht auf Berichtigung falscher Zeiten (Art. 16).
- Recht auf Löschung nach Ausscheiden und Ablauf der Aufbewahrungsfristen (Art. 17).
Kommt eine entsprechende Anfrage, häufig im Rahmen einer streitigen Trennung, haben Sie einen Monat Zeit für eine sachgerechte Antwort.
Hinweise für Bundesländer und die Sicherheitsbranche
Für private Arbeitgeber gilt die DSGVO bundesweit einheitlich. Im öffentlichen Dienst kommt zusätzlich das jeweilige Landesdatenschutzgesetz hinzu (z. B. DSG NRW).
Speziell für Sicherheitsdienste:
- Bewacherregister-ID (BWR-ID): Darf gespeichert werden, sollte aber nicht öffentlich aushängen.
- Objektzuordnungen: Wenn nur bestimmte Mitarbeiter auf ein Objekt dürfen, verrät das indirekt etwas über deren Sicherheitsüberprüfung. Solche Daten sind sensibel zu behandeln.
- Subunternehmer: Bei Datenweitergabe an Subunternehmer ist eine belastbare Rechtsgrundlage erforderlich.
Praxis-Tipps
Eine Checkliste zur Vermeidung typischer Fehler:
- WhatsApp-Gruppen bereinigen: Ehemalige und Externe entfernen oder besser ein sicheres Mitarbeiter-Portal nutzen.
- Krankheitsgründe weglassen: "Krank" reicht. Keine weiteren Erklärungen im Plan.
- AV-Verträge prüfen: Liegt der unterschriebene Vertrag mit Ihrem Software-Anbieter vor?
- Löschroutinen etablieren: Alte Dienstpläne nach Ablauf der Fristen konsequent löschen.
- Berechtigungen prüfen: Sehen den Plan tatsächlich nur die Personen, die ihn sehen müssen?
- Papierpläne sicher verwahren: Ausgedruckte Pläne nicht offen auf dem Schreibtisch liegen lassen, wenn Publikumsverkehr besteht.
Einmal sauber aufgesetzt, läuft der Datenschutz in der Dienstplanung weitgehend selbständig.
Mitarbeiter-Portal entdecken
Dienstify übernimmt die Komplexität - Sie behalten den Überblick.
Funktion entdeckenMehr zu Recht & Compliance
Alle anzeigenArbeitsschutz bei Schichtarbeit
Arbeitsschutz bei Schichtarbeit: Gefährdungsbeurteilung, arbeitsmedizinische Vorsorge und ergonomische Schichtpläne für Ihren Betrieb.
Arbeitsvertrag im Schichtbetrieb
Welche Klauseln gehören in den Arbeitsvertrag bei Schichtarbeit? Von der Arbeitszeitregelung über Zuschlagsvereinbarungen bis zur Versetzungsklausel.
Arbeitszeitgesetz (ArbZG)
Die wichtigsten Regeln des Arbeitszeitgesetzes für Schichtbetriebe - Höchstarbeitszeit, Pausen, Ruhezeiten und was sich 2026 ändert.