Personenbezogene Daten dürfen nur zu legitimen Zwecken erhoben werden und nur in einer mit dem Zweck vereinbarenden Weise weiterverarbeitet werden. (Zweckbindung nach Artikel 5 Absatz 1 Buchstabe b DSGVO)
Personenbezogene Daten müssen vor unbefugter und unrechtmäßiger Verarbeitung geschützt werden (Integrität und Vertraulichkeit nach Artikel 5 Absatz 1 Buchstabe f DSGVO).
Die Verarbeitung von personenbezogene Daten muss auf das notwendige Maß beschränkt werden (Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c DSGVO).

Gesundheitsdaten gehören darüber hinaus zu einer besonders (schutzbedürftigen) Kategorie von personenbezogenen Daten, deren Verarbeitung nur erlaubt ist, sofern es durch das Arbeitsrecht erforderlich ist (Artikel 9 Absatz 2 Buchstabe b DSGVO).

Das Arbeitsrecht legitimiert aber nicht die Verarbeitung von Gesundheitsdaten zur Erstellung von Dienstplänen.
Für die Erstellung einer Dienstplanung ist nur die Kenntnis über die Anwesenheit/Abwesenheit von Mitarbeitern und bei einer Abwesenheit die (voraussichtliche) Dauer der Abwesenheit des Mitarbeiters erforderlich.
Die Kenntnis der personenbezogenen An- und Abwesenheitsdaten eines Mitarbeitern sind nicht für alle Mitarbeiter im Unternehmen erforderlich.
Die Kenntnis des Grundes der Abwesenheit eines Mitarbeiters, ob Urlaub, AU, REHA, etc. ist erst recht nicht für alle Mitarbeiter erforderlich.

Nach Artikel 33 DSGVO müssen Verletzungen des Schutzes von personenbezogenen Daten an die Aufsichtsbehörde gemeldet werden.
Dies kann über ein Online-Formular unter https://www.bfdi.bund.de/DE/Service/Datenschutzverstoesse/datenschutzverstoesse_node.html erfolgen.