Immer wieder taucht in der Praxis die Frage nach der datenschutzrechtlichen Zulässigkeit von »Geburtstagslisten« auf und nicht wenige betriebliche Datenschutzbeauftragte versuchen sich bei diesem Thema um eine formal passende Lösung zu drücken. Dabei ist, mit den Worten des Bayerischen Landesbeauftragte für den Datenschutz (BayLfD), die »Führung von Beschäftigten-Geburtstagslisten […] auch in der Welt der Datenschutz-Grundverordnung kein unlösbares Problem«.
“Während Geburtstagslisten, die ausschließlich personalverantwortlichen Stellen zugänglich sind, wohl als für Zwecke des Beschäftigungsverhältnisses erforderlich angesehen werden können und damit § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage herangezogen werden kann, erfordert das Führen einer entsprechenden Übersicht in den jeweiligen Abteilungen als »Akte der kollegialen Beziehungspflege« eine andere Begründung.” — Matthias Herkert
In seiner aktuellen Kurz-Information 26 (hier der LINK zum PDF-Dokument auf dem Internetauftritt des BayLfD) befasst sich der Bayerische Landesbeauftragte für den Datenschutz systematisch und umfassend mit den datenschutzrechtlichen Aspekten von betrieblichen Geburtstagslisten. Und auch wenn er hierbei bereits einleitend feststellt, dass Geburtstage von Beschäftigten »immer wieder Anlass zu einer Gratulation, zum Mitbringen eines Geburtstagskuchens oder zur Entgegennahme eines angemessen großen Stücks davon« gäben, werden im Weiteren doch auch die formalen Aspekte des Themas beleuchtet. Die ursprünglich für bayerische öffentliche Stellen verfasste Kurz-Information lässt sich hierbei ohne weiteres auf die Situationen in nicht-öffentlichen Unternehmen übertragen.
Verantwortungen klar regeln
Die entsprechenden Regelungen der DSGVO sind auch im Fall betrieblicher Geburtstagslisten anzuwenden. Verantwortlicher ist daher auch in diesen Fällen die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 HS 1 DSGVO). Eine Geburtstagsliste unter betrieblicher Verantwortung läge jedenfalls immer dann vor, wenn »Vorgesetzte die Liste führen oder dies veranlassen, Vorgesetzte auf eine Eintragung in der Liste hinwirken oder sonst Eintragungsanreize schaffen oder die Liste von der Personalstelle mit den nötigen Daten beschickt wird«.
Datenverarbeitung in einer Geburtstagsliste bedarf einer Rechtsgrundlage
Während Geburtstagslisten, die ausschließlich personalverantwortlichen Stellen zugänglich sind, wohl als für Zwecke des Beschäftigungsverhältnisses erforderlich angesehen werden können und damit § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage i.S.d. Art. 6 S. 1 lit. f, Abs. 3 S. 1 lit. b DSGVO herangezogen werden kann, erfordert das Führen einer entsprechenden Übersicht in den jeweiligen Organisationseinheiten oder Abteilungen als »Akte der kollegialen Beziehungspflege« eine andere Begründung. Wenig überraschend kommt auch aus Sicht des BayLfD hier nur die Einwilligung der Beschäftigten in Betracht und mithin Art. 6 Abs. 1 S. 1 lit. a DSGVO als taugliche Rechtsgrundlage.
Anforderungen an Einwilligungen beachten
Es überrascht kaum, dass auch im Kontext der Beschäftigten-Geburtstagslisten alle Anforderungen der Art. 4 Nr. 11 , Art. 6 Abs. 1 S. 1 lit. a, Art. 7 Abs. 2, 3 DSGVO beachtet werden müssen. Die Einwilligung des Beschäftigten hat daher insbesondere freiwillig (Art. 4 Nr. 11 DSGVO, ErwGr. 43 S. 1 DSGVO), in einer klaren und einfachen Sprache (Art. 7 Abs. 2 S. 1 DSGVO) und informiert (Art. 4 Nr. 11 DSGVO) zu erfolgen, sie muss auf einen bestimmten Zweck (Art. 6 Abs. 1 S. 1 lit. a DSGVO) und auf eine bestimmte Verarbeitung (Art. 4 Nr. 11 DSGVO) bezogen sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Wie jede Einwilligung wirkt sie grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 S. 1, 2 DSGVO), wobei auf das Widerrufsrecht ausdrücklich hinzuweisen ist (Art. 13 Abs. 2 lit. c, Art. 7 Abs. 3 S. 3 DSGV).
Den Grundsatz der Datenminimierung beachten
Ganz ausdrücklich führt der Bayerische Landesbeauftragte für den Datenschutz an, dass vor dem Hintergrund des datenschutzrechtlichen Grundsatzes der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO in der Übersicht der Geburtstage nur Tag und Monat der Geburt angeführt werden sollen und somit auf die »von nicht wenigen Menschen als sensibler empfundene« Angabe des Geburtsjahres jedoch grundsätzlich zu verzichten sei.
Informationspflichten müssen beachtet werden
Da die in den Beschäftigten-Geburtstagslisten verwalteten Daten regelmäßig bereits im Beschäftigungskontext erhoben werden, dürfe aus Sicht des BayLfD von einer »Weiterverwendung« ausgegangen werden (Art. 13 Abs. 3 DSGVO). Die erforderlichen Informationen können den Beschäftigten bereits im den Datenschutzhinweisen zu Beginn des Beschäftigungsverhältnisses erteilt werden, sodass bei der Einwilligungsanfrage lediglich der zusätzliche Verarbeitungszweck deutlich gemacht werden müsse.
Beschäftigten-Geburtstagslisten in das Verzeichnis der Verarbeitungstätigkeiten aufnehmen
Abschließend ist die Geburtstagsliste auch in das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO aufzunehmen. Auch hier hilft ein Blick in die Kurz-Information 26 rasch weiter.
- Zweck der Verarbeitung (Art. 30 Abs. 1 S. 1 lit. b DSGVO) = »Führen von Beschäftigten-Geburtstagslisten«
- Kategorien betroffener Personen (Art. 30 Abs. 1 S. 1 lit. c DSGVO) = »Beschäftigte«
- Kategorien personenbezogener Daten (Art. 30 Abs. 1 S. 1 lit. c DSGVO) = »Name, Vorname, Geburtstag, Geburtsmonat«
- Vorgesehenen Fristen für die Löschung (Art. 30 Abs. 1 S. 1 lit. d DSGVO) = »Widerruf der Einwilligung, Austritt der Person aus der Organisation des Verantwortlichen oder Wechsel der Person innerhalb der Organisation des Verantwortlichen in eine andere Funktionseinheit oder Abteilung«
- Rechtsgrundlage (Art. 5 Abs. 1 lit. a DSGVO) = Einwilligung der betroffenen Person i.S.d. Art. 6 1 S. 1 lit. a DSGVO
Fazit
Geburtstage sind, nicht nur in den vom Bayerischen Landesbeauftragte für den Datenschutz angesprochenen bayerischen öffentlichen Stellen, »Gegenstand sozialer Erwartungen« und ermöglichen abteilungsweite, in kleineren Betrieben nicht selten unternehmensweite »anlassbezogene Gemeinschaftserlebnisse«. Innerhalb der unternehmensinternen Öffentlichkeit sind hierbei — kaum überraschend — die Anforderungen an die Verarbeitung personenbezogener Daten zu beachten. Größere Hürden sind indes nicht zu überwinden, soweit die verantwortliche Stelle bereit ist, (auch) in diesem Fall, trotz des informellen Anlasses, systematisch vorzugehen. Der Vorfreude auf ein Stück Geburtstagskuchen steht die Datenschutzgrundverordnung daher nicht im Weg.
Artikel zum selben Thema:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]