In sei­ner aktu­el­len Kurz-Information 26 (hier der LINK zum PDF-Dokument auf dem Inter­net­auf­tritt des BayLfD) befasst sich der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz sys­te­ma­tisch und umfas­send mit den daten­schutz­recht­li­chen Aspek­ten von betrieb­li­chen Geburts­tags­lis­ten. Und auch wenn er hier­bei bereits ein­lei­tend fest­stellt, dass Geburts­ta­ge von Beschäf­tig­ten »immer wie­der Anlass zu einer Gra­tu­la­ti­on, zum Mit­brin­gen eines Geburts­tags­ku­chens oder zur Ent­ge­gen­nah­me eines ange­mes­sen gro­ßen Stücks davon« gäben, wer­den im Wei­te­ren doch auch die for­ma­len Aspek­te des The­mas beleuch­tet. Die ursprüng­lich für baye­ri­sche öffent­li­che Stel­len ver­fass­te Kurz-Information lässt sich hier­bei ohne wei­te­res auf die Situa­tio­nen in nicht-öffentlichen Unter­neh­men übertragen.

Verantwortungen klar regeln

Die ent­spre­chen­den Rege­lun­gen der DSGVO sind auch im Fall betrieb­li­cher Geburts­tags­lis­ten anzu­wen­den. Ver­ant­wort­li­cher ist daher auch in die­sen Fäl­len die natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det (Art. 4 Nr. 7 HS 1 DSGVO). Eine Geburts­tags­lis­te unter betrieb­li­cher Ver­ant­wor­tung läge jeden­falls immer dann vor, wenn »Vor­ge­setz­te die Lis­te füh­ren oder dies ver­an­las­sen, Vor­ge­setz­te auf eine Ein­tra­gung in der Lis­te hin­wir­ken oder sonst Ein­tra­gungs­an­rei­ze schaf­fen oder die Lis­te von der Per­so­nal­stel­le mit den nöti­gen Daten beschickt wird«.

Datenverarbeitung in einer Geburtstagsliste bedarf einer Rechtsgrundlage

Wäh­rend Geburts­tags­lis­ten, die aus­schließ­lich per­so­nal­ver­ant­wort­li­chen Stel­len zugäng­lich sind, wohl als für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses erfor­der­lich ange­se­hen wer­den kön­nen und damit § 26 Abs. 1 S. 1 BDSG als Rechts­grund­la­ge i.S.d. Art. 6 S. 1 lit. f, Abs. 3 S. 1 lit. b DSGVO her­an­ge­zo­gen wer­den kann, erfor­dert das Füh­ren einer ent­spre­chen­den Über­sicht in den jewei­li­gen Orga­ni­sa­ti­ons­ein­hei­ten oder Abtei­lun­gen als  »Akte der kol­le­gia­len Bezie­hungs­pfle­ge« eine ande­re Begrün­dung. Wenig über­ra­schend kommt auch aus Sicht des BayLfD hier nur die Ein­wil­li­gung der Beschäf­tig­ten in Betracht und mit­hin Art. 6 Abs. 1 S. 1 lit. a DSGVO als taug­li­che Rechtsgrundlage.

Anforderungen an Einwilligungen beachten

Es über­rascht kaum, dass auch im Kon­text der Beschäftigten-Geburtstagslisten alle Anfor­de­run­gen der Art. 4 Nr. 11 , Art. 6 Abs. 1 S. 1 lit. a, Art. 7 Abs. 2, 3 DSGVO beach­tet wer­den müs­sen. Die Ein­wil­li­gung des Beschäf­tig­ten hat daher ins­be­son­de­re frei­wil­lig (Art. 4  Nr. 11 DSGVO, Erw­Gr. 43 S. 1 DSGVO), in einer kla­ren und ein­fa­chen Spra­che (Art. 7 Abs. 2 S. 1 DSGVO) und infor­miert (Art. 4 Nr. 11 DSGVO) zu erfol­gen, sie muss auf einen bestimm­ten Zweck (Art. 6 Abs. 1 S. 1 lit. a  DSGVO) und auf eine bestimm­te Ver­ar­bei­tung (Art. 4 Nr. 11 DSGVO) bezo­gen sowie unmiss­ver­ständ­lich (Art. 4 Nr. 11 DSGVO) sein. Wie jede Ein­wil­li­gung wirkt sie grund­sätz­lich bis zu ihrem Wider­ruf (Art. 7 Abs. 3 S. 1, 2 DSGVO), wobei auf das Wider­rufs­recht aus­drück­lich hin­zu­wei­sen ist (Art. 13 Abs. 2 lit. c, Art. 7 Abs. 3 S. 3 DSGV).

Den Grundsatz der Datenminimierung beachten

Ganz aus­drück­lich führt der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz an, dass vor dem Hin­ter­grund des daten­schutz­recht­li­chen Grund­sat­zes der Daten­mi­ni­mie­rung aus Art. 5 Abs. 1 lit. c DSGVO in der Über­sicht der Geburts­ta­ge nur Tag und Monat der Geburt ange­führt wer­den sol­len und somit  auf die »von nicht weni­gen Men­schen als sen­si­bler emp­fun­de­ne« Anga­be des Geburts­jah­res jedoch grund­sätz­lich zu ver­zich­ten sei.

Informationspflichten müssen beachtet werden

Da die in den Beschäftigten-Geburtstagslisten ver­wal­te­ten Daten regel­mä­ßig bereits im Beschäf­ti­gungs­kon­text erho­ben wer­den, dür­fe aus Sicht des BayLfD von einer »Wei­ter­ver­wen­dung« aus­ge­gan­gen wer­den (Art. 13 Abs. 3 DSGVO). Die erfor­der­li­chen Infor­ma­tio­nen kön­nen den Beschäf­tig­ten bereits im den Daten­schutz­hin­wei­sen zu Beginn des Beschäf­ti­gungs­ver­hält­nis­ses erteilt wer­den, sodass bei der Ein­wil­li­gungs­an­fra­ge ledig­lich der zusätz­li­che Ver­ar­bei­tungs­zweck  deut­lich gemacht wer­den müsse.

Beschäftigten-Geburtstagslisten in das Verzeichnis der Verarbeitungstätigkeiten aufnehmen

Abschlie­ßend ist die Geburts­tags­lis­te auch in das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten gem. Art. 30 Abs. 1 DSGVO auf­zu­neh­men. Auch hier hilft ein Blick in die Kurz-Information 26 rasch weiter.

• Zweck der Ver­ar­bei­tung (Art. 30 Abs. 1 S. 1 lit. b DSGVO) = »Füh­ren von Beschäftigten-Geburtstagslisten«
• Kate­go­rien betrof­fe­ner Per­so­nen (Art. 30 Abs. 1 S. 1 lit. c DSGVO) = »Beschäf­tig­te«
• Kate­go­rien per­so­nen­be­zo­ge­ner Daten (Art. 30 Abs. 1 S. 1 lit. c DSGVO) = »Name, Vor­na­me, Geburts­tag, Geburtsmonat«
• Vor­ge­se­he­nen Fris­ten für die Löschung (Art. 30 Abs. 1 S. 1 lit. d DSGVO) = »Wider­ruf der Ein­wil­li­gung, Aus­tritt der Per­son aus der Orga­ni­sa­ti­on des Ver­ant­wort­li­chen oder Wech­sel der Per­son inner­halb der Orga­ni­sa­ti­on des Ver­ant­wort­li­chen in eine ande­re Funk­ti­ons­ein­heit oder Abteilung«
• Rechts­grund­la­ge (Art. 5 Abs. 1 lit. a DSGVO) = Ein­wil­li­gung der betrof­fe­nen Per­son i.S.d. Art. 6 1 S. 1 lit. a DSGVO

Fazit

Geburts­ta­ge sind, nicht nur in den vom Baye­ri­schen Lan­des­be­auf­trag­te für den Daten­schutz ange­spro­che­nen baye­ri­schen öffent­li­chen Stel­len, »Gegen­stand sozia­ler Erwar­tun­gen« und ermög­li­chen abtei­lungs­wei­te, in klei­ne­ren Betrie­ben nicht sel­ten unter­neh­mens­wei­te »anlass­be­zo­ge­ne Gemein­schafts­er­leb­nis­se«. Inner­halb der unter­neh­mens­in­ter­nen Öffent­lich­keit sind hier­bei — kaum über­ra­schend — die Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu beach­ten. Grö­ße­re Hür­den sind indes nicht zu über­win­den, soweit die ver­ant­wort­li­che Stel­le bereit ist, (auch) in die­sem Fall, trotz des infor­mel­len Anlas­ses, sys­te­ma­tisch vor­zu­ge­hen. Der Vor­freu­de auf ein Stück Geburts­tags­ku­chen steht die Daten­schutz­grund­ver­ord­nung daher nicht im Weg.