Man­che Din­ge sind so tri­vi­al, man macht sie ein­fach. Aus Net­tig­keit, aus Rück­sicht, aus Freu­de, weil man eben muss oder eben ger­ne möch­te. Was ist schon dabei, dem lie­ben Arbeits­kol­le­gen zum Geburts­tag zu gra­tu­lie­ren, der Kol­le­gin zur Beför­de­rung aner­ken­nend auf die Schul­ter zu klop­fen oder der lang­jäh­ri­gen Kaffeepausen-Begleitung zum Abschied ein Schön-dass-du-da-warst-Präsent zu über­rei­chen. Eine gan­ze Men­ge, wenn man den Daten­schutz fragt.

Mal abge­se­hen davon, dass sich hier ein­mal mehr die Augen ver­dre­hen las­sen, auf­grund der Klein­lich­keit, mit der man an zwi­schen­mensch­li­che Ges­ten her­an­ge­hen kann, ist es nun ein­mal formal-juristisch so, dass in den drei oben genann­ten Bei­spie­len (stell­ver­tre­tend für eine Viel­zahl sol­cher Anläs­se) per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den und damit der Anwen­dungs­be­reich der DSGVO eröff­net ist. In der Regel erhal­ten die wenigs­ten Beschäf­tig­ten die Infor­ma­ti­on über den Geburts­tag, die Beför­de­rung oder den Abschied von der betrof­fe­nen Per­son selbst, son­dern über den Arbeitgeber.

Die Zuläs­sig­keit von Geburts­tags­lis­ten haben wir (und auch der Bay­ri­sche Lan­des­be­auf­trag­te für Daten­schutz) bereits im Arti­kel „Geburts­tags­lis­ten und die DSGVO“ (Hier geht’s zum Arti­kel) beschrie­ben. Mit unter­neh­mens­in­ter­nen Ver­öf­fent­li­chun­gen zu beruf­li­chen oder pri­va­ten Ver­än­de­run­gen Beschäf­tig­ter ver­hält es sich ganz ähnlich.

Hier kann den Arbeit­ge­ber sogar eine Infor­ma­ti­ons­pflicht tref­fen, um die Geschäfts­pro­zes­se nicht zu gefähr­den.” – Eileen Binder

Ver­ant­wor­tun­gen klar regeln

Die ent­spre­chen­den Rege­lun­gen der DSGVO sind im Fall der inter­nen Mit­tei­lun­gen über Beschäf­tig­te an Beschäf­tig­te anzu­wen­den, sofern der (daten­schutz­recht­lich) betrieb­lich Ver­ant­wort­li­che der Arbeit­ge­ber ist. Ver­ant­wort­li­cher ist daher auch in die­sen Fäl­len die natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit Ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten entschei-det (Art. 4 Nr. 7 DSGVO). Ver­öf­fent­licht der Arbeit­ge­ber selbst eine Mit­tei­lung, ist er Ver­ant­wort­li­cher im Sin­ne der DSGVO. Um eine inter­ne Mit­tei­lung unter betrieb­li­cher Ver­ant­wor­tung han­delt es sich auch dann, wenn Vor­ge­setz­te die Per­so­nal­stel­le mit den nöti­gen Daten beschickt und die Ver­öf­fent­li­chung ver­an­lasst. Kei­ne betrieb­li­che Ver­ant­wor­tung liegt vor, wenn Beschäf­tig­te die Infor­ma­tio­nen unter sich austauschen.

Daten­ver­ar­bei­tung bedarf einer Rechtsgrundlage

Um die rich­ti­ge Rechts­grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in inter­nen Mit­tei­lun­gen zu fin­den, kommt es, wie so oft im Recht, „dar­auf an“. In die­sem Fall auf den Zweck.

Mit­tei­lun­gen über Beför­de­run­gen oder das Aus­schei­den eines Beschäf­tig­ten müs­sen pri­mär per­so­nal­ver­ant­wort­li­chen Stel­len zugäng­lich sein, um das Beschäf­ti­gungs­ver­hält­nis ver­trag­lich zu ändern oder, im Fal­le des Aus­schei­dens, das Beschäf­ti­gungs­ver­hält­nis zu been­den. Die­se Zwe­cke kön­nen als für das Beschäf­ti­gungs­ver­hält­nis erfor­der­lich angese-hen wer­den. Rich­ti­ge Rechts­grund­la­ge ist hier Art. 6 Abs. 1 lit. b DSGVO (Nicht: § 26 BDSG, vgl. EuGH C 34/21).

Die Ver­öf­fent­li­chung in den jewei­li­gen Orga­ni­sa­ti­ons­ein­hei­ten oder Abtei­lun­gen als »Akt der kol­le­gia­len Beziehungs-pflege« erfor­dert eine ande­re Begrün­dung. Die inter­nen Mel­dun­gen die­nen dem Zweck, dass Kol­le­gin­nen und Kolle-gen des betrof­fe­nen Beschäf­tig­ten z.B. gemein­sa­me Pro­jek­te abschlie­ßen oder umstruk­tu­rie­ren, ins­be­son­de­re im Fal­le des kurz­fris­ti­gen Aus­schei­dens, Über­ga­ben gemacht und exter­ne Ansprech­part­ner infor­miert wer­den kön­nen oder Kol­le­gin­nen und Kol­le­gen die Chan­ce erhal­ten, den Anlass ent­spre­chend „zu fei­ern“. Hier kann den Arbeit­ge­ber sogar eine Infor­ma­ti­ons­pflicht tref­fen, um die Geschäfts­pro­zes­se nicht zu gefähr­den. Die­se Zwe­cke lie­gen im berech­tig­ten Inter­es­se des Arbeit­ge­bers und fal­len unter Art. 6 Abs. 1 lit. f DSGVO.

Vom berech­tig­ten Inter­es­se zu tren­nen sind sol­che Infor­ma­tio­nen, die die Beschäf­tig­ten in ihrer höchst­per­sön­li­chen Sphä­re tref­fen, pri­vat sind und für die Kol­le­gin­nen und Kol­le­gen nur eine unter­ge­ord­ne­te Rol­le spie­len, z.B. der Grund des Aus­tritts aus dem Unter­neh­men, der neue Arbeit­ge­ber (sofern bekannt) oder anhal­ten­de beschäftigungsbeein-trächtigende Krank­hei­ten oder Ver­let­zun­gen. Eben­falls nicht vom berech­tig­ten Inter­es­se umfasst sind Ehrun­gen, Glückwunsch- oder Abschieds­fei­ern gemein­sam mit dem gan­zen Unter­neh­men, die der Arbeit­ge­ber für die Beschäftig-ten orga­ni­siert. So nett das auch gemeint ist, ist das nur mit der Ein­wil­li­gung der betrof­fe­nen Per­so­nen zuläs­sig (Art. 6 Abs. 1 lit. a DSGVO). Dar­un­ter fal­len auch inter­ne Mel­dun­gen über Hoch­zei­ten (auch im Fal­le der Namens­än­de­rung) oder Babynews.

Fazit

Inter­ne Mel­dun­gen über Beschäf­tig­te sind nicht sel­ten »Gegen­stand sozia­ler Erwar­tun­gen« und ermög­li­chen abtei-lungsweite, in klei­ne­ren Betrie­ben nicht sel­ten unter­neh­mens­wei­te »anlass­be­zo­ge­ne Gemein­schafts­er­leb­nis­se«. In-nerhalb der unter­neh­mens­in­ter­nen Öffent­lich­keit sind hier­bei jedoch die Anfor­de­run­gen an die Ver­ar­bei­tung perso-nenbezogener Daten zu beach­ten. Mel­dun­gen, die von Beschäf­tig­ten für Beschäf­tig­te ver­öf­fent­licht wer­den, sind nicht unter­neh­mens­be­zo­gen und fal­len daher nicht in den Ver­ant­wor­tungs­be­reich des Arbeit­ge­bers. Sind Mel­dun­gen hin-gegen von Arbeit­ge­ber ver­an­lasst, gilt es zu unter­schei­den, zu wel­chem Zweck die Infor­ma­tio­nen unter­neh­mens­in­tern ver­öf­fent­licht wer­den. Je nach Zweck ist eine ande­re Rechts­grund­la­ge her­an­zu­zie­hen, die ihrer­seits erhöh­te Anforde-rungen an die Zuläs­sig­keit der Ver­ar­bei­tung stellt. Unab­hän­gig davon emp­fiehlt sich jedoch immer mit den betrof­fe­nen Beschäf­tig­ten vor der inter­nen Mel­dung direkt dar­über zu spre­chen und gemein­sam zu beschlie­ßen, wie groß die Par­ty sein darf.

Was Sie noch interessieren könnte:

AI-Act – ein Überblick

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz