Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der langjährigen Kaffeepausen-Begleitung zum Abschied ein Schön-dass-du-da-warst-Präsent zu überreichen. Eine ganze Menge, wenn man den Datenschutz fragt.
Mal abgesehen davon, dass sich hier einmal mehr die Augen verdrehen lassen, aufgrund der Kleinlichkeit, mit der man an zwischenmenschliche Gesten herangehen kann, ist es nun einmal formal-juristisch so, dass in den drei oben genannten Beispielen (stellvertretend für eine Vielzahl solcher Anlässe) personenbezogene Daten verarbeitet werden und damit der Anwendungsbereich der DSGVO eröffnet ist. In der Regel erhalten die wenigsten Beschäftigten die Information über den Geburtstag, die Beförderung oder den Abschied von der betroffenen Person selbst, sondern über den Arbeitgeber.
Die Zulässigkeit von Geburtstagslisten haben wir (und auch der Bayrische Landesbeauftragte für Datenschutz) bereits im Artikel „Geburtstagslisten und die DSGVO“ (Hier geht’s zum Artikel) beschrieben. Mit unternehmensinternen Veröffentlichungen zu beruflichen oder privaten Veränderungen Beschäftigter verhält es sich ganz ähnlich.
“Hier kann den Arbeitgeber sogar eine Informationspflicht treffen, um die Geschäftsprozesse nicht zu gefährden.” – Eileen Binder
Verantwortungen klar regeln
Die entsprechenden Regelungen der DSGVO sind im Fall der internen Mitteilungen über Beschäftigte an Beschäftigte anzuwenden, sofern der (datenschutzrechtlich) betrieblich Verantwortliche der Arbeitgeber ist. Verantwortlicher ist daher auch in diesen Fällen die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit Anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entschei-det (Art. 4 Nr. 7 DSGVO). Veröffentlicht der Arbeitgeber selbst eine Mitteilung, ist er Verantwortlicher im Sinne der DSGVO. Um eine interne Mitteilung unter betrieblicher Verantwortung handelt es sich auch dann, wenn Vorgesetzte die Personalstelle mit den nötigen Daten beschickt und die Veröffentlichung veranlasst. Keine betriebliche Verantwortung liegt vor, wenn Beschäftigte die Informationen unter sich austauschen.
Datenverarbeitung bedarf einer Rechtsgrundlage
Um die richtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten in internen Mitteilungen zu finden, kommt es, wie so oft im Recht, „darauf an“. In diesem Fall auf den Zweck.
Mitteilungen über Beförderungen oder das Ausscheiden eines Beschäftigten müssen primär personalverantwortlichen Stellen zugänglich sein, um das Beschäftigungsverhältnis vertraglich zu ändern oder, im Falle des Ausscheidens, das Beschäftigungsverhältnis zu beenden. Diese Zwecke können als für das Beschäftigungsverhältnis erforderlich angese-hen werden. Richtige Rechtsgrundlage ist hier Art. 6 Abs. 1 lit. b DSGVO (Nicht: § 26 BDSG, vgl. EuGH C 34/21).
Die Veröffentlichung in den jeweiligen Organisationseinheiten oder Abteilungen als »Akt der kollegialen Beziehungs-pflege« erfordert eine andere Begründung. Die internen Meldungen dienen dem Zweck, dass Kolleginnen und Kolle-gen des betroffenen Beschäftigten z.B. gemeinsame Projekte abschließen oder umstrukturieren, insbesondere im Falle des kurzfristigen Ausscheidens, Übergaben gemacht und externe Ansprechpartner informiert werden können oder Kolleginnen und Kollegen die Chance erhalten, den Anlass entsprechend „zu feiern“. Hier kann den Arbeitgeber sogar eine Informationspflicht treffen, um die Geschäftsprozesse nicht zu gefährden. Diese Zwecke liegen im berechtigten Interesse des Arbeitgebers und fallen unter Art. 6 Abs. 1 lit. f DSGVO.
Vom berechtigten Interesse zu trennen sind solche Informationen, die die Beschäftigten in ihrer höchstpersönlichen Sphäre treffen, privat sind und für die Kolleginnen und Kollegen nur eine untergeordnete Rolle spielen, z.B. der Grund des Austritts aus dem Unternehmen, der neue Arbeitgeber (sofern bekannt) oder anhaltende beschäftigungsbeein-trächtigende Krankheiten oder Verletzungen. Ebenfalls nicht vom berechtigten Interesse umfasst sind Ehrungen, Glückwunsch- oder Abschiedsfeiern gemeinsam mit dem ganzen Unternehmen, die der Arbeitgeber für die Beschäftig-ten organisiert. So nett das auch gemeint ist, ist das nur mit der Einwilligung der betroffenen Personen zulässig (Art. 6 Abs. 1 lit. a DSGVO). Darunter fallen auch interne Meldungen über Hochzeiten (auch im Falle der Namensänderung) oder Babynews.
Fazit
Interne Meldungen über Beschäftigte sind nicht selten »Gegenstand sozialer Erwartungen« und ermöglichen abtei-lungsweite, in kleineren Betrieben nicht selten unternehmensweite »anlassbezogene Gemeinschaftserlebnisse«. In-nerhalb der unternehmensinternen Öffentlichkeit sind hierbei jedoch die Anforderungen an die Verarbeitung perso-nenbezogener Daten zu beachten. Meldungen, die von Beschäftigten für Beschäftigte veröffentlicht werden, sind nicht unternehmensbezogen und fallen daher nicht in den Verantwortungsbereich des Arbeitgebers. Sind Meldungen hin-gegen von Arbeitgeber veranlasst, gilt es zu unterscheiden, zu welchem Zweck die Informationen unternehmensintern veröffentlicht werden. Je nach Zweck ist eine andere Rechtsgrundlage heranzuziehen, die ihrerseits erhöhte Anforde-rungen an die Zulässigkeit der Verarbeitung stellt. Unabhängig davon empfiehlt sich jedoch immer mit den betroffenen Beschäftigten vor der internen Meldung direkt darüber zu sprechen und gemeinsam zu beschließen, wie groß die Party sein darf.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]