Datenschutz bei der Geburtstagsliste: Glückwunsch nur mit Einwilligung?

Man könnte meinen, der Umgang mit Geburtstagen unter Kollegen ist auch ohne den Datenschutz bei der Geburtstagsliste schon kompliziert genug. Die Sammelkasse der Belegschaft will rechtzeitig gefüllt sein. Den richtigen Zeitpunkt für eine Feier mit dem ganzen Team zu finden kann – zumindest in Zeiten ohne Pandemie – auch schwierig werden. Dann kommt auch noch die Datenschutzbeauftragte und fragt nach der Rechtsgrundlage für den Geburtstagskalender am Schwarzen Brett beim Haupteingang. „Berechtigtes Interesse?“, mutmaßt der IT-Leiter, der schon öfter mit dem Thema Datenschutz zu tun hatte. Die Datenschutzbeauftragte schüttelt den Kopf.   

Warum berechtigtes Interesse als Rechtsgrundlage für Gratulationen nicht funktioniert

Der Wortlaut von Art. 6 Abs. 1 lit. f DS-GVO (‚berechtigtes Interesse‘) näher betrachtet:

„die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. “

Was bedeutet das angewendet auf die Geburstagsliste?

  • Das berechtigte Interesse könnte hier sein, mit rechtzeitigen Gratulationen für ein gutes Betriebsklima zu sorgen.
  • Der Verantwortliche ist in diesem Fall die Organisation, deren Mitarbeiter auf dem Geburtstagskalender gelistet sind.
  • Dritte könnten die Kollegen sein. Auch diese haben sicher ein berechtigtes Interesse an einem guten Betriebsklima.
  • Die Verarbeitung muss nach der DS-GVO ‚erforderlich‘ sein für die Erreichung des überwiegenden berechtigten Interesses.

    Die Erforderlichkeit ist dabei vermutlich je nach Team und Organisation unterschiedlich zu beantworten, im Einzelfall allerdings bestenfalls Auslegungssache mit der Gefahr, dass ein Richter im Ernstfall den Sachverhalt anders bewertet.
  • Zudem muss noch bedacht werden, dass das Interesse des Verantwortlichen an Gratulationen das Interesse des Geburtstagskindes am Schutz seines Geburtsdatums überwiegen muss. Gratulationen erfüllen zudem unstrittig hauptsächlich dann ihren Zweck, wenn sich der Gratulierte darüber freut. Da dies typischerweise der Fall ist, wird davon ausgegangen, dass sich ausnahmslos alle Beschäftigten über Gratulationen freuen. Doch Ausnahmen bestätigen die Regel und es gab und gibt immer wieder Kollegen, denen Gratulationen eher unangenehm sind.
    Kann das Interesse des Arbeitgebers an Gratulationen wirklich auch in einem solchen Fall überwiegen?

Der IT-Leiter bekommt nun Zweifel. Sind Gratulationen nach diesen Maßstäben wirklich erforderlich?

Doch so etwas Grundsätzliches wie ein Geburtstagskalender kann doch nicht am Fehlen einer Rechtsgrundlage scheitern: „Fast alles, was mit dem Beschäftigungsverhältnis zu tun hat, ist doch in § 26 BDSG geregelt!“ wirft er ein.

Damit hat er recht, werfen wir also einen Blick in den Gesetzestext:

Was § 26 BDSG über die Erforderlichkeit von Verarbeitungen im Rahmen von Beschäftigungsverhältnissen aussagt

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

§ 26 Abs. 1 BDSG

Hier ist also die Erforderlichkeit von Datenverarbeitungen im Rahmen von Beschäftigungsverhältnissen näher definiert. Verarbeitungen sind demnach erforderlich, wenn sie

  • Zur Begründung eines Beschäftigungsverhältnisses
  • Zur Durchführung oder Beendigung des Beschäftigungsverhältnisses
  • Gemäß
    • einem Gesetz
    • einem Tarifvertrag
    • einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung)

notwendig sind.

All dies funktioniert in der Regel auch ohne das Aushängen eines Geburtstagskalenders im Betrieb. Im Einzelfall kommt es natürlich noch auf die Formulierung der Betriebsvereinbarung an, doch auch hier ist fraglich, wie die rechtliche Zulässigkeit einer solchen Grundlage im Ernstfall bewertet wird.

Warum das bereits bekannte Geburtsdatum nicht „einfach so“ in den Kalender eingetragen werden darf

Unser Chef kennt unser Geburtsdatum doch ohnehin und auch die Buchhaltung weiß Bescheid“, überlegt der IT-Leiter.

Das Verarbeiten des Geburtsdatums im Rahmen des Beschäftigungsverhältnisses ist unstrittig notwendig für die Begründung und Durchführung des Beschäftigungsverhältnisses. Schon allein um sicher zu sein, dass der Mitarbeiter volljährig ist und auch um die Lohnabrechnung durchführen zu können, muss dem Arbeitgeber das Geburtsdatum bekannt sein. Wenn das Geburtsdatum ohnehin schon bekannt ist, kann es doch auch einfach in den Geburtstagskalender eingetragen werden?

Das funktioniert leider nicht, da in Art. 5 DS-GVO festgelegt ist, dass bereits erhobene Daten nicht ohne weiteres für andere Zwecke verarbeitet werden dürfen. Das Geburtsdatum liegt dem Arbeitgeber aus gesetzlichen Gründen vor und er darf das vorliegende Geburtsdatum nur mit einer für die anderen Zwecke gültigen Rechtsgrundlage verwenden.

Die einschlägige Rechtsgrundlage für korrekten Datenschutz bei der Geburtstagsliste

Die Suche nach einer validen Rechtsgrundlage für den Kalender ist fast geschafft, denn gleich der nächste Absatz in § 26 BDSG gibt einen entscheidenden Hinweis: Hier geht es um die Einwilligung im Rahmen des Beschäftigungsverhältnisses. Dort sind die Erfordernisse gelistet, die zusätzlich zu den Bedingungen in Art. 7 DS-GVO zu beachten sind, wenn ein Arbeitgeber als Verantwortlicher die Einwilligung seiner Beschäftigten einholt. 

Warum die Einwilligung die korrekter Rechtsgrundage für die Geburtstagsliste ist

Mit dem Hinweis von oben, dass bereits der Zweck verfehlt ist, wenn das Geburtstagskind gar keine Glückwünsche haben möchte ist genau betrachtet logisch, dass nur mit Einwilligung gratuliert werden darf. Denn wer sich über Gratulationen freut, wird bereitwillig einwilligen. Wer lieber still und heimlich feiert ohne die Anteilnahme von anderen erspart sich und anderen die Einwilligung und möglicherweise auch unangenehme Situationen für alle Beteiligten. Damit gibt es also nur Gewinner.

Wer nun immer noch zweifelt, ob die Einwilligung wirklich die richtige Rechtsgrundlage für diesen Fall ist: Einige Datenschutz-Aufsichtsbehörden wie die BayLDA haben sich eindeutig geäußert, dass sie bei der Geburtstagsliste im Betrieb nur die Einwilligung als valide Rechtsgrundlage sehen.

Damit ist jetzt auch der IT-Leiter überzeugt.  

Bedingungen an die Einwilligung (nicht nur) als Rechtsgrundlage für die Geburtstagsliste

Art. 7 DS-GVO stellt folgende Bedingungen an die Einwilligung:

  1. Sie muss nachweisbar eingeholt sein.
  2. Die Formulierung der Einwilligung muss in einer klaren und einfachen Sprache erfolgen, so dass der Betroffene leicht erfassen kann, worin er einwilligt.
  3. Die Einwilligung muss jederzeit widerrufbar sein. Für den Widerruf gilt dabei folgendes:
    • Der Verantwortliche muss den Betroffenen darüber informieren, dass er jederzeit widerrufen kann.
    • Die Datenverarbeitung bis zum Zeitpunkt des Widerrufs bleibt rechtmäßig. Auch darüber ist in der Einwilligung zu informieren.
    • Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung.
    • Wurde die Einwilligung widerrufen, dürfen die Daten ab diesem Zeitpunkt nicht mehr zu diesem Zweck verwendet werden.
  4. Sie muss freiwillig sein.

§ 26 Abs. 2 BDSG konkretisiert die zuletzt genannte Freiwilligkeit in diesem Zusammenhang. Darüber hinaus sind hier weitere Bedingungen für die Einwilligung als Rechtsgrundlage im Rahmen eines Beschäftigungsverhältnisses genannt:

  1. Für die Beurteilung der Freiwilligkeit muss die bestehende Abhängigkeit der beschäftigten Person aufgrund des Beschäftigungsverhältnisses berücksichtigt werden.
  2. Zudem sind die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen.
  3. Freiwilligkeit kann insbesondere vorliegen, wenn die beschäftigte Person damit einen Vorteil erreicht oder der Arbeitgeber und die beschäftigte Person ähnliche Interessen verfolgen.
  4. Die Einwilligung muss schriftlich oder elektronisch erfolgen, wenn nicht wegen besonderer Umstände eine andere Form geeignet ist.
  5. Zudem muss der Zweck, der mit der Datenverarbeitung verfolgt wird, klar vermittelt werden.Bay

Sind die oben genannten Bedingungen alle erfüllt, ist die Einwilligung erteilt und Sie können auf Basis einer einschlägigen Rechtsgrundlage gratulieren.

Was sonst noch für den Datenschutz bei der Geburtstagsliste zu beachten ist

Um der DS-GVO für den Datenschutz bei der Geburtstagsliste zu entsprechen, sind noch folgende Punkte zu erledigen:

  • Sie müssen die Informationspflichten nach Art. 13 erfüllen. Bewährt hat sich hier, die Informationen den Betroffenen direkt mit Erteilung der Einwilligung zukommen zu lassen. Denkbar ist auch, sie gemeinsam mit den anderen Informationspflichten für Beschäftigte zu erfüllen.
  • Der Prozess muss im Verarbeitungsverzeichnis abgebildet sein.
  • Sämtliche Rechenschaftspflichten für die Verarbeitung von Daten müssen eingehalten sein. Dies beinhaltet z.B. auch
    • die Datensparsamkeit: In diesem Zusammenhang empfiehlt es sich, nur das Geburtsdatum ohne das Geburtsjahr zu erfassen.
    • die Sicherheit der Verarbeitung: Dazu gehört auch die Vertraulichkeit, Sie sollten den Geburtstagskalender also angemessen vor der Einsichtnahme durch Unbefugte schützen.

Fazit

Auch wenn die Einwilligung des Geburtstagskindes als Rechtsgrundlage für Gratulationen auf manche befremdlich wirkt: Sie ist die rechtssicherste Lösung für diese Art der Datenverarbeitung, die wie alle anderen Verarbeitungen auch eine Rechtsgrundlage benötigt. Zu beachten sind dabei die Bedingungen für die Einwilligung, Aufnahme ins Verarbeitungsverzeichnis und die Erfüllung der Informationspflichten. Wer nun noch dafür sorgt, dass der Kalender ausreichend geschützt veröffentlicht wird, hat an alles gedacht.

Bezogen auf dieses Szenario bedeutet das, dass der Kalender künftig besser an einem Ort hängt, an dem keine Besucher vorbeilaufen. Der IT-Leiter schlägt den Pausenraum als neuen Ort vor. Dagegen hat auch die Datenschutzbeauftragte nichts einzuwenden.   

Sie wollen nicht nur rechtssicher zum Geburtstag gratulieren, sondern auch weitere Prozesse in Ihrer Organisation im Hinblick auf Datenschutz besser machen? Nehmen Sie gerne Kontakt mit uns auf!

Hilfreiche Links

Die Grundlagen von Datenschutz und informationelle Selbstbestimmung (BfDI)

Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.

Verfasser: Mareike Fischer, 29.04.2021

Bild von Larry White auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert