Es gibt Themen, bei denen man in der Datenschutzberatung immer wieder zu hören bekommt: „Muss das wirklich sein? Ist so viel Aufwand tatsächlich nötig?“. Der Datenschützer, schmunzelnd der Tragweite wissend, sagt in diesem Fall bekanntlich erst einmal „ja“. Ein typisches Beispiel hierfür sind Geburtstagslisten von Mitarbeitern.
Sie tauchen in verschiedenen Konstellationen in nahezu jedem Unternehmen auf: Ob als Aushang im Pausenraum oder im Firmenkalender, mal mit dem vollständigen Namen und dem Geburtsjahr oder auch nur mit Vorname und dem Tag ohne Nennung des Geburtsjahres (wenn man den Mitarbeitern nicht zu nahe treten und das Alter bekannt geben möchte).
Eines haben jedoch alle Geburtstagslisten gemeinsam: Sofern der Arbeitgeber in irgendeiner Form an der Erstellung der Liste mitwirkt oder betriebliche Mittel hierfür zur Verfügung stellt, dürfen die Mitarbeiter grundsätzlich nur mit ihrer Einwilligung zu der Liste hinzugefügt werden.
Der Grund hierfür ist, dass es schlichtweg keine gesetzliche datenschutzrechtliche Rechtsgrundlage gibt, durch die die Datenverarbeitung legitimiert werden kann. So unbedeutend eine Geburtsliste auch klingen mag: Handelt es sich nicht um eine rein private und durch die Mitarbeiter selbst geführte Liste (was man als Arbeitgeber nicht vorschnell annehmen sollte), liegt eine Verarbeitung personenbezogener Daten von Beschäftigten vor, bei der die datenschutzrechtlichen Vorschriften Anwendung finden. Dies gilt im Übrigen auch bei handschriftlich geführten Listen oder Vergleichbarem, da es bei Beschäftigten nicht darauf ankommt, ob eine automatisierte Datenverarbeitung erfolgt oder die Daten in einem Dateisystem gespeichert werden.
Da es jedoch für ein gutes Arbeitsklima sorgt, wenn sich die Mitarbeiter untereinander zum Geburtstag gratulieren, kann selbstverständlich eine Geburtstagsliste geführt werden. Datenschutzrechtlich sind hierbei die folgenden Punkte zu beachten:
- Mitarbeiter dürfen ohne Einwilligung nicht auf die Liste gesetzt werden, müssen folglich vorab damit einverstanden sein.
- Die Einwilligung muss freiwillig sein. Möchten Mitarbeiter nicht auf der Liste erscheinen, dürfen hieraus keinerlei Nachteile entstehen.
- Die Einwilligung muss transparent sein. Die Beschäftigten müssen wissen, in was sie konkret einwilligen und was mit ihren Daten geschieht. Zudem müssen sie darauf hingewiesen werden, dass sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können und gegenüber wem der Widerruf erklärt werden muss. All diese Informationen müssen in Textform erteilt werden.
- Die Einwilligung muss grundsätzlich schriftlich oder elektronisch erteilt werden. Dies schreibt einerseits das Bundesdatenschutzgesetz bei Beschäftigten vor, ist zum anderen aber auch aus Nachweisgründen sehr zu empfehlen.
- Möchte man besonders rechtssicher vorgehen, sollte aus Gründen der Datenminimierung auf das Geburtsjahr in der Liste verzichtet werden. Diese Angabe ist zum Gratulieren nicht erforderlich und könnte bei einigen Mitarbeitern für Unmut sorgen.
- Scheidet ein Mitarbeiter aus dem Betrieb aus oder widerruft seine Einwilligung, ist er von der Liste zu nehmen.
- Es ist ein entsprechendes Verfahren im Verzeichnis der Verarbeitungstätigkeiten anzulegen.
Hält man sich als Verantwortlicher an die Vorgaben, steht der Geburtstagsliste aus datenschutzrechtlicher Sicht nichts im Weg.
DSB mit Augemaß
6. Februar 2020 @ 16:48
In vielen Unternehmen ist es üblich, dass rein interne Programme verwendet werden, in denen der Arbeitnehmer sein Geburtsdatum wenn gewünscht freiwillig eintragen kann (auch ohne Geburtsjahr). Er kann das Geburtsdatum -sobald eingetragen-, auch jederzeit selbstständig wieder löschen. Gesonderte, formale Einwilligungsklauseln fehlen in solchen Programmen regelmäßig. Im Sinne des obigen Textes stellt der Arbeitgeber aber „die betrieblichen Mittel“, nämlich das Programm zur Verfügung. Die Einwilligung erteilt der Arbeitnehmer dann also konkludent durch Eintragung seines Geburtsdatums, was sich ggf. noch mit den „besonderen Umständen“ aus § 26 Absatz 2 Satz 3 BDSG (neu) rechtfertigen lässt. Satz 4 der Norm ist aber rein dem Wortlaut nach nicht erfüllt, weil der Arbeitnehmer nicht über das Widerrufsrecht in Textform aufgeklärt wird, jedenfalls nicht in der konkreten Anwendung. Reicht es aus, wenn man als Unternehmen dann auf im Intranet des Unternehmens für alle Mitarbeiter einsehbare „Datenschutzhinweise“ verweist, in denen über das Widerrufsrecht nach Art. 7 Absatz 3 DS-GVO im Falle erteilter Einwilligungen -allgemein- aufgeklärt wird ? Als (interner) Datenschutzbeauftragter werde ich jedenfalls darauf verweisen. In meinem Unternehmen wird nämlich wie beschreiben agiert. Wobei ich als DSB darauf achte, dass auch wirklich kein Kollege faktisch unter Druck gesetzt wird, sein Geburtsdatum zu veröffentlichen. Wenn ich jetzt zusätzlich fordern müsste, dass der Programmanbieter an der konkreten Stelle des einzutragenden Geburtsdatums einen „Widerrufstext“ einfügt oder in dem konkreten Programm an ggf. anderer Stelle „Widerrufstexte“ hinterlegt werden müssten, würde das meines Erachtens die Anforderungen überspannen. Und dem Datenschutz letztlich einen Bärendienst erweisen, weil ich mich als DSB persönlich und den Datenschutz im Allgemeinen fast schon lächerlich machen würde. Wie sehen Sie das ?
Juliane Schönwald
10. Februar 2020 @ 9:25
Ich halte das für einen umsetzbaren Weg, wenngleich es nicht die absolut rechtssicherste Lösung darstellt.
Heinz Wäscher
6. Februar 2020 @ 15:27
Das Thema hat schon soooo einen Bart. Ganz ehrlich, kann man nicht einfach irgendwo (z.B. in der Teeküche) ne Liste hängen, in die sich einfach jeder eintragen kann, der möchte? Servus.
Juliane Schönwald
10. Februar 2020 @ 9:24
Das kann natürlich gerne so gehandhabt werden, wenn die Mitarbeiter ordnungsgemäß über die Datenverarbeitung informiert werden.