Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) schildert in ihrem Tätigkeitsbericht Datenschutz 2024 (S. 45-48) häufige Beschwerden aufgrund mündlicher Äußerungen im Beschäftigungskontext. Dies betraf in den ihr vorliegenden Fällen bspw. Aussagen über Gründe (fristloser) Kündigung oder zu ärztlichen Diagnosen bei Arbeitsunfähigkeit. Dabei stellt sich die Frage, ob/wann der Anwendungsbereich der DSGVO eröffnet ist, wenn über einzelne Beschäftigte gesprochen wird, wozu sich die SDTB entsprechend äußerte.
Datenverarbeitung
So stellte die SDTB zunächst fest, dass es sich bei individuellen Kündigungs- oder Arbeitsunfähigkeitsdaten um personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO – sowie bei Letzteren auch um Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO – handelt. Eine Verarbeitung dieser Beschäftigtendaten unterliege dabei den Regelungen in § 26 BDSG. Dies betreffe zudem auch mündliche Äußerungen, da diese gemäß § 26 Abs. 7 BDSG als Datenverarbeitungen von der Norm umfasst seien. Daraus ist zu schließen, dass die Rechtmäßigkeit und damit eingehend die Erforderlichkeit einer mündlichen Äußerung über einen Beschäftigten zu prüfen ist. Die SDTB kam dabei zu dem Ergebnis, es könne grundsätzlich eine Erforderlichkeit bestehen, die Beendigung eines Beschäftigungsverhältnisses zur Sicherstellung von Betriebsabläufen intern zu kommunizieren, doch sei es in der Regel nicht erforderlich, den Grund für das Beschäftigungsende zu nennen. Ähnlich bewertet sie dies bei einer vorliegenden Arbeitsunfähigkeit: Die Mitteilung der Information einer Arbeitsunfähigkeit könne gegebenenfalls erforderlich sein, nicht jedoch die Angabe der konkreten Diagnose.
Verantwortlichkeit
Wesentlich ist nach der SDTB zudem die Rolle bzw. konkrete Position der Person, die mündlich Beschäftigtendaten kundtut. Wenn der Arbeitgeber selbst oder von ihm mit der Datenverarbeitung beauftragtes Personal – z. B. innerhalb der Personalverwaltung – derartige Daten offenlegen, ist dies ihrer Ansicht zufolge der datenschutzrechtlichen Verantwortlichkeit des Arbeitgebers zuzurechnen, sodass diesbezüglich die Anforderungen aus den geltenden Datenschutzgesetzen gelten. Sollten jedoch andere Mitarbeiterinnen und Mitarbeiter untereinander „tratschen“, erfolgt dies nach Meinung der SDTB zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und fällt damit unter die Haushaltsausnahme aus der Datenschutz-Grundverordnung (Art. 2 Abs. 2 lit. c DSGVO).
Schlussfolgerung
Die Erläuterungen aus Sachsen zeigen, dass insbesondere Beschäftigte innerhalb der Führungsebene sowie aus der Personalabteilung vorsichtig agieren sollten. Kommunizieren sie Daten über Beschäftigte, muss aus datenschutzrechtlicher Sicht die Rechtmäßigkeit dieses Vorgangs sichergestellt sein. In der Praxis dürfte dabei letztlich ein höheres Fehlerpotenzial bzw. Risiko versehentlicher unrechtmäßiger Datenweitergaben im Laufe von Gesprächen bestehen als z. B. bei einem Versand von Dokumenten. Es empfiehlt sich daher, Führungskräfte und Personalabteilung regelmäßig zu sensibilisieren, dass die Vertraulichkeit in Bezug auf Beschäftigtendaten auch bei einem Small Talk am Kaffee-Tresen aufrechtzuerhalten ist. Sollte doch einmal etwas herausrutschen, wäre wiederum zu prüfen, ob es sich um eine Datenpanne handelt, die Verpflichtungen aus der DSGVO auslöst.
5. Mai 2025 @ 13:51
Ah ja – und die Verarbeitungstätigkeit heisst dann … Flurtratsch … ist klar – da haben die Sachsen wohl auch hier den falschen Weg beschritten. Gemeint sind mit § 26 (7) BDSG so etwas wie Vertriebslisten auf Whiteboards z.B. – aber doch nicht Flurtratsch / Gespräche.
Solche Fehlleistungen führen dann zur Datenschutz-Verdriesslichkeit und zur wohl kommenden Rasierung der DSGVO – Gratulation!