Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema
“Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.”
Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.
Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?
Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:
- a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
- b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
- c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
- d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
- e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
- f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.
Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?
Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:
KISS — keep it short and simple: Der Geburtstagsliste-Self-Service
Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.
Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber
Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.
Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).
Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt “KUCHEN”
2 Responses
Lieber Sascha Kuhrau,
ein herzerfrischender Hinweis, der in den Niederungen des Alltags durchaus Relevanz hat – und sei es allein als Thema, über das sich Verständnis für den Datenschutz herstellen lässt. Auf jeden Fall ein dickes Danke dafür!
Dennoch eine Rückfrage: Wenn der Geburtstagskalender in Outlook vom Arbeitgeber angelegt und der Organisation zur Verfügung gestellt wird (auch wenn die Beschäftigten ihn selbst mit ihren Daten befüllen), stellt er dann nicht doch eine Verarbeitung dar, die im Verarbeitungsverzeichnis und in der DS-Info genannt werden müssen? Haben wir hier nicht letztlich doch ganz einfach ein Einwilligungsverfahren, dass nur nicht so ganz danach aussieht. Hier fehlt der formale Satz “Ich willige ein, dass…”. Aber ansonsten entspricht der Ablauf doch komplett einem Einwilligungsprozess. Oder wo stehe ich gerade auf dem Schlauch?
Und selbst die Liste in der Teeküche dürfte als analoge Datenverarbeitung, wenn sie eine strukturierte Form (z.B. als Kalender) annimmt, unter die DSGVO fallen und Verarbeitungsverzeichnis und DS-Info nach sich ziehen.
Hallo!
Danke für das nette Feedback und den Hinweis. Im Fall des Outlook-Kalenders stimmt das in der Tat. Wir haben den Beitrag angepasst.
Wenn die Mitarbeiter selbst einen Kalender in Eigeninitiative aufhängen und befüllen, würden wir das jetzt nicht zwingend so sehen, daß die Organisation hier die verarbeitende Stelle ist. Aber im Zweifel wird einem die DPA das im Fall einer Überprüfung richtigstellen.