Logo der activeMind AG

Datenschutz bei Geburtstagslisten in Unternehmen

Inhalt

In den meisten Unternehmen ist es üblich, dass Mitarbeitern zum Geburtstag gratuliert wird. Damit Kollegen und Vorgesetzte wissen, wann der Ehrentag des Mitarbeiters ansteht, führen viele Unternehmen Geburtstagslisten. Doch wie können solche Erinnerungslisten datenschutzkonform eingesetzt werden? Eine Anleitung.

Datenschutzrechtliche Zulässigkeit von Geburtstagslisten

Fast jedes Unternehmen führt Geburtstagslisten der Mitarbeiter. Dies kann in unterschiedlicher Form erfolgen, wie etwa als Aushang im Unternehmen, als Liste im Intranet, als Eintrag in Outlook oder als Erinnerungs-E-Mail an die Kollegen.

Zunächst ist zu klären, wer als Verantwortlicher im Sinne des Datenschutzes anzusehen ist. Wird die Geburtstagsliste von einem Vorgesetzten geführt oder von diesem veranlasst bzw. setzt der Vorgesetzte Anreize, sich in die Liste einzutragen, oder wird die Liste von der Personalabteilung befüllt, gilt das Unternehmen als Verantwortlicher.

Vor dem Hintergrund des im Datenschutz geltenden allgemeinen Verarbeitungsverbots bzgl. personenbezogener Daten bedarf es zunächst einer Erlaubnis, also einer Rechtsgrundlage für die Veröffentlichung des Namens und des Geburtsdatums. Für Datenverarbeitungen im Beschäftigungsverhältnis enthält § 26 Bundesdatenschutzgesetz (BDSG) die Rechtsgrundlagen. Demnach ist die Verarbeitung erlaubt, wenn sie für den Zweck des Beschäftigungsverhältnisses erforderlich ist oder wenn eine Einwilligung des Beschäftigten vorliegt.

Die Veröffentlichung des Geburtstages zum Zwecke der Gratulation wird man nur sehr schwer als erforderlich für die Beschäftigung begründen können. Folglich ist für die Publikation der Liste eine Einwilligung der Mitarbeiter einzuholen.

Anforderungen an die Einwilligungserklärung für eine Geburtstagsliste

An die zu erteilende Einwilligungserklärung für die Veröffentlichung der Daten in einer Geburtstagsliste stellen sich besondere Anforderungen, insbesondere im Beschäftigungsverhältnis.

Folgende Bedingungen gemäß Art. 6 Abs. 1 lit. a Datenschutz-Grundverordnung (DSGVO), Art. 7 Abs. 2 und 3 DSGVO und § 26 BDSG müssen erfüllt sein:

  • Die Einwilligung muss freiwillig erfolgen. Wenn Druck von Seiten des Arbeitgebers ausgeübt wurde oder der Mitarbeiter unter Gruppenzwang von Seiten der Kollegen stand, ist die Erklärung ungültig. Eine freiwillige Einwilligung kann jedoch insbesondere dann vorliegen, wenn die Datenverarbeitung auch für den Mitarbeiter einen Vorteil bringt oder Mitarbeiter und Arbeitgeber gleichgelagerte Interessen verfolgen. Dies ist bei der Aufnahme der personenbezogenen Daten eines Mitarbeiters in die Geburtstagsliste der Fall, da Arbeitgeber und Mitarbeiter im Sinne eines betrieblichen Miteinanders zusammenwirken.
  • Formulieren Sie den Zweck der Einwilligung möglichst genau. Nennen Sie die konkrete Form der Veröffentlichung der Geburtstagsliste.
  • Es ist auch zu beachten, dass eine erteilte Einwilligung nicht für die Ewigkeit gilt. Ein Mitarbeiter kann seine Erklärung jederzeit widerrufen. Weisen Sie auf das Widerrufsrecht bei Einholung der Einwilligung hin.
  • Die Einwilligung muss nicht zwingend schriftlich erfolgen. Es reicht aus, wenn eine eindeutig bestätigende Handlung vorliegt. Dies könnte der Fall sein, wenn sich der Mitarbeiter selbständig in die Liste einträgt. Da der Verantwortliche im Zweifel die Einwilligung aber nachweisen muss, ist man nur auf der sicheren Seite, wenn man die Einwilligungen dokumentiert.
  • Die Einwilligung kann auch auf elektronischem Wege eingeholt werden.

Weitere Anforderungen zur Führung einer Geburtstagsliste

Neben der Einwilligung sind noch folgende weitere Anforderungen für das Führen einer Geburtstagsliste zu beachten:

  • Unter dem Aspekt der Datenminimierung sollte die Nennung des Geburtsdatums grundsätzlich auf den Tag und Monat beschränkt werden; auf die Angabe des Geburtsjahres sollte hingegen verzichtet werden.
  • Tritt ein Mitarbeiter aus dem Unternehmen aus oder verlässt er die Organisationseinheit, für die diese Liste erstellt wurde, ist der Beschäftigte aus der Geburtstagsliste auszutragen. Gleiches gilt bei einem Widerruf der Einwilligung.
  • Nehmen Sie die Verarbeitung („Führen einer Geburtstagsliste“) in Ihr Verzeichnis der Verarbeitungstätigkeiten
  • Vor der Verarbeitung, d.h. mit Einholung der Einwilligung ist der Mitarbeiter gem. Art. 13 DSGVO zu informieren. Da das Geburtsdatum i.d.R. bereits mit dem Beginn des Beschäftigungsverhältnisses vom Arbeitgeber aufgenommen wird, handelt es sich um eine Weiterverarbeitung nach Art. 13 Abs. 3 DSGVO. Informieren Sie Ihre Mitarbeiter über diese Weiterverarbeitung in der Einwilligungserklärung bzw. verweisen Sie auf das Informationsschreiben für Mitarbeiter und nehmen Sie diese Verarbeitung in das Schreiben auf.

Fazit: Geburtstagslisten sind gut machbar

Die Führung einer Geburtstagsliste seitens des Arbeitgebers ist datenschutzrechtlich kein unlösbares Problem. Vorab ist der konkrete Zweck und die Art der Veröffentlichung festzulegen. Beim Einholen der Erklärung sind die besonderen Anforderungen an die Einwilligung zu berücksichtigen und einzuhalten.

Informieren Sie zusätzlich Ihre Mitarbeiter vorab über die Datenverarbeitung und entfernen Sie die Mitarbeiter, die das Unternehmen verlassen oder ihre Einwilligung widerrufen. Sofern Sie diese Punkte einhalten, kann der kollegialen Geburtstagsfeier im Büro nichts mehr entgegenstehen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.