Datenschutz: Geburtstagslisten in Büros müssen datenschutzkonform sein

In vielen Büros werden Geburtstage kollegial gefeiert: Zum Geburtstag gibt es von den Kolleginnen und Kollegen ein kleines Geschenk, in der Büroküche steht der Kuchen bereit. Damit alle über anstehende Geburtstage im Team Bescheid wissen, findet sich im Intranet, in der einen Mail, die alle bekommen haben, oder auf dem Zettel an der Pinnwand, die Liste mit allen Geburtstagen. Aber wie steht es bei solchen traditionellen Geburtstagslisten um den Datenschutz?

Eintragung in Geburtstagliste muss schriftlich vereinbart werden

Seitdem im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, gibt es die Frage, ob bürogemeinschaftliche Geburtstagslisten unter den Datenschutz fallen. Prof. Dr. Thomas Petri, der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), hat sich damit auseinandergesetzt und Ende 2019 eigens ein Paper zum Thema Geburtstagslisten und DSGVO veröffentlicht.

Der BayLfD sieht im Feiern des Geburtstages mit Bürokollegen eine „kollegiale Beziehungspflege“, weshalb er Geburtstagslisten befürwortet – es muss nur der Datenschutz eingehalten werden. Denn im Paper wird deutlich, dass auch Geburtstagslisten, die sensible Daten zu Personen enthalten – Name, Geburtsdatum und -jahr – unter die DSGVO fallen.

Da es sich bei der Geburtstagsliste um eine freiwillige Angabe handelt, kann jede Person selbst entscheiden, ob sie das Geburtsdatum mit oder ohne Geburtsjahr veröffentlichen möchte oder nicht. Das bedeutet also, dass es eine freiwillige Entscheidung ist, den eigenen Geburtstag auf einer solchen Liste zu veröffentlichen, gezwungen werden kann niemand.

„Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen“, heißt es im Abs. 2 des § 26 Bundesdatenschutzgesetz (BDSG). Wer also gern mit seinem Team Geburtstag feiern und sich gratulieren lassen möchte, der hat ein Interesse an der Geburtstagsliste, genauso wie das Unternehmen, das die kollegialen Beziehungen zwischen Mitarbeitern stärken möchte. Dieses gemeinsame Interesse an einer Geburtstagsliste muss aber in einer DSGVO-konformen Vereinbarung schriftlich festgehalten werden.

Wie sichern Arbeitgeber den Datenschutz bei Geburtstagen?

In einer Datenschutz-Vereinbarung zu Geburtstagslisten sollten die folgenden Punkte geklärt werden:

Punkte für die Datenschutz-Vereinbarung:

• Zu welchem Zweck werden die Daten (Name und Geburtsdatum) erhoben?
• Wie lange werden die Daten gespeichert und wo?
• Wer hat Zugriff auf die Daten und wer darf über sie verfügen?

Der BayLfD empfiehlt im Übrigen unter dem „Aspekt der Datenminimierung [...] auf die – von nicht wenigen Menschen als sensibler empfundene – Angabe des Geburtsjahres“ zu verzichten. In der Vereinbarung sollte zudem deutlich werden, was mit den Daten nach dem Beschäftigungsende geschieht und wie eine Rücknahme der Einwilligung zur Datenvereinbarung möglich ist.

Außerdem sollte in einer DSGVO-Vereinbarung für Geburtstagslisten klar werden, ob die Mitarbeiter des ganzen Unternehmens auf die Daten zugreifen können, z.B. in einer Datei, in der alle Geburtstagslisten abgelegt sind, oder ob nur Teammitglieder Zugriff darauf haben. Alle Mitarbeiter sollten bei Eintritt ins Unternehmen oder nachträglich eine solche Vereinbarung unterzeichnen, insofern sie in eine Geburtstagsliste aufgenommen werden möchten.

Geburtstagslisten im Datenschutz-Verfahrensverzeichnis eintragen

Da es sich bei dem Anlegen und Pflegen von Geburtstagslisten um eine Datenverarbeitung handelt, muss diese Tätigkeit auch im DSGVO-Verfahrensverzeichnis aufgeführt werden. Dazu muss unter anderem eine Person benannt werden, die für die Verarbeitungstätigkeit „Führen von Beschäftigten-Geburtstagslisten“ gemäß Datenschutz verantwortlich ist.

Sind diese Schritte getan und erhalten zukünftig alle neue Mitarbeiter eine entsprechende Information zum Datenschutz und ein Formular zur Vereinbarung, steht der klassischen Geburtstagsliste nichts mehr im Weg. Haben Sie noch Fragen zur DSGVO-konformen Anwendung von Geburtstagslisten oder Datenschutz im Unternehmen? KLUGO bietet Ihnen dazu gern eine telefonische Erstberatung an.