open search
close
Datenschutz

Herzlichen Glückwunsch zum … Datenschutzverstoß?

Print Friendly, PDF & Email

Der Geburtstag eines Menschen ist gemeinhin ein Grund zur Freude und wird gerne zum Anlass genommen, dem Geburtstagskind Glückwünsche zu überbringen. Nicht anders am Arbeitsplatz, so wenn der Chef seinem Mitarbeiter im Kreis des Teams mit einem Blumenstrauß persönlich zum Geburtstag gratuliert. Nicht selten werden die Geburtstage der Arbeitnehmer durch Aushang von Geburtstagslisten oder Hinterlegung im Outlook-Kalender bekannt gemacht, damit auch die Arbeitskollegen Gelegenheit zur Gratulation erhalten. Doch Vorsicht: Was gut gemeint ist, kann sich als Verstoß gegen die DSGVO und damit für den Arbeitgeber als „schöne Bescherung“ erweisen, wie unser Beitrag zeigt.

Geburtsdatum als Schutzobjekt der DSGVO

Das Geburtsdatum gehört zu den Stammdaten, die der Arbeitnehmer seinem Arbeitgeber bei der Einstellung ohnehin mitteilt. Warum sollte es also nicht auch dazu verwendet werden dürfen, dem Arbeitnehmer zum Geburtstag zu gratulieren?

Nach der Systematik der DSGVO ist eine Datenverarbeitung grundsätzlich untersagt, außer sie wird durch einen Erlaubnistatbestand ausdrücklich gestattet (Art. 6 Abs. 1 DSGVO – Verbot mit Erlaubnisvorbehalt). Zudem ist das Prinzip der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) zu beachten. Danach dürfen personenbezogene Daten nicht für andere als die im Vorhinein festgelegten Zwecke verwendet werden. Wenn der Arbeitnehmer dem Arbeitgeber sein Geburtsdatum mitteilt, geschieht dies im Hinblick auf die Durchführung des Arbeitsverhältnisses, z.B. weil es für die Lohnabrechnung benötigt wird. In diesem Fall ist die Verarbeitung des Geburtsdatums zur Erfüllung des Vertrages (Art. 6 Abs. 1 lit. b) DSGVO) bzw. zur Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG) erforderlich.

Anders bei Glückwünschen an den Arbeitnehmer: Die Verwendung des Geburtsdatums zu Gratulationszwecken ist nicht zur Durchführung des Arbeitsverhältnisses erforderlich. Die Gratulation zum Geburtstag mag einer Anstandspflicht entsprechen, für die Zusammenarbeit notwendig ist sie nicht. Die Verwendung des Geburtsdatums zu Gratulationszwecken stellt zudem einen Verstoß gegen das Prinzip der Zweckbindung dar, hat doch der Arbeitnehmer sein Geburtsdatum regelmäßig nicht zu dem Zweck zur Verfügung gestellt, Glückwünsche übermittelt zu bekommen. So hat denn auch das Bayerische Landesamt für Datenschutzaufsicht – bereits vor Inkrafttreten der DSGVO – den Aushang von Geburtstagslisten als datenschutzrechtlich unzulässig erachtet.

Einwilligung des Mitarbeiters erforderlich

Was ist also zu tun, wenn der Arbeitgeber seinen Mitarbeitern datenschutzkonform zum Geburtstag gratulieren will? Letztlich bleibt nur, im Vorfeld die Einwilligung des jeweiligen Arbeitnehmers einzuholen (Art. 6 Abs. 1 lit. a) DSGVO). Dabei ist darauf zu achten, dass der Arbeitnehmer darüber informiert wird, wofür genau sein Geburtsdatum (und sein Name) verwendet werden soll(en) und ob auch eine Offenlegung gegenüber Dritten, z.B. durch Aushang von Geburtstagslisten, beabsichtigt ist. Insbesondere muss die Einwilligung freiwillig sein. Eine Erleichterung gibt es immerhin: Nach § 26 Abs. 2 Satz 2 BDSG kann Freiwilligkeit insbesondere vorliegen, wenn Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Als Beispielsfall hierfür wird in der Gesetzesbegründung ausdrücklich die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste genannt (BT-Drs. 18/11325 S. 97). Entscheidend kommt es freilich immer auf die Einzelfallumstände an.

Fazit

Es mag befremdlich erscheinen, ist aber im Ergebnis nicht zu leugnen: Die Gratulation zum Geburtstag eines Mitarbeiters ist eine Datenverarbeitung, welche in Ermangelung eines anderen einschlägigen Erlaubnistatbestands der vorherigen Einwilligung des betreffenden Mitarbeiters bedarf. Das gleiche gilt übrigens auch für vergleichbare Anlässe wie Hochzeit, Betriebsjubiläum usw. Wer als Arbeitgeber „auf Nummer sicher“ gehen will, wird daher im Vorfeld eine Einwilligung des Mitarbeiters einholen. Was hierbei zu beachten ist, haben wir bereits an anderer Stelle erläutert. Ansonsten bleibt nur zu hoffen, dass die Übermittlung von Glückwünschen für den Adressaten – wie regelmäßig – Anlass zur Freude und nicht dafür ist, die Datenschutzbehörden einzuschalten.

Dr. Christoph Bergwitz

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Counsel
Christoph Bergwitz unterstützt Arbeit­ge­ber ins­be­son­dere bei Fragen des Arbeit­neh­mer­da­ten­schut­zes, im Rahmen von Umstruk­tu­rie­rungs­pro­jekten sowie beim Schutz vor wett­be­werbs­wid­ri­gem Verhalten durch Arbeit­neh­mer. Darüber hinaus berät Christoph Bergwitz Füh­rungs­kräfte und Organ­mit­glie­der.
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
BEM Individualarbeitsrecht

BEM-Einladungsschreiben – keine reine Formalität!

Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
Datenschutz Neueste Beiträge

Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.