Suche 
Der Geburtstag eines Menschen ist gemeinhin ein Grund zur Freude und wird gerne zum Anlass genommen, dem Geburtstagskind Glückwünsche zu überbringen. Nicht anders am Arbeitsplatz, so wenn der Chef seinem Mitarbeiter im Kreis des Teams mit einem Blumenstrauß persönlich zum Geburtstag gratuliert. Nicht selten werden die Geburtstage der Arbeitnehmer durch Aushang von Geburtstagslisten oder Hinterlegung im Outlook-Kalender bekannt gemacht, damit auch die Arbeitskollegen Gelegenheit zur Gratulation erhalten. Doch Vorsicht: Was gut gemeint ist, kann sich als Verstoß gegen die DSGVO und damit für den Arbeitgeber als „schöne Bescherung“ erweisen, wie unser Beitrag zeigt.
Geburtsdatum als Schutzobjekt der DSGVO
Das Geburtsdatum gehört zu den Stammdaten, die der Arbeitnehmer seinem Arbeitgeber bei der Einstellung ohnehin mitteilt. Warum sollte es also nicht auch dazu verwendet werden dürfen, dem Arbeitnehmer zum Geburtstag zu gratulieren?
Nach der Systematik der DSGVO ist eine Datenverarbeitung grundsätzlich untersagt, außer sie wird durch einen Erlaubnistatbestand ausdrücklich gestattet (Art. 6 Abs. 1 DSGVO – Verbot mit Erlaubnisvorbehalt). Zudem ist das Prinzip der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) zu beachten. Danach dürfen personenbezogene Daten nicht für andere als die im Vorhinein festgelegten Zwecke verwendet werden. Wenn der Arbeitnehmer dem Arbeitgeber sein Geburtsdatum mitteilt, geschieht dies im Hinblick auf die Durchführung des Arbeitsverhältnisses, z.B. weil es für die Lohnabrechnung benötigt wird. In diesem Fall ist die Verarbeitung des Geburtsdatums zur Erfüllung des Vertrages (Art. 6 Abs. 1 lit. b) DSGVO) bzw. zur Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG) erforderlich.
Anders bei Glückwünschen an den Arbeitnehmer: Die Verwendung des Geburtsdatums zu Gratulationszwecken ist nicht zur Durchführung des Arbeitsverhältnisses erforderlich. Die Gratulation zum Geburtstag mag einer Anstandspflicht entsprechen, für die Zusammenarbeit notwendig ist sie nicht. Die Verwendung des Geburtsdatums zu Gratulationszwecken stellt zudem einen Verstoß gegen das Prinzip der Zweckbindung dar, hat doch der Arbeitnehmer sein Geburtsdatum regelmäßig nicht zu dem Zweck zur Verfügung gestellt, Glückwünsche übermittelt zu bekommen. So hat denn auch das Bayerische Landesamt für Datenschutzaufsicht – bereits vor Inkrafttreten der DSGVO – den Aushang von Geburtstagslisten als datenschutzrechtlich unzulässig erachtet.
Einwilligung des Mitarbeiters erforderlich
Was ist also zu tun, wenn der Arbeitgeber seinen Mitarbeitern datenschutzkonform zum Geburtstag gratulieren will? Letztlich bleibt nur, im Vorfeld die Einwilligung des jeweiligen Arbeitnehmers einzuholen (Art. 6 Abs. 1 lit. a) DSGVO). Dabei ist darauf zu achten, dass der Arbeitnehmer darüber informiert wird, wofür genau sein Geburtsdatum (und sein Name) verwendet werden soll(en) und ob auch eine Offenlegung gegenüber Dritten, z.B. durch Aushang von Geburtstagslisten, beabsichtigt ist. Insbesondere muss die Einwilligung freiwillig sein. Eine Erleichterung gibt es immerhin: Nach § 26 Abs. 2 Satz 2 BDSG kann Freiwilligkeit insbesondere vorliegen, wenn Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Als Beispielsfall hierfür wird in der Gesetzesbegründung ausdrücklich die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste genannt (BT-Drs. 18/11325 S. 97). Entscheidend kommt es freilich immer auf die Einzelfallumstände an.
Fazit
Es mag befremdlich erscheinen, ist aber im Ergebnis nicht zu leugnen: Die Gratulation zum Geburtstag eines Mitarbeiters ist eine Datenverarbeitung, welche in Ermangelung eines anderen einschlägigen Erlaubnistatbestands der vorherigen Einwilligung des betreffenden Mitarbeiters bedarf. Das gleiche gilt übrigens auch für vergleichbare Anlässe wie Hochzeit, Betriebsjubiläum usw. Wer als Arbeitgeber „auf Nummer sicher“ gehen will, wird daher im Vorfeld eine Einwilligung des Mitarbeiters einholen. Was hierbei zu beachten ist, haben wir bereits an anderer Stelle erläutert. Ansonsten bleibt nur zu hoffen, dass die Übermittlung von Glückwünschen für den Adressaten – wie regelmäßig – Anlass zur Freude und nicht dafür ist, die Datenschutzbehörden einzuschalten.
