Haben Sie sich schon mal Gedanken über den Datenschutz bei Geburtstagslisten gemacht?
Egal wo, ob im beruflichen oder privaten Feld, im Büro, in Vereinen oder in Schulen, Geburtstagslisten sind weit verbreitet. Im Regelfall mit nur guten Absichten, um anderen Kollegen und Kolleginnen eine Freude zu machen und/oder gemeinsame Gratulationen zu organisieren. Der gute Wille bei dieser Sache, kann jedoch aus datenschutzrechtlicher Sicht problematisch sein. Die Datenschutzgrundverordnung (DSGVO) findet hier Anwendung, da das Geburtsdatum zu den personenbezogenen Daten gehört. In diesem Beitrag erklären wir, wann und wie Geburtstagslisten zulässig sind, welche Rechtsgrundlagen gelten und was Verantwortliche beachten sollten.
Warum nicht jeder möchte, dass sein Geburtstag bekannt ist
Für viele ist der eigene Geburtstag ein privates Ereignis und stellt dabei für diese Mitarbeiter kein Anlass für öffentliche Aufmerksamkeit. Manche möchten an diesem Tag einfach ihre Ruhe haben oder möchten aus persönlichen Gründen nicht, dass Kolleginnen und Kollegen über ihr genaues Geburtsdatum Bescheid wissen. Aufgrund dessen, dass durch den Geburtstag das Alter ermittelbar ist, fühlen sich hier manche Menschen unwohl in der Offenlegung ihres Geburtstags. Darüber hinaus können religiöse oder kulturelle Überzeugungen eine Rolle spielen, wenn bestimmte Geburtstagsfeiern nicht gewünscht sind. Die Veröffentlichung in einer Geburtstagsliste, in Kalendern oder Rundmails bedarf daher einer rechtlich klaren Grundlage.
Datenschutz bei Geburtstagslisten: Rechtsgrundlagen zur Verarbeitung
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten, wie beispielsweise das Geburtsdatum, nur, wenn eine der folgenden Rechtsgrundlagen erfüllt ist:
1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Die sicherste und in der Praxis am häufigsten genutzte Grundlage für Datenschutz bei Geburtstagslisten ist die Einwilligung der betroffenen Person. Diese muss gewisse Faktoren erfüllen, um gültig zu sein. Das bedeutet:
Die betroffene Person muss aktiv zustimmen (z. B. durch Ankreuzen auf einem Formular).
Die Einwilligung muss freiwillig erfolgen, es darf also kein Zwang vorliegen. Gerade im Beschäftigungsverhältnis durch die übergeordnete Stellung des Arbeitgebers immer wieder wichtig dies klarzustellen direkt in der Erklärung.
Die Einwilligung muss alle essenziellen Informationen enthalten und sollte auch die Grundsätze wie die Transparenz widerspiegelt. Es muss also klar definiert sein, wofür die Daten verwendet werden.
Die Einwilligung muss jederzeit für die Zukunft widerrufbar sein (siehe Art. 7 Abs. 3 DSGVO).
Ohne Einwilligung ist die Veröffentlichung eines Geburtstags im Regelfall unzulässig.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Gegebenenfalls könnte in wenigen Einzelfällen das sogenannte „berechtigtes Interesse“ die Datenverarbeitung rechtfertigen. Jedoch muss hierfür eine Interessenabwägung stattfinden, welche für den Arbeitgeber (den Verantwortlichen) positiv ausfallen muss. Das Interesse des Verantwortlichen, z.B. eine angenehme Atmosphäre durch Geburtstagsglückwünsche zu schaffen, muss gegenüber dem Interesse des Betroffenen an seinen Datenschutzrechten abgewogen werden. In der Praxis ist das Ergebnis dieser Abwägung jedoch oft unsicher. Daher wird hiervon abgeraten.
Was ist bei der Umsetzung zu beachten?
Wenn Geburtstagslisten genutzt werden sollen, sollten folgende Grundsätze beachtet werden:
Freiwilligkeit: Niemand darf gezwungen oder indirekt genötigt werden, seinen Geburtstag preiszugeben.
Datensparsamkeit: Nur der Geburtstag (z. B. Tag und Monat) sollte erfasst werden, denn auf das Geburtsjahr kann in der Regel verzichtet werden. Dies wäre dann auch das Mildere Mittel
Transparenz: Betroffene müssen wissen, wer Zugriff auf die Liste hat und zu welchem Zweck sie geführt wird.
Zugriffsrechte: Die Liste sollte nur einem begrenzten Personenkreis zugänglich sein, z. B. dem Team oder der Personalabteilung.
Widerrufsrecht: Wer seine Einwilligung zurückzieht, muss umgehend aus der Liste entfernt werden.
Sichere Speicherung: Die Listen sollten passwortgeschützt und gegen unbefugten Zugriff gesichert werden, um Datenmissbrauch zu verhindern.
Fazit
Der gute Wille bei Geburtstagslisten ist selbstverständlich erkennbar, jedoch ist dieser schöne Ausdruck von Wertschätzung auch Datenschutzkonform zu gestalten. Der Datenschutz bei Geburtstagslisten darf hierbei nicht von dem Tisch fallen. Wer die Grundsätze der DSGVO beachtet, insbesondere die freiwillige und dokumentierte Einwilligung einholt, ist auf der sicheren Seite. Unternehmen sollten regelmäßig prüfen, ob ihre Geburtstagslisten den aktuellen Datenschutzbestimmungen entsprechen und gegebenenfalls Anpassungen vornehmen.
