Beschäftigtendatenschutz

Datenschutz-Informationen für Beschäftigte (DSGVO / Muster)

Im Juni 2018, das war sozusagen noch die heiße Phase der DSGVO, ist dieser Beitrag das erste mal erschienen.

Ich habe ihn jetzt einmal aktualisiert und auf den letzten Stand gebracht. Hierum geht es:

Auch die Arbeitnehmerinnen und Arbeitnehmer („Beschäftigte“1) sind nach den Vorgaben der DSGVO über die Verarbeitung der sie betreffenden personenbezogenen Daten durch den Arbeitgeber zu informieren.

Natürlich hängen die Details einer solchen Information stets von den individuellen Gegebenheiten ab. Also z.B. davon, welche Tools und Prozesse im Bereich Personalverwaltung, Personalentwicklung etc. verwendet werden. Gleichwohl ist es wahrscheinlich hilfreich, zumindest ein grobes Muster als Vorlage zur Verfügung zu haben, das einen guten ersten „Aufschlag“ ermöglicht.

Daher habe ich hier folgendes Muster für Datenschutzinformationen für Beschäftigte für Datenschutz-Coaching-Mitglieder erstellt. In dem Muster gehe ich davon aus, dass die Verarbeitung von Beschäftigtendaten ausschließlich in der Europäischen Union stattfindet. Das Muster bezieht sich auf ein „Unternehmen“. Es kann aber leicht auch für öffentliche Stellen abgewandelt werden.

Die Datenschutzhinweise für Beschäftigte könnten dann so aussehen:

Datenschutzhinweise für Beschäftigte

Als Beschäftigte in unseren Unternehmen möchten wir Ihnen gerne Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit Ihrer Tätigkeit als Arbeitnehmerin oder Arbeitnehmer bei uns geben:

Wer ist für Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrechts ist die

Mustermann GmbH
Musterstr. 123
12345 Musterstadt

Weitere Informationen und Kontaktdaten finden Sie auch in Ihrem Arbeitsvertrag.

Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?

Wir verarbeiten die personenbezogenen Daten, die für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich sind. Das sind vor allem Kontaktdaten, Daten zu Ihren Qualifikationen, Arbeitszeiten und alle Informationen, die für die Ermittlung und Abrechnung Ihres Gehalts und im Zusammenhang mit gesetzlichen Abgaben und Steuern (z.B. Sozialversicherungsbeiträge) erforderlich sind.

Hinzu kommen ggf. auch Daten aus dem Bereich der Arbeitssicherheit, dem betrieblichen Eingliederungsmanagement und Daten über arbeitsvertragliche Pflichtverletzungen, die geahndet wurden („Abmahnungen“).

Schließlich kommen auch noch Informationen über Ihre Arbeitsergebnisse sowie deren Bewertung hinzu, die z.B. für die Erstellung von Beurteilungen benötigt werden.

Sollten Sie eine von uns angebotene betriebliche Altersversorgung nutzen, werden auch in diesem Bereich Daten verarbeitet und im Rahmen der Erforderlichkeit ggf. an die Versicherer weitergegeben.

Unabhängig davon kann es immer Konstellationen geben, in denen wir personenbezogenen Daten von Ihnen verarbeiten, die hier nicht bzw. deren Zwecke hier nicht genannt sind. Wir werden in diesen Fällen dann – bezogen auf den jeweiligen Anlass – gesonderte Informationen zum Datenschutz für Sie bereithalten, soweit dies gesetzlich erforderlich ist.

Auf welcher rechtlichen Grundlage basiert das?

Rechtsgrundlage für die Verarbeitung Ihrer Beschäftigtendaten ist primär § 26 BDSG. Danach ist die Verarbeitung der Daten zulässig, wenn dies zur Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Unabhängig davon kann eine Datenverarbeitung auch auf Basis einer sog. Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen. In diesen Fällen wird das Interesse im Zusammenhang mit der jeweiligen Verarbeitung gesondert mitgeteilt.

Und schließlich können wir auch gesetzlich verpflichtet sein, personenbezogene Daten zu verarbeiten. Die Rechtsgrundlage kann dann neben § 26 BDSG auch Art. 6 Abs. 1 lit. c) DSGVO sein.

Wie lange werden die Daten gespeichert?

Grundsätzlich werden personenbezogene Daten von Beschäftigten für die Dauer des Beschäftigungsverhältnisses gespeichert. Sonderregelungen kann es in einzelnen Bereichen geben. So werden z.B. Abmahnungen in Personalakten ggf. kürzer gespeichert.

Soweit gesetzliche Aufbewahrungspflichten bestehen, sind diese von uns zu berücksichtigen. So gibt es beispielsweise gesetzliche Aufbewahrungspflichten für Lohnsteuerdaten, Daten zu Überstunden und weitere bereichsspezifische Regelungen.

Soweit keine gesetzlichen Aufbewahrungspflichten bestehen, können personenbezogene Daten gelöscht werden, wenn deren weitere Verarbeitung für die Durchführung oder Beendigung des Beschäftigungsverhältnisses nicht mehr erforderlich sind.

Nach Beendigung des Beschäftigungsverhältnisses werden Daten bis zur Verjährung etwaiger Schadensersatzansprüche jeder Partei gespeichert. Eine längere Speicherung kommt zudem in Betracht, wenn dies auch im Interesse von Ihnen ist oder Sie eine Einwilligung erteilt haben.

Sollten Sie z.B. nicht wollen, dass wir personenbezogene Daten von Ihnen nach dem Ablauf gesetzlicher Aufbewahrungspflichten weiter speichern, dann teilen Sie uns das gerne beim Ausscheiden aus unserem Unternehmen mit. Bitte beachten Sie, dass wir in dem Fall später nicht behilflich sein können, wenn Sie gegenüber der Rentenversicherung Sozialversicherungszeiträume nachweisen wollen.

Wir werden generell zum Ende eines Jahres prüfen, ob und in welchem Umfang Daten von Beschäftigten wegen eines Wegfalls der Erforderlichkeit gelöscht werden können.

An welche Empfänger werden die Daten weitergegeben?

Innerhalb des Unternehmens kommt eine Weitergabe Ihrer personenbezogenen Daten in Betracht, wenn z.B. im Zusammenhang mit einem Stellenwechsel eine Prüfung der Eignung und Qualifikation erforderlich wird. Oder falls Ihnen im Unternehmen eine andere oder zusätzlich Aufgabe übertragen wird oder werden soll.

Ferner kann im Zusammenhang mit der betrieblichen Mitbestimmung eine Weitergabe an einen Betriebsrat erfolgen.

Eine Weitergabe von Daten erfolgt zudem an Sozialversicherungsträger, Finanzverwaltung und ggf. weitere Stellen, soweit wir gesetzlich dazu verpflichtet sind. Auch kann eine Weitergabe an Steuerberater und Wirtschaftsprüfer erfolgen.

Wo werden die Daten verarbeitet?

Die Daten werden grundsätzlich auf dedizierten IT-Systemen in unseren Räumlichkeiten verarbeitet. Auf diese IT-Systeme haben neben Administratoren nur Mitglieder der Personalabteilung und der Unternehmensleitung Zugriff.

Sollten Beschäftigtendaten bei Dienstleistern verarbeitet werden, stellen wir sicher, dass dies unter Einhaltung der datenschutzrechtlichen Vorgaben erfolgt. Eine Verarbeitung von Beschäftigtendaten außerhalb der europäischen Union erfolgt nicht.

Ihre Rechte als „Betroffene“

Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten.

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Ferner haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit.

Unsere Datenschutzbeauftragte

Unsere Datenschutzbeauftragte im Unternehmen erreichen Sie unter

Mustermann GmbH
– Datenschutzbeauftragte –
Musterstr. 123
12345 Musterstadt
E-Mail: datenschutz@mustermann.de

Beschwerderecht

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Die Datei kann von Datenschutz-Coaching-Mitglieder hier auch als Word-Datei heruntergeladen werden:

  1. Beschäftigte sind nach § 26 Abs. 8 BDSG nicht nur Arbeitnehmerinnen und Arbeitnehmer, sondern auch die weiteren dort genannten „Personenkreise“. In diesem Beitrag nehme ich jedoch nur Bezug auf Arbeitnehmerinnen und Arbeitnehmer.
    Bei anderen Beschäftigten würde ich im Einzelfall dazu raten, ggf. Ergänzungen vorzunehmen. So kann es z.B. für Auszubildende Besonderheiten geben, wenn es z.B. um die Datenverarbeitung im Zusammenhang mit einer geht. ↩︎

Neue Mitarbeiterin oder neuer Mitarbeiter? Was ist datenschutzrechtlich zu „regeln“ (mit Muster)?

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter in einem Unternehmen beschäftigt wird, dann gibt es einiges zu regeln.

Die Kollegin muss in der Personalabteilung „aufgenommen“ werden. Dafür gibt es in der Regel ein sog. Stammdatenblatt, das alle Angaben enthält, die man zur Berechnung und Auszahlung von Lohn oder Gehalt sowie der Bezahlung von Lohnsteuer, sonstigen Abgaben und auch den Krankenkassenbeitragen etc. benötigt.

Außerdem muss der neue Kollege natürlich auch das Unternehmen und vor allem die Abläufe im Unternehmen kennenlernen und in seinen Arbeitsplatz eingewiesen werden. Das ist alles andere als trivial. Ein gutes „Onboarding“ ist hier hilfreich.

Unabhängig davon gibt es auch noch jede Menge weiterer Dinge zu regeln, die dann auch weiter Bezug zum „Datenschutz“ haben können. So erhält die Kollegin in der Regel eine E-Mail-Adresse und auch Berechtigungen für IT-Systeme. Das beinhaltet den Zugang zu internen Inhalten, die z.B. wie im Fall von Windows in der Regel über das „Active Directory“ geregelt werden.

Aber was muss ich nun nach der Datenschutz-Grundverordnung (DSGVO) mit der neuen Kollegin bzw. dem neuen Kollegen „regeln“?

In den Köpfen vieler Mitarbeiterinnen schwirrt da noch dieser Gedanke:

Es muss eine Verpflichtung auf das „Datengeheimnis“ erfolgen.

Das war früher – in „Vor-DSGVO-Zeiten“ – richtig. Mit der DSGVO gibt es das Datengeheimnis nicht mehr. Daher sollte ich Beschäftigte auch nicht mehr auf ein nicht relevantes Datengeheimnis verpflichten.

Aber…es gibt doch noch ein Datengeheimnis…schließlich steht das ja auch in § 53 BDSG – und zwar dem „neuen“ BDSG. Nun…das ist richtig. Allerdings gelten alle Vorschriften ab dem § 45 BDSG (und damit auch § 53 BDSG) nur „für die Verarbeitung personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten. Das ergibt sich ausdrücklich aus § 45 BDSG.

Und damit bleibt es dabei: Es gibt grundsätzlich kein Datengeheimnis in Unternehmen mehr, auf das verpflichtet werden könnte.

Die DSGVO enthält zwar keine Regelungen zu einem „Datengeheimnis“. Sie setzt aber an mehreren Stellen voraus, dass Unternehmen (und öffentliche Stellen) ihre Beschäftigten auf die Vertraulichkeit verpflichten.

Eine ganz konkrete Regelung existiert z.B. für Auftragsverarbeiter in Art. 28 Abs. 3 lit. b) DSGVO. Danach muss ein Auftragsverarbeiter gewährleisten, dass „sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen“.

Für Verantwortliche, die nicht Auftragsverarbeiter sind, gibt es eine solche unmittelbare Regelung nicht. Jedenfalls nicht direkt. Denn so lässt sich aus der Mutter-„Compliance“-Norm der DSGVO (Art. 24 Abs. 1 DSGVO) in Verbindung mit den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO durchaus ableiten, dass Verantwortliche ihre Beschäftigten auf den vertraulichen Umgang zu verpflichten haben.

Nach Art. 24 Abs. 1 DSGVO setzt der Verantwortliche technische und organisatorische Maßnahmen um, die sicherzustellen und den Nachweis dafür erbringen können, dass die Verarbeitung im Unternehmen gemäß der DSGVO erfolgt.

Hieraus wird man neben einer Einarbeitung in die Datenverarbeitungsvorgänge im Unternehmen auch eine schriftliche Verpflichtung der Beschäftigten auf die Vertraulichkeit ableiten können. Selbst wenn man diese nicht für zwingend erachten würde, macht eine Verpflichtung in jedem Fall Sinn.

Wie kann nun so eine Verpflichtung aussehen?

Da hat das Unternehmen ziemlich freie Hand. In Deutschland macht es jedoch Sinn neben den Regelungen zur DSGVO auch das BDSG und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) anzusprechen. Das kann z.B. ungefähr so erfolgen.

Verpflichtung zur Vertraulichkeit

Wir legen in unserem Unternehmen besonderen Wert auf die Vertraulichkeit im Umgang mit schutzbedürftigen Informationen.

Dabei genießen personenbezogene Daten besonderen gesetzlichen Schutz. Personenbezogene Daten sind nicht nur die Daten, die sich konkret einer bestimmten Person zuordnen lassen (wie z.B. Name, Kontaktdaten, Beruf, Aufgabe im Unternehmen etc.), sondern auch die Daten, bei denen die Person erst über zusätzliche Informationen bestimmbar gemacht werden kann.

Für personenbezogene Daten gelten die jeweils einschlägigen gesetzlichen Vorschriften zum Datenschutz wie z.B. die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und auch das Bundesdatenschutzgesetz (BDSG).

Nach den Vorgaben DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn es hierzu eine Rechtsgrundlage gibt oder der Betroffene eingewilligt hat. Die Daten dürfen grundsätzlich nur zu den vorgesehenen Zwecken verwendet werden. Bei der Verarbeitung der Daten ist insbesondere zu gewährleisten, dass die Integrität, Verfügbarkeit und Vertraulichkeit der personenbezogenen Daten gewährleistet ist.

In unserem Unternehmen haben wir Vorgaben und Geschäftsprozesse für die Verarbeitung personenbezogener Daten und insbesondere die Vertraulichkeit definiert und können diese auch durch weitere betriebliche Anweisungen der Unternehmensleitung konkretisieren.

Für Sie konkret bedeutet diese Verpflichtung zur Vertraulichkeit, dass Sie Daten nur im Rahmen unserer internen Vorgaben verwenden und diese gegenüber Dritten vertraulich behandeln.

Darüber hinaus sind aber auch Geschäftsgeheimnisse i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) schutzbedürftige Daten. Eine Offenlegung von Geschäftsgeheimnissen darf grundsätzlich nur dann erfolgen, wenn der jeweilige Vertrags- oder Geschäftspartner zuvor auf die Vertraulichkeit verpflichtet worden ist und das einzuhaltende Sicherheitsniveau für den Schutz der Daten beim Empfänger der Daten gewährleistet ist.

Wenn Sie hierzu Fragen haben oder sich im Zweifel unsicher sind, welche Regelungen zu treffen bzw. einzuhalten sind, können und sollten Sie sich jederzeit an Ihre/n Vorgesetzte/n wenden.

Ein Verstoß gegen Ihre Vertraulichkeitspflichten kann als arbeitsvertragliche Pflichtverletzung geahndet werden.

Darüber hinaus stellt eine unzulässige Verarbeitung von personenbezogenen Daten in bestimmten Fällen auch eine Straftat oder Ordnungswidrigkeit nach den §§ 42, 43 BDSG (s. Anlage) dar.

Eine Verletzung von Geschäftsgeheimnissen kann zudem nach § 23 GeschGehG strafbar sein.

Beachten Sie ferner auch, dass bei einer unzulässigen Verarbeitung von personenbezogenen Daten durch unser Unternehmen Geldbußen von bis zu 20 Mio. Euro möglich sind. Wir sollten daher gemeinsam darauf achten, dass die Verarbeitung personenbezogener Daten in unserem Unternehmen in zulässiger Art und Weise erfolgt.

Diese Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.

Etwaige andere Vertraulichkeitsvereinbarungen zwischen Ihnen und dem Unternehmen bleiben unberührt.

Dann sollten die wesentlichen Strafvorschriften gerne (auszugsweise) abgedruckt werden.

Und natürlich sollte das Ganze vom Beschäftigten unterschrieben werden und im Unternehmen aufbewahrt werden (z.B. in der Personalakte).

Datenschutz-Coaching-Mitglieder können hier ein Muster einer Vertraulichkeitsverpflichtung für Beschätigte als Word-Dokument herunterladen:

Datenschutzschulung: Video für Beschäftigte

Das Jahr 2018 war mit dem Geltungsbeginn der DSGVO im Mai 2018 für viele ein arbeitsreiches Jahr – auch für mich. Allerdings fing es schon 2017 mit den Vorarbeiten an. Da entstand dann auch die Idee, ein Schulungsvideo für Beschäftigte zur Verfügung zu stellen, dass Mandanten oder auch andere Unternehmen über ein E-Learning-Tool auf meiner Internetseite nutzen könnten, um nach Stellen einiger Prüffragen dann automatisiert ein Schulungszertifikat die Mitarbeiterin oder den Mitarbeiter zu erstellen. Vor ziemlich genau sieben Monaten ist dann das Video fertigstellt worden und online gegangen.

Seitdem sind rund 1.500 Beschäftigte durch diese Online-Schulung gelaufen. Im Sommer habe ich dieses Angebot allerdings als nicht weiter „buchbar“ gemacht. Warum? Diese Art von Schulung ist ein „Massengeschäft“. Und ich habe mich nach einer heftig arbeitsreichen DSGVO-Zeit bewusst dazu entschieden, nicht nur meine direkten Mandanten, sondern auch die Anzahl der „User“ auf der Plattform zu beschränken. Das gilt übrigens auch für die maximale Anzahl der Datenschutz-Coaching-Mitglieder.

Ich bin also „raus“ aus dem Geschäft von massenhaften E-Learning-Schulungen von Beschäftigten zum Datenschutz. Und das ist nicht schlimm. Denn es gibt ausreichend viele Alternativen im Netz. Die kann jeder anschauen, in der Regel auch kostengünstig ausprobieren und dann entscheiden, ob das „passt“. Und sicherlich sind viele Schulungsvideos oder E-Learning-Umsetzungen besser als meine. Ich bin da nicht eitel. Anstatt nun aber mein Video einfach in Vergessenheit geraten zu lassen, stelle ich es hier zum Anschauen online:


Und für Datenschutz-Coaching-Mitglieder gibt es dann noch einen kleinen Bonus. Denn die Datenschutz-Coaching-Mitglieder sehen nachfolgend den sog. Einbettungs-Code, mit dem das Video in eigenen E-Learning-Tools verwendet werden kann.


Hinweis: Du siehst hier keine (weiteren) Inhalte, weil du kein Datenschutz-Coaching-Mitglied bist. Vielleicht möchtest du aber auch die Vorteile des Datenschutz-Coachings nutzen? Dann kannst du hier mehr erfahren, buchen und dann sofort auf die Inhalte zugreifen.

Erfahrungsaustausch Umsetzungscoaching Oktober 2018

Im Oktober haben wir uns im Datenschutz-Coaching mit Aspekten des Beschäftigtendatenschutzes und deren Umsetzung gekümmert. Dazu gab es zu Beginn des Monats ein Einführungsvideo. Und am 23.10.2018 gab es dann ein Online-Meeting mit Erfahrungsaustausch zu dem Thema.

Die Aufzeichnung können Datenschutz-Coaching-Mitglieder hier als MP3-Datei herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Wie regele ich Geburtstagslisten bei der „Arbeit“?

In diesem Beitrag geht es um das vermeintlich banale Thema von Geburtstagslisten in Unternehmen (oder auch öffentlichen Stellen).

„Gibt es da nicht wichtigere Themen?“…das können wir uns zu Recht fragen. Sicher gibt es wichtigere Themen. Aber die Frage nach Geburtstagslisten kam in den letzten Wochen häufiger von Mandanten und auch Datenschutz-Coaching-Mitgliedern. Ein Indiz dafür, dass hier Bedarf besteht. Und das Thema der Geburtstagslisten eignet sich auch wunderbar, um auf ein grundlegendes Problem hinzuweisen. Nein, besser formuliert: Um eine grundlegende Empfehlung zum Umgang mit Datenverarbeitung zu geben. Also schauen wir uns das einmal an. Wenn euch die nachfolgenden Ausführungen zu langwierig werden, hier ein Hinweis: Am Ende der Ausführungen gibt es auch einen Mustertext. Dabei könnt ihr das selbst doch sehr viel besser. Aber lest selbst, warum das so ist:

In vielen Unternehmen gibt es Geburtstagslisten. Und das in vielen verschiedenen Variationen. Von Zetteln, die in einer Abteilung von jemandem händisch gepflegt werden oder auch Excel-Dateien mit Geburtstagslisten, die im Gruppenlaufwerk gespeichert sind. Bis hin zu Unternehmen, die z.B. am Eingang oder auf den Fluren jeden Tag auf den Geburtstag von Mitarbeiterinnen oder Mitarbeitern hinweisen. Und wenn wir einmal ganz ehrlich sind, ist das wohl für die Mehrzahl der Beschäftigten eine schöne Sache, wenn Kolleginnen und Kollegen am Geburtstag gratulieren.

Jetzt können wir lange darüber diskutieren, warum viele Menschen sich gerne zum Geburtstag gratulieren lassen (und warum einige nicht), und das ist nicht unser Thema. Ich persönlich denke, es hat damit zu tun, dass es ein Grundwert von Menschen ist, „Bedeutung“ zu erlangen bzw. von anderen zu erhalten. Und wenn jemand mir zum Geburtstag gratuliert, dann nimmt er sich in diesem Moment (wenn auch nur ein kleines bisschen) Zeit, um mich wertzuschätzen.

Und es gehört zum Leben dazu, dass es auch Menschen gibt, die sich nicht gerne zum Geburtstag gratulieren lassen. Und auch das ist natürlich in Ordnung. Ich möchte jetzt auch keine Diskussion anfangen, was nun „normal“ und was „nicht normal“ ist. Das ist nicht zielführend.
Ich möchte vielmehr auf etwas anderes hinaus: Wenn es tatsächlich so ist, dass in einem Unternehmen die überwiegende Mehrheit von Beschäftigten sich gerne von Kolleginnen und Kollegen zum Geburtstag gratulieren lässt oder zumindest nichts dagegen hat, dann wäre das doch eigentlich das Musterbeispiel für Datenverarbeitung auf Basis einer Interessenabwägung.
Jetzt versteht ihr als DSGVO-Interessierte vielleicht worauf ich hinauswill. Denn wenn ich Geburtstagslisten im Unternehmen verarbeite, dann benötige ich dafür wohl oder übel eine Rechtsgrundlage.
Und zwar selbst dann, wenn ich diese nur auf Papier führe. Denn nach § 26 Abs. 7 BDSG gelten die Regelungen des Beschäftigtendatenschutzes in § 26 BDSG auch für Informationen in Papierform.

Kann denn nun die Rechtsgrundlage für die Geburtstagsliste die „Interessenabwägung“ sein oder nicht? Die Antwort ist gar nicht so einfach. Zur Interessenabwägung als Rechtsgrundlage im Beschäftigtendatenschutz solltet ihr übrigens immer erst dann gedanklich kommen, wenn ihr mit der Rechtsgrundlage des § 26 Abs. 1 BDSG nicht weiter kommt. Das sind die Fälle, in denen die jeweilige Datenverarbeitung eben nicht zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Im Falle unser Geburtstagslisten wird man übrigens wohl schwerlich zu dem Ergebnis kommen, dass Geburtstagslisten zwecks Gratulation bzw. Hinweisen zu Geburtstagen als betriebliches Erfordernis angesehen werden können.

Aber Achtung: Wenn ihr es z.B. hinbekommt, eine zulässige Klausel im Arbeitsvertrag einzubauen, nach der es für Zwecke des freundlichen Umgangs im Unternehmen Teil der arbeitsvertraglichen Pflichten ist, den Geburtstagskindern im Unternehmen bei einer Begegnung zu gratulieren, dann käme man schon zur Rechtsgrundlage in § 26 Abs. 1 BDSG. Zumindest theoretisch. Praktisch dürfte die Wirksamkeit einer solchen Klausel schon sehr fraglich sein. Also lassen wir diesen Gedanken mal.

Wenn wir den § 26 BDSG aufmerksam lesen, sehen wir, dass diese Regelung gar keine Interessenabwägung vorsieht. Nach § 26 BDSG gibt es grundsätzlich nur die Fälle, in denen eine Datenverarbeitung betrieblich erforderlich ist oder eben die Einwilligung. Von einer Interessenabwägung ist keine Rede. Gleichwohl ist aber auch eine Interessenabwägung als Rechtsgrundlage im Beschäftigtendatenschutz möglich. Das ergibt sich nämlich schon direkt aus der insoweit vorrangigen DSGVO. Unabhängig davon, welcher Ansicht man nun für eine rechtsdogmatische Herleitung dieses Ergebnisses folgt (ist hier nicht Thema), ist nicht wegzudiskutieren, dass die Öffnungsklauseln der DSGVO für die Regelung von Datenverarbeitung im Beschäftigungskontext in den EU-Mitgliedsstaaten nicht dazu führt, dass Art. 6 DSGVO in Gänze nicht mehr anwendbar wäre. Vielmehr spricht vieles dafür, dass z.B. § 26 BDSG den Art. 6 Abs. 1 lit. b) DSGVO konkretisiert. Das wird auch anders gesehen, ist aber – wie gesagt – hier nicht unser Thema.

Stellen wir also Folgendes fest: Auch im Beschäftigungskontext ist eine Verarbeitung von Daten auf Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO zulässig. Nur: Ist bei Geburtstagslisten von einem Interesse des Arbeitgebers auszugehen und ist weiter davon auszugehen, dass ein entgegenstehendes Interesse der betroffenen Person(en) nicht überwiegt? Genau das ist fraglich. Vor allem fängt schon die Schwierigkeit damit an, ob ich bei dieser Interessenabwägung nun von einem „typischen“ Beschäftigten ausgehen darf oder muss ich stets den Einzelfall betrachten. Wenn Letzteres der Fall sein sollte, wird man mit der Interessenabwägung generell keine Standard-Datenverarbeitungsprozesse rechtfertigen können. Sinn und Zweck der Norm, vor allem aber der systematische Zusammenhang der Interessenabwägung spricht gegen so eine Annahme.

Aber: Wie ich es drehe und wende, es bleibt rechtlich eine wackelige Geschichte, wenn ich die Verwendung von Geburtstagslisten auf der Interessenabwägung basieren lassen möchte. Sollte ich also vielleicht doch besser auf eine Einwilligung setzen? Die Einwilligung ist bei uns Datenschutzanwälten zu Recht nicht beliebt. Sie ist die „schlechteste“ Rechtsgrundlage für beide Seiten. Also für Verantwortlichen und Betroffenen. Warum? Das habe ich in diversen Podcasts schon mehrfach erwähnt.

Bei Geburtstagslisten ist die Einwilligung dennoch „leider“ derzeit die beste Wahl. Das hängt mit der „wackeligen“ Rechtslage bei der Interessenabwägung in diesem Fall, aber eben auch mit einer Begründung des Gesetzgebers zusammen. Denn der deutsche Gesetzgeber ist bei seiner Begründung zu § 26 BDSG auf das Thema der Geburtstagslisten eingegangen (BR-Drs. 110/17, S. 97). Und zwar im Kontext der Einwilligungsregelung in § 26 Abs. 2 BDSG. Der Gesetzgeber selbst ist hier also davon ausgegangen, dass im Falle der Verwendung von Geburtstagslisten eine Einwilligung erforderlich sein wird. Es spricht daher vieles dafür, dass auch ein Gericht (oder im Vorwege eine Aufsichtsbehörde) im Rahmen der Würdigung der Rechtslage ebenfalls diesen Schluss zieht, wenn es mal zu einer rechtlichen Auseinandersetzung käme.

Daher würde ich (auch wenn ich es eigentlich nicht für sinnvoll halte) derzeit empfehlen, die Verwendung von Geburtsdaten von Beschäftigten in Geburtstagslisten über eine Einwilligung zu regeln. Wenn ich den Mandanten oder Datenschutz-Coaching-Mitgliedern das erzähle bzw. empfehle, kommt häufig die Folgefrage: Und wie muss so eine Einwilligung formuliert sein? Das ist ganz einfach. Denn das kann jeder Mandant in der Regel sehr gut selbst. Zumindest in diesen einfachen Fällen. Es sind immer diese Regeln zu beachten:

  1. Beschreibe dem Betroffenen konkret und ohne juristisches „Geschwafel“, welche Daten (Geburtsdatum oder ggf. nur Geburtstag ohne Geburtsjahr) du wofür (z.B. Aushang am Schwarzen Brett) verwenden möchtest.
  2. Teile deutlich mit, dass du das nur machst, wenn eine Einwilligung dafür erteilt wird.
  3. Sage sehr deutlich, dass die Einwilligung freiwillig ist und keinerlei Nachteile entstehen, wenn eine Einwilligung nicht erteilt wird.
  4. Weise darauf hin, dass die Einwilligung jederzeit widerrufen werden kann und sage, wie der Betroffene das machen kann.
  5. Sei freundlich in der Formulierung. Schreibe so, wie es bei euch im Unternehmen unter Kolleginnen und Kollegen üblich ist.
  6. Wenn es um Daten von Arbeitnehmerinnen und Arbeitnehmern geht, sollte die Einwilligung (und auch die Informationen gem. Ziff. 1-5) grundsätzlich schriftlich erfolgen, da nach § 26 Abs. 2 Satz 3 BDSG die Schriftform vorgesehen ist, von der nur in besonderen Umständen abgesehen werden darf.

Wenn ihr diese Regeln beachtet, werdet ihr eine Einwilligung wunderbar selbst formulieren können.

Für einen Aushang von Infos zu den Geburtstagskindern kann die Einwilligung z.B. so aussehen:

Sehr geehrte/r Herr/Frau _________________,

um unseren „Geburtstagskindern“ in unserem Unternehmen eine kleine Freude zu bereiten, möchten wir gerne auf der Tafel vor der Kantine auf Geburtstage von Kolleginnen und Kollegen hinweisen. Dort wird dann der Name des Geburtstagskindes (ohne das Alter) stehen, verbunden mit einem Geburtstagsgruß (z.B.: „Heute gratulieren wir Anna Musterfrau zum Geburtstag und wünschen alles Gute!“).
Damit die Kolleginnen und Kollegen aus Ihrer Abteilung auch ggf. auf Ihren Geburtstag vorbereitet sind, würden wir Ihr Geburtsdatum ggf. auch den Kolleginnen und Kollegen in der Abteilung zur Verfügung stellen.

Beide Dinge werden wird jedoch nur mit Ihrer Einwilligung tun. Die Einwilligung ist selbstverständlich freiwillig. Ihnen entstehen keine Nachteile, wenn Sie die Einwilligung nicht erteilen. Sie können mit ihrer Einwilligung zudem über den Umfang des Umgangs mit Ihrem Geburtsdatum für die genannten Zwecke entscheiden.

Sie können Ihre Einwilligung jederzeit ganz oder teilweise widerrufen. Wir werden ihr Geburtsdatum dann nicht weiter für die genannten Zwecke verwenden.

Einwilligung
□ Ja, ich bin damit einverstanden, dass an meinem Geburtstag ein Hinweis zu meinem Geburtstag an der Tafel vor der Kantine ausgehängt wird.

□ Ja, ich bin damit einverstanden, dass meine Kolleginnen und Kollegen vor meinem Geburtstag mein Geburtsdatum mitgeteilt bekommen bzw. dieses im Intranet in einer Geburtstagsliste für meine Abteilung zur Verfügung gestellt wird.

——————————————
Name, Vorname

——————————————
Ort, Datum

——————————————
Unterschrift

Umsetzungscoaching Beschäftigtendatenschutz

Wir schreiben den Oktober 2018. Und im Oktober möchte ich mich den Datenschutz-Coaching-Mitglieder mal ein sog. Umsetzungscoaching probieren. Was ist das? Wir nehmen uns zu Beginn eines Monats ein bestimmtes …

Umsetzungscoaching Beschäftigtendatenschutz Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden