≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 11.11.2019

Aktuelle Kurz-Information 26: Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen

Stichwörter: Beamtengesetz, Bayerisches - Beschäftigte, öffentlicher Dienst - Einwilligung - Geburtstagslisten - Personaldaten - Verantwortlichkeit

Geburtstage von Beschäftigten geben in vielen bayerischen öffentlichen Stellen immer wieder Anlass zu einer Gratulation, zum Mitbringen eines Geburtstagskuchens oder zur Entgegennahme eines angemessen großen Stücks davon. Geburtstage werden wahrgenommen - von Kolleginnen und Kollegen, Vorgesetzten, Mitarbeiterinnen und Mitarbeitern. Sie sind Gegenstand sozialer Erwartungen.

Oftmals entstehen in den Dienststellen Geburtstagslisten, die von allen Beschäftigten in einer Organisationseinheit eingesehen werden können und so für das als notwendig empfundene Maß an Transparenz sorgen. Solche Geburtstaglisten enthalten für jede eingetragene Person außer dem Namen zumindest das Datum, häufig auch das Jahr des Geburtstags. Aus datenschutzrechtlicher Sicht ist insofern zu bemerken:

1. Verantwortlichkeit

Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 Datenschutz-Grundverordnung (DSGVO) die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Eine Beschäftigten-Geburtstagsliste wird entweder auf dienstliche Veranlassung oder in "Eigenregie" durch die Mitarbeiterinnen und Mitarbeiter geführt.

Die Verantwortlichkeit einer bayerischen öffentlichen Stelle für eine dort vorgehaltene Beschäftigten-Geburtstagsliste ist jedenfalls begründet, wenn

  • Vorgesetzte die Liste führen oder dies veranlassen,
  • Vorgesetzte auf eine Eintragung in der Liste hinwirken oder sonst Eintragungsanreize schaffen oder
  • die Liste von der Personalstelle mit den nötigen Daten beschickt wird.

Die nachfolgenden Hinweise betreffen Beschäftigten-Geburtstagslisten, die von einer bayerischen öffentlichen Stelle als Verantwortlichem geführt werden.

2. Beschäftigten-Geburtstagsliste und Personaldatenschutz

Die Führung einer Beschäftigten-Geburtstagsliste, die Beschäftigten außerhalb der personalverwaltenden Stelle zugänglich ist, findet keine Rechtfertigung in Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG). Diese Vorschrift fungiert als grundlegende Verarbeitungsbefugnis für den Bereich der Personalstellen; sie ist Rechtsgrundlage im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Buchst. b DSGVO und gilt nicht nur für die Beamtinnen und Beamten, sondern grundsätzlich auch entsprechend für Tarifbeschäftigte bei bayerischen staatlichen Behörden und staatsmittelbaren Rechtsträgern.

Nach Art. 103 Satz 1 Nr. 1 BayBG darf der Dienstherr Personaldaten verarbeiten, soweit dies zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist.

Die Führung von Beschäftigten-Geburtstagslisten, die innerhalb einer "behördeninternen Öffentlichkeit" eingesehen werden können, ermöglicht die Gratulation in der jeweiligen Organisationseinheit und gegebenenfalls ein anlassbezogenes Gemeinschaftserlebnis. Bei alldem handelt es sich um Akte der kollegialen Beziehungspflege, nicht aber um vom Dienstherrn zu veranlassende organisatorische, personelle oder soziale Maßnahmen.

3. Einwilligung als Rechtsgrundlage

Vor diesem Hintergrund kommt als Rechtsgrundlage für Verarbeitungen im Zusammenhang mit Beschäftigten-Geburtstagslisten nur die Einwilligung (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) in Betracht. Unter dem Aspekt der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sollte die "Neuaufnahme" in eine Liste grundsätzlich auf Tag und Monat beschränkt, auf die - von nicht wenigen Menschen als sensibler empfundene - Angabe des Geburtsjahres hingegen verzichtet werden.

Die Einwilligung ist wirksam, wenn sie die Anforderungen erfüllt, welche Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO vorsehen. Über diese Anforderungen informiert die Praxishilfe "Die Einwilligung nach der Datenschutz-Grundverordnung", die im Internet auf https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Einwilligung" veröffentlicht ist.

Eine Einwilligung muss danach insbesondere freiwillig (Art. 4 Nr. 11 DSGVO), informiert (Art. 4 Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11 DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2 DSGVO).

Die öffentliche Stelle muss die Einwilligung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen können (Art. 7 Abs. 1 DSGVO).

4. Verzeichnis der Verarbeitungstätigkeiten

Eine Verarbeitungstätigkeit mit dem Zweck "Führen von Beschäftigten-Geburtstagslisten" gehört auch in das Verzeichnis der Verarbeitungstätigkeiten. Rechtsgrundlage für diese Verarbeitungstätigkeit ist Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO. Betroffene Personen sind die Beschäftigten, die ihre Geburtsdaten in die Liste einpflegen oder einpflegen lassen. Zu den Kategorien personenbezogener Daten zählen regelmäßig der Name und der Vorname sowie das Geburtsdatum. Kategorien (dritter) Empfänger können bei einer internen Liste außer Betracht bleiben. Die Löschfrist ist an die Zugehörigkeit der betroffenen Person zu der Organisationseinheit gekoppelt, für welche die Beschäftigten-Geburtstagsliste geführt wird. Ein Eintrag ist zu löschen, wenn die betroffene Person diese Funktionseinheit - auch durch Umsetzung innerhalb einer Behörde - verlässt oder die Einwilligung widerruft. Der Verzeichniseintrag sollte so gefasst werden, dass er alle bei der öffentlichen Stelle geführten Beschäftigten-Geburtstagslisten abdeckt.

5. Informationspflichten

Die in einer Beschäftigten-Geburtstagsliste typischerweise enthaltenen Daten befinden sich regelmäßig bereits in der Sphäre des Verantwortlichen, weil sie zum Grundbestand an Beschäftigtendaten gehören. Die Nutzung von Name und Geburtsdatum im Rahmen einer Beschäftigten-Geburtstagsliste lässt sich als eine Weiterverwendung deuten, welche die Informationspflicht nach Art. 13 Abs. 3 DSGVO auslöst.

Im Regelfall werden die erforderlichen Informationen bereits durch die zu Beginn eines Beschäftigungsverhältnisses angezeigten Datenschutzhinweise erteilt sein, die eingeführte Beschäftigten-Geburtstagslisten möglichst berücksichtigen sollten. Vor der Einwilligung sollte der betroffenen Person der zusätzliche Verarbeitungszweck deutlich gemacht werden; unmissverständlich ist auf das Widerrufsrecht hinzuweisen (Art. 13 Abs. 2 Buchst. c, Art. 7 Abs. 3 Satz 3 DSGVO). Ist dies gewährleistet, kann meist ein Kenntnisstand angenommen werden, der eine gesonderte Information entbehrlich macht (vgl. Art. 13 Abs. 4 DSGVO).

6. Fazit

Die Führung von Beschäftigten-Geburtstagslisten durch bayerische öffentliche Stellen ist auch in der Welt der Datenschutz-Grundverordnung kein unlösbares Problem. Stets sollte aber insbesondere darauf geachtet werden, dass

  • eine Verantwortlichkeit der öffentlichen Stelle organisatorisch klar geregelt ist,
  • der Verarbeitung wirksame Einwilligungen zugrunde liegen,
  • das Verzeichnis der Verarbeitungstätigkeiten eine entsprechende Position enthält sowie
  • am Beginn eines Dienst- oder Arbeitsverhältnisses gegebene Datenschutzhinweise auch Informationspflichten hinsichtlich Beschäftigten-Geburtstagslisten mit abdecken.