Aktuelles

Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen

13. Juni 2022
von Fundstelle Bayern
5 Minuten Lesezeit
© WrightStudio - stock.adobe.com

Geburtstage von Beschäftigten geben in vielen bayerischen öffentlichen – insbesondere staatlichen und kommunalen – Stellen immer wieder Anlass zu einer Gratulation, zum Mitbringen eines Geburtstagskuchens oder zur Entgegennahme  eines angemessen großen Stücks davon. Geburtstage werden wahrgenommen – von Kolleginnen und Kollegen, Vorgesetzten, Mitarbeiterinnen und Mitarbeitern.  Sie sind Gegenstand sozialer Erwartungen.

Oftmals entstehen in den Dienststellen Geburtstagslisten, die von allen Beschäftigten in einer Organisationseinheit  eingesehen werden können und so für das als notwendig empfundene Maß an  Transparenz sorgen. Solche Geburtstagslisten enthalten für jede eingetragene Person außer dem Namen zumindest das Datum, häufig auch das Jahr des Geburtstags.  In seinem unten vermerkten 30. Tätigkeitsbericht 2020 vom 25.5. 2021 nimmt der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) zu dieser im Behördenleben „alltäglichen“  Problematik unter Nr. 9.2 wie folgt Stellung:

  1. Verantwortlichkeit „Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen  Daten entscheidet. Eine Beschäftigten-Geburtstagsliste wird entweder auf dienstliche Veranlassung oder in ,Eigenregie‘ durch die Mitarbeiterinnen  und Mitarbeiter geführt.  Die Verantwortlichkeit einer bayerischen öffentlichen Stelle für eine dort vorgehaltene Beschäftigten-Geburtstagsliste ist jedenfalls begründet, wenn  – Vorgesetzte die Liste führen oder dies veranlassen,  – Vorgesetzte auf eine Eintragung in der Liste hinwirken oder sonst Eintragungsanreize schaffen oder  – die Liste von der Personalstelle mit den nötigen Daten beschickt wird.  Die nachfolgenden Hinweise betreffen Beschäftigten-Geburtstagslisten, die von einer bayerischen öffentlichen Stelle als Verantwortlichem geführt werden.“
  2. Beschäftigten-Geburtstagsliste und Personaldatenschutz „Die Führung einer Beschäftigten-Geburtstagsliste, die Beschäftigten außerhalb der personalverwaltenden Stelle zugänglich ist, findet keine Rechtfertigung in Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG). Diese Vorschrift fungiert als grundlegende Verarbeitungsbefugnis für den Bereich der Personalstellen; sie ist Rechtsgrundlage i. S. von Art. 6 Abs. 1 Unterabs. 1 Buchst. e, Abs. 3 Unterabs. 1 Buchst. b DSGVO und gilt nicht nur für die Beamtinnen und Beamten, sondern gemäß Art. 145 Abs. 2 BayBG grundsätzlich auch entsprechend  für Tarifbeschäftigte bei bayerischen staatlichen Behörden und staatsmittelbaren  Rechtsträgern. Nach Art. 103 Satz 1 Nr. 1 BayBG darf der Dienstherr Personaldaten verarbeiten, soweit dies zur Durchführung organisatorischer, personeller  und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung  oder Personalwirtschaft erforderlich ist. Die Führung von Beschäftigten- Geburtstagslisten, die innerhalb einer ,behördeninternen Öffentlichkeit‘ eingesehen  werden können, ermöglicht die Gratulation in der jeweiligen Organisationseinheit  und gegebenenfalls ein anlassbezogenes Gemeinschaftserlebnis. Bei alldem handelt es sich um Akte der kollegialen Beziehungspflege, nicht aber um  vom Dienstherrn zu veranlassende organisatorische, personelle oder soziale Maßnahmen.“
  3. Einwilligung als Rechtsgrundlage „Vor diesem Hintergrund kommt als Rechtsgrundlage für Verarbeitungen im Zusammenhang mit Beschäftigten-Geburtstagslisten nur die Einwilligung (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) in Betracht. Unter dem Aspekt der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sollte die ,Neuaufnahme‘ in eine  Liste grundsätzlich auf Tag und Monat beschränkt, auf die – von nicht wenigen  Menschen als sensibler empfundene – Angabe des Geburtsjahres hingegen verzichtet  werden. Die Einwilligung ist wirksam, wenn sie die Anforderungen erfüllt, welche Art. 4 Nr. 11, Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 7 Abs. 2 und 3 DSGVO vorsehen. Über diese Anforderungen informiert die Praxishilfe  ,Die Einwilligung nach der Datenschutz-Grundverordnung‘.1) Eine Einwilligung  muss danach insbesondere freiwillig (Art. 4 Nr. 11 DSGVO), informiert (Art. 4  Nr. 11 DSGVO), auf einen bestimmten Zweck (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) und auf eine bestimmte Verarbeitung bezogen (Art. 4 Nr. 11  DSGVO) sowie unmissverständlich (Art. 4 Nr. 11 DSGVO) sein. Sie wirkt grundsätzlich bis zu ihrem Widerruf (Art. 7 Abs. 3 Satz 1, 2 DSGVO). Die öffentliche Stelle muss die Einwilligung im Rahmen ihrer Rechenschaftspflicht  (Art. 5 Abs. 2 DSGVO) nachweisen können (Art. 7 Abs. 1 DSGVO).“
  4. Verzeichnis der Verarbeitungstätigkeiten „Eine Verarbeitungstätigkeit mit dem Zweck ,Führen von Beschäftigten-Geburtstagslisten‘ gehört auch in das Verzeichnis der Verarbeitungstätigkeiten. Rechtsgrundlage für diese Verarbeitungstätigkeit ist Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO. Betroffene Personen sind die Beschäftigten, die ihre Geburtsdaten in die Liste einpflegen oder einpflegen lassen. Zu den Kategorien personenbezogener Daten zählen regelmäßig der Name und der Vorname sowie das Geburtsdatum. Kategorien (dritter) Empfänger können bei einer internen Liste außer Betracht bleiben. Die Löschfrist ist an die Zugehörigkeit der betroffenen Person zu der Organisationseinheit gekoppelt, für welche die Beschäftigten-Geburtstagsliste  geführt wird. Ein Eintrag ist zu löschen, wenn die betroffene Person diese Funktionseinheit – auch durch Umsetzung innerhalb einer Behörde – verlässt  oder die Einwilligung widerruft. Der Verzeichniseintrag sollte so gefasst werden, dass er alle bei der öffentlichen Stelle geführten Beschäftigten-Geburtstagslisten  abdeckt.“
  5. Informationspflichten „Die in einer Beschäftigten-Geburtstagsliste typischerweise enthaltenen Daten befinden sich regelmäßig bereits in der Sphäre des Verantwortlichen, weil sie zum Grundbestand an Beschäftigtendaten gehören. Die Nutzung von Name und Geburtsdatum im Rahmen einer Beschäftigten-Geburtstagsliste lässt sich als eine  Weiterverwendung deuten, welche die Informationspflicht nach Art. 13 Abs. 3  DSGVO auslöst.  Im Regelfall werden die erforderlichen Informationen bereits durch die zu Beginn eines Beschäftigungsverhältnisses angezeigten Datenschutzhinweise erteilt  sein, die eingeführte Beschäftigten-Geburtstagslisten möglichst berücksichtigen  sollten. Vor der Einwilligung sollte der betroffenen Person der zusätzliche Verarbeitungszweck deutlich gemacht werden; unmissverständlich ist  auf das Widerrufsrecht hinzuweisen (Art. 13 Abs. 2 Buchst. c, Art. 7 Abs. 3  Satz 3 DSGVO). Ist dies gewährleistet, kann meist ein Kenntnisstand angenommen werden, der eine gesonderte Information entbehrlich macht (vgl.  Art. 13 Abs. 4 DSGVO).“
  6. Fazit „Die Führung von Beschäftigten-Geburtstagslisten durch bayerische öffentliche Stellen ist auch in der Welt der Datenschutz-Grundverordnung kein unlösbares Problem. Stets sollte aber insbesondere darauf geachtet werden, dass – eine Verantwortlichkeit der öffentlichen Stelle organisatorisch klar geregelt  ist,  – der Verarbeitung wirksame Einwilligungen zugrunde liegen,  – das Verzeichnis der Verarbeitungstätigkeiten eine entsprechende Position enthält  sowie  – am Beginn eines Dienst- oder Arbeitsverhältnisses gegebene Datenschutzhinweise  auch Informationspflichten hinsichtlich Beschäftigten-Geburtstagslisten  mit abdecken.“  30. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz vom 25.5.2021, im Internet abrufbar unter https://www.datenschutzbayern.  de in der Rubrik „Tätigkeitsberichte“

1) Bayerischer Landesbeauftragter für den Datenschutz, Die Einwilligung nach der Datenschutz- Grundverordnung, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform  2018 – Orientierungs- und Praxishilfen – Einwilligung“.

Entnommen aus FstBay 9/2022, Rn. 83

Das könnte Sie auch interessieren