Es gibt ja nichts was die DSGVO nicht regelt. So auch die in vielen Unternehmen üblichen Listen mit den Geburtstagen von Mitarbeitern und Kunden. Es ist einfach eine nette, zwischenmenschliche Geste, wenn sich Kollegen untereinander gratulieren oder Sie Ihren Kunden „Alles Liebe & Gute“ wünschen. Aber kollegiale Höflichkeit und ehrliche Wertschätzung sind nun mal keine Rechtsgrundlage für diese Datenverarbeitung.
Geburtstagslisten von Mitarbeitern und Kunden gibt es in unterschiedlichsten Varianten. Auf Papier im Kalender eingetragen, als Excel-Tabelle, als wiederkehrendes Ereignis im Outlook mit Erinnerungsfunktion oder im internen Firmennetzwerk. Die allermeisten Kollegen und Geschäftspartner freuen sind auch, wenn ihnen persönlich oder mit einer kurzen Nachricht gratuliert wird.
Zu bedenken gilt es, dass Sie Geburtsdaten, die Ihnen auf Grund von Dienstverträgen oder Vereinbarungen mit Kunden bekannt sind, nicht so ohne weiteres für Glückwünsche verwenden dürfen. Mit dem Gratulieren zum Geburtstag nutzen Sie die Geburtsdaten in der Regel zu einem gänzlich anderen Zweck als jenem, für den die Daten ursprünglich erhoben wurden. Die DSGVO verlangt, dass betroffene Person über solche „Zweckentfremdungen“ informiert werden.
Wo ist die Rechtsgrundlage für Geburtstagslisten?
Im Sinne der DSGVO sind das Organisieren, Ordnen, Abfragen und gegebenenfalls Übermitteln von Geburtsdaten (zum Beispiel, wenn ein Kollege die anderen oder die ganze Abteilung erinnert) eine Datenverarbeitung. Und die verlangt nach einer gültigen Rechtsgrundlage.
Die Vertragserfüllung – auf Basis eines Dienstvertrages oder Kaufvertrages mit dem Kunden – stellt keine brauchbare Rechtsgrundlage dar. Denn für das Erfüllen der Pflichten aus diesen Verträgen ist das Verarbeiten von Geburtsdaten zum Zweck des Gratulierens nur schwerlich zu argumentieren.
Kann berechtigtes Interesse des Arbeitgebers (beispielsweise im Sinne eines freundschaftlichen Betriebsklimas) oder Ihnen als Vertragspartner des Kunden die Rechtsgrundlage für Glückwünsche zum Geburtstag darstellen? Jedenfalls nur dann, wenn nicht entgegenstehende Interessen der betroffenen Person – Mitarbeiter oder Kunde – überwiegen. Dies gilt es abzuwägen. Auf wackeligen Beinen steht diese Rechtsgrundlage aber dennoch.
Einwilligung als ungeliebtes Instrument
Nachdem gesetzliche Pflichten als Rechtsgrundlage ausscheiden (zumindest ist mir noch kein Gesetz bekannt, dass Glückwünsche zum Geburtstag verpflichtend vorschreibt), bleibt nur noch die Einwilligung als denkbare Lösung. Auch, wenn es sich dabei um eine ungeliebte Rechtsgrundlage handelt, die nur herangezogen werden sollte, wenn es gar nicht mehr anders geht – wie bei unseren Geburtstagslisten.
Eine rechtswirksame Einwilligungserklärung ist klar und unmissverständlich, aber trotzdem freundlich formuliert. Die freiwillig abgegebene Einwilligung sollte nachweislich, also schriftlich, eingeholt werden und muss unter anderem den Hinweis auf die Möglichkeit des jederzeitigen Widerrufes enthalten. Idealer Weise enthält die Einwilligung auch den Hinweis darauf, dass keinerlei Nachteile entstehen, wenn nicht eingewilligt oder die Einwilligung widerrufen wird. Schließlich müssen Einwilligungen und Widerrufe korrekte administriert werden (diesen Aufwand sollten Sie nicht unterschätzen).
Die Buchstaben der DSGVO machen es also gar nicht so einfach, Mitarbeitern und Geschäftspartnern zum Geburtstag zu gratulieren. Wenn Sie auf der vergleichswiese sicheren Seite sein wollen, bleibt Ihnen das beschriebene Vorgehen leider nicht erspart.
Suchen Sie Rat und Unterstützung beim praxisnahen Umsetzen? Dann …
Kontaktieren Sie mich noch heute!
Nur ein Klick zur Newsletter-Anmeldung!
Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.
Weitere interessante Beiträge:
DSK zu Online-Diensten: Maßnahmen zur Zugangssicherung
Mangelhafte Datenschutzerklärung machte die Behörde neugierig
Datenschutz: Tragen Sie im Job ein Namensschild?