Schlagwort-Archive: Datenschutzdokumentation

Geburtstagslisten in Unternehmen

Spätestens seit Wirksamwerden der DS-GVO, aber eigentlich auch schon früher, sollte klar sein: Ich darf nicht einfach so Geburtstagslisten in Unternehmen oder in Einrichtungen führen und aushängen. Der Bayrische Landesbeauftragte für Datenschutz hat das Thema in seiner Kurzinformation 26 aufgegriffen.

Ich möchte hier die wesentlichen Aussagen kurz zusammenfassen:

  1. Eine Geburtstagsliste wird geführt oder deren Führung wird veranlasst. Gemäß Artikel 4 Absatz 7 ist dann das Unternehmen, die Behörde oder die Einrichtung die verantwortliche Stelle.
  2. Geburtstagslisten unterliegen dem Personaldatenschutz.
  3. Da es keine gesetzliche Grundlage für Geburtstagslisten gibt und solche auch nicht zur Erfüllung von Arbeitsverträgen erforderlich sind, bleibt nur die Einwilligung der Betroffenen als Rechtsgrundlage für das Führen und Veröffentlichen einer Geburtstagsliste.
  4. Auch Geburtstagslisten unterliegen der Datenschutzdokumentation, d. h. das Verfahren „Geburtstagsliste“ ist in das Verzeichnis der verarbeitenden Tätigkeiten aufzunehmen. Es besteht den Mitarbeitern gegenüber eine Informationspflicht. Zum Führen von Geburtstagslisten und der damit einhergehenden Veröffentlichung sollte eine TOM (technisch-organisatorische Maßnahme) angelegt werden.

Das ist ein ziemlich hoher Aufwand für das Führen und das betriebsinterne Veröffentlichen einer Geburtstagsliste. Ich finde es ok, wenn eine relativ hohe Schwelle für so eine Liste besteht.

Bundestag lockert Datenschutzvorgaben?

In seiner Sitzung am 27. Juni 2019 nahm der Bundestag den Gesetzesentwurf zur Anpassung des Datenschutzrechts an. Mit diesem Gesetzesentwurf soll eine Vereinfachung für Vereine, klein- und mittelständische Unternehmen sowie für ärztliche und therapeutische Praxen geschaffen werden.

Ein Datenschutzbeauftragter ist nach dieser Neufassung erst zu bestellen, wenn 20 und mehr Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Na das klingt doch ganz nach einem großen Wurf. In der Realität ergeben sich aus meiner Sicht zwei bemerkenswerte Probleme. In die Ermittlung der Grenze von 20 Beschäftigten ist die Verarbeitung im Auftrag einzubeziehen. Worin aus meiner Erfahrung das viel größere Problem besteht: Eine rechtssichere Datenschutzdokumentation muss ja trotzdem erstellt werden. Das macht nun die verantwortliche Person selbst?

Ob es sich hierbei tatsächlich um eine Erleichterung für die Praxis handelt, bleibt abzuwarten.