Zum Inhalt springen Zur Navigation springen
Von Osterhasen, die Deine Adresse kennen

Von Osterhasen, die Deine Adresse kennen

Artikel von Juliane Dannewitz·9. April 2020

Uns steht ein langes, sonniges Oster-Wochenende bevor. Manch ein Arbeitgeber möchte seinen Mitarbeitern eine kleine Aufmerksamkeit in Form eines Schoko-Osterhasen zu senden. Vielleicht soll es neben der Wertschätzung auch ein kleines Dankesschön für durch das Durchhaltevermögen während der Corona-Krise symbolisieren. Manch ein sensibilisierter Personaler fragt sich nun: Dürfen wir die Privatadressen der Mitarbeiter hierfür verwenden? Es folgt eine kleine datenschutzrechtliche Erläuterung.

Ausgangspunkt: Grundsatz der Zweckbindung

In der Personalakte findet man schnell die Privatadresse, welche bereits zu Beginn des Arbeitsverhältnisses bzw. sogar des Bewerbungsprozesses erhoben wurde. Grund für die Datenerhebung war die Durchführung des Arbeitsverhältnisses (vgl. § 26 Abs. 1 BDSG). Die Vertragsparteien werden anhand des Namen und der Adressdaten konkretisiert. Zudem will der Arbeitgeber auch Lohnzettel oder andere arbeitsrechtliche Informationen postalisch an den Mitarbeiter senden können.

In Art. 5 Abs. 1 lit. b DSGVO ist der Grundsatz der Zweckbindung normiert. Danach müssen personenbezogene Daten

„für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecke.“

Es ist wohl zweifelhaft, ob bei Vertragsschluss bereits klar war, dass Osterhasen oder sonstige kleine Gratifikationen an die Privatadressen des Mitarbeiters gesendet werden. Nur bei bereits bestehender „Tradition“ im Unternehmen wird ein Arbeitgeber hierüber in seinen Datenschutzhinweisen an die Mitarbeiter informieren.

Man kann sich darüber streiten, ob diese Form der Mitarbeitermotivation noch unter § 26 BDSG gefasst werden kann bzw. ob diese Datenverarbeitung für die Durchführung des Arbeitsverhältnisses erforderlich ist. Aber selbst wenn man dies verneinen sollte, kommt man auf anderen Wege zur Zulässigkeit.

Zulässige Zweckänderung

Keine Regel ohne Ausnahme. Art. 6 Abs. 4 DSGVO erläutert, wann man ausnahmsweise personenbezogene Daten zu einem anderen Zwecke verarbeiten darf:

„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, (…) so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist -unter anderem:

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten (…),

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

Zusammengefasst geht es hier also um eine Kompatibilitätsprüfung, das heißt, ist der ursprüngliche Zweck mit dem neuen Zweck vereinbar? Maßgeblich ist hierbei der Empfängerhorizont der betroffenen Person.

Ein gutes Arbeitsverhältnis sollte von gegenseitigen Respekt und Anerkennung gekennzeichnet sein. Insoweit gehört es auch zu einer guten Arbeitskultur, dass der Arbeitgeber die Arbeitsleistung des einzelnen Mitarbeiters wertschätzt. Dies führt letztlich dazu, dass die Mitarbeiter weiterhin motiviert arbeiten. Eine kleine Aufmerksamkeit in Form eines Schoko-Osterhasen oder Schoko-Nikolaus ist daher einerseits im Interesse des Arbeitnehmers und andererseits ist es – hoffentlich – auch nicht so unüblich, dass er damit nicht rechnen konnte. Für den Mitarbeiter gibt es auch keine nachteiligen Folgen – außer vielleicht einer Gewichtzunahme.

Die Grenze ist nur dort zu ziehen, wo es dem Arbeitgeber nicht mehr primär um Mitarbeitermotivation, sondern um Werbung für die eigene oder andere Firma geht. Die Nutzung der Privatadresse zu Werbezwecken überrascht dann doch jeden Mitarbeiter und ist daher nicht mehr mit dem ursprünglichen Zweck der Datenerhebung vereinbar.

Und die Rechtsgrundlage?

Art. 6 Abs. 4 DSGVO regelt nach herrschender Meinung nur, wann eine Zweckänderung zulässig ist und stellt selbst keine Rechtsgrundlage dar. Für den neuen Zweck der Datenverarbeitung muss daher noch separat eine Rechtsgrundlage nach Art. 6 Abs. 1, Art. 9 Abs. 2 DSGVO, dem BDSG oder anderen Spezialgesetzen vorliegen.

Wie bereits oben erwähnt, könnte man diese Form der Mitarbeitermotivation ggf. noch unter § 26 Abs. 1 BDSG rechtfertigen. Jedenfalls stellt es ein berechtigtes Interesse des Arbeitsgebers i. S. v. Art. 6 Abs. 1 S.1 lit. f DSGVO dar. Auf Seiten des Mitarbeiters sind keine er Interessen erkennbar, die überwiegend gegen die Datenverarbeitung sprechen. Insbesondere verwendet der Arbeitgeber nur ihm ohnehin schon bekannte Adressdaten, die nicht sonderlich schutzbedürftig sind.

Die Ostereiersuche kann beginnen

Vorsicht ist besser als Nachsicht. Es ist gut, wenn im Unternehmen der Datenschutz so Ernst genommen wird, sodass auch scheinbare Selbstverständlichkeiten nochmal kritisch hinterfragt werden. Je älter man wird, umso mehr verliert man leider diese Eigenschaft des Hinterfragens. Der Datenschutzbeauftragte kann natürlich sehr schnell Licht ins Dunkeln bringen. Und er freut sich auch mal sagen zu können: Ja, das geht.

Das Team vom Dr. Datenschutz wünschen Ihnen einen fleißigen Osterhasen und viel Spaß beim Vernaschen der Osterleckereien.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Dazu eine Frage, die mich tatsächlich kürzlich erreichte. Was, wenn eine einzelne Führungskraft die Privatadressen ihres Teams bei der Personalabteilung anfragt, da diese Führungskraft ihrem Team eine Aufmerksamkeit zuschicken will.

    Ist dies auch noch ok, da die Führungskraft als Teil des Arbeitsgebers auch Teil der verantwortlichen Stelle ist? Oder ist es nicht ok, weil Angestellte grds. nicht damit rechnen müssen, dass jemand anderes als die Personalabteilung ihre Privatadressen bekommt?

    Ich habe die Anfrage der Personalabteilung in diesem Fall verneint. In Ordnung wäre m.E. die Weitergabe nur auf Basis einer Einwilligung. Alternativ wäre der Versand des „Dankeschöns“ durch die Personalabteilung vorstellbar (im Sinne des vorliegenden Blogbeitrags).

    Wie sehen Sie das?

    • Hinsichtlich der datenschutzrechtlichen Haftung nach außen hin, ist zwar die Führungskraft als Teil der verantwortlichen Stelle bzw. des Arbeitgeber zu werten, sodass ihr Handeln der verantwortlichen Stelle zugerechnet wird.
      Intern muss aber dennoch das sog. „need-to-know-Prinzip“ beachtet werden. Es sollen also nur die Mitarbeiter Zugang zu den personenbezogenen Daten erhalten, die sie für die Erfüllung ihrer Aufgaben benötigen. Es gehört wohl eher nicht zur primären Aufgabe einer Führungskraft, Präsente an die Privatadressen ihrer Mitarbeiter zu schicken. Diese Aufgabe sollte daher vorrangig durch die Personalabteilung selbst ausgeführt werden. Wenn die Führungskraft unbedingt selber an die Adresse liefern will, muss sie die Mitarbeiter um Einwilligung in die Adressweitergabe (oder konkret um Auskunft über die Adresse) bitten. Insoweit lag ihr Bauchgefühl richtig. Je nach interner Struktur und Arbeitsaufteilung im Unternehmen kann sich aber auch eine abweichende Bewertung ergeben. Dreh- und Angelpunkt bleibt hier aber das need-to-know-Prinzip.

  • Vielen Dank für diesen ausführlichen Bericht. Ich hätte da aber noch eine Zusatzfrage. Was muss beachtet werden, wenn ich die Daten an Dritte, also ein externes Unternehmen weitergebe, um z.B. die Weihnachtsmänner direkt vom Händler zu verschicken, oder um einen Blumenhändler zu beauftragen, der die Blumen direkt an die Mitarbeitende Person verschickt. Brauche ich hier eine zusätzliche Verschwiegenheit mit dem Dritten oder ist der Dritte entsprechend selbst verantwortlich die DSGVO einzuhalten, da er die Daten gem. Art. 6 Abs. 1 b) DSGVO erhalten hat?

  • Wie schon vermutet, ist hier der Dritte (z.B. Blumenhändler) selbst Verantwortlicher im Sinne des DSGVO. Eine Auftragsverarbeitung liegt nicht vor. Man findet diese Konstellation auch unter dem Begriff „beauftragte Warenzusendung“, z.B. hier in einer Auslegungshilfe des Bayerischen Landesamts für Datenschutzaufsicht. Rechtsgrundlage für die Weitergabe der Adressdaten an den Dienstleister ist aber nicht Art. 6 Abs. 1 b) DSGVO, denn dieser setzt voraus, dass Vertragspartei die betroffene Person selbt ist. Betroffene Person ist in diesem Beispiel aber der beschenkte Arbeitnehmer. Auch hier kann sich auf Art. 6 Abs. 1 S.1 lit. f DSGVO als Rechtsgrundlage gestützt werden.“

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.