Stand: 19.06.2024
Momentan beginnt – wie jedes Jahr – sich die Urlaubswelle ihren Weg durch Unternehmen und Abteilungen zu bahnen. Der Datenschutz macht allerdings keine Ferien und so gibt es auch oder gerade im Zusammenhang mit dem Thema Urlaub eine ganze Reihe datenschutzrelevanter Aspekte – angefangen bei A wie Aushang von Urlaubslisten über die klassischen Abwesenheitsinformationen und den Urlaubssmalltalk bis Z wie Zugangssicherung durch risikobewussten Umgang mit Betriebsschlüsseln.
Urlaubspläne: Aushang oder digital – was ist datenschutzrechtlich möglich?
In vielen Unternehmen werden die Urlaubspläne von Beschäftigten ausgehängt und dadurch öffentlich zugänglich gemacht. In anderen Unternehmen wird ein digitaler Urlaubskalender geführt. Beide Vorgänge sind aus datenschutzrechtlicher Sicht aber kritisch zu betrachten. Bei beiden Plänen handelt es sind rechtlich gesehen um Dokumente, die personenbezogene Informationen enthalten. Die verschiedenen Verarbeitungsvorgänge der Erhebung, Speicherung und Weitergabe sind dabei rechtlich strikt voneinander zu trennen und einzeln zu betrachten. Urlaubspläne, die von mehreren Personen eingesehen werden können, sollten unbedingt so gestaltet sein, dass die Informationen nur für relevante Personen – beispielsweise Vorgesetzte, Mitarbeiter der Personalabteilung und direkte Kollegen der Abteilung – einsehbar sind, wann jemand an- oder abwesend ist. Außerdem sollten in diesen Plänen keine zusätzlichen persönlichen Informationen, z. B. Telefonnummer oder Geburtsdatum enthalten sein.
Die Grundsätze des Datenschutzes bei Urlaubslisten
Frage des Vorgesetzten nach dem Urlaubsziel?
Sobald der Urlaub näher rückt, taucht immer häufiger die Frage nach dem Ziel der Reise auf. Früher – in einer Zeit vor der DS-GVO – konnte man diese Frage noch relativ locker beantworten. Heutzutage ist der Umgang mit dieser Information deutlich differenzierter zu sehen.
Aus datenschutzrechtlicher Sicht ist die Frage nach dem Reiseziel nicht erlaubt, denn weder haben Arbeitgeber Einflussnahme auf das Urlaubsziel, noch gibt es eine Verpflichtung, dem Arbeitgeber mitzuteilen, wohin die Reise geht. Auf der anderen Seite ist es natürlich für das Betriebsklima förderlich, wenn man sich betriebsintern über das Reiseziel austauscht und hierüber ein bisschen Small-Talk führt. Abhängig ist dies aber in den meisten Fällen von der Größe des Unternehmens und des jeweiligen Betriebsklimas.
Eine Pflicht zur Antwort besteht für die Beschäftigten aber nicht. Insbesondere ist in diesem Zusammenhang zu beachten, dass nicht jede Information, die man seinem Vorgesetzten oder Kollegen gibt, gleich eine datenschutzrelevante Datenverarbeitung darstellt. Daher sollte jeder für sich selbst entscheiden, ob er die Frage mit einer genauen Zielangabe oder beispielsweise mit einer allgemeinen Floskel wie „in den Süden“ beantwortet.
Abwesenenheitsresponder und die Weiterleitung von E-Mails
Gerade in der Urlaubzeit werden über die eingesetzten E-Mail-Programme Abwesenheitsresponder benutzt, um die Absender von E-Mails über die Abwesenheit des Adressaten zu informieren. Hierbei ist zu beachten, dass der Datenschutz eine grundsätzliche Datensicherheit für die E-Mail-Adressen und Inhalte der E-Mail-Kommunikation umfasst. Dabei ist es unerheblich, ob eine E-Mail-Adresse den vollen Namen des Adressaten beinhaltet oder es sich um eine E-Mail-Adresse ohne weitere persönliche Daten handelt.
Ein Abwesenheitsresponder kann so eingestellt werden, dass E-Mails automatisch an einen anderen Empfänger weitergeleitet werden. Eine solche E-Mail-Weiterleitung bei Abwesenheit ist bereits eine – meist unzulässige – Weitergabe an Dritte. Diese unterliegt dem Datenschutz und ist nur unter bestimmten Voraussetzungen zulässig. Gerade wenn Mitarbeiter den betrieblichen E-Mail-Account auch privat nutzen, muss bereits vor der Weiterleitung sichergestellt werden, dass der Absender seine Einwilligung dazu erteilt hat. Dies dürfte im Alltag aber nur in den seltensten Fällen praktikabel sein. Eine Information über die automatische Weiterleitung ist in jedem Fall zwingend.
Ein datenschutzrechtlich unbedenkliches Vorgehen stellt eine einfache Abwesenheitsmitteilung im Abwesenheitsresponder dar, die folgende Punkte enthalten sollte:
- freundliche Anrede
- Datum der Wiedererreichbarkeit
- Name und E-Mail-Adresse des Vertreters
- Name des Adressaten
In diesem Fall kann der Absender nämlich selbst entscheiden, ob er sich an den Vertreter wendet oder nicht.
Nutzung von öffentlichem WLAN
Auf dem Weg in den Urlaub oder im Urlaub gibt es die Verlockung, mit dem eigenen Gerät auf dem Flughafen oder Bahnhof, in WLAN-Cafés oder an sonstigen Hotspots online zu gehen. Diese öffentlichen Netzwerke sind – wie der Name schon sagt – öffentlich. Dabei handelt es sich im Regelfall um unverschlüsselte Verbindungen, die von anderen Teilnehmern des öffentlichen Netzes mitgelesen werden können. Das Verwenden und Abrufen von sensiblen Daten sollte in öffentlichen Netzwerken vollständig unterbleiben. Dazu gehören insbesondere Online-Banking, Bezahldaten- und Apps sowie E-Mail-Postfächer.
Wenn Sie unbedingt in einem öffentlichen Netzwerk online gehen müssen, sollten Sie folgendes beachten:
- Keine Nutzung von Hotspots ohne oder nur mit schwacher Verschlüsselung (kurzes Passwort).
- Betriebssystem-Benutzerkonten sollten nur mit eingeschränkten Zugriffrechten genutzt werden, nicht mit Administratoren-Rechten.
- Datei- und Verzeichnisfreigaben für Netzwerke sollten bereits vorab deaktiviert werden.
- Firewall-Einstellungen müssen im Vorfeld auf ein höheres Sicherheitsniveau angepasst werden.
Aufgrund der oben genannten Sicherheitsbedenken ist es in jedem Fall sicherer, einen eigenen kostenpflichtigen Hotspot einzurichten, um Daten abzurufen.
Hardware sicher in den Urlaub mitnehmen
Eine wichtige Frage in diesem Zusammenhang dreht sich darum, ob man seinen Laptop bzw. das Tablet und das Diensthandy oder den Schlüssel bzw. die Zugangskarte für den Arbeitsplatz in den Urlaub mitnehmen darf oder soll. Für Büroschlüssel oder Zugangskarten lässt sich diese Frage mit einem einfachen „Nein“ beantworten, denn es gibt keinen Grund diese beiden Dinge in den Urlaub mitzunehmen. Sie sind daher sicher zu Hause zu verwahren, um das Verlustrisiko zu vermeiden.
Bei Laptop, Tablet oder Diensthandy kommt es, wie so oft, auf den Einzelfall an. Müssen Mitarbeiter im Urlaub nicht erreichbar sein, gibt es ebenfalls keinen Grund, diese Dinge mit in den Urlaub zu nehmen. Müssen Mitarbeiter allerdings erreichbar sein und gegebenenfalls sogar arbeiten, dann dürfen bzw. müssen Laptop bzw. Tablet und Diensthandy natürlich in den Urlaub mitgenommen werden. In diesem Fall muss aber zwingend darauf geachtet werden, dass die Geräte verschlüsselt sind, alle technischen Verbindungen zum Server vor dem Transport getrennt wurden und auch alle offenen Programme beendet wurden.
Unternehmen sind nach Art. 32 DS-GVO verpflichtet, geeignete Schutzmaßnahmen für personenbezogene Daten zu treffen. Hierzu gehört nach Auffassung der Aufsichtsbehörden auch die Aufstellung klarer Regeln für den Umgang mit Büroschlüsseln und den Transport von Daten sowie die technische Absicherung für den externen Verbindungsaufbau (z.B. über einen VPN-Tunnel).
Nutzung von Smartphones im Mietwagen
Bei der Nutzung eines Mietwagens im Urlaub, muss in der heutigen Zeit auch an den Datenschutz gedacht werden. Zum einen sollte unbedingt berücksichtigt werden, dass in dem im Fahrzeug integrierten Navigationssystem die letzten Ziele gespeichert werden. Daher sollten nach dessen Nutzung die letzten Ziele gelöscht werden.
Das gleiche gilt auch für das mit dem Mietwagen verbundene Smartphone, über das die Funktion des Telefons und die Musikbibliothek genutzt wird. In diesem Zusammenhang werden nämlich das Adressbuch und die Kontakte im Fahrzeug gespeichert. Auch bei der Nutzung der Musikbibliothek werden die zuletzt gespielten Titel gespeichert, was tiefe Einblicke in den Geschmack des Nutzers liefert. Daher sollte man vor Rückgabe des Mietwagens unbedingt das Smartphone und alle persönlichen Daten sowie alle Verbindungen aus dem Fahrzeug löschen.
Streaming in Ferienunterkünften
Falls das Ferienhaus oder die Ferienwohnung mit einem Smart-TV ausgestattet ist, kann man sogar im Urlaub auf liebgewonnene Streaming-Dienste zugreifen. Oftmals ist es möglich, sich mit den persönlichen Accounts von Netflix, Disney+ & Co. einzuloggen. Diese technischen Möglichkeiten machen natürlich Spaß und bieten die Möglichkeit keine Folge der Lieblingsserie zu verpassen, allerdings sollte darauf geachtet werden, dass man sich beim Verlassen der Ferienwohnung bzw. des Ferienhauseses wieder aus den persönlichen Accounts ausloggt. Sonst besteht die Gefahr, dass der nächste Gast mit dem gespeicherten Account weiterschaut und eventuell Daten erhält, die ihn nichts angehen.