Stand: 30.06.2022

Momentan bahnt sich die Urlaubswelle ihren Weg durch Unternehmen und Abteilungen. Der Datenschutz macht allerdings keine Ferien und so gibt es auch oder gerade im Zusammenhang mit dem Thema Urlaub eine ganze Reihe datenschutzrelevanter Aspekte – angefangen bei A wie Aushang von Urlaubslisten über die klassischen Abwesenheitsinformationen und den Urlaubssmalltalk bis Z wie Zugangssicherung durch risikobewussten Umgang mit Betriebsschlüsseln.

Urlaubspläne: Aushang oder digital – was ist datenschutzrechtlich möglich?

In vielen Unternehmen werden die Urlaubspläne von Beschäftigten ausgehängt und dadurch öffentlich zugänglich gemacht. In anderen Unternehmen wird ein digitaler Urlaubskalender geführt. Beide Vorgänge sind aus datenschutzrechtlicher Sicht aber kritisch zu betrachten. Bei beiden Plänen handelt es sind rechtlich gesehen um Dokumente, die personenbezogene Informationen enthalten. Die verschiedenen Verarbeitungsvorgänge der Erhebung, Speicherung und Weitergabe sind dabei rechtlich strikt voneinander zu trennen und einzeln zu betrachten. Urlaubspläne, die von mehreren Personen eingesehen werden können, sollten unbedingt so gestaltet sein, dass die Informationen nur für relevante Personen – beispielsweise Vorgesetzte, Mitarbeiter der Personalabteilung und direkte Kollegen der Abteilung – einsehbar sind, wann jemand an- oder abwesend ist. Außerdem sollten in diesen Plänen keine zusätzlichen persönlichen Informationen, z. B. Telefonnummer oder Geburtsdatum enthalten sein.

Die Grundsätze des Datenschutzes bei Urlaubslisten

Das Führen einer Urlaubsliste ist nach Art. 6 Abs. 1 lit. c) DS-GVO rechtmäßig, da dies der rechtlichen Verpflichtung zur Erfüllung von Urlaubsansprüchen des Arbeitgebers gegenüber den Arbeitnehmern gem. § 1 Bundesurlaubsgesetz (BUrl) dient und nach Art. 88 DS-GVO i. V. m. § 26 BDSG zur Durchführung des Arbeitsverhältnisses erforderlich ist. Die betriebliche Veröffentlichung muss dagegen auf das berechtigte überwiegende Interesse nach Art. 6 Abs. 1 lit. f) DS-GVO, eine Kollektivvereinbarung (z.B. mit dem Betriebsrat) oder die Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO gestützt werden. Realisierbar ist hiervon meist nur die Kollektivvereinbarung, da die Interessensabwägung nur in Ausnahmefällen zu Gunsten des Unternehmens enden wird und die Freiwilligkeit der Einwilligung in dieser Konstellation schwer nachweisbar ist.

Zweck der Datenverarbeitung im Zusammenhang mit Urlaubslisten ist in der Regel die Urlaubsgewährung und Urlaubsplanung. Eine betriebsweite Veröffentlichung ist für diesen Zweck häufig aber nicht notwendig, außer bei besonders kleinen Betrieben mit sehr wenigen Mitarbeitern, die alle Hand in Hand arbeiten.

Auch für Urlaubspläne gelten die Grundsätze der Datenminimierung und Vertraulichkeit. Die Datenminimierung gehört zu den zentralen Grundsätzen der DS-GVO. Unternehmen sind verpflichtet, nur solche personenbezogenen Daten zu verarbeiten, die für den Verarbeitungszweck notwendig sind, hier die Urlaubsplanung und -gewährung. In den Urlaubskalender dürfen daher nur der Name und das Zeitfenster der Abwesenheit eingetragen werden. Andere Daten wie Telefonnummer, Geburtsdatum, Adresse oder der Abwesenheitsgrund sind nicht gestattet – außer, der Zweck der Liste wird anders definiert.

Zur Wahrung der Vertraulichkeit gehört die genaue Prüfung, wo und wie der Kalender zur Verfügung steht sowie die Arbeit mit Namenskürzeln statt vollständigen Namen. Je größer das Unternehmen ist, desto kleiner wird der Kreis der Personen, die von einzelnen Urlaubszeiten betroffen sind. Beim Aushängen im Betrieb muss auf die Einsehbarkeit geachtet werden – ein Aushang im Besprechungsraum oder der Verkaufshalle sind beispielsweise tabu.

Diese Punkte sollten unbedingt beachtet werden:

  • Urlaubslisten und digitale Urlaubskalender sollten nur für Vorgesetzte, die zuständigen Mitarbeiter in der Personalabteilung und für direkt betroffene Kollegen einsehbar sein.
  • Der Grund der Abwesenheit ist irrelevant und darf nicht angegeben werden.
  • Urlaubslisten und digitale Urlaubskalender sollten nur für einen kurzen Zeitraum einsehbar sein, z. B. für die nächsten drei Monate.
  • Digitale Urlaubskalender sollten so eingestellt werden, dass nur der jeweils eigene Urlaubsplan sichtbar ist sowie die Abwesenheitszeiten enger Kollegen.

Frage des Vorgesetzten nach dem Urlaubsziel: Ist das erlaubt?

Sobald der Urlaub näher rückt, taucht immer häufiger die Frage nach dem Ziel der Reise auf. Früher – in einer Zeit vor der DS-GVO und auch vor der Corona-Pandemie – konnte man als Mitarbeiter diese Frage noch relativ locker beantworten. Heutzutage ist der Umgang mit dieser Information deutlich differenzierter zu sehen.

Aus datenschutzrechtlicher Sicht ist die Frage nach dem Reiseziel nicht erlaubt, denn weder haben Arbeitgeber Einflussnahme auf das Urlaubsziel, noch gibt es eine Verpflichtung, dem Arbeitgeber mitzuteilen, wohin die Reise geht. Auf der anderen Seite ist es natürlich für das Betriebsklima förderlich, wenn man sich über das Reiseziel mit Kollegen oder Vorgesetzen austauscht und hierüber ein bisschen Small-Talk führt. Abhängig ist dies aber in den meisten Fällen von der Größe des Unternehmens und des jeweiligen Betriebsklimas.

Eine Pflicht zur Antwort besteht für die Beschäftigten aber nicht. Insbesondere ist in diesem Zusammenhang zu beachten, dass nicht jede Information, die man seinem Vorgesetzten oder Kollegen gibt, gleich eine datenschutzrelevante Datenverarbeitung darstellt. Daher sollte jeder für sich selbst entscheiden, ob er die Frage mit einer genauen Zielangabe oder beispielsweise mit einer allgemeinen Floskel wie „in den Süden“ beantwortet.

Gut zu wissen

Nach den Erfahrungen der letzten beiden Jahre kann es aber aus Gründen, die mit der Corona-Pandemie zusammenhängen, trotzdem notwendig sein, dem Arbeitgeber das Ziel der Reise zu nennen. Beispielsweise ist es zum Schutz der Belegschaft wichtig, ob ein Mitarbeiter aus einem Gebiet zurückkehrt, das als Hochrisiko- bzw. Virusvariantengebiet eingestuft ist oder für das eine Reisewarnung besteht. Weiterhin können diese Informationen für den Vorgesetzten wichtig sein, denn es besteht bei fahrlässig herbeigeführter Quarantäne bzw. Erkrankung kein Anspruch auf Lohnfortzahlung.

Abwesenenheitsresponder und die Weiterleitung von E-Mails

Gerade in der Urlaubzeit werden über die eingesetzten E-Mail-Programme Abwesenheitsresponder benutzt, um die Absender von E-Mails über die Abwesenheit des Adressaten zu informieren. Hierbei ist zu beachten, dass der Datenschutz eine grundsätzliche Datensicherheit für die E-Mail-Adressen und Inhalte der E-Mail-Kommunikation umfasst. Dabei ist es unerheblich, ob eine E-Mail-Adresse den vollen Namen des Adressaten beinhaltet oder es sich um eine E-Mail-Adresse ohne weitere persönliche Daten handelt.

Ein Abwesenheitsresponder kann so eingestellt werden, dass E-Mails automatisch an einen anderen Empfänger weitergeleitet werden. Eine solche E-Mail-Weiterleitung bei Abwesenheit ist bereits eine – meist unzulässige – Weitergabe an Dritte. Diese unterliegt dem Datenschutz und ist nur unter bestimmten Voraussetzungen zulässig. Gerade wenn Mitarbeiter den betrieblichen E-Mail-Account auch privat nutzen, muss bereits vor der Weiterleitung sichergestellt werden, dass der Absender seine Einwilligung dazu erteilt hat. Dies dürfte im Alltag aber nur in den seltensten Fällen praktikabel sein. Eine Information über die automatische Weiterleitung ist in jedem Fall zwingend.

Ein datenschutzrechtlich unbedenkliches Vorgehen stellt eine einfache Abwesenheitsmitteilung im Abwesenheitsresponder dar, die folgende Punkte enthalten sollte:

  • freundliche Anrede
  • Datum der Wiedererreichbarkeit
  • Name und E-Mail-Adresse des Vertreters
  • Name des Adressaten

In diesem Fall kann der Absender nämlich selbst entscheiden, ob er sich an den Vertreter wendet oder nicht.

Darf man seinen dienstlichen Laptop in den Urlaub mitnehmen?

Eine wichtige letzte Frage in diesem Zusammenhang dreht sich darum, ob man seinen Laptop bzw. das Tablet und das Diensthandy oder den Schlüssel bzw. die Zugangskarte für den Arbeitsplatz in den Urlaub mitnehmen darf oder soll. Für Büroschlüssel oder Zugangskarten lässt sich diese Frage mit einem einfachen „Nein“ beantworten, denn es gibt keinen Grund diese beiden Dinge in den Urlaub mitzunehmen. Sie sind daher sicher zu Hause zu verwahren, um das Verlustrisiko zu vermeiden.

Bei Laptop, Tablet oder Diensthandy kommt es, wie so oft, auf den Einzelfall an. Müssen Mitarbeiter im Urlaub nicht erreichbar sein, gibt es ebenfalls keinen Grund, diese Dinge mit in den Urlaub zu nehmen. Müssen Mitarbeiter allerdings erreichbar sein und gegebenenfalls sogar arbeiten, dann dürfen bzw. müssen sie Laptop bzw. Tablet und Diensthandy natürlich in den Urlaub mitnehmen. Dies sollte aber bereits vor Urlaubsantritt mit dem jeweiligen Vorgesetzten besprochen werden. In diesem Fall muss aber zwingend darauf geachtet werden, dass alle technischen Verbindungen zum Server vor dem Transport getrennt bzw. alle offenen Programme beendet werden.

Unternehmen sind nach Art. 32 DS-GVO verpflichtet, geeignete Schutzmaßnahmen für personenbezogene Daten zu treffen. Hierzu gehört nach Auffassung der Aufsichtsbehörden auch die Aufstellung klarer Regeln für den Umgang mit Büroschlüsseln und den Transport von Daten sowie die technische Absicherung für den externen Verbindungsaufbau (z.B. über einen VPN-Tunnel). Je nach dem welche Daten auf mobilen Geräten gespeichert sind, ist für die Mitnahme in den Urlaub eine Verschlüsselung unumgänglich.