Nur noch wenige Woche und es beginnt wieder die Hauptreisezeit. Und falls Datenschutz nicht ganz oben auf der Packliste steht, sollte sich das vielleicht ändern. Vor der Reise, am Urlaubsort und auch bei Abreise gibt es viel zu beachten.
Der Inhalt im Überblick
Vorfreude und Datenschutz
Wenn die Vorfreude auf den Urlaub steigt und die Planungen in die heiße Phase gehen, lohnt es sich (auch) an den Datenschutz zu denken. Dabei ist nicht nur an überbordende Abfragen von Reiseveranstaltern zu denken, Visum-Anträge, die einem gläsernen Bürger gleichen, oder auch Einreisesysteme wie ESTA oder eTA fragen großen Mengen an personenbezogenen Daten ab. An vielen Punkten habe Reisende quasi keine Wahl, was und wie viel sie zu ihrer Person angeben müssen. Umso mehr sollte man die Stellschrauben nutzen, die einem zur Verfügung stehen.
Urlaubskalender im Unternehmen
Für viele Unternehmen ist es für die Organisation von zur Verfügung stehenden Mitarbeitenden – insbesondere in der Haupturlaubszeit – wichtig einen Überblick zu haben, wann welche Mitarbeitenden im wohlverdienten Urlaub sind. Die organisatorische Lösung für diese Konstellationen reichen von öffentlich ausgehängten Urlaubslisten bis zu digitalen Urlaubsplänen. Beide Varianten zeichnet datenschutzrechtliche Herausforderungen aus. In jedem Fall sollten nur die Personen Einsicht in die Abwesenheiten haben, für die die Information relevant ist. Außerdem sollte immer der Grundsatz der Datenminimierung berücksichtigt werden. Folglich sollten nur die Informationen angegeben werden, die für den Zweck notwendig sind.
Das grundsätzliche Führen seitens des Arbeitgebers einer Übersicht zu den Abwesenheiten der Mitarbeitenden kann auf Art. 6 UAbs. 1 lit. c) DSGVO gestützt werden, da der Arbeitsgeber zur Gewährung des Urlaubsanspruchs nach Bundesurlaubsgesetz verpflichtet ist und Urlaubstage auch auf Grundlage des Arbeitsvertrages verankert sind (Art. 6 UAbs. 1 lit. b) DSGVO). Wenn diese Informationen jedoch veröffentlich werden sollen, kann diese lediglich auf das berechtigte Interesse, Art. 6 UAbs. 1 lit. f) DSGVO, gestützt werden. Daraus folgt, dass eine Interessenabwägung vorgenommen werden muss. Ob das Arbeitergeberinteresse an einer Veröffentlichung die Interessen der Mitarbeitenden überwiegen, ist eine Frage der Einzelfallabwägung. Häufig wird die Abwägung jedoch eher zu Gunsten der Betroffenen, also der Mitarbeitenden, ausfallen. Zu denken wäre auch an eine Einwilligung im Sinne von Art. 6 UAbs. 1 lit. a) DSGVO für diese Verarbeitung. Einwilligungen sind, vor allem im Hinblick auf die Freiwilligkeit, ein schwieriges Feld im Beschäftigungsverhältnis. Insofern eine belastbare Rechtsgrundlage gefunden wird, ist bei der Verwendung eines Tools daran zu denken, dass eine Auftragsverarbeitung vorliegen könnte und gegeben falls ein Auftragsverarbeitungsvertrag abzuschließen ist. Außerdem müssen die Mitarbeiten im Rahmen der Informationspflichten ausreichend informiert werden.
E-Mails während des Urlaubs
Natürlich trudeln auch während des Urlaubs weiter E-Mails ein. Aus rein organisatorischen Gründen ist ein Abwesenheitsresponder notwendig. Datenschutzrechtlich sind hierbei nur wenige Aspekte zu beachten. Insgesamt sollte die Nachricht einfach gehalten werden. Neben einer freundlichen Einbettung reicht es:
- das Datum der Wiederreichbarkeit,
- Name und E-Mailadresse des Vertreters und
- Name des Adressaten
aufzunehmen. Gründe und große Erklärungen für die Abwesenheit sind jedoch entbehrlich und im Sinne der Datenminimierung zu unterbleiben.
Die gängigen E-Mailprogramme bieten häufig die Möglichkeit, dass E-Mails automatisch weitergeleitet werden. Eine solche automatisierte Weiterleitung, die für den Sender regelmäßig nicht transparent sein wird, stellt in den meisten Fällen eine unrechtmäßige Weitergabe an Dritte dar. Sollte im Betrieb darüber hinaus auch noch eine private Nutzung des E-Mail-Accounts gestattet sein, werden die datenschutzrechtlichen Probleme noch größer. In der Abwesenheitsnotiz lediglich einen Vertreter zu nennen, ist die sicherste Lösung und der Sender kann eigenständig entscheiden, ob er den Vertreter kontaktiert.
Öffentliches WLAN
Wenn man für seine Reise den wohlregulierten Roaming-Bereich der EU verlässt, sollte die Freude bei öffentlichen WLAN-Netzen gedämpft ausfallen. Die Verlockung ist groß. Aber es sollte den Nutzenden klar sein, dass die Sicherheit der Daten in diesen Netzwerken nicht gewährleistet werden kann. Denn öffentliche Netzwerke sind – wie der Name es sagt – öffentlich und es handelt sich im Regelfall um unverschlüsselte Verbindungen, die von anderen Teilnehmenden des öffentlichen Netzes mitgelesen werden können. Das Verwenden und Abrufen von sensiblen Daten sollte vollständig unterbleiben. Dazu gehören in jedem Fall Online-Banking, Bezahldaten- und Apps und Postfächer. In dringenden Fällen ist es sicherer, die Kosten des eigenen Tarifs in Kauf zu nehmen und einen Hotspot einzurichten, um Daten abzurufen. Aber vielleicht ist der aus Sicherheitsgründen aufgezwungen „digital detox“ insgesamt ein genussvolles Erlebnis.
Hardware-Sicherheit auf der Reise
Während der Reise kann es aus verschiedenen Gründen zum Verlust von Datenträgern kommen. Um den Schaden auf die Hardware zu reduzieren, sollten die Geräte verschlüsselt sein. Somit kann der unbefugte Zugriff durch Dritte, bis das Gerät bezüglich der gespeicherten Daten unbrauchbar gemacht wurde, geschützt werden. Häufig sind auch bereits die jüngsten Reisenden mit einem Tablet oder Smartphone ausgestattet. Selbstverständlich muss auch hier auf den Schutz geachtet werden.
Alleswissende Mietwagen
Wer für seine Reise einen Mietwagen nutzt, sollte auch hier an den Datenschutz denken. Bei der Nutzung des integrierten Navigationssystem werden die letzten Ziele gespeichert. Nach der Nutzung sollte die Historie gelöscht werden. Das gleiche gilt auch für den Musikgeschmack, denn auch hier werden die zuletzt gespielten Titel gespeichert. Zum Teil erlauben diese Daten tiefe Einblicke in den Geschmack und Fahrziele der Nutzenden. Zudem können sich die Fahrzeuge technisch unproblematisch mit dem Smartphone verbinden. Dieser „Service“ kann zur Übertragung des eigenen Adressbuches und Kontakte führen. Auch wenn das Mietauto abgegeben wird, bleiben Daten im Fahrzeug gespeichert. Deshalb sollten alle Angaben und Verbindungen nach Abgaben des Fahrzeugs gelöscht werden.
Netflix & Co.
Wer eine gut ausgestattet Ferienwohnung ergattert, muss im Urlaub vielleicht nicht einmal auf liebgewonnene Streaming-Dienste verzichten. Vielerorts ist es möglich sich mit den eigenen Accounts von Netflix & Co. einzuloggen. Und auch wenn es Spaß machen kann, seine Lieblingsserie weiterschauen zu können, sollte darauf achten werden, sich beim Verlassen der Mietwohnung aus den Accounts auszuloggen. Ansonsten läuft man Gefahr, dass der nächste Ferienwohnungs-Gast mit dem gespeicherten Account weiterschaut.
Datenschutz ist überall…
Auch wenn die (Vor)Freude groß ist, sollten datenschutzrechtliche Aspekte vor und während des Urlaubs berücksichtigt werden. Unterm Strich können so unberechtigte Zugriffe vermieden werden und dem Urlaubs-Spaß steht nichts mehr im Weg!
Es ist wohl wieder Sommerloch. Anders kann ich mir den Artikel nicht erklären. Vor öffentlichen WLANs warnen macht wohl nur Sinn, wenn keine Transportverschlüsselung verwendet wird. Das wäre aber ein eklatanter DSGVO-Verstoß, denn Verschlüsselung nach dem Stand der Technik ist Pflicht. Daher ist auch Juristen, die Sommerlochartikel schreiben, ein Anfängerkurs ITzu empfehlen, bevor es richtig peinlich wird.