sean-oulashin-KMn4VEeEPR8-unsplash

Datenschutz in der Urlaubszeit

Urlaube und andere Abwesenheiten von Beschäftigten sorgen dafür, dass datenschutzrechtliche Vorgaben eingehalten werden müssen. Aus diesen ergibt sich, dass E-Mails nicht weitergleitet und geeignete Vertretungsregelungen getroffen werden sollten. 

Sommerzeit bedeutet für viele Beschäftigte und deren Unternehmen gleichzeitig auch den Beginn der Urlaubszeit. Da viele Prozesse und Projekte in dieser Zeit aber nicht stillstehen können oder sollen, stellt sich oftmals die Frage, wie mit der Abwesenheit der Beschäftigten umgegangen werden kann und wie Vertretungsregelungen getroffen werden können. Abwesenheit und Vertretung bedeuten aus Sicht des Datenschutzes, dass der Zugriff auf personenbezogene Daten zeitweise nicht möglich ist oder durch jemand anderen wahrgenommen wird. Was dabei beachtet werden sollte, betrachten wir nachfolgend.

Die erste und drängendste Frage, mit der man sich vor der Abwesenheit beschäftigt, ist häufig, wie mit E-Mails, die während des Urlaubs eingehen, am besten umgegangen wird. Die naheliegendste Lösung ist eine Abwesenheitsnotiz, welche über das E-Mail-Programm eingestellt werden kann, und folgende Inhalte enthalten sollte:

Eine Abwesenheitsnotiz könnte demnach beispielsweise so aussehen:

Weitere Informationen zur Abwesenheit, wie der Grund des Urlaubs, Urlaubsort, Beschreibungen der Reise oder sonstige Angaben zur Abwesenheit sollten im Sinne der Datensparsamkeit in der Abwesenheitsnotiz nicht erwähnt werden. Auch die Person, welche die Vertretung übernimmt, sollte diese Informationen nicht nach außen kommunizieren. Falls vorhanden und im Hinblick auf eine vertrauliche Bearbeitung möglich, bietet sich zur Vertretung alternativ der Verweis auf ein allgemeines Postfach oder auf ein Ticketsystem an. Dadurch kann eine schnelle Bearbeitung und zielgerichtete Aufteilung der eingehenden Anfragen gewährleistet werden.

Keine Weiterleitung von E-Mails
Worauf zwingend verzichtet werden sollte, ist eine (automatische) Weiterleitung von E-Mails. Das begründet sich damit, dass Absender von E-Mails davon ausgehen, dass die jeweilige E-Mail eine bestimmte Person, nämlich den angeschriebenen Empfänger, erreicht. Entsprechend vertraulich oder sensibel können die Inhalte der E-Mail sein. Wenn diese nun automatisch an eine dritte Person oder gar an mehrere Personen übermittelt werden, handelt es sich i.d.R. um eine unrechtmäßige Weitergabe von Daten. Besonders, wenn die private Nutzung des E-Mail-Accounts nicht ausgeschlossen ist, muss eine Weiterleitung vermieden werden. Auch hinsichtlich des Transparenzgebots der Datenverarbeitung sollte eine automatische Weiterleitung vermieden werden, da der Absender i.d.R. nicht über eine Weiterleitung informiert ist. Der Verweis auf eine Vertretung und deren Kontaktdaten, ermöglicht es dem Absender, zu entscheiden, ob er seine E-Mail erneut sendet oder seine E-Mail entsprechend anpasst und gibt ihm so die Möglichkeit selbst zu steuern, welche personenbezogenen Daten er an den Vertreter preisgibt.

Weitere Vertretungsregelungen
Außerhalb des E-Mail-Postfachs kann ebenfalls aufgrund der Abwesenheit eine Vertretungsregelung notwendig sein. Aus der Sicht von Dritten, wie etwa Kunden oder Geschäftspartnern, spielt dabei der Grundsatz der Verfügbarkeit von personenbezogenen Daten eine wichtige Rolle. Unter Verfügbarkeit versteht sich die Voraussetzung, dass Daten vorhanden und abrufbar sein müssen. Demnach muss sichergestellt werden, dass personenbezogenen Daten auch während der Abwesenheit von Beschäftigten zur Verfügung stehen. Dazu eignet sich eine entsprechende Vertretungsregelung, die durch ein geeignetes Rollen- und Berechtigungskonzept unterstützt werden kann. Beispielsweise könnten der zur Vertretung bestimmten Person für die Abwesenheit der zu vertretenden Person entsprechende Rechte übertragen werden.

Bei der Umsetzung der Vertretungsregelung spielt die Auswahl der zur Vertretung bestimmten Person(en) eine wichtige Rolle zur Sicherstellung eines angemessenen Datenschutzniveaus. Diese sollten mit den Grundzügen des Datenschutzes vertraut sein, was durch eine entsprechende Schulung sichergestellt werden kann und dazu beiträgt, dass die übermittelten Daten rechtskonform behandelt werden. So ist beispielsweise darauf zu achten, dass die erhaltenen personenbezogenen Daten nur für den jeweiligen Zweck verarbeitet werden und nicht für andere unternehmerische Zwecke, wie bspw. Werbung, verwendet werden. Weiterhin müssen die zur Vertretung bestimmten Personen auf die Vertraulichkeit und die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet sein. Das gilt besonders dann, wenn dem Absender der E-Mail bzw. dem Kunden dies vertraglich zugesichert wird.

Getreu dem Motto „keine Regeln ohne Ausnahmen“ kann es bei Abwesenheiten zu Sonderfällen kommen, die eine Abweichung von den getroffenen Bestimmungen erfordern. Wenn sich Abwesenheiten aufgrund unterschiedlicher Gründe ungeplant verlängern oder die Vertretungsregelung nicht ausreicht, um personenbezogene Daten aus wichtigen unternehmerischen Gründen zu verarbeiten, kann es notwendig sein, Vertretungsregelungen anzupassen. Diese Anpassungen reichen von der Vergabe weiterer Berechtigungen, über die Kommunikation der längeren Abwesenheit zu Dritten bis hin zu Einrichtung eines Lesezugriffs für das betroffene Postfach. Dabei sollten stets im besonderen Maße datenschutzrechtliche Vorgaben eingehalten werden, um die abwesende Person, betroffene Dritte sowie das Unternehmen zu schützen. Bei der Anpassung empfiehlt es sich, eine entsprechende Fachmeinung durch einen Datenschutzbeauftragten einzuholen. Darüber hinaus kann die Hinzuziehung einer Arbeitnehmervertretung notwendig werden.

Unsere Empfehlungen für Sie: Die Regelung von Abwesenheiten und deren Vertretung hängt von der Ausgestaltung des Unternehmens ab und erfordert i.d.R. eine Betrachtung im Einzelfall. Dabei sollte stets darauf geachtet werden, dass personenbezogene Daten von Dritten und den eigenen Beschäftigten betroffen sind und dass Abwesenheiten nach betrieblichen Belangen gestaltet werden müssen. Die Ausgestaltung sollte daher nach „Augenmaß“ erfolgen und für alle Seiten eine gute und datenschutzkonforme Lösung darstellen.

Dieser Beitrag wurde nach bestem Gewissen und aktuellem Kenntnisstand bei der Veröffentlichung erstellt. Für die Richtigkeit und Vollständigkeit des Beitrags übernehmen wir keine Gewähr. Wir weisen darauf hin, dass dieser Beitrag nicht alle Besonderheiten des Einzelfalls berücksichtigt und daher keine individuelle Beratung zu einem konkreten Sachverhalt ersetzt. Gerne stehen wir Ihnen unter den bekannten Kontaktdaten zur Verfügung.

Aus Gründen der besseren Lesbarkeit wird in diesem Beitrag bei der allgemeinen Bezeichnung von Personengruppen auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet und stattdessen das generische Maskulinum verwendet. Sofern nicht explizit anders erwähnt, sind damit jedoch auch stets weibliche oder anderweitige Geschlechteridentitäten gemeint. Diese Vorgehensweise dient lediglich der Vereinfachung und soll keine Diskriminierung darstellen.

Bildquelle: Foto von Sean Oulashin auf Unsplash

KONTAKT

Wir freuen uns auf Ihre Kontaktaufnahme.

E-Mail info@berisda.de
Telefon +49 661 29 69 80 90