Datenschutz und Urlaub – was gilt es zu beachten?

Der Urlaub ist für viele Arbeitnehmer Zeit zur Regeneration und Erholung. Damit die betrieblichen Abläufe trotz der zeitweisen Abwesenheit der Mitarbeiter weiterlaufen, muss einiges organisiert werden. Das reicht vom digitalen Urlaubsplan über Vertretungs- und Abwesenheitsregelungen bis hin zum hybriden ortsunabhängigen Arbeiten von unterwegs oder vom Urlaubsort. Doch bei aller Vorfreude wird dabei häufig das Thema Datenschutz übersehen. Wir erklären Ihnen welche Stolpersteine Sie besser vermeiden sollen.

Digitaler Urlaubskalender

Zur Vorbereitung der Urlaubszeit ist typischerweise einiges an Koordination gefragt: Die Wünsche der Mitarbeiter sollen berücksichtigt werden und gleichzeitig ist es wichtig auch während der Abwesenheit der Urlauber die Arbeitsabläufe im Unternehmen sicherzustellen.
Für diese Koordination der Urlaube kommt häufig ein digitaler Urlaubskalender zum Einsatz, in dem die Mitarbeiter ihren Wunschurlaub eintragen. Doch leider verträgt sich so ein digitaler Urlaubskalender nur bedingt mit der DSGVO. Denn auch wenn es für das Aufrechterhalten der betrieblichen Abläufe durchaus erforderlich sein kann, die einzelnen Termine festzuhalten, so ist es in der Regel nicht notwendig, diese Termine inklusive der Namen für alle Mitarbeiter öffentlich zu machen. Denn dies widerspricht den Prinzipien der Datenminimierung und Vertraulichkeit gem. Art 5 DSGVO.
Wenn Sie dennoch so einen öffentlichen Urlaubsplaner verwenden wollen, dann sollten Sie vorab die Verwendung mit einer freiwilligen Zustimmung absichern. Außerdem ist es wichtig, dass Sie dem Prinzip der Datenminimierung folgen und vergangene Urlaubseinträge regelmäßig löschen. Denn nach dem Urlaub entfällt der notwendige Zweck zur Speicherung der persönlichen Daten.
Auf der ganz sichern Seite sind Sie aber erst, wenn der Urlaubskalender nicht öffentlich zugänglich ist, sondern von einer vorab definierten Person, z.B. der Personalabteilung geführt und gepflegt wird. Insbesondere wenn es Mitarbeiter gibt, die einer Verarbeitung der Daten nicht zustimmen, kann dies zu einer Option werden.

Weiterleitung von E-Mails an die Urlaubsvertretung

Auch während der Abwesenheit eines Mitarbeiters gibt es Dinge zu beachten. In vielen Unternehmen werden beispielsweise die eingehenden E-Mails einfach an die interne Vertretung weitergeleitet. So landet der Verfasser direkt beim richtigen Ansprechpartner. Für viele Unternehmen ist das eine Frage des guten Kundenservice.
Jedoch ist dieses Vorgehen nur bedingt mit der DSGVO in Einklang zu bringen. Denn es kann in diesem Fall nicht sichergestellt werden, dass nicht auch private E-Mails durch diese automatische Weiterleitung beim Kollegen landen.
Auch das Ausschließen der privaten Nutzung per Vereinbarung, kann nicht verhindern, dass Betriebsfremden die Weisung des Arbeitgebers nicht bekannt ist und sie deshalb trotzdem private E-Mails an die abwesende Person schicken.
Um hier eine DSGVO-konforme Lösung zu ermöglichen, empfehlen wir auf eine automatische Weiterleitung zu verzichten. Stattdessen sollten Sie über einen Abwesenheitsassistenten den Hinweis anbringen, dass über diese Adresse aktuell keine E-Mails bearbeitet werden und eine andere E-Mail-Adresse für eine zeitnahe Bearbeitung verweisen. Damit kann der Versender der E-Mail selbst entscheiden, ob ein anderer Mitarbeiter die E-Mail erhalten soll oder nicht.

Nutzung von öffentlichen WLAN-Hotspots

Und auch für die Mitarbeiter gilt es im Urlaub Stolpersteine zu beachten. Insbesondere die Nutzung von öffentlichen WLAN-Hotspots birgt ein großes Risiko für sensible Daten. Solche WLAN-Netzwerke finden sich häufig in Hotels oder Bahn- und Flughäfen und sie sind typischerweise nicht verschlüsselt. Das bedeutet, dass Ihre Daten von Dritten abgehört werden können und nicht ausreichend gesichert sind.
Wenn Sie Ihren Mitarbeitern das DSGVO-konforme von unterwegs ermöglichen wollen, dann sollten Sie hierfür geeignete technische und organisatorische Maßnahmen bereitstellen. Dies kann beispielsweise eine verschlüsselte Verbindung mittels VPN sein. Oder auch ein Smartphone mit ausreichendem Datenvolumen. Denn damit kann der Mitarbeiter einen eigenen verschlüsselten WLAN-Hotspot erzeugen und ist nicht mehr auf unsichere, öffentliche Netzwerke angewiesen.


Zusammenfassend lässt sich aber sagen: Auch wenn beim Thema „Urlaub“ das eine oder andere DSGVO-Thema zu beachten ist, so ist das mit etwas Wissen um die Ausgestaltung der Prozesse durchaus lösbar. Wenn Sie Fragen zur DSGVO-konformen Ausgestaltung der Urlaubsplanung benötigen, dann melden Sie sich doch einfach bei uns. Einfach per E-Mail an dsb@fly-tech.de oder per Telefon unter 0821 207111 -17.

Header-Bild by Ethan Robertson on Unsplash

Anmeldung zum Newsletter