logo_klein
Urlaub und Workation – Was bedeutet das für den Datenschutz?
Urlaub und Workation – Was bedeutet das für den Datenschutz?

Die Urlaubssaison steht vor der Tür. Mit auf Reisen geht heutzutage oft nicht nur das Diensthandy, sondern auch gleich das Dienstnotebook. Ob nun vom Arbeitgeber erwartet oder freiwillig gewählt als Arbeiten von einem anderen Ort auf der Welt (Workation), es gibt nicht nur steuerrechtliche und arbeitsrechtliche Themen zu beachten. Auch Datenschutzrecht muss unbedingt mitbedacht werden, sonst kann der Traumurlaub oder auch die traumhafte Workation zum Albtraum werden.

Datenschutz im Verhältnis Unternehmen und Mitarbeiter

Einerseits stellen sich Fragen im Verhältnis Unternehmen und Mitarbeiter. Löst etwa der Mitarbeiter eine Datenübertragung ins Ausland aus, wenn er von dort auf Unternehmensdaten zugreift? Falls dies so wäre, stellen sich natürlich Fragen nach dem Kapitel V der DSGVO, sofern sich der Mitarbeiter außerhalb des EWR aufhält. Dies hätte zur Folge, dass beispielsweise Standardvertragsklauseln (SCCs) abgeschlossen werden müssten.

Hier kann aber Entwarnung gegeben werden. Ruft ein Mitarbeiter etwa Daten über seine dienstlichen Geräte ab, ist er datenschutzrechtlich gesehen immer noch dem Unternehmen zuzuordnen. Kapitel V der DSGVO wäre also nur anwendbar, wenn die Daten an eine andere Stelle übermittelt werden. Dies ist bei näherer Betrachtung auch logisch, denn ein Datentransfer bedeutet, dass eine neue Stelle hinzukommt (entweder ein Auftragsverarbeiter oder ein Verantwortlicher). Der EDSA hat daher diesen Fall bereits im Jahr 2021 nicht als Fall des Kapitel V der DSGVO eingestuft.

Datenschutz aus Perspektive des Unternehmens

Ist der Mitarbeiter im Ausland, muss der Unternehmer zwar nicht die Regelungen des Kapitels V der DSGVO beachten, dies bedeutet jedoch nicht, dass er nicht uU trotzdem verpflichtet ist besondere Schutzmaßnahmen im Bezug auf Workation oder den Urlaub des Mitarbeiters zu beachten. Dies ergibt sich bereits aus Art 32 DSGVO (Sicherheit der Verarbeitung), Art 33 (Vorschriften zum data breach), Art 35 (Vorschriften zu Datenschutz-Folgeabschätzung) und Art 48 DSGVO (Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung).

Praxistipps für Urlaub - Workation - Datenschutz

Das heißt aus Unternehmerperspektive Folgendes:

  • Die Mitarbeiter sind innerhalb des EWR unterwegs: Die sonst üblichen Datensicherheitsmaßnahmen dürften ausreichend sein.
  • Die Mitarbeiter sind außerhalb des EWR unterwegs: Es liegt kein Datentransfer im Sinner von Kapitel V der DSGVO vor. Dennoch sollte kritisch geprüft werden, ob die Reise des Mitarbeiters sich auf die Datensicherheit auswirken kann, ob zusätzliche Maßnahmen erforderlich sind (zum Beispiel Verschlüsselung) oder ob ein Arbeiten von dort unzulässig ist (weil zum Beispiel ein hohes Risiko besteht, dass auf Geräte zugegriffen wird, Daten beschlagnahmt werden).

Ein entsprechend niedriges Risiko (und damit je nach Einzelfall auch eher keine zusätzliche Maßnahmen) außerhalb des EWR dürfte jedenfalls in den Ländern erforderlich sein, welche über ein adäquates Datenschutzniveau nach einem Angemessenheitsbeschluss (z B Vereinigtes Königreich, Kanada, Israel, Schweiz) verfügen.

Somit liegt zwar rechtlich gesehen kein Datentransfer in Drittstaaten vor, wenn der Mitarbeiter von einem solchen Staat auf die Daten des Unternehmens zugreift, das Kapitel V spielt jedoch in Einzelfällen durchaus eine Rolle und kann bei der Einschätzung der Datensicherheit zusätzlich helfen.

Quelle

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Sie haben weitere Fragen im Datenschutzrecht?

Sie haben weitere Fragen zum Thema Datenschutz im Urlaub oder auf Workation oder wollen sich in anderen Bereichen des Datenschutzrechts beraten lassen? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Scroll to Top