Stellen Sie sich folgende Situation vor: Sie wachen morgens, bevor Sie Ihren Arbeitstag im Home Office starten wollen, durch das Klingeln Ihres Privathandys auf. Nachdem Sie den Anruf entgegennehmen, werden Sie von Ihrem Vorgesetzten darüber informiert, dass die gesamte IT Ihres Unternehmens aufgrund eines Cyberangriffs lahmgelegt ist. Nach Beendigung des Gesprächs fragen Sie sich plötzlich, woher Ihr Vorgesetzter eigentliche Ihre private Telefonnummer hat. Und darf er diese überhaupt zur Kontaktaufnahme nutzen, wenn die dienstlichen Kommunikationswege nicht funktionieren?
Nutzung von privaten Kontaktdaten bei Notfällen
Mit der Frage, ob private Telefonnummern und E-Mail-Adressen zur Kommunikation bei IT-Notfällen verwendet werden dürfen, hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) in seinem 40. Tätigkeitsbericht Datenschutz 2024 (S. 58-60) befasst. In einer entsprechenden Anfrage eines Unternehmens, die an die Aufsichtsbehörde gestellt wurde, ging es um die Nutzung privater Kontaktdaten von Beschäftigten, die bereits intern verarbeitet wurden. Die Daten wurden dabei ursprünglich zum Zwecke der Erreichbarkeit von Mitarbeiterinnen und Mitarbeitern durch Führungskräfte bei ungeklärten Abwesenheiten erhoben. Das anfragende Unternehmen wollte nunmehr eine zweckändernde Verarbeitung auf Basis der Rechtsgrundlage in Art. 6 Abs. 1 S. lit. f DSGVO (Erforderlichkeit zur Wahrung eines berechtigten Interesses) zur Aufrechterhaltung der betrieblichen Kommunikation bei IT-Notfällen vornehmen und wandte sich diesbezüglich für eine Beratung an die Aufsichtsbehörde.
Ansicht der Aufsichtsbehörde
Nach Meinung des LfDI BW kann die Verarbeitung personenbezogener privater Kontaktdaten bei IT-Notfällen unter bestimmten Voraussetzungen durchaus zulässig sein. So könne die Datenverarbeitung auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden, wenn sie für die Durchführung des Arbeitsvertrages erforderlich sei. Grundsätzlich müsse dabei aber anhand der konkreten Umstände des jeweiligen Falls bewertet werden, mit welchen Beschäftigten die Kontaktaufnahme zu erfolgen habe, „um den Geschäftsbetrieb aufrechtzuerhalten, Daten zu sichern und den Schaden zu begrenzen“. Dies könne bspw. im Rahmen eines Notfallkommunikationsplans vorab festgelegt werden. Zudem gelte es zu ermitteln, welche privaten Kontaktdaten zur Umsetzung des Verarbeitungszwecks tatsächlich genutzt werden müssen. Vor der praktischen Verwendung der Daten seien außerdem mildere Mittel sowie die Erwartbarkeit der Kontaktaufnahme zu prüfen. So komme diese i. d. R. in Betracht, wenn eine Information vor Ort am Arbeitsplatz nicht erfolgen könne und während der regulären Arbeitszeit bzw. einer Rufbereitschaft oder definierten Erreichbarkeitszeit stattfinde. Zudem habe eine datenschutzrechtliche Aufklärung der betroffenen Person(en) gemäß Art. 13 DSGVO über die Verarbeitung zu erfolgen.
Rückschlüsse
Der LfDI BW verweist somit darauf, dass private Daten bei IT-Notfällen – wie z. B. bei Cyberangriffen – unter Berücksichtigung der vernünftigen Erwartungen und Wahrung der Transparenz grundsätzlich rechtmäßig verarbeitet werden können. Er bezieht sich dabei allerdings auf den (vorher zu bestimmenden) Personenkreis, der aufgrund des Notfalls unbedingt informiert werden muss, um entsprechend zu handeln. Dieser dürfte regelmäßig vor allem aus den zuständigen Beschäftigten im Bereich der IT bestehen. Im Hinblick auf andere Beschäftigten, die im Falle eines Notfalls nicht selbst auf den Vorfall reagieren, aber gleichzeitig davon betroffen sind, sollten daher keine privaten Kontaktdaten zur Information über die Situation verarbeitet werden. Es empfiehlt sich stattdessen, z. B. durch ein Notfallkonzept, zu bestimmen, wie eine betriebliche Kommunikation auch bei IT-Vorfällen gewährleistet werden kann. Idealerweise sollte bspw. bereits im Voraus ein System/Dienstleister ausgewählt werden, mit dem „im Fall der Fälle“ kurzfristig ein Informationsaustausch gewährleistet werden kann – ohne dazu auf Privatdaten zurückgreifen zu müssen.