Die große Urlaubswelle in den Sommerferien ist längst angekommen. Immer mehr Menschen verbinden mittlerweile auch das Reisen mit der Arbeit in Form der sog. „Workation“, d. h. sie gehen ihrer beruflichen Tätigkeit an einem Urlaubsort nach.

Mit dem Laptop im Café am Strand in Italien sitzen oder in der Finca auf Mallorca? Die moderne Ausstattung und Digitalisierung in vielen Berufen machen dies längst möglich. Große Kanzleien und viele Unternehmen bieten sogar entsprechende interne Programme an, um den Beschäftigten eine solche „Reise“ zu ermöglichen. In den USA ist dies bisweilen sogar Teil der Vergütung. Doch was gilt es aus Sicht des Datenschutzes beim Arbeitsmodell Workation zu beachten?

Homeoffice, Mobil Office, Workation?

Auf den ersten Blick hat das mobile Arbeiten vieles gemeinsam mit der Workation: Es wird mit entsprechenden Arbeitsgeräten, wie z. B. dem vom Arbeitgeber ausgehändigten Laptop und Handy, außerhalb des Büros gearbeitet. Dies kann in einem Café an der Ecke, während der Zugfahrt oder im heimischen Garten erfolgen. Wo ist dann aber der jeweilige Unterschied zu der Arbeit im Büro – und außerhalb des Büros, genauer: innerhalb oder gar außerhalb von Europa?

Neben den diversen arbeitsrechtlichen, versicherungsrechtlichen und steuerrechtlichen Aspekten beim Arbeiten außerhalb des Büros bzw. des Arbeits-/Dienstorts (hier gelten strenge gesetzliche Vorgaben!) sollte das Augenmerk auf das Datenschutzrecht sowie die IT-Sicherheit gelegt werden. Welche datenschutzrechtlichen Voraussetzungen müssen erfüllt sein, wenn die Beschäftigten mit Laptop und Handy irgendwo innerhalb oder außerhalb der EU arbeiten?

Als erstes sollten Unternehmen aus Gründen der Rechtssicherheit klare Vorgaben schaffen, wie die Workation ausgestaltet werden darf. Das betrifft nicht nur die Festlegung der Maximaldauer des Aufenthalts im Ausland, sondern auch den räumlichen und organisatorischen Rahmen dieses Vorhabens.

Denn zur Wahrung der Pflichten aus der DSGVO, insbesondere im Hinblick auf den Umgang mit meldepflichtigen Vorfällen (Datenschutzverletzungen) wie auch die lückenlose Umsetzung der angemessenen technischen und organisatorischen Maßnahmen, muss die Workation vorab mit den erforderlichen Personen (z. B. der Datenschutzkoordination und der IT-Abteilung) abgesprochen werden, um entsprechend vorbereitet zu sein, ggf. bestimmte Sicherheitsvorkehrungen anzupassen und im Notfall, wie beim Verlust des Arbeitsgeräts, reagieren zu können.

Klare Regelungen

Idealerweise gibt es ähnlich wie beim mobilen Arbeiten auch konkrete Richtlinien/Anweisungen, die keine Fragen offenlassen. So wäre in internen Richtlinien bzw. Konzepten u. a. festzulegen, dass durchgängig die vom Unternehmen vorgegebenen Arbeitsgeräte nur nach den technischen Vorgaben (z. B. nur mit Nutzung des VPN-Tunnels) verwendet werden dürfen. Öffentliche oder unsichere WLAN-Netzwerke sollten dabei vermieden werden.

Sensible Gespräche sollten nicht in der Öffentlichkeit geführt werden und die Bildschirme sind vor der Einsichtnahme durch unbefugte Dritte zu schützen. Bei Laptops bieten sich Sichtschutzfolien für das Display an. Dass sich überfüllte Bars oder unsichere Umgebungen nicht für die Arbeit eignen, sollte einem schon der gesunde Menschenverstand sagen.

Hohe Schutzvorkehrungen aus der IT-Sicherheit, z. B. durch die Verschlüsselung der Festplatte mittels Bitlocker und Passwort-Regelungen (wie bspw. Fingerprint-Login) an allen Arbeitsmitteln sowie ggf. sogar den Einsatz von Zwei-Faktor-Authentifizierung am Laptop, sollten längst üblich sein. Um dem Verlust von Arbeitsunterlagen entgegenzuwirken oder den dabei entstandenen Schaden möglichst gering zu halten, sollten ohnehin keine Daten lokal auf den Geräten gespeichert werden.

Papierunterlagen sollten beim Reisen natürlich nicht mitgenommen werden und auch der Ausdruck von sensiblen Daten (z. B. Bewerbungsunterlagen oder medizinische Befunde) außerhalb des Büros wäre grundsätzlich zu untersagen.

Was nicht außer Acht gelassen werden darf: Wenn bei der Arbeit auf umfangreiche Daten von Kund*innen zugegriffen wird oder das Unternehmen eine Dienstleistung als Auftragsverarbeiter anbietet, wäre auch zu prüfen, ob und inwiefern hier das Arbeiten in einem unsicheren Land im Sinne der DSGVO im Ausland möglich ist oder welche zusätzlichen Maßnahmen hier zu treffen wären. Denkbar ist auch die Situation, dass in einem AV-Vertrag das „mobile Arbeiten“ durch den Verantwortlichen ausgeschlossen wird oder die TOMs nicht gemäß des Vertrages hierbei eingehalten werden könnten. Unter Umständen wären dann bestimmte Tätigkeiten für die Workation per se ausgeschlossen.

Besonderheiten: Workation in (unsicheren) Drittländern

In der Rechtswissenschaft wurde bisweilen sogar diskutiert, ob eine Übermittlung von personenbezogenen Daten in ein (unsicheres) Drittland erfolgt, wenn Beschäftigte mit ihrem Laptop z. B. von den USA aus arbeiten und dabei auf das Firmennetzwerk zugreifen. Müsste dafür ein weiterer Datenschutzvertrag im Unternehmen (mit wem eigentlich?) geschlossen werden, um diesen Datentransfer abzubilden? Nach Ansicht des EDSA (Guidelines 05/2021, Version 2.0, 14. Februar 2023) stellt dieser interne Transfer der Daten keine Übermittlung in ein Drittland im Sinne von Kapitel 5 der DSGVO dar. Ungeachtet dessen sollte aber ein interner vertraglicher Rahmen für etwaige Datenflüsse existieren.

Aber wie verhält es sich mit der Nutzung einer unsicheren Telefon- und Internet-Struktur? Und ist das Arbeiten überhaupt in solchen Ländern möglich, die bspw. IP-Adressen oder Websites gezielt blockieren?

Nicht ganz abwegig wäre es, dass Unternehmen auch eine Liste an Ländern oder Regionen führen, in denen der Einsatz von Workation aus bestimmten Gründen, wie bspw. einer unsicheren (politischen) Lage, gänzlich untersagt ist. Gleiches gilt, wenn das Land eine Totalüberwachung vorsieht oder Tourist*innen zur Installation einer „App“ zwingt, wodurch Daten abgegriffen und Bewegungen analysiert werden können. Dieses Recht steht dem Arbeitgeber zu.

Fazit

Trotz der möglichen Flexibilität im Berufsleben sollte die Workation zuvor mit den verantwortlichen Personen abgeklärt und wohlüberlegt sein, um den unterschiedlichen rechtlichen Anforderungen gerecht werden zu können. Hierbei gilt es insbesondere auch datenschutzrechtliche Voraussetzungen zu erfüllen, um die Prozesse auch weiterhin datenschutzkonform abzubilden oder nicht gegen die Pflichten aus der DSGVO zu verstoßen. Interne Regelungen sorgen hierbei für Klarheit. In jedem Fall sollten die Beschäftigten auch im Urlaubsort die entsprechende Sorgfalt im Umgang mit Daten aus dem Beschäftigungsverhältnis walten lassen. Dann kann der nächsten Reise doch nichts im Wege stehen!