DSGVO-konforme Nutzung privater Telefonnummern und E-Mail-Adressen in Krisensituationen
In der digitalen Arbeitswelt ist ein funktionierendes Notfallmanagement essenziell. Doch was passiert, wenn bei einem IT-Sicherheitsvorfall die interne Kommunikationsinfrastruktur ausfällt? Viele Unternehmen stehen dann vor einer heiklen Frage: Dürfen private Telefonnummern und E-Mail-Adressen von Beschäftigten zur Kontaktaufnahme verwendet werden?
Eine aktuelle Anfrage aus dem Tätigkeitsbericht 2024 des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg bringt Licht ins Dunkel – und liefert klare datenschutzrechtliche Orientierung für Arbeitgeber.
Ausgangslage: Wofür wurden die Kontaktdaten ursprünglich erhoben?
In dem konkreten Fall hatte ein Unternehmen private Kontaktdaten seiner Beschäftigten gespeichert – ursprünglich zur Erreichbarkeit bei ungeklärter Abwesenheit. Nun sollte deren Nutzung auch für Notfälle wie Cyberangriffe oder Systemausfälle erfolgen. Grundlage dafür war Art. 6 Abs. 1 lit. f DSGVO: das berechtigte Interesse des Arbeitgebers. Da der Zweck der Datenverarbeitung geändert wurde, musste auch Art. 6 Abs. 4 DSGVO berücksichtigt werden – Stichwort Zweckänderung.
Ist das rechtlich zulässig?
Grundsätzlich dürfen private Kontaktdaten verarbeitet werden, wenn sie zur Durchführung des Arbeitsverhältnisses erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO). Für den Zugriff im Krisenfall gilt: Nur die Beschäftigten, die für die Sicherung des Geschäftsbetriebs notwendig sind, dürfen kontaktiert werden – und das auch nur dann, wenn keine andere Möglichkeit der Erreichbarkeit besteht.
Ein professionelles Notfallmanagement – idealerweise auf Basis des BSI-Standards 100-4 – sollte genau definieren, wer im Ernstfall erreichbar sein muss. Fehlen solche Vorgaben, ist der Zugriff auf private Daten kritisch zu prüfen und zu dokumentieren.
Erreichbarkeit außerhalb der Arbeitszeit
Ein besonders sensibler Punkt ist die Kontaktaufnahme in der Freizeit. Hier gilt: Wenn die Information – etwa über einen kompromittierten Arbeitsplatz – rechtzeitig nur über private Kanäle erfolgen kann (z. B. bei Homeoffice), ist dies unter Umständen zulässig. Alternativ sollten Unternehmen auf klare Regelungen wie Rufbereitschaften oder verbindliche Erreichbarkeitszeiten setzen, um planbare und transparente Lösungen zu schaffen.
Ein Zugriff auf private Telefonnummern oder E-Mail-Adressen darf nur erfolgen, wenn es keine milderen Mittel gibt, um die notwendige Information zu übermitteln.
Zweckänderung rechtssicher umsetzen
Soll eine bereits erhobene private Telefonnummer nun auch für Notfälle genutzt werden, stellt dies eine Zweckänderung dar. Diese ist nach DSGVO zulässig, wenn:
- der neue Zweck mit dem ursprünglichen Zweck verbunden ist,
- keine sensiblen Datenkategorien betroffen sind,
- die betroffenen Personen keine unzumutbaren Nachteile erleiden und
- geeignete Schutzmaßnahmen wie Verschlüsselung ergriffen wurden.
Im Ergebnis ist die Notfallnutzung der Kontaktdaten dann zulässig, wenn die ursprüngliche Erhebung auf dienstliche Erreichbarkeit abzielte und der Zweck eng damit verbunden bleibt. Wichtig: Die Beschäftigten sind gemäß Art. 13 Abs. 3 DSGVO über die neue Nutzung zu informieren.
Fazit: Datenschutz und Notfallkommunikation – mit Plan zur Rechtssicherheit
Ein funktionierender IT-Notfallplan ist nicht nur organisatorisch sinnvoll, sondern auch aus datenschutzrechtlicher Sicht essenziell. Nur wenn genau festgelegt ist, wer im Ernstfall wie erreichbar sein muss, können Arbeitgeber auf private Kontaktdaten DSGVO-konform zugreifen. Ohne Plan drohen nicht nur Kommunikationsausfälle, sondern auch rechtliche Risiken.
Sie benötigen Unterstützung bei der rechtssicheren Gestaltung Ihrer Notfallkommunikation oder beim Umgang mit personenbezogenen Daten im IT-Notfall? Wir stehen Ihnen gern beratend zur Seite.