Geschäftsreise: Welche Regeln der DSGVO in diesem Bereich gelten
Viele Unternehmen arbeiten mit einem Geschäftsreisebüro zusammen und schließen eine Datenschutzvereinbarung ab, in der das Reisebüro eine Speicherung der Daten nach DSGVO zusichert.

Geschäftsreise: Welche Regeln der DSGVO in diesem Bereich gelten

Wenn Geschäftsreisen gebucht werden, geben Geschäftsreisende und Unternehmen personenbezogene Daten an ihre Dienstleister. Welche Regeln der DSGVO dabei zu beachten sind und worauf Verantwortliche im Unternehmen achten sollten.

Oft kümmern sich Assistentinnen und Assistenten um die Buchungen der Geschäftsreisen im Team. Dabei haben sie es selbstverständlich mit vielen persönlichen Daten zu tun. Wer die einfach in einer Excel-Tabelle sammelt, handelt sehr wahrscheinlich datenschutzwidrig. „Immer mal wieder sieht man in Unternehmen eine Excel-Aufstellung aller Reisenden, mit Reisevorlieben, Kontaktdaten und Bonuskarten, auf einem allgemeinen Netzlaufwerk“, sagt Marc Will, Geschäftsführer bei Intertours Reisen & Events GmbH. Wenn darauf auch andere Mitarbeiter Zugriff haben, verstößt das eindeutig gegen die Datenschutzgrundverordnung (DSGVO), die ein Recht auf Privatheit persönlicher Daten festschreibt.

DIE KLEINEN STOLPERFALLEN

„Wenn Sie als Team-Assistenz die Buchungen übernehmen, müssen folgende Fragen DSGVO-konform beantwortet werden: Ist die Datei verschlüsselt? Wer kann darauf zugreifen? Wenn die Team-Assistenz kurz ihren Arbeitsplatz verlässt, ist die Excel-Datei mit den persönlichen Daten des Mitarbeiters dann noch geschützt?“, fragt Andrea Zimmermann, Beraterin für Travel-, Veranstaltungs- und Mobilitäts-Management.

Weiter sind womöglich auch Auswertungen zugänglich. „Dann können alle Kollegen sehen, wer wann wohin gereist ist. Auch das ist datenschutzrechtlich problematisch“, ergänzt Marc Will. Richtig kritisch wird es, wenn in einer Excel-Liste auch noch die Kreditkartendaten gespeichert sind: „Wenn ein Kreditkartenunternehmen feststellt, dass ein Unternehmen die Kreditkartendaten inklusive kompletter Nummer, Ablaufdatum und CVC-Code in einer einzigen Excel-Datei gespeichert hat, dann trägt bei einem Missbrauch der Karteninhaber das volle Risiko, die Begrenzung auf i. d. R. 50 EUR ist dann aufgehoben“, warnt Andrea Zimmermann.

DATENSCHUTZVEREINBARUNG ABSCHLIESSEN

Die Bandbreite an Datenschutzverstößen ist also groß. Um sich rechtlich nicht angreifbar zu machen, sollte man also genau Bescheid wissen und entsprechende Vorkehrungen treffen. Viele Unternehmen arbeiten beispielsweise mit einem Geschäftsreisebüro zusammen und schließen eine Datenschutzvereinbarung ab, in der das Reisebüro eine Speicherung der Daten nach DSGVO zusichert und insbesondere auch die TOMs (Technische und Organisatorische Maßnahmen) geregelt sind.

„Die Datenschutzvereinbarung muss Aufschluss darüber geben, wer für die Daten verantwortlich und damit auskunftspflichtig ist, welche Daten wo gespeichert sind und was im Einzelnen mit den Daten gemacht wurde. Denn das ist der Kern der DSGVO: Der Arbeitnehmer hat ein Auskunftsrecht über seine Daten“, sagt Rüdiger Mahnicke, Inhaber von Steinberg & Partner GmbH, einer Unternehmensberatung im Bereich Business Travel Management.

Grundsätzlich empfiehlt es sich, eine sogenannte Auftragsverarbeitung abzuschließen, stimmt Marc Will von Intertours zu. In dieser werden die technischen und organisatorischen Maßnahmen genauer beschrieben, die im Rahmen einer Zusammenarbeit umgesetzt werden. „Dann bekommt man bereits ein Gefühl für seinen Dienstleister und ob das Thema Datenschutz ernsthaft umgesetzt wurde.“

Den vollständigen Artikel lesen Sie in working@office.