Reiserisikomanagement im Konzern

Wo endet Fürsorge und wo beginnt datenschutzrechtlich unzulässige Überwachung?

International tätige Unternehmensgruppen etablieren zunehmend zentrale Risikomanagement-Strukturen. Ziel ist es, bei Naturkatastrophen, geopolitischen Krisen, Terrorlagen oder Pandemien schnell reagieren zu können. So können geplante Geschäftsreisen von Mitarbeitenden umgeplant und gestrandeten Mitarbeitenden, die sich privat in anderen Ländern aufhalten, Abhilfe geschafft werden. Hierfür sollen Reisedaten von Mitarbeitenden zentral verfügbar sein.

Aus Compliance-Sicht erscheint dies nachvollziehbar. Aus datenschutzrechtlicher Perspektive stellt sich jedoch eine differenzierte Frage:

Ist die Verarbeitung der Reisedaten der Mitarbeitenden rechtmäßig, erforderlich und verhältnismäßig?

Maßgeblich für die Bewertung ist die Datenschutz-Grundverordnung. Im Folgenden wird ein hypothetisches, praxisnahes Szenario analysiert.

Das hypothetische Szenario

Eine international agierende Unternehmensgruppe mit Hauptsitz außerhalb der EU führt einen globalen Reiseüberwachungsprozess mit dem Namen „Global Travel Monitoring Tool“ ein.

Mitarbeitende aus der EU sollen künftig:

  1. sämtliche dienstlichen Flüge registrieren,
  2. zusätzlich auch private internationale Flugreisen melden.

Begründung: „Employee Risk Management und globale Notfallkoordination.“ Weitere Konkretisierungen erfolgen zunächst nicht.

I. Rechtsgrundlage – der zentrale Prüfstein

Jede Verarbeitung personenbezogener Daten benötigt nach Art. 6 DSGVO eine Rechtsgrundlage.

Im Beschäftigungskontext kommen regelmäßig in Betracht:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

In konzernweiten Strukturen wird typischerweise die Rechtsgrundlage für die Datenverarbeitung auf das berechtigte Interesse gestützt.

Dieses erfordert jedoch eine dreistufige Prüfung:

  1. Besteht ein legitimes Interesse?
  2. Ist die Verarbeitung erforderlich?
  3. Überwiegen die Interessen oder Grundrechte der betroffenen Person?

Scheitert eine dieser Stufen, ist die Verarbeitung unzulässig.

II. Dienstreisen – grundsätzlich vertretbar, aber nicht grenzenlos

1. Legitimes Interesse

Die Fürsorgepflicht des Arbeitgebers sowie organisatorische Schutzmaßnahmen im Rahmen von Dienstreisen können ein legitimes Interesse darstellen.

Insbesondere bei Reisen in politisch instabile Regionen ist ein strukturiertes Reiserisikomanagement sachlich nachvollziehbar.

2. Erforderlichkeit

Hier liegt der entscheidende Prüfpunkt.

Sind Flugdaten bereits:

  • im Travel-Management-System,
  • beim konzernweit eingesetzten Reiseanbieter,
  • oder in HR-Systemen

erfasst, stellt sich die Frage, ob eine zusätzliche parallele Registrierung bei einem zusätzlichen Monitoring-Tool tatsächlich notwendig ist.

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt: Verarbeitung nur in dem Umfang, der für den Zweck erforderlich ist. Besteht bereits eine funktionsfähige Infrastruktur, könnte eine redundante Meldepflicht unverhältnismäßig sein.

3. Interessenabwägung

Bei dienstlichen Reisen ist der Eingriff in die Privatsphäre begrenzt, da die Daten beruflich veranlasst sind. In der Regel wird die Abwägung zugunsten des Arbeitgebers ausfallen – vorausgesetzt, Transparenz, Zugriffsbeschränkung und Löschfristen sind klar definiert.

Zwischenergebnis:
Dienstreise-Monitoring ist grundsätzlich zulässig, aber nur bei konkreter Zweckbestimmung und nachweislicher Erforderlichkeit.

III. Private Flugreisen – eine qualitativ andere Bewertung

Anders stellt sich die Situation bei privaten Reisen dar.

1. Fehlender Bezug zum Arbeitsverhältnis

Private Reisen gehören zur persönlichen Lebensführung. Ein unmittelbarer Vertragsbezug fehlt regelmäßig. Art. 6 Abs. 1 lit. b DSGVO scheidet daher aus. Es bleibt allein das berechtigte Interesse.

2. Sensibilität von Bewegungsdaten

Reisedaten erlauben Rückschlüsse auf:

  • religiöse Pilgerreisen,
  • politische Aktivitäten,
  • Gesundheitsreisen,
  • familiäre Konstellationen,
  • Bewegungsprofile.

Auch wenn es sich nicht automatisch um besondere Kategorien personenbezogener Daten handelt, erhöht die Möglichkeit der Profilbildung das Schutzbedürfnis erheblich.

Die Charta der Grundrechte der Europäischen Union garantiert in Art. 7 und 8 den Schutz des Privatlebens und personenbezogener Daten. Eine systematische Erfassung privater Bewegungsdaten berührt diesen Kernbereich.

3. Erforderlichkeitsprüfung

Eine pauschale Begründung mit „Risikomanagement“ genügt nicht.

Erforderlich wäre:

  • eine konkret benannte Gefahrenlage,
  • eine nachvollziehbare Risikokette,
  • der Nachweis, dass mildere Mittel nicht ausreichen.

Ohne diese Konkretisierung dürfte die Erforderlichkeit regelmäßig zu verneinen sein.

4. Interessenabwägung

Im Regelfall überwiegt das Interesse der Beschäftigten am Schutz ihrer Privatsphäre. Nur in Ausnahmefällen – etwa bei sicherheitsrelevanten Schlüsselpositionen oder besonderen Compliance-Risiken – könnte eine eng begrenzte Datenerhebung in Betracht kommen.

Eine generelle Meldepflicht für alle Mitarbeitenden wäre typischerweise unverhältnismäßig.

Ergebnis: Die systematische Erfassung privater Flugreisen ist datenschutzrechtlich regelmäßig nicht gerechtfertigt.

IV. Drittlandübermittlung

Werden die Daten an eine Konzernzentrale außerhalb der EU übermittelt, sind zusätzlich die Art. 44 ff. DSGVO zu beachten. Selbst bei Vorliegen eines Angemessenheitsbeschlusses bleibt die materielle Rechtmäßigkeitsprüfung zwingend. Eine zulässige Übermittlung ersetzt keine fehlende Rechtsgrundlage.

V. Wann wäre ein solches System rechtssicher ausgestaltet?

Vor Einführung eines globalen Travel-Monitorings sollten insbesondere geklärt und dokumentiert werden:

  • präzise Zweckdefinition,
  • konkrete Risikoanalyse,
  • Rechtsgrundlage,
  • Zugriffskonzept,
  • Speicherdauer,
  • Pflicht- oder Freiwilligkeitscharakter,
  • ggf. Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO).

Bei systematischer Überwachung von Bewegungsdaten wird eine Datenschutz-Folgenabschätzung häufig geboten sein.

Fazit

Das Reiserisikomanagement im Konzern ist legitim. Doch unter der DSGVO gilt der Maßstab der Verhältnismäßigkeit.

  • Dienstreisen: grundsätzlich zulässig, wenn notwendig und transparent ausgestaltet.
  • Privatreisen: regelmäßig unzulässig mangels Erforderlichkeit und wegen überwiegender Grundrechte der Beschäftigten.

Die globale Konzernsteuerung darf nicht in eine pauschale Bewegungsüberwachung münden, erst recht nicht bei Privatreisen.
Zwischen Fürsorgepflicht und Kontrollinteresse verläuft eine klare datenschutzrechtliche Grenze – und diese wird maßgeblich durch Zweckbindung, Datenminimierung und Verhältnismäßigkeit bestimmt.

Bild von Kenan Tilki

Kenan Tilki

Manager Data Protection Services, Creditreform Compliance Services GmbH