Notfallnummer: Private Kontaktdaten rechtssicher organisieren

Die Organisation von Notfallnummern im Unternehmen ist ein wichtiger Bestandteil des betrieblichen Krisenmanagements. Dieser Beitrag zeigt, wie Unternehmen die privaten Telefonnummern und E-Mail-Adressen ihrer Beschäftigten datenschutzkonform für die Notfallkommunikation nutzen können. Im Fokus stehen dabei „Notfall“ und „Telefonnummer.

Wann dürfen Unternehmen private Telefonnummern im Notfall nutzen?

Die Nutzung privater Kontaktdaten von Beschäftigten wirft regelmäßig datenschutzrechtliche Fragen auf. Grundsätzlich dürfen personenbezogene Daten nach Art. 6 Abs. 1 Buchst. b) DSGVO verarbeitet werden, wenn dies zur Durchführung des Arbeitsvertrags erforderlich ist. Im Kontext eines Notfalls, etwa bei IT-Sicherheitsvorfällen oder anderen betrieblichen Krisen, kann die Kontaktaufnahme über private Telefonnummern oder E-Mail-Adressen notwendig sein, um den Geschäftsbetrieb aufrechtzuerhalten und Schäden zu begrenzen.

Unternehmen müssen jedoch sicherstellen, dass nur die Beschäftigten kontaktiert werden, die tatsächlich informiert werden müssen. Die Auswahl der relevanten Personen hängt von den konkreten Umständen und dem jeweiligen Notfall ab. Ein Geschäftsfortführungs- und Notfallkommunikationsplan hilft, diese Prozesse zu strukturieren und die Datenverarbeitung zu begrenzen. Hierüber berichtet der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) in seinem aktuellen Tätigkeitsbericht und nennt aus seiner Sicht Anforderungen und Umsetzungsmöglichkeiten.

Welche Voraussetzungen gelten für die Zweckänderung bei Notfallnummern?

Die Verwendung bereits erhobener privater Telefonnummern für die Notfallkommunikation stellt eine Zweckänderung dar. Nach Art. 6 Abs. 4 DSGVO ist eine solche Verarbeitung zulässig, wenn der neue Zweck mit dem ursprünglichen Erhebungszweck vereinbar ist. Die Kriterien für die Vereinbarkeit umfassen zum Beispiel die Verbindung zwischen ursprünglichem und neuem Zweck oder die Art der personenbezogenen Daten. Aber auch mögliche Folgen für die betroffenen Personen oder das Vorhandensein geeigneter Garantien wie Verschlüsselung oder Pseudonymisierung sind relevant.

Die Verarbeitung privater Kontaktdaten ist zulässig, wenn sie dem dienstlichen Zweck dient und keine andere Möglichkeit der Kontaktaufnahme besteht. Beschäftigte müssen gemäß Art. 13 Abs. 3 DSGVO über die Zweckänderung informiert werden.

Wie können Unternehmen Notfallnummern datenschutzkonform organisieren?

Die Organisation von Notfallnummern im Unternehmen erfordert klare Prozesse und transparente Kommunikation. Folgende Maßnahmen sind empfehlenswert:

• Erstellung eines Notfallhandbuchs mit Geschäftsfortführungs- und Kommunikationsplan
• Definition der relevanten Beschäftigten für verschiedene Krisenfälle
• Festlegung, welche Kontaktdaten im Notfall benötigt werden (Handynummer, Festnetz, E-Mail)
• Information der Beschäftigten über die Nutzung ihrer privaten Kontaktdaten
• Prüfung, ob eine Einwilligung der Beschäftigten vorliegt oder eine Rufbereitschaft angeordnet werden kann
• Dokumentation der Maßnahmen und regelmäßige Überprüfung der Prozesse

In einem Urteil  vom LAG Thüringen vom 16. Mai 2018 (AZ 6 Sa 442 / 17) heißt es dazu:

„Die Nutzung von privaten E-Mail-Adressen und Handynummern, um Beschäftigte außerhalb der regulären Arbeitszeit zu kontaktieren, kommt nur in Betracht, wenn es für Arbeitgebende keine milderen Maßnahmen gibt, um den mit der Kontaktaufnahme verfolgten Zweck zu erreichen.“

Welche Risiken bestehen bei der Verarbeitung von Notfallnummern?

Die Verarbeitung privater Telefonnummern im Notfall birgt datenschutzrechtliche Risiken. Unternehmen müssen sicherstellen, dass die Daten nur für den vorgesehenen Zweck verwendet werden und die Beschäftigten mit einer Kontaktaufnahme rechnen können. Die Angemessenheit der Datenverarbeitung hängt davon ab, ob die Information auch am Arbeitsplatz gegeben werden kann oder eine Kontaktaufnahme in der Freizeit notwendig ist, etwa bei Homeoffice oder IT-Sicherheitsvorfällen.

Folgende Risiken sollten beachtet werden:

• Unzulässige Zweckänderung ohne Information der Beschäftigten
• Verarbeitung sensibler Daten ohne geeignete Garantien
• Kontaktaufnahme außerhalb der Arbeitszeit ohne Einwilligung oder Rufbereitschaft
• Fehlende Dokumentation und Transparenz der Prozesse

Was sollten Unternehmen bei der Organisation von Notfallnummern beachten?

Unternehmen sollten bei der Organisation von Notfallnummern folgende Punkte berücksichtigen:

• Klare Definition der Notfallszenarien und der zu kontaktierenden Beschäftigten
• Transparente Information der Beschäftigten über die Nutzung ihrer Kontaktdaten
• Einhaltung der datenschutzrechtlichen Vorgaben nach DSGVO
• Regelmäßige Überprüfung und Aktualisierung der Notfallkommunikationsprozesse
• Berücksichtigung von Alternativen zur Kontaktaufnahme, wie Rufbereitschaft oder arbeitsvertragliche Regelungen

Checkliste für Unternehmen: Organisation von Notfallnummern

• Notfallhandbuch und Kommunikationsplan erstellen
• Beschäftigte für Notfälle definieren
• Kontaktdatenbedarf prüfen (Handy, Festnetz, E-Mail)
• Beschäftigte informieren und ggf. Einwilligung einholen
• Maßnahmen dokumentieren und regelmäßig überprüfen

Notfallnummern im Unternehmen rechtssicher organisieren

Die Organisation von Notfallnummern ist ein zentraler Bestandteil des betrieblichen Krisenmanagements. Unternehmen dürfen private Telefonnummern und E-Mail-Adressen ihrer Beschäftigten für die Notfallkommunikation nutzen, wenn dies erforderlich und datenschutzkonform ist. Voraussetzung ist eine klare Zweckbindung, transparente Information der Beschäftigten und die Einhaltung der Vorgaben der DSGVO. Ein strukturierter Notfallkommunikationsplan hilft, die Prozesse zu steuern und Risiken zu minimieren. Dazu kann auch der Einsatz von Notfallmanagement-Tools sinnvoll sein.