Der Sommer ist in vollen Zügen und damit auch die Sommerferien- und Haupturlaubszeit. Hiermit treten auch für viele Unternehmen die Themen der Abwesenheitsregelungen und mobile Erreichbarkeit in den Vordergrund. Neue Arbeitsmodelle wie Workation und Home-Office bieten in diesem Zusammenhang besonders attraktive Work-Life-Balance-Modelle. Dabei wird teilweise vergessen, dass bei mobilen Arbeitsmitteln, wie Smartphones oder Notebooks, auch während der Reise datenschutzrechtliche Vorgaben zu beachten sind. Deshalb hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 17.07.2025 eine Hilfestellung zu Datenschutz und Cybersicherheit im Urlaub.
Besondere Gefahren während der Urlaubszeit
Während Beschäftigte ihre wohlverdiente Auszeit genießen, ruhen die Aktivitäten von Cyberkriminellen keineswegs. Die Gefahren gehen hierbei über bloße tatsächliche visuelle Einsicht in den Bildschirm durch physische Anwesenheit von Tätern hinaus. Vielmehr wird die Urlaubszeit gezielt genutzt, um mit Phishing-Nachrichten, kompromittierten WLANs oder manipulierten Ladepunkten persönliche und geschäftliche Daten abzugreifen. Das BSI erklärt zum Beispiel, dass Betrüger gefälschte Reisebestätigungen oder Hotelrechnungen per Mail versenden, um so Zugriff auf die mobilen Endgeräte zu erlangen.
Datenschutzrechtliche Relevanz für Unternehmen
Auch wenn sich die Empfehlungen des BSI auf individuelle Nutzer beziehen, sind viele der geschilderten Angriffsszenarien auch für Unternehmen hochrelevant. Das gilt insbesondere dann, wenn dienstliche Geräte oder Zugriffsmöglichkeiten auf Unternehmenssysteme mobil genutzt werden. Risiken bestehen etwa bei einer beruflich veranlassten Reise oder einer Nutzung von Remote-Work während Urlaub oder Workation.
Im Grunde gelten hier die regulären datenschutzrechtlichen Vorgaben an die Sicherheit der Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO). Das bedeutet für Arbeitgeber als Verantwortliche, dass sie geeignete technische und organisatorische Maßnahmen auch für Reisesituationen umsetzen müssen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Der Einsatz mobiler Geräte ändert dabei nichts an den Anforderungen. Im Gegenteil gilt, dass je schwerer die Kontrolle der Geräteumgebung ist, desto höher sind auch die Anforderungen an ihre Absicherung.
Phishing und Fake-Rechnungen
Zu den klassischen Angriffsmustern zählen nach wie vor E-Mails mit gefälschten Reisebestätigungen, Hotelrechnungen oder vermeintlichen Flugstornos. Auch SMS- oder Messenger-Nachrichten kommen inzwischen häufig zum Einsatz. Die Qualität der Fälschungen hat sich deutlich erhöht, was gerade in stressigen oder unaufmerksamen Reisesituationen das Risiko von Fehlklicks erhöht.
Unternehmen sollten daher klare Regelungen für die Kommunikation während der Reise aufstellen, insbesondere für die Übermittlung sensibler Informationen oder für Anfragen, die ungewöhnlich oder verdächtig erscheinen. Das BSI empfiehlt außerdem, bei Buchungen, wenn möglich, nur über das entsprechende Reiseportal mit dem Anbieter zu kommunizieren. Diese sollten nicht über Links in E-Mail, sondern über die Eingabe der Adresse in das Suchfeld der Suchmaschine aufgerufen werden.
Öffentliche WLANs und Ladepunkte
Ein ebenfalls verbreiteter Angriffsvektor sind öffentliche WLANs. Hier besteht die Gefahr, dass Daten über unsichere Netzwerke abgegriffen oder sogar eigene WLANs, bezeichnet als „Free Airport WiFi“, hierzu erstellt werden. Dasselbe gilt für öffentliche Ladestationen, bei denen manipulierte Kabel oder Anschlüsse zum Infiltrieren von Geräten führen können. Der Einsatz eines seriösen VPN-Dienstes, die Nutzung eigener Mobilfunkverbindungen und Datenblocker für USB-Ladekabel können wirksame Schutzmaßnahmen.
Sorgsamer Umgang mit Abwesenheitsinformationen
Auch scheinbar harmlose Urlaubsbilder auf sozialen Netzwerken oder Abwesenheitsnotizen über das E-Mail-Programm können laut dem BSI zur Bedrohung werden, wenn etwa Rückschlüsse über die Art der Reise oder Abwesenheitsdauer möglich sind. Solche Informationen werden von Kriminellen häufig genutzt, um personalisierte und dadurch authentischer wirkende Angriffe zu starten. Auch hier empfiehlt sich ein entsprechender Hinweis durch den Arbeitgeber.
Geräteabsicherung und Zugriffsschutz
Ein einfacher Schutzmechanismus sei zudem die Bildschirmsperre zusammen mit einer biometrische Zugangskontrolle oder einem PIN. Im Verlustfall ist so zumindest ein Grundschutz gewährleistet. Entsprechende Sicherheitsvorkehrungen sollten auch erneut für sich auf dem Gerät befindliche schützenswerte Daten eingerichtet werden.
Empfehlungen für Arbeitgeber
Arbeitgeber, die ihren Arbeitnehmern mobiles Arbeiten und Workation ermöglichen wollen, sollten verschiedene Sicherheitsmaßnahmen umsetzen. Hierzu zählt zum einen eine ausführliche Information für die Beschäftigten über die Risiken, die sich in solchen Situationen ergeben können und welches entsprechende Verhalten erforderlich ist. Weiterhin können auch technische Maßnahmen wie der ordnungsgemäße Einsatz von VPNs, Phishing-Filter und eine Zwei-Faktor-Authentifizierung das Risiko deutlich senken. Zum Schutz erforderliche Hard- und Software sollten Arbeitgeber zur Verfügung stellen.
Fazit
Die Sommermonate stellen Unternehmen auch datenschutzrechtlich vor besondere Herausforderungen. Denn mit zunehmender Mobilität steigt das Risiko, dass personenbezogene Daten in unsicheren Umgebungen verarbeitet werden oder in die falschen Hände geraten. Wer präventiv handelt, klare technische und organisatorische Maßnahmen definiert und Mitarbeitende entsprechend sensibilisiert, reduziert das Risiko von Datenschutzverletzungen.
