DSGVO und Büroakustik: Warum Datenschutz auch Schallschutz bedeutet

Der Datenschutzbeauftragte prüft Passwortrichtlinien, Verschlüsselung und Zugriffsrechte. Aber wer prüft, ob das Personalgespräch im Großraumbüro von zwölf Kollegen mitgehört wird?

Akustische Privatsphäre ist ein blinder Fleck in vielen Datenschutzkonzepten. Dabei ist die Rechtslage eindeutig: Wer personenbezogene Daten mündlich preisgibt, muss den Zugang genauso schützen wie bei digitalen Daten.

Die Rechtslage: Gesprochenes Wort und Datenschutz

Die DSGVO definiert die Verarbeitung personenbezogener Daten bewusst weit. Artikel 4 Nr. 2 umfasst ausdrücklich auch die "Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung". Ein Gespräch über Gehaltsdaten, Krankmeldungen oder Leistungsbeurteilungen in Hörweite Dritter fällt darunter.

Relevante Rechtsgrundlagen:

• DSGVO Art. 5 Abs. 1 f) - Grundsatz der Vertraulichkeit und Integrität
• DSGVO Art. 32 - Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten
• § 201 StGB - Verletzung der Vertraulichkeit des Wortes (strafrechtliche Dimension)
• § 26 BDSG - Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

Wo Großraumbüros zum Datenschutzrisiko werden

In offenen Bürolandschaften entstehen täglich Situationen, die datenschutzrechtlich problematisch sind:

HR-Gespräche

Personalgespräche, Krankmeldungen, Gehaltsverhandlungen, Abmahnungen. All das gehört hinter verschlossene Türen. In vielen Büros fehlt aber schlicht der Raum dafür. Die Folge: Gespräche werden am Schreibtisch geführt oder in eine Ecke verlegt, wo sie trotzdem hörbar sind.

Kundendaten am Telefon

Vertriebsmitarbeiter besprechen Vertragsbedingungen, Kontonummern oder Bestelldetails. Supportmitarbeiter nehmen Beschwerden entgegen und greifen dabei auf Kundendaten zu. Alles offen und mithörbar.

Rechts- und Finanzabteilung

Juristische Bewertungen, Vertragsentwürfe, Steuerberatung, Compliance-Themen. Hier geht es oft um besonders schützenswerte Informationen, die nicht für unbeteiligte Ohren bestimmt sind.

Gesundheitsdaten

Seit der Pandemie werden gesundheitsbezogene Informationen häufiger besprochen. Gesundheitsdaten fallen unter DSGVO Art. 9 als besondere Kategorie und erfordern erhöhten Schutz.

Das Risiko quantifiziert

Eine Studie der Fraunhofer-Gesellschaft zeigt: In Großraumbüros sind Gespräche in einem Radius von 8 bis 12 Metern verständlich. Bei einer durchschnittlichen Bürobelegung von 10 m² pro Person bedeutet das: Bis zu 10 Kollegen können ein Telefonat mithören.

Für die Datenschutz-Folgenabschätzung nach DSGVO Art. 35 relevant:

• Häufigkeit: Mehrmals täglich, bei jedem Telefonat
• Betroffene: Mitarbeiter, Kunden, Geschäftspartner
• Datenarten: Potentiell alle Kategorien, einschließlich besonderer Kategorien (Art. 9)
• Kontrollierbarkeit: Gering, da der Sprecher die Zuhörer nicht steuern kann

Akustikkabinen als technische Schutzmaßnahme

Die DSGVO verlangt in Art. 32 "geeignete technische und organisatorische Maßnahmen". Akustikkabinen erfüllen diese Anforderung auf mehreren Ebenen:

Physische Barriere: Die Kabine trennt das Gespräch physisch vom Rest des Büros. Schalldämmwerte von 30 bis 40 dB machen Gespräche außerhalb der Kabine unverständlich.

Verfügbarkeit: Anders als feste Meetingräume, die oft ausgebucht sind, können Akustikkabinen spontan genutzt werden. Das senkt die Hemmschwelle, vertrauliche Gespräche tatsächlich in einen geschützten Bereich zu verlegen.

Dokumentierbarkeit: Die Bereitstellung von Akustikkabinen lässt sich als technische Maßnahme im Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Bei einer Prüfung durch die Aufsichtsbehörde ist das ein konkreter Nachweis.

Mit Telefonkabinen für vertrauliche Gespräche von SilentBox lässt sich dieses Risiko minimieren.

Organisatorische Maßnahmen ergänzen

Technik allein reicht nicht. Folgende organisatorische Maßnahmen sollten die Akustikkabinen begleiten:

1. Richtlinie erstellen: Definieren, welche Gesprächstypen in der Kabine geführt werden müssen (HR, Finanzen, Kundendaten)
2. Mitarbeiter schulen: Sensibilisierung für akustischen Datenschutz in der jährlichen Datenschutzschulung
3. Beschilderung anbringen: Kabinen als "Vertraulichkeitszone" kennzeichnen
4. Prozesse anpassen: Kalender-Integration, damit Kabinen bei Bedarf reservierbar sind

Bußgelder und Haftungsrisiken

Die DSGVO sieht bei Verstößen gegen die Grundsätze der Datenverarbeitung Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes vor (Art. 83 Abs. 5). Auch wenn ein mithörbares Personalgespräch vermutlich nicht zu Millionenstrafen führt, können Beschwerden bei der Aufsichtsbehörde Prüfverfahren auslösen.

Relevanter für die Praxis: Betroffene Mitarbeiter können Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. Wenn etwa Gehaltsinformationen durch ein offenes Telefonat im Büro bekannt werden, hat der Arbeitgeber seine Schutzpflichten verletzt.

Arbeitsgerichte bewerten den Schutz der Vertraulichkeit zunehmend strenger. Ein Arbeitgeber, der keine zumutbaren Maßnahmen ergreift, obwohl das Problem bekannt ist, handelt fahrlässig.

Was der Datenschutzbeauftragte tun sollte

Praktische Schritte für die nächste Datenschutz-Bestandsaufnahme:

• Ist-Analyse: Wo werden vertrauliche Gespräche aktuell geführt? Wer kann mithören?
• Risikoeinschätzung: Welche Datenarten sind betroffen? Wie häufig?
• Maßnahmenplanung: Wie viele Akustikkabinen werden benötigt? Wo im Büro?
• Dokumentation: Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten und die TOM-Dokumentation

Weitere Informationen zum Thema Büroakustik finden Sie in unserem Leitfaden zu Akustikkabinen.

Fazit

Datenschutz endet nicht am Bildschirm. Wer die DSGVO ernst nimmt, muss auch die akustische Privatsphäre im Büro sicherstellen. Akustikkabinen sind dafür eine erprobte, dokumentierbare Lösung, die sich ohne bauliche Eingriffe umsetzen lässt. Für den Datenschutzbeauftragten sind sie ein konkretes Werkzeug, um eine häufig übersehene Schwachstelle zu schließen.