Sichere Verwaltung von E-Mails ehemaliger Beschäftigter unter Einhaltung der DSGVO
Worum geht es hier?
- E-Mail-Konten ehemaliger Mitarbeiter:innen müssen zeitnah deaktiviert werden, um der DSGVO zu entsprechen.
- Eine zu lange Aufbewahrung inaktiver Konten kann zu Bußgeldern, Reputationsschäden und rechtlichen Risiken führen.
- Unternehmen sollten klare Richtlinien zur Verwaltung und Aufbewahrung von E-Mails nach dem Arbeitsverhältnis festlegen.
- Die Benennung eines Datenschutzbeauftragten und regelmäßige Schulungen unterstützen eine nachhaltige DSGVO-Konformität.
Erfahre, wie Unternehmen E-Mail-Konten ehemaliger Mitarbeiter:innen datenschutzkonform verwalten, insbesondere im Einklang mit der DSGVO. Diese Anleitung zeigt bewährte Verfahren auf, um gesetzliche Vorgaben einzuhalten, sensible Daten zu schützen und Risiken wie Bußgelder oder Datenpannen zu vermeiden. Entdecke praxisnahe Maßnahmen für den sicheren Umgang mit E-Mail-Daten nach dem Ausscheiden von Mitarbeiter:innen.
Inhaltsverzeichnis:
Umgang mit E-Mail-Konten von ehemaligen Mitarbeiter:innen gemäß DSGVO
Wenn eine:r Mitarbeiter:in ein Unternehmen verlässt, enthält das E-Mail-Konto wertvolle Daten wie Kommunikationsverläufe, Kontakte und potenziell sensible Informationen. Auch wenn es praktisch erscheint, diese Daten für eine mögliche spätere Nutzung aufzubewahren, ist es wichtig, den rechtlich korrekten Umgang zu kennen: Die Lösung besteht darin, das Konto zu löschen oder ordnungsgemäß zu verwalten.
Die Entscheidung der belgischen Datenschutzbehörde (DPA) hat dieses Thema geklärt und die erforderlichen Maßnahmen bezüglich der Dauer, wie lange ein ehemaliges E-Mail-Konto aktiv bleiben darf und ob Arbeitgeber:innen weiterhin Zugriff auf dessen Inhalte haben, definiert. Im Jahr 2020 wurde ein Unternehmen mit einer Geldstrafe von 15.000 € belegt, weil es die E-Mail-Konten ehemaliger Mitarbeiter:innen nicht ordnungsgemäß behandelt hatte. Konkret hielt das Unternehmen die E-Mail-Konten (mit Vor- und Nachnamen der Ex-Mitarbeiter:innen) 2,5 Jahre lang aktiv, bevor sie geschlossen wurden.
Laut der Entscheidung und den Leitlinien der belgischen DPA verstößt das Nicht-Deaktivieren solcher E-Mail-Konten nach dem Ausscheiden der Mitarbeiter:innen gegen wesentliche DSGVO-Grundsätze. Die Verstöße betrafen:
- Rechtmäßigkeit: Es gab keine gültige Rechtsgrundlage für die so lange Speicherung der E-Mail-Daten.
- Zweckbindung: Die Daten wurden über den ursprünglichen Zweck hinaus aufbewahrt.
- Datenminimierung: Der vollständige Zugriff auf das gesamte Postfach war unverhältnismäßig.
- Speicherbegrenzung: Die Speicherdauer war nicht angemessen.
Dieses Urteil ist eine wichtige Orientierung für Unternehmen, wie sie Daten von ehemaligen Mitarbeiter:innen DSGVO-konform handhaben können. Eine ordnungsgemäße Verwaltung schützt nicht nur sensible Informationen, sondern erleichtert auch die reibungslose Übergabe laufender Geschäftsprozesse und Beziehungen.
Arbeitgeber:innen sollten daher klare Richtlinien implementieren, um E-Mail-Konten von ehemaligen Mitarbeiter:innen zeitnah nach deren Ausscheiden zu deaktivieren und zu löschen und Daten nur so lange aufzubewahren, wie es rechtlich erforderlich und gerechtfertigt ist.
Best Practices für die Zeit nach dem Ausscheiden eines Mitarbeiters
Die Art und Weise, wie ein Arbeitgeber mit dem Ausscheiden eines Mitarbeiters umgeht und ihn unterstützt, kann sich erheblich auf die Erfahrungen beider Parteien auswirken. Praktiken für die Zeit nach dem Ausscheiden aus dem Unternehmen sind entscheidend für die Aufrechterhaltung einer positiven Beziehung zwischen Arbeitgebern und ehemaligen Arbeitnehmern. Hier sind einige bewährte Praktiken, die Arbeitgeber beachten sollten:
| Sofortige Deaktivierung des Kontos | Sperre das E-Mail-Konto des ehemaligen Mitarbeiters sofort nach dem Ausscheiden aus dem Unternehmen. |
| Benachrichtigung des ausscheidenden Mitarbeiters | Informiere den ausscheidenden Mitarbeiter vor der Deaktivierung des Kontos. So können sie ihre privaten E-Mails organisieren und an ihre persönliche E-Mail-Adresse weiterleiten, bevor sie das Unternehmen verlassen. |
| Implementierung einer automatischen Antwort | Implementiere eine automatische Antwort, die auf das Ausscheiden der Person hinweist und alternative Kontaktdaten angibt, anstatt E-Mails automatisch weiterzuleiten. Diese Methode wird bevorzugt, wie in dem geprüften Fall der Datenschutzbehörde zu sehen war. |
| Zeitliche Flexibilität bei der Deaktivierung | Deaktiviere die E-Mail-Adresse und die automatische Nachricht nach einem angemessenen Zeitraum, normalerweise nach einem Monat. In Anbetracht der Rolle und der Verantwortlichkeiten des ehemaligen Mitarbeiters kann jedoch eine Verlängerung auf bis zu drei Monate gerechtfertigt sein. Jede Verlängerung sollte mit dem Ex-Beschäftigten abgesprochen oder zumindest mitgeteilt werden. |
| Befristete Aufbewahrung des Kontos | Befristete Aufbewahrung des E-Mail-Kontos auf der Grundlage der berechtigten Interessen des Unternehmens, insbesondere zur Gewährleistung der Geschäftskontinuität und des ordnungsgemäßen Betriebs. |
| Wesentliche E-Mails abrufen | Wesentliche E-Mails, die für den Betrieb des Unternehmens oder zur Einhaltung gesetzlicher Aufbewahrungsfristen erforderlich sind, vor dem Ausscheiden des Mitarbeiters und in dessen Anwesenheit aus dem Konto abrufen, um laufende Zugriffsanforderungen nach dem Ausscheiden zu vermeiden. |
Rechtliche Überlegungen nach dem Ausscheiden
Datenschutzgesetze und Compliance
Es ist essenziell, lokale und nationale Datenschutzgesetze einzuhalten, darunter die DSGVO (Datenschutz-Grundverordnung), die regelt, wie personenbezogene Daten verarbeitet, gespeichert und gehandhabt werden müssen. Organisationen sollten die spezifischen Anforderungen dieser Gesetze kennen und prüfen, wie sie auf ihre Datenpraktiken anzuwenden sind. In einigen Fällen gibt es gesetzliche Aufbewahrungspflichten für bestimmte E-Mails.
Unternehmensrichtlinien und Vereinbarungen
Klare Unternehmensrichtlinien sollten die Verwaltung von E-Mail-Konten ehemaliger Mitarbeitender regeln. Vereinbarungen, die mit Mitarbeitenden bezüglich des Zugriffs auf Daten nach ihrem Ausscheiden getroffen wurden, müssen eingehalten werden. Es ist wichtig, diese Richtlinien regelmäßig zu überprüfen und an neue rechtliche Vorgaben oder organisatorische Bedürfnisse anzupassen.
Externe Datenschutzbeauftragte
Unternehmen sollten erwägen, einen Datenschutzbeauftragten (DSB) intern oder extern zu ernennen, um die Einhaltung von Regelungen wie der DSGVO sicherzustellen. Datenschutzbeauftragte bringen wertvolle Expertise ein, helfen bei der Identifikation von Datenschutzrisiken, bieten wichtige Schulungen an und halten das Unternehmen über relevante gesetzliche Änderungen auf dem Laufenden.
Mitarbeitendenschulungen und Sensibilisierung
Datenschutz- und Sensibilisierungsschulungen sind entscheidend, um Mitarbeitende für den Schutz personenbezogener Daten zu sensibilisieren, Risiken von Datenpannen zu verstehen und Maßnahmen zur sicheren Handhabung von Daten zu erlernen. Beispielsweise bietet heyData ein solides Schulungsprogramm für Mitarbeiter/innen an, das die Folgen des Hinterlassens sensibler Informationen in E-Mail-Konten und vieles mehr aufzeigt.
Abschießende Hinweise
Die Verwaltung und der Zugriff auf die E-Mail-Konten ehemaliger Mitarbeiter ist ein heikles Gleichgewicht zwischen Datensicherheit, rechtlicher Einhaltung und ethischer Verantwortung. Die Befolgung klarer Richtlinien, die Einhaltung von Datenschutzgesetzen und ein strukturierter Ansatz sorgen für einen reibungslosen Übergang und schützen gleichzeitig sensible Informationen.
Mit diesen Strategien können Unternehmen das Ausscheiden von Mitarbeitern effektiv verwalten und gleichzeitig die Datensicherheit und die Einhaltung von Gesetzen in den Vordergrund stellen, um einen nahtlosen Übergang sowohl für die ausscheidenden Mitarbeiter als auch für das Unternehmen zu gewährleisten.
Häufig gestellte Fragen
F: Wie lange sollte ein Unternehmen das E-Mail-Konto einer ehemaligen Mitarbeiter:in aktiv halten?
A: Das Konto sollte schnell deaktiviert und gelöscht werden, außer Gesetze oder Richtlinien schreiben längere Aufbewahrung vor.
F: Darf ein Unternehmen auf die Inhalte eines ehemaligen Mitarbeiter:innen-Kontos zugreifen?
A: Nur, wenn es den Datenschutzgesetzen wie der DSGVO und internen Regeln entspricht.
F: Welche Risiken entstehen, wenn E-Mail-Konten ehemaliger Mitarbeiter:innen nicht richtig verwaltet werden?
A: Risiken sind Bußgelder, Datenpannen, Reputationsverlust und Vertrauensverlust.
Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.