< zurück zum Blog

Fehlerquelle Mitarbeiter-Offboarding

16.03.2021

Das Umsetzen datenschutzrechtlicher Themen in Unternehmen lebt und gelingt am sichersten durch das Etablieren von Prozessen. Ein Prozess, der häufig übersehen wird, ist das Offboarding von ausscheidenden Mitarbeitern. Personenbezogene Daten von ehemaligen Mitarbeitern sind in vielen Bereichen eines Unternehmens präsent: Intranet, E-Mail-Accounts, Unternehmenswebsite, Printmedien, Marketingprodukte, mobile Arbeitsmittel, Social Media. All diese Dinge müssen genau beleuchtet werden und die personenbezogenen Daten des ausscheidenden Mitarbeiters entfernt werden. Um hier Fehlerquellen zu vermeiden ist es unerlässlich, eine Offboarding-Liste zu führen, die alle wichtigen Punkte zusammenfasst.

Entziehen von Zugangs-, Zutritts- und Zugriffsrechten

Zunächst sollte das Offensichtliche umgesetzt werden: Ein ausscheidender Mitarbeiter sollte natürlich keinen Zugang zum Betriebsgelände und zu unternehmenseigenen Daten haben. Dementsprechend sind zunächst folgende Schritte essentiell:
- Dem ausscheidenden Mitarbeiter sind sämtliche Zugriffsrechte (auf PCs, Server, Software, usw.) zu entziehen.
- Wurden dem Mitarbeiter Arbeitsmittel (Laptop, Smartphone, usw.) zur Verfügung gestellt worden, sind diese zurückzugeben.
- Der Mitarbeiter muss sämtliche Chipkarten, Schlüssel o. ä. zurückgeben.
All diese Schritte sollten akribisch dokumentiert werden.

Das E-Mail-Postfach

Mit Ausscheiden des Mitarbeiters, sollte eine Abwesenheitsnotiz auf dessen E-Mail-Account eingerichtet werden, in der über die Abwesenheit informiert wird und ggf. ein alternativer Ansprechpartner benannt wird.

Sollte dem Mitarbeiter die private Nutzung des betrieblichen E-Mail-Accounts gestattet gewesen sein, so ist ihm Gelegenheit zu geben, alle privaten Nachrichten aus dem Postfach zu löschen. Hier besteht natürlich die Gefahr, dass der Mitarbeiter auch unternehmensrelevante E-Mails entfernt. Aus diesem Grund ist es empfehlenswert, das Löschen der privaten E-Mails unter Anwesenheit des Datenschutzbeauftragten vornehmen zu lassen.

Damit in diesem Spannungsfeld keine Missverständnisse aufkommen, ist es sinnvoll, für diesen Fall schon vorher Regelungen zu treffen, beispielsweise durch einen internen datenschutzrechtlichen Verhaltenskodex für Mitarbeiter.

Unternehmenswebseite

Viele Unternehmen möchten gerne die Mitarbeiter auf der Unternehmenswebseite vorstellen. In den meisten Fällen wird hier die Einwilligung des Mitarbeiters benötigt. Scheidet ein Mitarbeiter aus dem Unternehmen aus, wird er im Regelfall die Einwilligung widerrufen. Ab diesem Zeitpunkt sind die Daten dieses Mitarbeiters unverzüglich von der Webseite des Unternehmens zu löschen.

Auch hier können sich Fallstricke verstecken. Denn nicht nur das Bild und die betrieblichen Kontaktdaten des ausscheidenden Mitarbeiters sind zu entfernen. Viel mehr erstreckt sich das Löschungsverlangen i. S. v. Art. 17 DSGVO auf alle Daten, die den Mitarbeiter mit dem Unternehmen in Verbindung bringen könnten. Werden auf der Unternehmenswebsite beispielsweise Mitarbeiterprofile veröffentlicht, um mit deren Qualifikationen zu werben, so müssen diese vollumfänglich gelöscht werden, sodass diese auch in einer Google-Suche nicht mehr auftauchen.
Wird dies versäumt, so stellt das einen DSGVO-Verstoß und eine Verletzung der Persönlichkeitsrechte des ehemaligen Mitarbeiters dar. Die Folge ist, dass der Ex-Mitarbeiter Schmerzensgeld i. S. v. Art. 82 Abs. 1 DSGVO verlangen kann. Eine entsprechende Entscheidung liegt vom ArbG Köln (Urteil vom 12.03.2020, Az. 5 Ca 4806/19) vor.

Sollte ein Mitarbeiter also die Löschung aller seiner personenbezogenen Daten verlangen, so ist es immens wichtig, dass genau untersucht wird, auf welchen Kanälen der Mitarbeiter überall in Erscheinung tritt und noch mit dem Unternehmen in Verbindung gebracht werden könnte.

Social-Media

Nutzt ein Unternehmen Social-Media, sind auch hier Bilder oder Beiträge, in denen der Ausscheidende präsentiert wird, umgehend zu löschen, wenn dieser dies gem. Art. 17 DSGVO verlangt.

Achtung Aufbewahrungsfristen

Allerdings sollte beim Löschen der personenbezogenen Daten von ehemaligen Mitarbeitern beachtet werden, dass für viele Daten auch gesetzliche Aufbewahrungsfristen gelten. Vor diesem Hintergrund wird das Löschungsverlangen des Betroffenen in Art. 17 Abs. 1 DSGVO eingeschränkt. Gelöscht werden darf nur, wenn keine andere Rechtsgrundlage für die Aufbewahrung existiert. Für Daten aus Personalakten kann eine gesetzliche Aufbewahrungspflicht von bis zu zehn Jahren einschlägig sein. Der Anspruch auf Löschung der personenbezogenen Daten steht also in direkter Konkurrenz zu gesetzlichen Aufbewahrungspflichten. Hier ist also immer mit Augenmaß vorzugehen und eventuell entgegenstehende Rechtspflichten geprüft werden.

Fazit

Entsprechend der individuellen Gegebenheiten in Unternehmen sollte ein maßgeschneiderter Offboarding-Prozess hinterlegt werden, der im Falle des Ausscheidens eines Mitarbeiters nur noch zur Hand genommen und abgearbeitet werden muss. So lassen sich die größten und ggf. teuersten Fehlerquellen leicht umgehen.

Weiterführende Links

https://openjur.de/u/2307698.html

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.