Der Eintritt und Austritt von Mitarbeitenden gehört zum Alltag in jedem Unternehmen. Während das Onboarding zunehmend professionell gestaltet wird, bleibt das Offboarding – insbesondere im Hinblick auf Datenschutz und E-Mail-Konten – oft unzureichend geregelt. Dabei stellt gerade das Thema „E-Mail-Zugriffe nach dem Austritt“ eine relevante datenschutzrechtliche Gefahrenquelle dar.
Warum ist das so wichtig?
Wenn ein Mitarbeitender das Unternehmen verlässt, bleiben häufig die geschäftlichen E-Mail-Adressen aktiv. In manchen Fällen greifen andere Kolleg:innen weiterhin auf das Postfach zu oder es werden sogar noch neue Nachrichten empfangen. Das klingt organisatorisch praktisch – ist aber in vielen Fällen ein klarer Verstoß gegen geltendes Datenschutzrecht.
Rechtsgrundlage: DSGVO & BDSG
Die rechtlichen Anforderungen ergeben sich direkt aus der EU-Datenschutz-Grundverordnung (DSGVO), insbesondere aus:
- Art. 5 Abs. 1 lit. a–c DSGVO (Rechtmäßigkeit, Zweckbindung, Datenminimierung)
- Art. 6 DSGVO (Rechtsgrundlage der Verarbeitung personenbezogener Daten)
- Art. 17 DSGVO (Recht auf Löschung)
- sowie ergänzend aus § 26 BDSG (Datenverarbeitung im Beschäftigungskontext)
Nach dem Ausscheiden endet regelmäßig der Zweck zur Verarbeitung personenbezogener Daten des Mitarbeitenden – damit dürfen personenbezogene Daten (auch Namen in E-Mail-Adressen) nicht ohne klare rechtliche Grundlage weiterverarbeitet werden.
Typische Risiken bei unzureichendem Offboarding
- Zugriff auf alte E-Mails durch unbefugte Dritte
- Weiterleitung von personenbezogenen Inhalten (z. B. Bewerbungen, Gesundheitsdaten)
- fehlerhafte Annahme, dass E-Mail-Adressen dauerhaft verfügbar bleiben
- fehlende Dokumentation zur Berechtigungsvergabe oder -entziehung
Was Unternehmen beachten sollten
Ein datenschutzkonformes Offboarding sollte insbesondere folgende Punkte umfassen:
- Zeitnahe Deaktivierung von Benutzer- und E-Mail-Konten
- Auto-Reply-Nachricht mit Hinweis auf neue Ansprechpersonen (zeitlich begrenzt)
- Keine Weiterleitung an andere Postfächer ohne Einwilligung
- Dokumentation aller Zugriffsrechte und deren Entzug
- Berücksichtigung bei mobilen Geräten, geteilten Konten und Archivsystemen
Auch beim Onboarding ist der korrekte Umgang mit E-Mail-Identitäten zu beachten: Initialen oder Funktionspostfächer sind datenschutzfreundlicher als personalisierte Adressen im Format vorname.nachname@… – sofern keine ausdrückliche Einwilligung des Mitarbeitenden vorliegt.
Fazit
Ein sauber dokumentierter und strukturierter On-/Offboarding-Prozess schützt nicht nur personenbezogene Daten, sondern auch das Unternehmen selbst – etwa vor Bußgeldern oder Reputationsschäden. Die DSGVO verlangt Rechenschaft und transparente Abläufe – auch im „kleinen“ Fall der E-Mail-Adresse nach dem Austritt.
Sie möchten Ihren On-/Offboarding-Prozess prüfen oder datenschutzkonform gestalten?
Ich unterstütze Sie gern bei der Entwicklung und Umsetzung praxisnaher und rechtssicherer Lösungen.
Sprechen Sie mich an – diskret, neutral und zielorientiert.
Comments are closed