Personaldaten

Datenschutzkonformes Offboarding

Wenn ein Mitarbeiter das Unternehmen verlässt, bleibt neben der Organisation eines Nachfolgers häufig wenig Zeit, um die bürokratische Seite des Offboardings datenschutzkonform abzuwickeln. Was muss hier beachtet werden und welche Hindernisse gilt es zu umschiffen, damit ein böses Nachspiel vermieden werden kann?
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Hunters Race, Unsplash
Lesedauer 3 Minuten

Inhaltsverzeichnis

Die Notwendigkeit des geregelten Offboarding-Prozesses

Die Kündigung liegt vor und nach einer Übergabe läuft die Arbeit mit dem Nachfolger problemlos weiter und der ausgeschiedene Mitarbeiter ist nie wieder Thema – so die Idealvorstellung. Doch durch steigende Digitalisierung der Prozesse und die entsprechend hohe Anzahl digitaler Zugänge muss wesentlich mehr als ein Abschiedsgeschenk organisiert werden. Wir zeigen Ihnen, wie professionelles Offboarding mit organisierter Abwicklung der einzelnen Prozesse unkompliziert vollzogen werden kann. So wird der Arbeitgeber dem Art. 32 der DSGVO gerecht und unterbindet den Zugriff Unbefugter auf personenbezogene Daten.

E-Mail Konto

In der Regel nutzt der Mitarbeiter das E-Mail Postfach ausschließlich für geschäftlichen Mail-Kontakt. Wenn der letzte Arbeitstag ansteht sollte zunächst der Abwesenheitsassistent aktiviert werden und neben der Erklärung des Ausscheidens auf einen alternativen Ansprechpartner (samt Mail-Adresse) verweisen. Sind doch private Nachrichten gesendet oder empfangen worden, sollten diese gelöscht und auch aus dem Papierkorb entfernt werden. Eine Abstimmung mit der IT-Abteilung macht auch hier Sinn, um Daten aus vorhandenen Backups zu löschen.

Nachrichten mit unternehmensrelevanten Inhalten dürfen nicht gelöscht werden. Der das Unternehmen verlassende Mitarbeiter darf die Zugangsdaten zu seinem E-Mail Postfach nicht ändern.

Entzug von Zugänge zu IT-Systemen

Ob E-Mail-Postfach, Datenbank, Server oder Software-Anwendung – in den meisten Berufen meldet sich ein Mitarbeiter im Lauf des Arbeitstages an mehreren Systemen an. Die IT-Abteilung muss mit dem letzten Arbeitstag die Zugriffsrechte entziehen, bzw. Passwörter ändern. Sollten mehrere Mitarbeiter das gleiche Passwort nutzen, muss selbiges auf jeden Fall sofort für alle geändert werden.

Rückgabe der Firmen-Hardware

Ganz gleich ob Laptop, Homeoffice-PC und Zubehör oder Firmen-Smartphone – sofern nicht vertraglich anders geregelt erlischt mit dem Weggang aus dem Betrieb das Recht zur Nutzung. Achtung: Auch USB-Sticks und externe Festplatten müssen auf jeden Fall zurückgegeben werden! Ebenso ist natürlich die Rückgabe des Schlüssels zum Firmengebäude unabdingbar – gibt es einen einheitlichen elektronischen Türcode, muss dieser umgehend geändert werden.

Löschen und Archivieren privater Daten

Im Lauf einiger Jahre sammeln sich unter Umständen auch private Daten auf den Firmenrechnern oder -handys. Der Mitarbeiter darf und sollte diese Daten vor seinem Weggang herunterladen und auf dem Betriebsgerät löschen. Es ist sinnvoll, dies in Anwesenheit eines IT-Mitarbeiters oder des Datenschutzbeauftragten durchzuführen, damit eine Kontrollinstanz anwesend ist. Auch eine schriftliche Bestätigung der Löschung privater Daten sollte zu den Akten genommen werden.
Nicht nur die digitalen Daten im Büro sollten hinsichtlich privater Inhalte untersucht werden, auch in Akten oder Schränken und Schreibtischen sollten sich keine private Unterlagen mehr finden lassen.
Wenn der Mitarbeiter ein Firmenfahrzeug genutzt hat, sollte der Speicher des Navigationssystems vor der Rückgabe gelöscht werden.

Löschen und Archivieren der personenbezogenen Daten des Ex-Mitarbeiters

Es gilt der Grundsatz der Datenminimierung und der Speicherbegrenzung: Daten dürfen nur so lang wie nötig und vorgeschrieben aufbewahrt werden und müssen nach Ablauf entsprechender Fristen datenschutzkonform gelöscht werden. Da der Zweck eines Beschäftigungsverhältnisses nach der Kündigung entfällt, gibt es zunächst keinen Grund für die Aufbewahrung der personenbezogenen Daten. Bevor Personalakten jedoch gelöscht werden, muss erfragt werden, ob für diese eine gesetzliche Aufbewahrungsfrist gilt und wenn ja, über welchen Zeitraum. Erfragt der Ex-Mitarbeiter nach seinem Beschäftigungsverhältnis die personenbezogenen Daten zu seiner Person, die in der Personalakte gespeichert sind, so ist der Arbeitgeber verpflichtet, innerhalb eines Monats Rückmeldung geben.

Erstellen einer Kontrollliste für den scheidenden Mitarbeiter

Um beim Offboarding Prozess alle wichtigen Aspekte im Blick zu behalten, bietet sich das Erstellen einer Checkliste an. So wird der ausscheidende Mitarbeiter aufgeklärt, welche Aufgaben ihm hinsichtlich des Schutzes seiner personenbezogenen Daten zufallen und beide Seiten haben eine schriftliche Bestätigung der ordnungsgemäßen Durchführung.
Sie brauchen Hilfe bei der Erstellung dieser Liste oder wollen unsere Vorlage kostenlos nutzen? Registrieren Sie sich und Ihr Unternehmen jetzt bei der PRO-DSGVO.

Sie brauchen Hilfe bei der Erstellung einer Kontrollliste oder dem Datenschutz Ihres Unternehmens? Wir helfen Ihnen gerne weiter.

Über den Autor

Miriam Grothe
Miriam Grothe