kündigung 1

Datenschutz bei Kündigung: Welche Maßnahmen müssen Arbeitgeber ergreifen, um Daten zu schützen?

Ein Mitarbeiter verlässt Ihr Unternehmen und Sie sind sich nicht sicher, wie dessen personenbezogene Daten nun zu behandeln sind? Egal, ob Sie mit dem Mitarbeiter im Guten oder im Schlechten auseinandergehen – es gelten gewisse datenschutzrechtliche Verpflichtungen, die zwingend zu beachten sind und die Ihnen ein böses Erwachen ersparen können.

Aufbewahrungsfristen: Welche Daten können gelöscht werden?

Scheidet der Mitarbeiter aus Ihrem Unternehmen aus, ist zu prüfen, ob Verpflichtungen bestehen, die personenbezogenen Daten auch weiterhin zu speichern. Daten wie Adresse oder Kontodaten des Mitarbeiters können u. U. wichtig sein, falls der ausgeschiedene Mitarbeiter noch:

  • Anspruch auf Vergütung für nicht genommene Urlaubstage hat,
  • Anspruch auf Vergütung für Überstunden hat,
  • Dokumente wie das Arbeitszeugnis noch übersandt werden müssen.

Manche Dokumente unterliegen weiterhin einer gesetzlichen Aufbewahrungsfrist. Dokumente mit steuerlicher Relevanz müssen für bis zu 10 Jahre aufbewahrt werden. Dazu zählen Lohn- und Gehaltsabrechnungen. Beitragsnachweise für die Sozialversicherung müssen laut Gesetz 5 Jahre vorgehalten werden. In besonderen Fällen (unter anderem Röntgenunterlagen von Mitarbeitern im Gefahrstoffbereich) müssen Unterlagen sogar 30 Jahre verfügbar bleiben.

Um die vielfältigen gesetzlichen, vertraglichen und unternehmensinternen Anforderungen und Fristen konform umzusetzen, lohnt sich die Erstellung eines Löschkonzepts.

Welche Daten, Dokumente und Arbeitsmittel sind zurückzugeben?

Es lohnt sich stets, eine Dokumentation aller Arbeitsmittel wie Schutzausrüstung, Mobiltelefon oder Notebook zu erstellen, welche Sie dem Mitarbeiter im Laufe eines Arbeitsverhältnisses ausgehändigt haben. Auch alle Schlüssel und andere Zutrittsmedien sollten Ihnen bekannt sein. Weiterhin muss klar sein, welcher Mitarbeiter Zugang auf welche Systeme oder Programme besitzt.

Grundsätzlich sollte ein Mitarbeiter beim Austritt aus Ihrem Unternehmen alle ausgehändigten Arbeitsmittel zurückgeben. Abgesehen von wertvolleren Objekten, wie Fahrzeugen, Ausrüstung oder Werkzeugen sind für den Datenschutz besonders relevant:

  • Schlüssel, Schlüsselkarten, Transponder
  • PC, Notebook und Zubehör
  • Daten bzw. Datenträger
  • Dokumente oder Akten in Papierform

Es muss sichergestellt werden, dass der ausgeschiedene Mitarbeiter keinen Zugang mehr zu IT-Systemen und Clouddiensten besitzt. Hier ist eine Rückgabe der Zugangsdaten natürlich nicht sinnvoll, vielmehr sind die entsprechenden Zugänge zu deaktivieren.

Setzen Sie ein Übergabeprotokoll auf, mit dem Ihnen der Mitarbeiter die vollständige Rückgabe aller Arbeitsmittel schriftlich bestätigt.

Was ist weiterhin zu beachten?

Der Mitarbeiter selbst sollte aktiv zur Unterstützung aufgerufen werden. So muss sichergestellt sein, dass der Mitarbeiter keine geschäftsrelevanten Daten in seinem persönlichen Arbeitsbereich (persönliche Datenablage oder E-Mail-Postfach) gespeichert hat, auf die Arbeitgeber aus Datenschutzgründen nicht ohne Weiteres direkt zugreifen darf. Stellen Sie sicher, dass der Mitarbeiter alle relevanten Unternehmensdaten an andere Mitarbeiter übergibt und dies ebenfalls schriftlich bestätigt.

Nochmals angemerkt sei hier, dass Sie als Arbeitgeber z. B. bei erlaubter oder geduldeter Privatnutzung nicht einfach auf Bereiche wie das persönliche E-Mail-Postfach des Mitarbeiters zugreifen dürfen. Hier können private Daten des Mitarbeiters liegen, auf die Arbeitgeber nicht zugreifen darf. Sofern Sie in Ihrem Unternehmen die Privatnutzung aktiv und datenschutzkonform gestaltet haben, werden Sie den Fall eines Mitarbeiteraustritts bereits geregelt haben. Häufig gibt es aber diese Art der aktiven Gestaltung nicht. Hier kann es hilfreich sein, den Mitarbeiter zu bitten, seine privaten Daten zu entfernen und dies dokumentiert zu bestätigen. Auch kann eine Einwilligung für einen eingeschränkten und bedarfsweisen Zugriff auf die persönlichen Datenbereiche weiterhelfen.

Vorsicht bei sofortiger Freistellung des Mitarbeiters

Besondere Vorsicht ist geboten, wenn Sie den Mitarbeiter nach der Kündigung sofort freistellen. Es ist wichtig, dass Sie dem Mitarbeiter im Rahmen der Rückgabe von Arbeitsmitteln auch ermöglichen, seine privaten Daten zurückzuerhalten. Der Kündigungsprozess ist häufig sensibel in der Abwicklung und Sie sollten hier keinen neuen rechtlichen Baustellen erzeugen, indem Sie private Daten zurückhalten oder löschen.

Besondere Vorsicht besteht aber auch auf Seite des Mitarbeiters: Bei der Sicherung seiner persönlichen Daten muss der Mitarbeiter sicherstellen, dass er nicht versehentlich dienstliche Daten mitnimmt. Speziell bei Mitarbeitern, die im Arbeitsverhältnis viel Kontakt zu Lieferanten, Kunden etc. haben, besteht das Risiko, dass solche rein dienstlichen Kontaktdaten mitgenommen werden; und im ungünstigsten Fall beim nächsten Arbeitgeber weitergenutzt werden.

Mögliche Risiken für Ihr Unternehmen

Die Ivanti Studie zur IT Security aus dem Jahr 2019 fand heraus, dass jeder zweite ehemalige Mitarbeiter selbst nach seinem Ausscheiden aus dem Unternehmen weiterhin Zugriff auf das Firmennetz hat.

Bei der Einstellung und Entlassung von Mitarbeitern sollten Sie den Fokus auf einen ordnungsgemäßen On- und Offboarding Prozess richten. Folgende unternehmensschädigenden Risiken sehen IT-Fachleute, wenn Mitarbeiter ohne entsprechenden Prozess aus dem Unternehmen ausscheiden:

  • Sensible Daten können nach außen dringen,
  • Die Möglichkeit eines Cybersecurity-Hacks aufgrund eines nicht verwalteten Kontos,
  • Böswillige Löschung oder Diebstahl von Daten.

Checkliste: Schritt für Schritt Offboarding Ihres Mitarbeiters

  • Prüfen Sie die Aufbewahrungsfristen (falls vorhanden, werfen Sie einen Blick in Ihr Löschkonzept),
  • Prüfen Sie ein evtl. berechtigtes Interesse für die Speicherung von Daten über die Kündigung hinweg (z. B. zur Verteidigung von Rechtsansprüchen),
  • Lassen Sie den Mitarbeiter alle geschäftsrelevanten Daten aus den persönlichen Datenablagen an einem Ort abspeichern, auf den Sie ohne Probleme Zugriff haben,
  • ermöglichen Sie dem Mitarbeiter, seine privaten Daten zu sichern und selbst zu entfernen,
  • Terminieren Sie eine Übergabe aller Daten, Dokumente und Arbeitsmittel mit dem Mitarbeiter,
  • Dokumentieren Sie die Übergabe mit einem schriftlichen Übergabeprotokoll und lassen Sie den Mitarbeiter die vollzählige Rückgabe bestätigen.

Sie haben Fragen und wissen noch nicht, wo Sie genau stehen? Vielleicht machen Sie bereits vieles richtig? Mit unseren Datenschutz-Audits erhalten Sie eine unabhängige fachliche Beurteilung.

Vertrauen Sie auf unsere langjährige Erfahrung und vereinbaren Sie noch heute einen kostenfreien Informationstermin.

Bildquellen:

  • Symbolbild Mitarbeitergespräch: pexels-sora-shimazaki-5668858 pexels.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.