Stand: 19.04.2023

Strukturierte und klare On- bzw. Offboarding-Prozesse sind nicht nur aus personalwirtschaftlicher Sicht wichtig, sondern beide Prozesse haben auch aus datenschutzrechtlicher Perspektive eine immense Bedeutung. Als sog. organisatorische Maßnahmen gehören sie nach Art. 32 DS-GVO zu den angemessenen Maßnahmen, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zu schützen.

Aus datenschutzrechtlicher Sicht spielen bei der Einstellung und Entlassung von Mitarbeitern eine Vielzahl von Themen eine Rolle, die in die Prozesse integriert sein müssen. Hierzu gehören insbesondere:

Onboarding

  • Information über die Verarbeitung persönlicher Daten

  • Datenschutzkonforme Erhebung der Mitarbeiterdaten

  • Vergabe der Berechtigungen

  • Einholen von speziellen Datenschutzdokumenten

  • Datenschutzrechtliche Schulung und Verpflichtung

Offboarding

  • Entzug von Zugangsmöglichkeiten

  • Entzug von Zugriffsrechten

  • Rückgabe von Firmeneigentum

  • Löschung bzw. Archivierung der Personaldaten

  • Löschung von Mitarbeiterbildern

Integration der Datenschutzaspekte in den Onboarding-Prozess

Der Onboarding-Prozess lässt sich grob in drei große Schritte unterteilen: die Einstellung des neuen Mitarbeiters, die Einrichtung seines Arbeitsplatzes und die Einarbeitung des neuen Kollegen in seinen ersten Arbeitstagen. In diese drei Bereiche fließen auch die verschiedenen datenschutzrechtlichen Aspekte ein – abhängig von der konkreten Ausgestaltung im Unternehmen.

Schritt 1: Einstellung eines neuen Mitarbeiters

Der erste Schritt ist relativ simpel und in fast allen Unternehmen gleich: Der künftige Mitarbeiter hat das Bewerbungsverfahren erfolgreich durchlaufen und soll jetzt mit einem passenden Arbeitsvertrag eingestellt werden. Auch wenn der Mitarbeiter zu diesem Zeitpunkt rechtlich noch gar nicht zum Personal gehört, spielt der Datenschutz bereits zu diesem Zeitpunkt eine wichtige Rolle. Zum einen kann es durchaus wichtig sein, bestimmte datenschutzrechtliche Regelungen in den Arbeitsvertrag zu integrieren, z. B. wenn der Mitarbeiter auch im Homeoffice arbeiten soll.

Zum anderen gilt die Informationspflicht nach Art. 13 DS-GVO auch bei Mitarbeitern. Demnach sind Unternehmen verpflichtet, ihren (neuen) Mitarbeitern mitzuteilen, welche persönlichen Daten von ihnen zu welchem Zweck und nach welcher Rechtsgrundlage verarbeitet werden. Auch die Kontaktdaten des Datenschutzbeauftragten (sofern es einen gibt) sowie die allgemeinen Datenschutzrechte einer betroffenen Person sind dem neuen Mitarbeiter mitzuteilen. All diese Informationen muss der Mitarbeiter vor Erhebung der Daten erhalten. Da bereits bei der Vorbereitung und Einrichtung des künftigen Arbeitsplatzes personenbezogene Daten erhoben und verarbeitet werden, ist es daher aus Datenschutzsicht elementar, dem neuen Mitarbeiter die Information über die Verarbeitung seiner Daten so früh wie möglich zukommen zu lassen. Durchaus praktikabel ist es, dem Mitarbeiter ein ausführliches Informationsblatt gemeinsam mit dem zu unterschreibenden Arbeitsvertrag zuzusenden.

Die Regelung gilt nicht nur für neue Mitarbeiter, sondern auch für Bestandsmitarbeiter, sofern diese seit Inkrafttreten der DS-GVO nicht bereits informiert wurden.

Schritt 2: Einrichtung des Arbeitsplatzes und Vorbereitung des ersten Arbeitstags

Der zweite zentrale Schritt beim Onboarding ist die Einrichtung des Arbeitsplatzes verbunden mit der Vorbereitung des ersten Arbeitstags. Die Gestaltung der einzelnen Themen sollte nicht nur aus Datenschutzsicht professionell und strukturiert organisiert sein. Bei sinnvollen und praxisnahen Prozessen macht dieser Teil circa 75 bis 80 Prozent des gesamten Onboarding-Prozesses aus. Dementsprechend spielen hier auch die meisten Datenschutzthemen eine Rolle. Damit sich der neue Mitarbeiter von Anfang an im Team willkommen fühlt und gut in den neuen Job starten kann, sind folgende Punkte zu beachten:

  • Komplette Einrichtung des Arbeitsplatzes

    Zur Einrichtung des Arbeitsplatzes gehört auch die Freischaltung benötigter Laufwerke und Ordner sowie die Vergabe von Berechtigungen und Passwörtern für Anwendungen. Um einen Überblick darüber zu behalten, wer auf welche Daten Zugriff hat, sollte eine Liste geführt werden, die belegt, über welche Zutritts- und Zugriffsrechte der Mitarbeiter verfügt. Auch eine Liste mit den ausgegebenen Endgeräten wie z. B. Laptop und Mobiltelefon sollte geführt und aktuell gehalten werden. Dies verschafft nicht nur eine gute Übersicht, sondern hilft auch im Falle des Austritts oder der Versetzung eines Mitarbeiters dabei, den Offboarding-Prozess gut zu gestalten.

    Das Gleiche gilt für die benötigten Schlüssel. Es muss geprüft werden, welche Schlüssel der neue Mitarbeiter benötigt, und die Ausgabe der Schlüssel entsprechend vorbereitet werden. Hierzu gehört nicht nur die Quittierung des Schlüssels und ggf. der Vermerk der Schlüsselausgabe in der zentralen Schlüsselliste, sondern auch eine Belehrung, welche Sorgfaltspflichten mit dem Besitz der Schlüssel verbunden sind, welche Vorgaben für die Aufbewahrung des Schlüssels gelten, wer bei Verlust des Schlüssels zu informieren ist und welche Haftungsregeln gelten.

    Bevor ein Mitarbeiter die Stelle antreten und gut in den ersten Arbeitstag starten kann, benötigt der Arbeitgeber von diesem einige Dokumente und Informationen. Für gewöhnlich muss ein Personalfragebogen ausgefüllt, der Sozialversicherungsausweis eingereicht und auch eine Bescheinigung der Krankenkasse vorgelegt werden. All diese Dokumente enthalten personenbezogene Daten, die anschließend vom Arbeitgeber verarbeitet werden, und müssen somit DS-GVO konform behandelt werden. Um bei der Einstellung eines neuen Mitarbeiters nicht mit den Vorschriften der DS-GVO in Konflikt zu geraten, sind zudem auch Dokumente wie Einwilligungserklärungen und Verpflichtungserklärungen zu bedenken, falls dies in der jeweiligen Situation relevant ist.

  • Information des Teams über die Verstärkung

    Neuer Arbeitsplatz, neue Kollegen, neue Aufgaben – der erste Arbeitstag ist mit einigen Umstellungen verbunden. Daher ist es umso wichtiger, neue Kollegen bereits am Anfang des Onboarding-Prozesses direkt ins Team zu integrieren. Dies vermittelt gleich von Beginn an ein Gefühl der Zugehörigkeit, und die Chance steigt, den neuen Mitarbeiter lange im Unternehmen zu halten. Außerdem zeigt sich, dass Mitarbeiter, die sich bereits nach kurzer Zeit gut integriert haben, schneller wissen, wie sie sich gewinnbringend im Unternehmen einbringen können, was wiederum motivierende Auswirkungen hat.
    Idealerweise wird der neue Kollege schon vor seinem ersten Tag angekündigt und an seinem ersten Tag im Rahmen eines Betriebsrundgangs vorstellt. Abhängig vom Unternehmen werden auch digitale Varianten wie ein Eintrag im Intranet, eine Info-Mail, ein Aushang am Schwarzen Brett oder ein Post auf Facebook genutzt. Aber Achtung: Alle Informationen über den neuen Kollegen sind personenbezogene Daten im Sinne der DS-GVO. Es gilt daher die klassische Spielregel: Werden personenbezogene Daten verarbeitet, muss hierfür ein Rechtsgrund vorliegen.

    Gibt der neue Mitarbeiter seine Einwilligung zur (internen) Veröffentlichung von bestimmten Daten auf bestimmten Plattformen, können die Informationen über ihn dort unproblematisch veröffentlicht werden. Liegt keine Einwilligung des Mitarbeiters zur Veröffentlichung von bestimmten personenbezogenen Daten vor, so ist nur die Veröffentlichung des Namens und des Eintrittsdatums unproblematisch. Diese können gut auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f) DS-GVO) des Arbeitgebers gestützt werden. Für die Veröffentlichung eines Fotos oder des Lebenslaufs ist jedoch zwingend die Zustimmung des neuen Mitarbeiters erforderlich. Auch sollte eine Abwägung stattfinden, welcher Personenkreis im Unternehmen wissen muss, dass ein neuer Mitarbeiter beschäftigt wird.

    Der Onboarding-Prozess sollte daher klar regeln, wer für die Information der Kollegen zuständig ist, welche Mitarbeiter wann zu informieren sind und auf welchem Weg und zu welchem Zeitpunkt welche Information erfolgt.

  • Anlegen der Personalakte

    Jeder Mitarbeiter benötigt in irgendeiner Form eine Personalakte. In dieser werden typischerweise bereits die Bewerbungsunterlagen abgelegt. Hinzu kommen der unterschriebene Arbeitsvertrag und der Personalfragebogen, der meist am ersten Arbeitstag ausgefüllt wird. Mit dem Personalfragebogen werden alle relevanten Daten und Informationen abgefragt, die für das Beschäftigungsverhältnis mit dem Arbeitnehmer wichtig sind. Ein solcher Fragebogen mindert nicht nur den Arbeitsaufwand der Personalabteilung, sondern stellt auch sicher, dass keine wichtigen Informationen vergessen werden. Es wäre ja schlecht, wenn der Arbeitnehmer sein Gehalt nicht ausbezahlt bekommen könnte, da Angaben zur Bankverbindung fehlen.

  • Zusammenstellung aller notwendigen Unterlagen und Dokumente

    Für den ersten Arbeitstag des neuen Kollegen sind zu guter Letzt noch alle relevanten Unterlagen und Dokumente zusammenzustellen. Sofern nicht schon vorher geschehen, sind spätestens jetzt alle datenschutzrelevanten Erklärungen vorzubereiten. Zum absoluten Standard sollten die Vertraulichkeitsverpflichtung und die EDV-Nutzungsvereinbarung gehören. Ergänzend kommen eine oder mehrere Einwilligungserklärungen sowie weitere relevante Richtlinien und Arbeitsanweisungen hinzu. Es gibt eine ganze Reihe von Verarbeitungen, die weder für die Durchführung des Arbeitsverhältnisses zwingend nötig sind noch auf das berechtigte überwiegende betriebliche Interesse gestützt werden können. In diesen Fällen legitimiert nur die explizite Zustimmung des Mitarbeiters die Erhebung und Verwendung der persönlichen Informationen. Wichtig ist, dass die Einwilligungserklärungen freiwillig unterschrieben werden. Eine Ablehnung der Einwilligungserklärungen darf keine negativen Auswirkungen auf das Beschäftigungsverhältnis nach sich ziehen.

Schritt 3: Einarbeitung des neuen Mitarbeiters

Im dritten und letzten Schritt wird der neue Mitarbeiter schließlich eingearbeitet. Das Thema Datenschutz darf bei der Einführung nicht fehlen. Abhängig vom Arbeitsgebiet ist eine zeitnahe Schulung notwendig und die zentralen Datenschutzdokumente und Leitlinien sollten besprochen werden.

Die Internetnutzung am Arbeitsplatz ist in der heutigen Zeit nicht mehr wegzudenken. Doch verleitet der Internetzugang am Arbeitsplatz auch den ein oder anderen Mitarbeiter dazu, diesen für private Zwecke zu nutzen. Auch Mitarbeiter, die über firmeneigene Mobiltelefone oder Laptops verfügen, können durch die Privatnutzung der Geräte erheblichen Schaden im Unternehmen anrichten. So könnte schädliche Software in das Firmennetz eindringen, personenbezogene Daten versehentlich gelöscht werden oder Geschäftsgeheimnisse in die falschen Hände geraten. Um dies zu vermeiden, sollten Unternehmen eine passende EDV-Nutzungsvereinbarung mit ihren Mitarbeitern durchsprechen und diese unterschreiben lassen. Eine EDV-Nutzungsvereinbarung kann Regelungen zur Nutzung von Hardware, Software und Daten enthalten und auch die private Nutzung des Internets sowie des E-Mail-Accounts regeln.

Im Rahmen des Onboarding-Prozesses wird häufig auch das Angeben eines Notfallkontaktes, meist der Ehegatte oder Kinder, des Mitarbeiters verlangt. Der Notfallkontakt dient dazu, Angehörige des Mitarbeiters zu informieren, sollte diesem während der Arbeitszeit etwas zustoßen, z. B. ein Arbeitsunfall. Bei den Daten des Notfallkontakts (Name, Adresse oder Telefonnummer) handelt es sich um personenbezogene Daten der Angehörigen. Da die Daten jedoch nicht direkt bei den Angehörigen (Dritten) erhoben werden, sondern bei dem neuen Mitarbeiter, ist Vorsicht geboten. Art. 14 DS-GVO schreibt für den Fall, dass personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, vor, dass die Betroffenen zeitnah zu informieren sind.
Allen angegebenen Personen muss daher im Nachgang eine Datenschutzinformation zugeschickt werden. Wie genau diese Informationen auszusehen haben, schreibt Art. 14 Abs. 1 lit. d) DS-GVO vor. Danach sind jeder angegebenen Kontaktperson

  • der Name und die Kontaktdaten des Verantwortlichen (und ggf. Vertreter),
  • die Kontaktdaten des Datenschutzbeauftragten
  • und die Zwecke der Verarbeitung inklusive der Rechtsgrundlage

mitzuteilen. Diese Informationen müssen spätestens einen Monat nach Erhalt der Daten erfolgen.

In den ersten Tagen muss der neue Mitarbeiter für datenschutzrelevante Themen in seinem neuen Job sensibilisiert und je nach Aufgabengebiet geschult werden. Welche Intensität und Inhalt die Sensibilisierung und Schulung haben muss, hängt einerseits vom Aufgabengebiet und andererseits vom datenschutzrechtlichen Vorwissen des neuen Mitarbeiters ab. Wurde der Mitarbeiter bei seinem vorherigen Arbeitgeber regelmäßig datenschutzrechtlich geschult und liegt die letzte Auffrischung noch nicht allzu lange zurück, können diese Schulungsnachweise selbstverständlich als Beleg datenschutzrechtlicher Kenntnisse verwendet werden. Andernfalls benötigt der Mitarbeiter eine allgemeine Grundschulung oder Auffrischung.

Unabhängig davon muss der Mitarbeiter in die firmeninternen Datenschutzregeln und Prozesse eingewiesen werden. Hierzu gehören auf jeden Fall die Durchsprache der EDV-Nutzungsvereinbarung, die datenschutzrechtlichen Zuständigkeiten und die Prozesse zum Umgang mit Betroffenenanfragen und Datenschutzvorfällen. Alle anderen Aspekte hängen vom Einsatzgebiet ab, denn im Marketing oder in der Personalabteilung gibt es deutlich andere datenschutzrelevante Prozesse als in der Auftragsbearbeitung. Der Onboarding-Prozess muss daher klar regeln, welche Einweisungen und Schulungen in welcher Abteilung notwendig sind. Diese sollten im Einarbeitungsplan als Checkliste aufgeführt sein.

Offboarding – wenn Mitarbeiter gehen

Genauso wichtig wie ein gut durchstrukturierter Onboarding-Prozess ist auch das Gegenteil: der Offboarding-Prozess. Verlassen Mitarbeiter das Unternehmen, gibt es wiederum nicht nur aus Datenschutzsicht wichtige Themen, die nur durch einen strukturierten Prozess gewährleistet werden können. Andernfalls kommen gerade bei fristlosen oder unerwarteten Kündigungen die Datensicherheit und der Datenschutz definitiv zu kurz. Unterm Strich müssen alle Aspekte aus dem Einrichtungsprozess des Arbeitsplatzes rückgängig gemacht und die Aufbewahrung bzw. Löschung aller Mitarbeiterdaten geprüft und veranlasst werden.

Entzug von Zutritts- und Zugriffsmöglichkeiten

Nach Art. 32 DS-GVO müssen Unternehmen u. a. sicherstellen, dass Unbefugte keinen Zugang zu personenbezogenen Daten erhalten. Da ehemalige Mitarbeiter in die Gruppe der „Unbefugten“ fallen, müssen die folgenden Maßnahmen im Offboarding-Prozess unbedingt berücksichtigt werden.

  • Schlüssel oder Zugangskarte zurückfordern

    Ab dem Zeitpunkt, zu dem das Arbeitsverhältnis endet, dürfen Mitarbeiter keinen Schlüssel mehr zum Unternehmen haben. Da idealerweise im Onboarding-Prozess dokumentiert wurde, welche Zugangskarten oder Schlüssel der jeweilige Mitarbeiter erhalten hat, sind diese bei Austritt des Mitarbeiters zurückzufordern. Die Rückgabe muss dokumentiert werden. Gibt ein Mitarbeiter an, die Zugangskarte verloren zu haben, muss diese sofort gesperrt werden. Beim Verlust eines Schlüssels müssen die entsprechenden Schlösser selbstverständlich getauscht werden.

  • Team über die Beendigung des Arbeitsverhältnisses informieren

    Auch das Team muss über die Beendigung des Arbeitsverhältnisses informiert werden, damit es den Aufenthalt des ehemaligen Mitarbeiters in den Büroräumen nicht mehr als „normal“ empfindet oder dem vermeintlichen Kollegen vertrauliche Antworten auf normale Fragen aus dem Betriebsalltag gibt. Der Kommunikationszeitpunkt hängt von der Art der Beendigung des Arbeitsverhältnisses ab. Der Offboarding-Prozess sollte daher für die verschiedenen Optionen (Aufhebungsvertrag, fristlose Kündigung, arbeitnehmerseitige Kündigung, arbeitgeberseitige fristgerechte Kündigung etc.) regeln, wann das Team durch wen wie informiert wird.

    Ob der Grund der Beendigung den Mitarbeitern mitgeteilt wird, sollte datenschutzrechtlich gut abgewogen werden. Der Beendigungsgrund ist ebenfalls ein personenbezogenes Datum im Sinne der DS-GVO und darf daher nur auf Basis einer Rechtsgrundlage weitergegeben werden. In bestimmten Fällen kann es durchaus im berechtigten Interesse des Unternehmens sein, den Kündigungsgrund betriebsintern bekannt zu machen. Das trifft vor allem bei verhaltensbedingten Kündigungen zu, damit bestimmte Pflichtverletzungen nicht als Bagatelle wahrgenommen werden (z. B. die konsequente Ignoranz datenschutzrechtlicher Regeln). Krankheitsbedingte Kündigungen sind hingegen ein besonders sensibles Datum und sollten daher nicht im Team bekannt gemacht werden.

  • Entzug von Zugriffsrechten

    Neben dem Entzug der physischen Zugangsmöglichkeiten muss unbedingt auch an das Sperren von sämtlichen Log-ins und Konten von Unternehmenssystemen des ehemaligen Mitarbeiters gedacht werden. Sind im Onboarding-Prozess nicht alle Zugriffsrechte des Mitarbeiters festgehalten worden, so muss nun eine neue Liste erstellt werden. In die Liste aufgenommen werden müssen alle Passwörter und Log-ins, auf die der Mitarbeiter Zugriff hat bzw. hatte. Anschließend müssen alle Zugänge deaktiviert oder so geändert werden, dass der Mitarbeiter nach dem Austritt aus dem Unternehmen keinen Zugriff mehr darauf hat. Insbesondere bei Social-Media-Accounts oder Websitezugängen lässt sich im Nachhinein großer Schaden anrichten.

  • Werkzeuge für den Fernzugriff deaktivieren

    Viele Unternehmen arbeiten mittlerweile mit Fernzugriffswerkzeugen wie z. B. Office 365 oder Google Docs. Auch den Zugang zum Firmennetzwerk durch einen VPN-Tunnel findet man immer häufiger in Unternehmen. Verlässt ein Mitarbeiter das Unternehmen, müssen diese Zugänge sofort gesperrt oder die Konten des Mitarbeiters gelöscht werden. Hat der Mitarbeiter nach Austritt aus dem Unternehmen z. B. durch einen VPN-Zugang noch Zugriff auf das Firmenlaufwerk, wäre dies fatal.

  • Rückgabe von Unternehmenseigentum, Endgeräten und Hardware

    Wurde dem Mitarbeiter im Rahmen seiner Tätigkeit firmeneigene Hardware zur Verfügung gestellt, ist diese im Rahmen des Offboarding-Prozesses zurückzufordern. Egal ob Handy, Festplatten oder Laptop des ehemaligen Mitarbeiters – jedes Gerät, auf dem Firmendaten gespeichert sind, muss eingesammelt werden. Idealerweise wurde in der EDV-Nutzungsvereinbarung auch festgehalten, dass Firmenhardware nicht zur privaten Nutzung verwendet werden darf. So entstehen beim Offboarding-Prozess keine Probleme hinsichtlich des Löschens von z. B. privaten E-Mails oder Bildern.

Löschen und Archivieren der Mitarbeiterdaten

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie zur Erfüllung des Verarbeitungszwecks benötigt werden. Sobald der Mitarbeiter aus dem Unternehmen ausgeschieden ist, fällt der Zweck „Durchführung des Beschäftigungsverhältnisses“ weg. Sofern kein besonderer Grund die weitere Speicherung legitimiert, müssen die Daten daher gelöscht werden. Es muss also geprüft werden, welche Daten im Unternehmen von dem Mitarbeiter vorhanden sind und welche davon auch nach Beendigung des Arbeitsverhältnisses noch benötigt werden (könnten) oder gesetzlichen Aufbewahrungspflichten unterliegen. Idealerweise lassen sich diese Informationen aus dem Verzeichnis der Verarbeitungstätigkeiten herausfiltern.

Die meisten Daten des ehemaligen Arbeitnehmers sind in der Personalakte gespeichert. Eine einheitliche Vorgehensweise für die gesamte Akte gibt es leider nicht, denn es müssen zwar einige Daten direkt nach Beendigung des Arbeitsverhältnisses gelöscht werden, aber keinesfalls die gesamte Personalakte. Für Arbeitgeber ergeben sich nämlich insbesondere aus den Vorschriften des deutschen Arbeits-, Handels- und Sozialversicherungs- sowie des Steuerrechts unterschiedliche Aufbewahrungsfristen für verschiedene Dokumente.

Beurteilungen und Zeugnisse müssen für drei Jahre aufbewahrt werden. Grund hierfür ist die Verjährung des Zeugnisanspruchs. Gem. § 109 GewO hat jeder Arbeitnehmer bei Beendigung des Arbeitsverhältnisses einen Anspruch auf ein schriftliches Arbeitszeugnis. Dieser Anspruch unterliegt gem. § 195 BGB der regelmäßigen Verjährungsfrist von drei Jahren. Die Frist beginnt hierbei am Ende des Kalenderjahres (31. 12.) zu laufen, in dem das Arbeitsverhältnis beendet wurde.

Auch Überstundenlisten sammeln sich in der Personalakte. Die Aufbewahrungsfrist für Überstundenlisten hängt davon ab, ob die Überstunden teil des Lohnbelegs waren, also vergütet wurden. Ist dies der Fall, greifen Vorschriften aus dem Steuer- und Handelsrecht. So müssen gem. § 147 Abs. 1 Nr. 4 AO (Abgabenordnung) Buchungsbelege, zu denen auch Lohnbelege gehören, für zehn Jahre aufbewahrt werden. Die Aufbewahrungsfrist von zehn Jahren ergibt sich aus § 147 Abs. 3 AO. Die Frist beginnt hier ebenfalls mit Ende des Kalenderjahres zu laufen, in dem der letzte Buchungsbeleg entstanden ist. Sind Überstundenlisten teil des Lohnbelegs, dürfen diese demnach erst mit Ablauf der Aufbewahrungsfrist von zehn Jahren gelöscht werden.

Sind die Überstunden nicht Teil des Lohnbelegs, müssen Sie deutlich eher gelöscht werden. Die Aufbewahrungsfrist nach dem Arbeitszeitgesetz beträgt dann nur zwei Jahre.

Daten des ehemaligen Mitarbeiters, die im Zusammenhang mit dessen betrieblicher Altersvorsorge stehen, dürfen erst nach 30 Jahren gelöscht werden. Diese Frist richtet sich nach der im Betriebsrentengesetz (BetrAVG) geregelten Verjährung für die Geltendmachung von Ansprüchen auf Leistungen aus der betrieblichen Altersvorsorge. Nach § 18a BetrAVG können Arbeitnehmer bzw. ehemalige Arbeitnehmer 30 Jahre lang ihren Anspruch auf Leistungen geltend machen. Somit sollten diese Unterlagen auch 30 Jahre lang aufbewahrt und erst mit Ablauf dieser Frist gelöscht werden.

Notizen, die während Mitarbeitergesprächen angefertigt wurden, sind spätestens mit rechtskräftiger Beendigung des Arbeitsverhältnisses zu löschen bzw. zu vernichten. Mit Beendigung des Arbeitsverhältnisses entfällt der Zweck der Verarbeitung dieser personenbezogenen Daten und rechtfertigt somit keine weitere Speicherung dieser.

Löschen des Mitarbeiters von den Online-Auftritten

Bilder und Daten von Mitarbeitern werden regelmäßig auf Basis ihrer Einwilligung veröffentlicht. Ist die Dauer der Einwilligung nicht explizit geregelt, gilt diese im Zweifel nur für die Dauer des Arbeitsverhältnisses, sodass alle Bilder und Daten von der Homepage und etwaigen Social-Media-Profilen gelöscht werden müssen. Wurde die Dauer hingegen explizit in der Einwilligung geregelt, ist eine sofortige Löschung nicht zwingend notwendig.

Drei Fragen aus dem Betriebsalltag

Ein neuer Mitarbeiter kommt ins Unternehmen und jeder ist gespannt, wie die Person aussieht und welchen beruflichen Weg sie bereits hinter sich hat. Gern stellen Unternehmen bei Neueintritten von Mitarbeitern Informationen – angefangen beim Namen über das Geburtsdatum bis hin zu Angaben zu dessen Qualifikation – in das unternehmenseigene Intranet.
Wie auch sonst gilt hier: Personenbezogene Daten von Mitarbeitern dürfen nur dann verarbeitet werden, wenn es für die Durchführung des Beschäftigtenverhältnisses erforderlich ist. Dies kann die Veröffentlichung des Namens, der Funktion oder der dienstlichen Kontaktdaten wie dienstliche E-Mail-Adresse und Telefonnummer sein. Geburtstage, Fotos, private Adressdaten oder der Lebenslauf sind hingegen für die Durchführung des Arbeitsverhältnisses nicht zwingend notwendig und dürfen daher nur mit einer entsprechende Einwilligung des Mitarbeiters veröffentlicht werden.

Verlässt ein Mitarbeiter das Unternehmen, stellt man sich schnell die Frage, was denn mit dem jeweiligen E-Mail-Postfach passiert. Insbesondere wenn regelmäßig Informationen an das Postfach gesendet werden, die vielleicht für den Nachfolger wichtig sein könnten, oder Kundenrückmeldungen zu bestimmten Projekten eingehen, wird häufig darüber nachgedacht, eine automatische Weiterleitung einzurichten. Ob dies zulässig ist, hängt davon ab, ob die private Nutzung des E-Mail-Accounts erlaubt bzw. geduldet war oder nicht. Ist Ersteres der Fall, darf auf keinen Fall eine Weiterleitung der Mails eingerichtet werden, da ansonsten die Privatsphäre des ehemaligen Mitarbeiters verletzt werden würde. War die private Nutzung nicht erlaubt, sind der Zugriff auf die E-Mails und die Weiterleitung datenschutzrechtlich kein Problem, da es sich um Firmeneigentum handelt.

Eine Einwilligung des Mitarbeiters ist immer dann notwendig, wenn die Nutzung der Daten weder zur Erfüllung des Arbeitsvertrags notwendig ist noch auf das berechtigte überwiegende Interesse gestützt werden kann. Dies ist typischerweise bei der Veröffentlichung von Bildern auf der Firmenhomepage oder einer betrieblichen Geburtstagsliste der Fall. Da Hürden für eine wirksame Einwilligung im Arbeitsverhältnis hoch sind, sollten die entsprechenden Datenverarbeitungen so gering wie möglich gehalten werden.
Muss ein Betriebsausweis mit Foto für den neuen Mitarbeiter erstellt werden, ist keine explizite Mitarbeiter-Einwilligung erforderlich. Genauso wenig wie bei der Bildveröffentlichung im Intranet, wenn es die Position des Mitarbeiters erfordert (z. B. Vertriebsleiter, Geschäftsführer).