Image
daten-loeschen.jpeg
Foto: deepagopi2011 - stock.adobe.com
Personenbezogene Daten von ehemaligen Mitarbeitern nicht (vollständig) gelöscht? Das kann Schadensersatzforderungen und ein Bußgeld zur Folge haben.

Datenschutz-Grundverordnung

5 häufige DSGVO-Fehler, wenn Mitarbeiter ausscheiden

Personenbezogene Daten Ihrer Mitarbeiter dürfen Sie speichern. Wenn die aus Ihrem Betrieb ausscheiden, sieht das wegen der DSGVO schnell anders aus.

  • Personenbezogene Daten von ehemaligen Mitarbeiten dürfen Betriebe nur speichern, wenn sie ein berechtigtes Interesse an der Datenspeicherung haben.
  • Ob Grußkarten an ehemalige Mitarbeiter, nicht gelöschte Daten oder Mitarbeiterfotos, die noch immer auf der Website erscheinen – eine Arbeitsrechtlerin sagt, welche Daten für Betriebe kritisch werden können.
  • Folge einer unberechtigten Datenspeicherung können Schadensersatzforderungen und Bußgelder sein.
  • Doch aus Angst sollten Betriebe nicht alle Daten von ehemaligen Mitarbeitern löschen. Denn es gibt Daten, die sie aufbewahren müssen oder können.

Namen, Adressen, Kontonummern, AU-Bescheinigungen oder Abmahnungen – als Arbeitgeber haben Sie jede Menge personenbezogene Daten von Ihren Mitarbeitern gespeichert. Datenschutzrechtlich ist das im laufenden Arbeitsverhältnis unproblematisch. Das sieht schnell anders aus, wenn Mitarbeiter Ihren Betrieb verlassen.

„Wegen der Datenschutz-Grundverordnung (DSGVO) dürfen Sie personenbezogene Daten nur speichern, solange Sie ein berechtigtes Interesse haben“, sagt Nathalie Oberthür, Fachanwältin für Arbeitsrecht in Köln und Vorsitzende des Arbeitsrechtsausschusses im Deutschen Anwaltverein.

Speichern Betriebe die Daten trotzdem weiter, kann es unangenehm werden: „Die DSGVO wird von Arbeitnehmern zunehmend als Druckmittel gegen Arbeitgeber verwendet“, sagt die Juristin. „Zum Beispiel, um Schadenersatz zu fordern oder die Position in der Abfindungsverhandlung zu verbessern.“

[Tipp: Sie wollen beim Thema Datenschutzrecht nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!]

1. Mitarbeiterfotos im Netz nicht vollständig gelöscht

Viele Betriebe verwenden Fotos von ihren Mitarbeitern auf der Website. Dafür benötigen sie laut Arbeitsrechtlerin Oberthür in der Regel eine Einwilligung gemäß Artikel 6 Abs. 1 lit.a, Art 7 DSGVO in Verbindung mit § 26 Abs. 2 BDSG: „Die gilt bis zum Widerruf und endet nicht automatisch mit dem Ende des Beschäftigungsverhältnisses.“ Doch der Juristin zufolge müssen Sie die Bilder als Arbeitgeber zeitnah löschen, sobald ein Mitarbeiter sein Einverständnis widerruft.

Zudem kann die konkrete Art der Darstellung – etwa eines Mitarbeiters als Ansprechpartner für Kunden – nach dem Ende des Beschäftigungsverhältnisses von der Einwilligung nicht mehr gedeckt sein. Deshalb kann es sinnvoll sein, die Bilder zu löschen, bevor es der ehemalige Mitarbeiter verlangt.

„Achten Sie darauf, dass Sie wirklich alle Fotos löschen, auch in Broschüren oder weitergehend verlinkte Medien“, rät Oberthür. Taucht trotz Widerruf später noch ein Bild des betroffenen Mitarbeiters im Netz auf, könnten auf Arbeitgeber sonst neben dem Imageschaden auch Schadenersatzforderungen zukommen.

DSGVO-Urteil: Foto ohne Zustimmung kann teuer werden

Egal ob digital oder analog: Wer Fotos von Mitarbeitern veröffentlichen will, braucht für jede einzelne Art der Veröffentlichung deren Einwilligung. Es droht eine Schmerzensgeldzahlung.
Artikel lesen

2. Personalisierte E-Mail-Adresse weiter verwenden

Online-Bewerbungen sind heute in vielen Betrieben Standard. Stellenausschreibungen enthalten daher meist eine E-Mail-Adresse. Das sollte laut Oberthür auf keinen Fall eine personalisierte E-Mail-Adresse sein, die einem ehemaligen Mitarbeiter gehört: „Sie verarbeiten sonst personenbezogene Daten, die nicht mehr aktuell sind und die Sie wegen § 26 Abs. 1 Satz 1 BDSG nicht mehr verwenden dürfen“, warnt die Juristin. Wenn sich der Ex-Mitarbeiter bei der Datenschutzbehörde beschwert, könnte ein Bußgeld die Folge sein.

3. Mitarbeitern eine Grußkarte schicken

Einem ehemaligen Mitarbeiter zum Geburtstag zu gratulieren, mag eine nette Geste sein. Doch datenschutzrechtlich ist es heikel, wenn Sie Name, Adresse und Geburtsdatum ehemaliger Mitarbeiter für solche Zwecke speichern. „Das ist eine von Art 6 DSGVO nicht gedeckte unberechtigte Datenverarbeitung, die ebenfalls Schadenersatzforderungen oder ein Bußgeld zur Folge haben können“, sagt Oberthür.

Unternehmern, die nicht auf Grußkarten zum Geburtstag oder zu Weihnachten verzichten wollen, sollten dazu vorher die Einwilligung der ehemaligen Mitarbeiter einholen, rät die Juristin.

4. Mitarbeiter nicht aus der Whatsapp-Gruppe löschen

Whatsapp hat in Sachen Datenschutz keinen guten Ruf. Trotzdem nutzen Viele den zum Facebook-Konzern gehörenden Dienst. Auch in Betrieben ist der Messenger im Einsatz – zum Beispiel, um im Team zu kommunizieren. Nach Einschätzung von Oberthür ist dabei äußerste Vorsicht geboten: Sobald ein Mitarbeiter aus dem Betrieb ausscheidet, habe dessen Telefonnummer nichts mehr im Handy des Chefs und auch nicht in der Whatsapp-Gruppe zu suchen, betont die Juristin. Sonst könnten ebenfalls Schadensersatzforderungen oder ein Bußgeld die Folge sein.

5. Mitarbeiterdaten nicht rechtzeitig löschen

Wer Daten verarbeitet, braucht nach Artikel 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten. „Das muss immer ein Löschkonzept enthalten, wann Sie welche Daten löschen“, erläutert Nathalie Oberthür. „Das gilt auch für Daten, die in Personalakten gespeichert werden.“

Verlässt ein Mitarbeiter den Betrieb, besteht der Arbeitsrechtlerin zufolge meist Handlungsbedarf. Betriebe fehlt dann bei einigen Daten das berechtigte Interesse an der weiteren Datenspeicherung: „Bei einem unstreitig beendeten Arbeitsverhältnissen brauchen Sie zum Beispiel AU-Bescheinigungen und Abmahnungen nicht mehr.“

Speichern Sie diese Daten weiterhin, kann das auffliegen. Denn laut Oberthür haben Mitarbeiter auch nach dem Ausscheiden aus dem Betrieb gemäß Artikel 15 DSGVO Anspruch auf Auskunft, welche ihrer Daten gespeichert sind. Mögliche Folge seien – wie bei allen Datenschutzverstößen – Schadensersatzansprüche oder ein Bußgeld.

Nicht alle Daten dürfen gelöscht werden, wenn ein Mitarbeiter geht

Nach dem Ausscheiden eines Mitarbeiters sollten Sie nicht alle Daten aus der Personalakte löschen. Der Juristin zufolge gibt es Daten, die Handwerker aufbewahren müssen beziehungsweise sollten. Dazu zählen:

  • Steuerrelevante Gehaltsunterlagen müssen Sie wegen der gesetzlichen Aufbewahrungsfristen bis zu 10 Jahre aufbewahren.
  • Information über frühere Tätigkeiten im Betrieb: Bei Neueinstellungen mit Befristung muss der Juristin zufolge überprüfbar sein, ob der Mitarbeiter schon einmal im Betrieb gearbeitet hat. Wenn ja, dann sei keine sachgrundlose Befristung mehr möglich.
  • Unterlagen, die Sie für Rechtsstreitigkeiten brauchen, dürfen Sie ebenfalls speichern. „Haben Sie dem Mitarbeiter gekündigt, sollten Sie Abmahnungen und AU-Bescheinigungen aufbewahren, sofern diese für den Kündigungsgrund von Bedeutung sind“ erläutert Oberthür. „Und wenn Sie mit der Krankenkasse um Lohnfortzahlung streiten, dann sollten Sie die AU-Bescheinigungen aufbewahren.“

Tipp: Sie wollen keine wichtigen Infos zum Thema Datenschutzrecht verpassen? Dann abonnieren Sie hier den handwerk.com-Newsletter. Jetzt hier anmelden! 

Auch interessant:

Mitarbeiterfotos veröffentlichen? Das sagt die DSGVO!

Fotos von Mitarbeitern beleben Broschüren, Websites und Social Media-Kanäle. Doch was müssen Sie beachten, um nicht gegen die DSGVO zu verstoßen?
Artikel lesen

Die fünf größten DSGVO-Fallen im Bewerbungsprozess

Betriebe, die Bewerbungsunterlagen erhalten, müssen dabei zwingend die Vorschriften der DSGVO einhalten. Ein Experte verrät, wo die 5 größten Fallstricke lauern.
Artikel lesen

Die fünf größten Fehler bei Kündigungen

Jemandem kündigen zu müssen, ist keine schöne Aufgabe. Noch schlimmer wird sie, wenn man grobe Fehler macht und die Kündigung unwirksam ist.
Artikel lesen
Dann dürfen Betriebe die personenbezogenen Daten nur noch speichern, wenn sie ein berechtigtes Interesse haben.
Foto: freshidea - stock.adobe.com

Datenschutz-Grundverordnung

DSGVO und Kündigung: Wann müssen welche Daten gelöscht werden?

Wer Mitarbeiter hat, benötigt von ihnen personenbezogene Daten. Doch was ist nach dem Ende des Arbeitsverhältnisses: Müssen Chefs alle Unterlagen vernichten?

Bei der Umsetzung der neuen Regeln können Betriebe auf Muster zurückgreifen, die der Zentralverband des Deutschen Handwerks (ZDH) erstellt hat.
Foto: Sir_Oliver - stock.adobe.com

Datenschutz-Grundverordnung

Handlungsempfehlung und Muster zur Umsetzung der DSGVO

In wenigen Tagen tritt die Datenschutz-Grundverordnung in Kraft. Was Betriebe deshalb umsetzen sollten, verrät eine Handlungsempfehlung des ZDH. Dazu gibt es zahlreiche Muster.

Berliner Anwalt fordert Schmerzensgelder bis zu 12.500 Euro von Unternehmern, wie das Fachmagazin Kfz-Betrieb berichtet.
Foto: psdesign1 - Fotolia.com

Datenschutz-Grundverordnung

DSGVO: 12.500 Euro Strafe weil SSL-Zertifikat fehlt?

Einigen Unternehmern flattern derzeit Abmahnungen wegen fehlender SSL-Zertifikate ins Haus. Jurist Niko Härting verrät, wie Betroffene damit umgehen sollten.

Die häufigsten hat das Bayerische Landesamt für Datenschutzaufsicht mit einem FAQ beantwortet.
Foto: vegefox.com - stock.adobe.com

FAQ zur Datenschutz-Grundverordnung

Häufige Fragen zur DSGVO: Eine Behörde antwortet

Ob Datenschutzerklärung, Direktmarketing oder Verschlüsselung – zur DSGVO tauchen noch immer Fragen auf. Die häufigsten hat eine Landesbehörde jetzt mit einem FAQ beantwortet.

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.