5 häufige DSGVO-Fehler, wenn Mitarbeiter ausscheiden

• Personenbezogene Daten von ehemaligen Mitarbeiten dürfen Betriebe nur speichern, wenn sie ein berechtigtes Interesse an der Datenspeicherung haben.
• Ob Grußkarten an ehemalige Mitarbeiter, nicht gelöschte Daten oder Mitarbeiterfotos, die noch immer auf der Website erscheinen – eine Arbeitsrechtlerin sagt, welche Daten für Betriebe kritisch werden können.
• Folge einer unberechtigten Datenspeicherung können Schadensersatzforderungen und Bußgelder sein.
• Doch aus Angst sollten Betriebe nicht alle Daten von ehemaligen Mitarbeitern löschen. Denn es gibt Daten, die sie aufbewahren müssen oder können.

Namen, Adressen, Kontonummern, AU-Bescheinigungen oder Abmahnungen – als Arbeitgeber haben Sie jede Menge personenbezogene Daten von Ihren Mitarbeitern gespeichert. Datenschutzrechtlich ist das im laufenden Arbeitsverhältnis unproblematisch. Das sieht schnell anders aus, wenn Mitarbeiter Ihren Betrieb verlassen.

„Wegen der Datenschutz-Grundverordnung (DSGVO) dürfen Sie personenbezogene Daten nur speichern, solange Sie ein berechtigtes Interesse haben“, sagt Nathalie Oberthür, Fachanwältin für Arbeitsrecht in Köln und Vorsitzende des Arbeitsrechtsausschusses im Deutschen Anwaltverein.

Speichern Betriebe die Daten trotzdem weiter, kann es unangenehm werden: „Die DSGVO wird von Arbeitnehmern zunehmend als Druckmittel gegen Arbeitgeber verwendet“, sagt die Juristin. „Zum Beispiel, um Schadenersatz zu fordern oder die Position in der Abfindungsverhandlung zu verbessern.“

[Tipp: Sie wollen beim Thema Datenschutzrecht nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com. Jetzt hier anmelden!]

1. Mitarbeiterfotos im Netz nicht vollständig gelöscht

Viele Betriebe verwenden Fotos von ihren Mitarbeitern auf der Website. Dafür benötigen sie laut Arbeitsrechtlerin Oberthür in der Regel eine Einwilligung gemäß Artikel 6 Abs. 1 lit.a, Art 7 DSGVO in Verbindung mit § 26 Abs. 2 BDSG: „Die gilt bis zum Widerruf und endet nicht automatisch mit dem Ende des Beschäftigungsverhältnisses.“ Doch der Juristin zufolge müssen Sie die Bilder als Arbeitgeber zeitnah löschen, sobald ein Mitarbeiter sein Einverständnis widerruft.

Zudem kann die konkrete Art der Darstellung – etwa eines Mitarbeiters als Ansprechpartner für Kunden – nach dem Ende des Beschäftigungsverhältnisses von der Einwilligung nicht mehr gedeckt sein. Deshalb kann es sinnvoll sein, die Bilder zu löschen, bevor es der ehemalige Mitarbeiter verlangt.

„Achten Sie darauf, dass Sie wirklich alle Fotos löschen, auch in Broschüren oder weitergehend verlinkte Medien“, rät Oberthür. Taucht trotz Widerruf später noch ein Bild des betroffenen Mitarbeiters im Netz auf, könnten auf Arbeitgeber sonst neben dem Imageschaden auch Schadenersatzforderungen zukommen.

2. Personalisierte E-Mail-Adresse weiter verwenden

Online-Bewerbungen sind heute in vielen Betrieben Standard. Stellenausschreibungen enthalten daher meist eine E-Mail-Adresse. Das sollte laut Oberthür auf keinen Fall eine personalisierte E-Mail-Adresse sein, die einem ehemaligen Mitarbeiter gehört: „Sie verarbeiten sonst personenbezogene Daten, die nicht mehr aktuell sind und die Sie wegen § 26 Abs. 1 Satz 1 BDSG nicht mehr verwenden dürfen“, warnt die Juristin. Wenn sich der Ex-Mitarbeiter bei der Datenschutzbehörde beschwert, könnte ein Bußgeld die Folge sein.

3. Mitarbeitern eine Grußkarte schicken

Einem ehemaligen Mitarbeiter zum Geburtstag zu gratulieren, mag eine nette Geste sein. Doch datenschutzrechtlich ist es heikel, wenn Sie Name, Adresse und Geburtsdatum ehemaliger Mitarbeiter für solche Zwecke speichern. „Das ist eine von Art 6 DSGVO nicht gedeckte unberechtigte Datenverarbeitung, die ebenfalls Schadenersatzforderungen oder ein Bußgeld zur Folge haben können“, sagt Oberthür.

Unternehmern, die nicht auf Grußkarten zum Geburtstag oder zu Weihnachten verzichten wollen, sollten dazu vorher die Einwilligung der ehemaligen Mitarbeiter einholen, rät die Juristin.

4. Mitarbeiter nicht aus der Whatsapp-Gruppe löschen

Whatsapp hat in Sachen Datenschutz keinen guten Ruf. Trotzdem nutzen Viele den zum Facebook-Konzern gehörenden Dienst. Auch in Betrieben ist der Messenger im Einsatz – zum Beispiel, um im Team zu kommunizieren. Nach Einschätzung von Oberthür ist dabei äußerste Vorsicht geboten: Sobald ein Mitarbeiter aus dem Betrieb ausscheidet, habe dessen Telefonnummer nichts mehr im Handy des Chefs und auch nicht in der Whatsapp-Gruppe zu suchen, betont die Juristin. Sonst könnten ebenfalls Schadensersatzforderungen oder ein Bußgeld die Folge sein.

5. Mitarbeiterdaten nicht rechtzeitig löschen

Wer Daten verarbeitet, braucht nach Artikel 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten. „Das muss immer ein Löschkonzept enthalten, wann Sie welche Daten löschen“, erläutert Nathalie Oberthür. „Das gilt auch für Daten, die in Personalakten gespeichert werden.“

Verlässt ein Mitarbeiter den Betrieb, besteht der Arbeitsrechtlerin zufolge meist Handlungsbedarf. Betriebe fehlt dann bei einigen Daten das berechtigte Interesse an der weiteren Datenspeicherung: „Bei einem unstreitig beendeten Arbeitsverhältnissen brauchen Sie zum Beispiel AU-Bescheinigungen und Abmahnungen nicht mehr.“

Speichern Sie diese Daten weiterhin, kann das auffliegen. Denn laut Oberthür haben Mitarbeiter auch nach dem Ausscheiden aus dem Betrieb gemäß Artikel 15 DSGVO Anspruch auf Auskunft, welche ihrer Daten gespeichert sind. Mögliche Folge seien – wie bei allen Datenschutzverstößen – Schadensersatzansprüche oder ein Bußgeld.

Nicht alle Daten dürfen gelöscht werden, wenn ein Mitarbeiter geht

Nach dem Ausscheiden eines Mitarbeiters sollten Sie nicht alle Daten aus der Personalakte löschen. Der Juristin zufolge gibt es Daten, die Handwerker aufbewahren müssen beziehungsweise sollten. Dazu zählen:

• Steuerrelevante Gehaltsunterlagen müssen Sie wegen der gesetzlichen Aufbewahrungsfristen bis zu 10 Jahre aufbewahren.
• Information über frühere Tätigkeiten im Betrieb: Bei Neueinstellungen mit Befristung muss der Juristin zufolge überprüfbar sein, ob der Mitarbeiter schon einmal im Betrieb gearbeitet hat. Wenn ja, dann sei keine sachgrundlose Befristung mehr möglich.
• Unterlagen, die Sie für Rechtsstreitigkeiten brauchen, dürfen Sie ebenfalls speichern. „Haben Sie dem Mitarbeiter gekündigt, sollten Sie Abmahnungen und AU-Bescheinigungen aufbewahren, sofern diese für den Kündigungsgrund von Bedeutung sind“ erläutert Oberthür. „Und wenn Sie mit der Krankenkasse um Lohnfortzahlung streiten, dann sollten Sie die AU-Bescheinigungen aufbewahren.“

Tipp: Sie wollen keine wichtigen Infos zum Thema Datenschutzrecht verpassen? Dann abonnieren Sie hier den handwerk.com-Newsletter. Jetzt hier anmelden!