Die belgische Datenschutzaufsichtsbehörde (GBA) hat ein Unternehmen gerügt, weil es das dienstliche E-Mail-Konto und die Mobiltelefonnummer eines ausgeschiedenen Geschäftsführers über einen längeren Zeitraum weitergeführt hatte. Der Fall verdeutlicht, wie sensibel der Umgang mit dienstlichen Kommunikationsmitteln nach Beendigung eines Arbeitsverhältnisses ist und wie schnell dabei gegen zentrale Grundsätze der Datenschutz-Grundverordnung verstoßen werden kann.
Der Sachverhalt
Der Betroffene hatte das Unternehmen mehrfach aufgefordert, sein dienstliches E-Mail-Konto, die ihm zugewiesene Mobiltelefonnummer sowie zugehörige private Nachrichten zu löschen. Dennoch blieben sowohl der E-Mail-Account als auch die Mobilnummer aktiv. Die Datenschutzbehörde stellte dabei mehrere Verstöße gegen die DSGVO fest.
E-Mail-Postfach als personenbezogene Daten
Nach Art. 5 Abs. 1 lit. b DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Mit dem Ausscheiden eines Mitarbeiters entfällt jedoch der Zweck, für den eine dienstliche E-Mail-Adresse und eine Mobiltelefonnummer bereitgestellt wurden. Die belgische Datenschutzaufsichtsbehörde stellte fest, dass die E-Mail-Adresse und das zugehörige Postfach personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO darstellen. Sie wurden ausschließlich für berufliche Zwecke eingerichtet, nämlich um dem Geschäftsführer die berufliche Kommunikation im Rahmen seiner Tätigkeit zu ermöglichen. Mit der Beendigung des Arbeitsverhältnisses entfiel dieser Zweck vollständig, sodass eine weitere Verarbeitung unzulässig war.
Verstoß gegen Zweckbindung, Datenminimierung und Speicherbegrenzung
Darüber hinaus verstieß das Unternehmen gegen die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Nach Auffassung der Datenschutzbehörde hätte das Unternehmen spätestens mit dem tatsächlichen Ausscheiden des Geschäftsführers einen automatischen Abwesenheitshinweis einrichten müssen, der über das Ende der Tätigkeit informiert und eine neue Ansprechperson benennt. Ein solcher Hinweis sollte grundsätzlich nur für einen Zeitraum von etwa einem Monat, in Ausnahmefällen auch bis zu drei Monaten, aktiv bleiben. Anschließend sind die E-Mail-Adresse und das Postfach zu löschen. Eine längere Übergangsfrist wäre nur mit Zustimmung oder zumindest vorheriger Information des Betroffenen zulässig gewesen.
Unzulässige Weiterverarbeitung der Mobiltelefonnummer
Auch die fortgesetzte Nutzung der dienstlichen Mobiltelefonnummer stellte nach Ansicht der Streitkammer einen Verstoß gegen die DSGVO dar. Das Unternehmen argumentierte, die Mobilnummer gehöre ihm, da es das Mobilfunkabonnement abgeschlossen habe. Dieser Argumentation folgte die Datenschutzbehörde nicht.
Maßgeblich ist nicht die zivilrechtliche Zuordnung des Mobilfunkvertrags, sondern der Umstand, dass die Nummer einer bestimmten natürlichen Person zugeordnet ist und über sie personenbezogene Kommunikationsdaten verarbeitet werden. Da der Betroffene die Mobilnummer über mehr als zehn Jahre hinweg auch privat nutzen durfte, befanden sich auf dem Gerät zwangsläufig private Nachrichten und Kommunikationsinhalte. (Mehr zur privaten Nutzung dienstlicher E-Mail-Postfächer oder von Diensthandys)
Die weitere Speicherung oder Zugänglichmachung dieser Inhalte nach Beendigung des Arbeitsverhältnisses stellte einen besonders schwerwiegenden Eingriff in die Grundrechte des Betroffenen dar. Dieser hatte am 1. Juli 2021 ausdrücklich die Löschung sämtlicher privater Nachrichten verlangt. Das Unternehmen bestätigte die Löschung jedoch erst am 12. Februar 2025, ohne den genauen Zeitpunkt der Löschung belegen zu können. Darin sah die Streitkammer einen Verstoß gegen Art. 12 Abs. 2 und 4 sowie Art. 17 DSGVO.
Fehlende Rechtsgrundlage nach Art. 6 DSGVO
Während des bestehenden Arbeitsverhältnisses konnte sich das Unternehmen für die Verarbeitung der personenbezogenen Daten auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) stützen. Mit der Beendigung des Arbeitsverhältnisses entfiel diese Rechtsgrundlage jedoch vollständig.
Eine andere Rechtsgrundlage für die weitere Verarbeitung, etwa eine Einwilligung des Betroffenen oder ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO, wurde weder dargelegt noch nachgewiesen. Damit war jede weitere Verarbeitung des E-Mail-Kontos und der Mobiltelefonnummer nach dem Ausscheiden des Geschäftsführers rechtswidrig.
Fazit
Die Entscheidung verdeutlicht die Bedeutung klarer und datenschutzkonformer Verarbeitungsprozesse. Unternehmen müssen sicherstellen, dass dienstliche E-Mail-Konten zeitnah deaktiviert werden, automatische Abwesenheitshinweise nur für einen begrenzten Zeitraum bestehen bleiben, personenbezogene Inhalte fristgerecht gelöscht werden und dienstliche Mobilnummern nach dem Ausscheiden nicht weitergeführt werden. Löschanfragen betroffener Personen sind unverzüglich und nachweisbar zu bearbeiten. Das Landesarbeitsgericht Köln hat in diesem Zusammenhang bereits entschieden, dass das fortbestehende Online-Profil einer ehemaligen Mitarbeiterin nach Beendigung des Arbeitsverhältnisses eine Verletzung des Rechts auf Löschung nach Art. 17 DSGVO darstellt und einen Anspruch auf immateriellen Schadensersatz begründet. Ob Arbeitgeber beim Angebot betrieblicher E-Mail-Postfächer auch für private Zwecke als Anbieter von Telekommunikationsdiensten gelten und damit dem Fernmeldegeheimnis unterliegen, hat die BNetzA zuletzt in einem Hinweispapier hinterfragt.
Im konkreten Fall beließ es die belgische Datenschutzbehörde aufgrund der besonderen Umstände, insbesondere der Liquidation des Unternehmens und der fehlenden Wiederholungsgefahr, bei einer Rüge. Für weiterhin aktive Unternehmen zeigt die Entscheidung jedoch deutlich, dass die fortgesetzte Nutzung dienstlicher Kommunikationsmittel ausgeschiedener Mitarbeitender ein erhebliches datenschutzrechtliches Risiko darstellt und leicht vermeidbar ist.
Sie haben Fragen zur datenschutzkonformen Löschung und Bearbeitung von Betroffenheitsanfragen nach dem Ausscheiden von Mitarbeitern?
Wir unterstützen Sie gern bei der rechtssicheren Gestaltung Ihrer Offboarding-Prozesse.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
