31. Januar 2009 - Datenschutzgerechtes Ausscheiden aus dem Unternehmen

Sag zum Abschied leise Löschen

Dass Kollegen das Unternehmen verlassen, ist in unserer heutigen Nomadengesellschaft nichts Ungewöhnliches. Was passiert jedoch mit ihren – eventuell auch privaten – Daten im Unternehmen? Ab der offiziellen Kündigung bis zum letzten Arbeitstag ist noch Einiges zu tun. Insbesondere der Datenschutz darf dabei nicht zu kurz kommen. Mit dem richtigen Prozess im Unternehmen kein Problem!

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

„Na dann tschüss …“ So oder ähnlich verabschieden sich immer mehr Mitarbeiter von ihren bisherigen Arbeitskollegen. Sei es, weil die wirtschaftliche Lage es erfordert, sei es, dass ein besseres Angebot vom zukünftigen Arbeitgeber vorliegt.

Im Laufe der Jahre sammeln sich zahlreiche private Daten

Gerade langjährige Mitarbeiter haben im Unternehmen Einiges mitgemacht und sich eine Vielzahl von – auch privaten – Dateien angelegt, etwa persönliche Notizen oder die Kontaktdaten der Lieblingskollegen, womöglich mit Hobbys oder gar den Geburtstagen der Familienangehörigen.

Selbstverständlich findet sich in den meisten Postfächern der E-Mail-Accounts Privates, auch wenn interne Richtlinien dies verbieten – aber wer hat bisher schon kontrolliert?

Was passiert mit den „Altlasten“?

Alles kein Problem, denkt sich ein Systemadministrator. Der Nachfolger für den vakanten Posten bekommt die Zugriffsrechte eingeräumt, und der wird dann schon aufräumen.

Doch Vorsicht – ist es wirklich so einfach, und geht es tatsächlich nur um die paar Daten?

Definierter Ausscheidungsplan

Wohl dem Unternehmen, das einen Ausscheidungsplan vorweisen kann, in dem die Aktivitäten für ein geordnetes Übergabeprozedere geregelt wird.

In Unternehmen, die sich mit den Maßgaben der Qualitätssicherung entsprechend ISO-Normierung beschäftigen, findet sich nicht selten eine strukturierte Prozessdokumentation.

Beginnend mit „User verlässt das Unternehmen“ bis zu Prozessschritten in einzelnen Fachabteilungen ist alles haarklein aufgeschlüsselt.

Beispielformular für eine Prozessdokumentation
Ein ausführliches Formular, das den Prozess „Mitarbeiterausscheiden“ durch alle Abteilungen begleitet, finden Abonnenten der Datenschutz PRAXIS kostenlos hier.

Als Umlaufliste deklarieren

Die Prozessschritte durchlaufen dabei die angegebenen Abteilungen als Handlungsleitfaden und müssen vom verantwortlichen Leiter geprüft, durchgeführt und bestätigt werden.

Gibt es bei Ihnen noch keinen schriftlichen Ablauf beim Ausscheiden eines Kollegen? Dann sollten Sie eine Umlaufliste initiieren.

Dabei müssen Sie einige Aspekte berücksichtigen, die im Folgenden erklärt werden.

Holen Sie die Fachabteilungen ins Boot

Dass ein geordneter Plan vorliegt, ist nicht ausschließlich die Aufgabe des betrieblichen Datenschutzbeauftragten. Den größten Nutzen dabei haben nämlich sicherlich die Personal- und Fachabteilungen.

Sie als Datenschutzbeauftragter streuen lediglich Ihre Forderungen zum Schutz der personenbezogenen Daten des Betroffenen ein.

Datenschutzrechtliche Bewertung von Einzelaufgaben

Wenn Sie in Zusammenarbeit mit der Personal- und Fachabteilung einen Maßnahmenplan erarbeiten, sollte Ihre datenschutzrechtliche Bewertung sofort einfließen, z.B. zu den im Folgenden vorgestellten Punkten.

Handy, BlackBerry & Co. aufräumen

Mobile Geräte wie Handys, BlackBerrys oder PDAs sind nicht mehr nur zum Telefonieren gedacht. Auch die Möglichkeiten der Datenspeicherung sind schier unbegrenzt.

Was findet sich nicht alles an privaten Daten, wenn das Gerät zurückgegeben wird? Die Empfehlung: löschen, löschen, löschen!

Navigationssystem im Firmenfahrzeug

In der Regel sind Firmenfahrzeuge  inzwischen mit Navigationssystemen ausgestattet. Es erleichtert die Routenplanung zum Kunden oder zum Einsatzort wesentlich. Jedoch plant der Navi-Nutzer auch die Zielfindung zu seinem Urlaubsort, zu Freuden und zu Bekannten.

Eine Profilbildung ist möglich

Fest eingespeichert, mit Namen und Zieladresse, lassen diese Daten zumindest ein soziales Profil erstellen. Insofern sind die Daten entsprechend dem BDSG als personenbezogen und somit schützenswert anzusehen.

Dies bedingt, dass eine Löschfrist zu definieren ist bzw. nach dem Ausscheiden des Betroffenen die Daten zu löschen sind. Treffen Sie dazu Regelungen!

IT-Systeme und E-Mail-Account

Zuallererst denkt man bei personenbezogenen Daten an das IT-Umfeld.

Insbesondere das E-Mail-System bereitet den meisten Datenschutzbeauftragten größtes Kopfzerbrechen.

E-Mails komplett löschen?

Sollten die E-Mails gnadenlos gelöscht werden – auch wenn sich noch unerledigte oder wichtige Firmendaten darin befinden?

Können sie an einen Nachfolger oder Vertreter übergeben werden – obwohl firmeninterne Regelungen den privaten Gebrauch erlauben?
Leider gibt es dazu keinen Königsweg, sodass das Unternehmen und Sie als DSB zu entscheiden haben.

Vereinbaren Sie einen Kompromiss

Das Für und Wider einer unwiederbringlichen Löschung des E-Mail-Accounts eines ausscheidenden Kollegen lässt sich durch eine durchdachte Regelung abfedern.

Einerseits hat das Unternehmen ein vitales Interesse an dem E-Mail-Verkehr. Andererseits ist der Persönlichkeitsschutz entsprechend dem BDSG umzusetzen.

Was liegt näher, als den Betroffenen direkt mit einzubeziehen?

Fordern Sie den Ausscheidenden zur Löschung seiner privaten Daten auf

So wie Sie eine Aktionsliste für die Fachbereiche erstellen, können Sie auch eine Tätigkeitsliste für den ausscheidenden Mitarbeiter ausgeben.

Der Aufforderung, seine privaten Daten aus allen firmeneigenen Systemen zu löschen, wird er sicherlich gerne nachgekommen.

Ein Muster für eine solche Tätigkeitsliste finden Sie hier.

Listen Sie für den Mitarbeiter die eventuell betroffenen Bereiche auf

Als Unterstützung für den Anwender, an welchen Stellen private Daten gespeichert sein können, listet die Kurzanleitung die möglicherweise betroffenen Bereiche auf.

Der Startschuss fällt immer durch die Personalabteilung

Eine Kündigung, unabhängig von welcher Partei, geht naturgemäß immer zuerst in der Personalabteilung ein.

Hier muss der Startschuss fallen, um den Prozess zu initiieren, einen Mitarbeiter geordnet aus dem Unternehmen ausscheiden zu lassen. Setzen Sie also schon dort an, damit die datenschutzrechtlichen Besonderheiten auch tatsächlich berücksichtigt werden!

Hermann Keck
Hermann Keck ist externer Datenschutzbeauftragter (
http://www.keck-dsb.de).

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln