Datenschutz für ausgeschiedene Mitarbeiter

Wann müssen Sie als Arbeitgeber Daten von ehemaligen Mitarbeitern löschen?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(10 Bewertungen, 4.50 von 5)

Das Wichtigste in Kürze

  • Für Arbeitgeber spielt Datenschutz immer eine wichtige Rolle – aber umso mehr, wenn Beschäftigte das Unternehmen verlassen.
  • Mit Beendigung des Arbeitsverhältnisses müssen Sie prüfen, ob eine Speicherung der personenbezogenen Daten des ehemaligen Arbeitnehmers weiterhin zulässig ist.
  • Um Probleme beim Datenschutz zu vermeiden, aktualisieren Sie Passwörter, beschränken Sie Zugänge und löschen Sie Mitarbeiterdaten von der Firmenwebsite.

Worum geht's?

Das Bild auf der “Über-uns-Seite”, die Teamvorstellung auf Facebook oder die Information über den neuen Mitarbeiter im Firmenblog: Zwischen Arbeitgebern und Arbeitnehmern herrscht über persönliche Daten im Netz meist solange Einklang, bis das Arbeitsverhältnis und damit der Bezug zum Unternehmen endet. Verlässt der Mitarbeiter die Firma, bleiben die veröffentlichten Inhalte oftmals dennoch online. Doch ist das zulässig? Wann sind welche Daten zu löschen? Welche Rechte haben Arbeitnehmer – und was sollten Arbeitgeber in Sachen Datenschutz ausgeschiedener Mitarbeiter beachten?

 

1. Ausscheidende Mitarbeiter und der Datenschutz: Ein Risiko?

Wenn Mitarbeiter ein Unternehmen verlassen, birgt das beim Datenschutz gewisse Risiken. Diese steigen nicht zuletzt mit der Art und Weise, wie der Angestellte ausscheidet. Sicherlich enden viele Arbeitsverhältnisse in Harmonie – doch es gibt sie auch, die fristlosen und unerwarteten Kündigungen, bei denen zumindest in der Theorie die Gefahr besteht, dass der Ex-Kollege dem ehemaligen Arbeitgeber Schaden zufügt.

Zu den größten Risiken in Sachen Datenschutz ausgeschiedener Mitarbeiter zählen laut einer Umfrage zur IT-Sicherheit:

  • Datenverlust
  • Angriffsflächen für Hacker über nicht verwaltete Konten
  • Datendiebstahl
  • Einbringen von Malware in das Firmen-IT-System

Endet ein Arbeitsverhältnis, bedeutet das vor allem für die IT-Abteilung der Firma einiges an Arbeit: Zugangsberechtigungen müssen entzogen, gemeinsame Passwörter geändert und die Aufbewahrung bzw. Löschung der Mitarbeiterdaten veranlasst werden. Das gilt nicht nur für firmeneigene Hard- und Software, sondern auch für Apps auf privaten Endgeräten sowie für Cloud- und Software-as-a-Service-Diensten wie Office 365 oder Google Docs.

Auch die Social-Media-Kanäle des Unternehmens sowie die Firmenwebsite dürfen im Zuge des Off-Boarding-Prozesses für den ausgeschiedenen Mitarbeiter nicht mehr zugänglich sein, um die Datensicherheit zu gewährleisten – so sieht es die Datenschutz-Grundverordnung (DSGVO) vor.

Beim Datenschutz ehemaliger Mitarbeiter geht es aber nicht nur um die Rechte und Ansprüche des Arbeitgebers, sondern auch um die des Arbeitnehmers – denn dieser hat das Recht, eine Löschung der von ihm gespeicherten Daten zu verlangen. Sichern Sie den Datenschutz in Ihrem Unternehmen mit unserem Datenschutz-Management-System auf eRecht24 Premium ab.

Jetzt Datenschutz absichern

DatenschutzPro

Schützen Sie noch heute Ihre Unternehmensdaten – mit unserer flexiblen und einfachen Lösung:

  • Mehrere Projekte einfach verwalten
  • Datenschutzrisiken auf einen Blick bewertet
  • AV-Verträge & TOMs erstellen
  • Intuitive und zeitsparende Handhabung
Jetzt Datenschutz absichern

2. Wann müssen welche Daten von ehemaligen Mitarbeitern gelöscht werden?

Gemäß der DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Erfüllung des Verarbeitungszwecks erforderlich ist. Entfällt dieser Zweck, haben Betroffene laut Artikel 17 DSGVO ein Recht auf Vergessenwerden.

AUFGEPASST

Verlässt ein Mitarbeiter die Firma, besteht grundsätzlich kein Recht mehr, seine Daten weiterhin aufzubewahren. Gibt es keine andere rechtliche Grundlage, die die Datenspeicherung legitimiert, müssen Sie als Arbeitgeber dafür Sorge tragen, diese zu löschen. Einfach sämtliche personenbezogene Daten vernichten dürfen Sie aber nicht – denn es gelten verschiedene gesetzliche Aufbewahrungsfristen.

Welche Löschfristen gelten für welche Daten?

Wie lange Sie als Arbeitgeber welche personenbezogenen Daten Ihrer Mitarbeiter speichern müssen bzw. wie zügig deren Löschung nach einer Kündigung zu erfolgen hat, regeln verschiedene gesetzliche Vorschriften. Dazu gehören vor allem die Vorgaben des Steuer-, Sozialversicherungs-, Handels- und natürlich des Arbeitsrechtes.

Einige Beispiele für Lösch- und Aufbewahrungsfristen von Mitarbeiterdaten:

  • Arbeitszeugnisse und Beurteilungen: Jeder Arbeitnehmer hat das Recht auf ein angemessenes Arbeitszeugnis. Damit Beschäftigte diesen Anspruch geltend machen können, sind Zeugnisse und Beurteilungen für drei Jahre aufzubewahren, beginnend mit Ende des Jahres, in dem das Arbeitsverhältnis endete.
  • Überstundenlisten: Ob auf Papier oder in einem Personalmanagement-Tool – geleistete Überstunden sind für zehn Jahre aufzubewahren. Das gilt aber nur, wenn sie ausgezahlt wurden, also Teil der Lohnabrechnung waren. Denn damit zählen sie als Buchungsbeleg. Wurden die Überstunden hingegen “abgebummelt”, ist die Löschfrist deutlich kürzer: Nach zwei Jahren sind die Daten zu vernichten.
  • Daten zur betrieblichen Altersvorsorge: Für Angaben und Informationen, die die betriebliche Altersvorsorge des ausscheidenden Mitarbeiters betreffen, gelten die längsten Aufbewahrungsfristen: Damit Arbeitnehmer auch nach der Beendigung eines Arbeitsverhältnisses ihre Ansprüche auf Leistungen einfordern können, dürfen die Daten erst nach 30 Jahren gelöscht werden.

Was ist mit persönlichen Daten aus Gesprächen und Meetings?

Geht es um persönliche Daten aus Mitarbeitergesprächen, Meetings oder Gehaltsverhandlungen, gibt es keine mehrjährigen Aufbewahrungsfristen.

Gemäß der Datenschutzgrundverordnung besteht somit auch kein legitimer Grund für die weitere Speicherung der Daten, sobald der Arbeitnehmer das Unternehmen verlässt. Als Vorgesetzter müssen Sie daher sicherstellen, dass die gespeicherten Daten mit Beendigung des Arbeitsverhältnisses umgehend gelöscht werden.

PRAXIS-TIPP

Enden Arbeitsverhältnisse, sollten Sie prüfen, welche Daten der Person in Ihren Unterlagen, Akten und Ordnern gespeichert sind. Um den Überblick über die gesetzlichen Vorgaben und Aufbewahrungsfristen nicht zu verlieren, ist die Erstellung eines Löschkonzepts ratsam (ggf. gemeinsam mit Ihrem Datenschutzbeauftragten). In diesem listen Sie die einzelnen Datenarten und Löschfristen auf und legen Regeln für die Löschung fest.

3. Welche Rechte haben ausscheidende Mitarbeiter bezüglich ihrer Daten?

Neben den Informationen, die das Unternehmen braucht, um das Beschäftigungsverhältnis abzuwickeln, gibt es auch Daten, die vor allem als Aushängeschild für das Unternehmen dienen. Allen voran ist das die mit Mitarbeiterfotos, Über-uns-Seiten, Blogbeiträgen und Teambeschreibungen geschmückte Firmenwebsite. Wie steht es um diese Daten, wenn der dort dargestellte Angestellte das Unternehmen verlässt?

Daten im Netz? Nur mit Einverständnis der Mitarbeitenden

Grundsätzlich dürfen Arbeitgeber persönliche Daten ihrer Mitarbeitenden nur mit deren Einverständnis auf der Website oder den Social Media Accounts des Unternehmens veröffentlichen. Allein das Arbeitsverhältnis gibt dem Arbeitgeber noch kein Recht dazu. Datenschutz, Persönlichkeitsrechte und das Recht am eigenen Bild stehen dem entgegen.

Wer unbedingt Mitarbeiterinformationen ins Netz stellen will, sollte das daher entsprechend im Arbeitsvertrag regeln. Haben Sie sich einmal das Einverständnis Ihrer Mitarbeitenden eingeholt, brauchen Sie nicht bei jeder Veröffentlichung eine erneute Erlaubnis – so lange die betreffende Person in Ihrem Unternehmen arbeitet.

Einverständnis gilt nicht unbegrenzt

So wie ein Mitarbeiter sein Einverständnis geben kann, kann er es auch jederzeit widerrufen. Endet das Arbeitsverhältnis und verlässt der Arbeitnehmer das Unternehmen, endet seine erteilte Einverständniserklärung im Zweifel auch mit diesem Zeitpunkt. Haben Sie nicht schriftlich vereinbart, dass Fotos, Videos oder Blogbeiträge auch weiterhin auf der Firmenwebsite und den Social-Media-Kanälen bleiben dürfen, sollten Sie diese löschen.

Auf der sicheren Seite sind Sie nur dann, wenn eine anhaltende Veröffentlichung vom betreffenden Mitarbeiter schriftlich genehmigt wurde. Widerruft er hingegen seine Zustimmung, dürfen Sie dies nicht ignorieren – auch wenn das dazu führt, dass Sie Social-Media-Posts löschen oder die Firmenwebsite anders gestalten müssen.

Nicht immer ist eine explizite Einwilligung erforderlich. Benötigen Sie das Foto Ihres Beschäftigten, um einen neuen Betriebsausweis zu erstellen oder legen Sie ein Profil der Person im Firmen-Intranet an, um Kollegen über die neue Position (z. B. als Teamleiter oder Geschäftsführer) zu informieren, ist dies auch ohne schriftliche Einwilligung zulässig. Auch das ändert sich aber, wenn der Mitarbeiter den Job wechselt und das Unternehmen verlässt.

Sören Siebert
Sören SiebertRechtsanwalt

4. Was ist, wenn der Arbeitgeber die Löschung der Daten verweigert?

Weigern Sie sich trotz des Widerrufs des ehemaligen Mitarbeiters, die Inhalte von der Firmenwebsite oder den Social-Media-Profilen zu löschen, kann dieser dagegen gerichtlich vorgehen – und das geschieht nicht selten. Einig sind sich die Arbeitsgerichte hinsichtlich des Datenschutzes ausgeschiedener Mitarbeiter jedoch nicht, wie die folgenden Beispiele aus der Rechtsprechung zeigen.

LAG Köln: Foto als Beiwerk ist hinzunehmen

In einem Urteil aus dem Jahr 2009 (Az. 7 Ta 126/09) entschied das Landesarbeitsgericht Köln, dass eine ehemalige Mitarbeitern ein Foto von ihr auf der Firmenwebsite, das sie lediglich bei ihrer Tätigkeit am Telefon zeigte, hinzunehmen habe.

Die Begründung: Dient ein Foto allein der Illustration, aber geht es nicht konkret um die abgebildete Person, hat diese keinen Anspruch auf die Entfernung des Fotos.

AG Neuruppin: Namentliche Nennung nach Ende des Arbeitsverhältnisses ist unzulässig

Anders sah das das Arbeitsgericht Neuruppin in einem jüngeren Urteil aus dem Jahr 2021 (Az. 2 Ca 554/21). Eine ehemalige Angestellte hatte ihren Arbeitgeber nach Beendigung des Arbeitsverhältnisses dazu aufgefordert, ihre namentliche Vorstellung auf der Firmenwebsite zu entfernen. Diese war zudem auch noch falsch: Zwar hatte die Klägerin einen Abschluss als Biologin, war in dieser Position allerdings nicht für das Unternehmen tätig. Der Arbeitgeber stellte sie auf der Firmenwebsite dennoch als Biologin des Betriebs vor.

Nachdem ihr Name und die falsche Tätigkeitsbeschreibung auch nach einem Jahr nach Ende des Arbeitsverhältnisses immer noch auf der Website standen, sprach sie eine Abmahnung aus und verlangte Schadensersatz. Da der Arbeitgeber der Forderung nur eingeschränkt nachkam, erhob sie schließlich Klage vor dem Neuruppiner Arbeitsgericht.

Mit Erfolg: Das Arbeitsgericht gab der Klägerin Recht. Es handele sich hierbei um eine rechtswidrige Verarbeitung personenbezogener Daten sowie um eine Verletzung des Persönlichkeitsrechts. Der Arbeitgeber musste Schadensersatz gemäß Artikel 82 DSGVO zahlen und die Beschreibung von der Website entfernen.

GUT ZU WISSEN

Auch wenn die Rechtsprechung nicht eindeutig ist: Im Zweifel sollten Arbeitgeber vorsichtig sein. Haben Sie keine ausdrückliche Erlaubnis für eine dauerhafte Veröffentlichung, entfernen Sie Bilder ehemaliger Beschäftigter besser von der Firmenwebsite, um es nicht auf einen teuren Rechtsstreit ankommen zu lassen. Das gilt übrigens nicht nur für Unternehmen, sondern auch für Vereine und andere Organisationen mit eigener Website.

LAG Hessen: Datenschutz ehemaliger Mitarbeiter überwiegt

Bereits vor der DSGVO im Jahr 2012 hatte das Landesarbeitsgericht Hessen in einem Urteil eine ähnliche Position vertreten und den Datenschutz ausgeschiedener Mitarbeiter gestärkt (Az. 19 SaGa 1480/11). In dem Fall ging es um die Darstellung einer gekündigten Anwältin im Blog einer Anwaltskanzlei.

Obwohl die Klägerin eine neue Stelle angetreten hatte, entfernte sie ihr ehemaliger Arbeitgeber zwar von der Liste der Anwälte auf der Kanzleiseite – nicht aber einen Blogbeitrag, der über die mittlerweile falsche Tatsache informierte, dass die Frau die Kanzlei im Handels- und Gesellschaftsrecht unterstütze. Das Argument des ehemaligen Arbeitgebers: Aufgrund der fehlenden Nennung im Team der Anwälte sei erkennbar, dass die Klägerin nicht mehr in der Kanzlei arbeite.

Die Klägerin sah dies anders und sich in ihren Persönlichkeitsrechten verletzt. Das LAG Hessen bestätigte dies: Die Werbung der Kanzlei mit der individuellen Persönlichkeit der Klägerin sei nach Beendigung des Arbeitsverhältnisses ein Verstoß gegen ihr Persönlichkeitsrecht. Zudem sei die Löschung der für jeden frei im Internet zugänglichen Informationen für die Kanzlei nur mit einem geringen Aufwand verbunden.

5. Was passiert, wenn Arbeitgeber den Datenschutz ehemaliger Mitarbeiter missachten?

Nicht erst seit dem Inkrafttreten der DSGVO ist der Datenschutz ehemaliger Mitarbeiter ein ernstzunehmendes Thema für Arbeitgeber. Zögern Sie daher nicht und entfernen Sie spätestens auf Verlangen des Ex-Beschäftigten Fotos, Videos und namentliche Nennungen in Profilbeschreibungen, Blogbeiträgen und auf der Firmenwebsite.

Denn: Die Verarbeitung personenbezogener Daten – und damit auch die Veröffentlichung von Inhalten – ist nur mit Zustimmung der Person erlaubt. Ohne diese Zustimmung ist die Datenverarbeitung unrechtmäßig und ein Verstoß gegen die DSGVO. Einen solchen sollten Sie unbedingt vermeiden, denn DSGVO-Verstöße sind nicht nur mit einem Reputationsverlust, sondern auch mit empfindlichen DSGVO-Bußgeldern verknüpft.

Sind Sie vor Datenpannen und Datenlecks ausreichend geschützt? Wie steht es um den Datenschutz in Ihrem Unternehmen? Werden Sie jetzt tätig, um Abmahnungen und Bußgeldern zuvorzukommen. Mit unserer Datenschutz-Lösung können Sie eine Risikoabschätzung durchführen und Maßnahmen für einen besseren Datenschutz erstellen. Probieren Sie es aus!

Jetzt Datenschutz absichern

DatenschutzPro

Schützen Sie noch heute Ihre Unternehmensdaten – mit unserer flexiblen und einfachen Lösung:

  • Mehrere Projekte einfach verwalten
  • Datenschutzrisiken auf einen Blick bewertet
  • AV-Verträge & TOMs erstellen
  • Intuitive und zeitsparende Handhabung
Jetzt Datenschutz absichern

6. FAQ: Häufige Fragen zum Datenschutz ausgeschiedener Mitarbeiter


Wie lange müssen Daten von ehemaligen Mitarbeitern aufbewahrt werden?

Einheitliche Aufbewahrungsfristen für die Daten ehemaliger Mitarbeiter gibt es nicht. Die meisten Unterlagen wie Arbeitszeugnisse, Beurteilungen und Arbeitsverträge sollten drei Jahre nach Ende des Arbeitsverhältnisses aufbewahrt werden. Buchungsbelege (Bankbelege, Überstundenzettel) dürfen erst nach zehn Jahren gelöscht werden. Für Unterlagen zur betrieblichen Altersvorsorge gilt eine noch längere Löschfrist von 30 Jahren.

Welche Daten sind nach Kündigung zu löschen?

Hat ein Mitarbeiter gekündigt, sollten Sie prüfen, welche personenbezogenen Daten im Unternehmen gespeichert sind. Ist er mit Bild oder Namen auf der Firmenwebsite vertreten und möchte dies nicht mehr, sollten Sie die Inhalte zeitnah entfernen. Am besten erstellen Sie ein Löschkonzept, das die gesetzlichen Aufbewahrungsfristen auflistet, um spätere Auseinandersetzungen beim Datenschutz ausgeschiedener Mitarbeiter zu vermeiden.

Wie lange darf ein ehemaliger Arbeitgeber Daten speichern?

Mit Beendigung des Arbeitsverhältnisses entfällt der legitime Zweck für die Speicherung personenbezogener Daten. Liegt kein anderer Grund vor – etwa eine gesetzliche Vorgabe – sind die Daten daher unverzüglich zu löschen. Allerdings sehen gesetzliche Vorschriften des Steuer-, Sozialversicherungs-, Arbeits- und Handelsrechtes in vielen Fällen mehrjährige Aufbewahrungsfristen von bis zu 30 Jahren vor.

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details