Zudem mag sich ein unzufriedener Mitarbeiter nach Beendigung des Beschäftigungsverhältnisses geneigt fühlen, mutmaßliche Verstöße bei der Datenschutzbehörde anzuzeigen.
Aus diesem Grund ist es ratsam, auch das On-und Offboarding von Mitarbeitern datenschutzkonform zu gestalten.
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Dabei sind zum einen die üblichen Informationspflichten für Betroffene zu erfüllen, die selbstverständlich auch für neu eingestellte oder ehemalige Mitarbeiter gelten.
Im Rahmen der Einstellung von Mitarbeitern werden zumeist auch Daten von Angehörigen eines Mitarbeiters erhoben, um etwa einen Notfallkontakt zu notieren oder Angehörige der Familienversicherung zuordnen zu können.
Übersehen wird dabei nicht selten, dass es sich hierbei um eine Datenerhebung beim Dritten handelt, über die die Familienangehörigen nach Art. 14 DSGVO zu informieren sind.
Fallstricke im Umgang mit dem E-Mail-Postfach beim Offboarding
Fallstricke lauern auch bei der Handhabung der, nach Austritt eines Mitarbeiters, noch für diesen eingehenden E-Mails.
Hier hat es sich etabliert, eine Vertretungsregelung oder automatische Weiterleitung einzurichten, sodass der Zugang zu dem Postfach des ausscheidenden Mitarbeiters gewährleistet ist. Dies kann durchaus eine passable Lösung sein.
Allerdings muss sich vorher mit den unternehmensinternen Regelungen zur privaten Nutzung des E-Mail-Postfachs auseinandergesetzt werden. Denn wenn die private Nutzung des dienstlichen E-Mail-Accounts im Beschäftigungsverhältnis nicht ausdrücklich verboten war, ist nicht ausgeschlossen, dass Mails mit privatem Inhalt an diese Adresse gesendet werden. In diesem Fall darf keine automatische Weiterleitung der eingehenden Mails erfolgen! Hier muss nach Alternativen gesucht werden, um den (unfreiwilligen) Eingriff die Privatsphäre des ehemaligen Beschäftigten zu vermeiden.
Versteckte personenbezogene Daten in Arbeitsmitteln
Dass personenbezogene Daten aus Arbeitshardware wie USB-Sticks, Laptops und externe Festplatten gelöscht werden müssen, liegt auf der Hand. Acht zu geben ist auch auf die Informationen, die sich in anderen Arbeitsmitteln verstecken. Beispielsweise auf dem Diensthandy können unter Umständen sogar biometrische und damit besondere personenbezogene Daten versteckt sein, wenn der Mitarbeiter Gebrauch vom Fingerabdrucksensor im Gerät gemacht hat. Auch im Dienstwagen müssen private Fahrtwege und Adressen unbedingt aus dem Navigationsgerät gelöscht werden.
Checkliste
Eine grobe Checkliste zur übersichtlichen Gestaltung des On- und Offboardingprozesses kann wie folgt aussehen:
Checkliste Onboarding
- Mitarbeiter und ggf. Dritte übergeplante Datenverarbeitungsvorgänge informieren
- Ggf. erforderliche Einwilligungen einholen
- Accounts und Berechtigungen einrichten und die Einrichtung genau dokumentieren
- Grundsatz der Datensparsamkeit, Datenminimierung beachten !
- Bei der Ausgabe von Arbeitsmitteln ebenfalls jede Ausgabe (auch im Laufe des Arbeitsverhältnisses) dokumentieren
- Sinnvoll ist eine Umlaufliste/Laufzettel, die nach dem Onboardingprozess gut aufbewahrt wird
Checkliste Offboarding
- Auch hier eine Umlaufliste/Laufzettel für die Rückabwicklung erstellen und ausfüllen
- Zugangsrechte entziehen
- pbD von Arbeitsmitteln druch den MA selbst löschen lassen und die Löschung durch den MA bestätigen lassen
- Im E-Mail-Postfach Vertretungsregelung bzw. Abwesenheitsnotiz einstellen
- Website, Intranet, Social-Media-Kanäle nach Fotos oder anderen Informationen zur Präsentation des MA durchsuchen und Informationen löschen
- Jede Rückgabe oder Löschung in der Umlaufliste/Laufzettel dokumentieren und vom MA bestätigen lassen
- Umlaufliste/Laufzettel des On- und Offboardingprozesses abgleichen