Belgien: 176.947 € Bußgeld wegen verspäteter Löschung eines ehemaligen Mitarbeiterpostfachs

Belgische Datenschutzbehörde beanstandet Mängel beim Offboarding-Prozess

Die belgische Datenschutzaufsichtsbehörde, die Gegevensbeschermingsautoriteit (GBA), hat mit Entscheidung vom 12. Mai 2026 (Beslissing ten gronde 101/2026, DOS-2024-02046) ein Bußgeld in Höhe von 176.946,61 € gegen ein belgisches Technologieunternehmen verhängt. Hintergrund war ein ehemaliges Mitarbeiterpostfach, das auch ein Jahr nach Ende der Zusammenarbeit weiterhin erreichbar war.

Postfach ein Jahr nach Vertragsende noch aktiv

Die Beschwerdeführerin war als selbstständige Beraterin für das verantwortliche Unternehmen tätig und verfügte hierfür über eine personalisierte E-Mail-Adresse des Unternehmens. Mit Ablauf des 1. Mai 2023 endete die Zusammenarbeit.

Im Herbst 2023 stellte die Beschwerdeführerin fest, dass ihre dienstliche E-Mail-Adresse weiterhin aktiv war und externe Kontakte sie weiterhin unter dieser Adresse erreichten. Am 24. Januar 2024 kontaktierte sie das Unternehmen, wies auf diesen Umstand hin und beantragte Einsicht in die eingegangenen E-Mails.

Das Unternehmen räumte ein, dass das Postfach aufgrund eines manuellen Bearbeitungsfehlers nicht fristgerecht gelöscht worden war. Es vertrat jedoch die Auffassung, die Deaktivierung des E-Mail-Postfachs sei einer Löschung gleichzusetzen.

Das Unternehmen bot der Beschwerdeführerin eine eingeschränkte Einsichtnahme unter Aufsicht und nach vorheriger Filterung der E-Mails an. Die Beschwerdeführerin hielt dies für unzureichend und verlangte zudem Nachweise darüber, dass nach ihrem Ausscheiden keine unbefugten Zugriffe auf das Postfach erfolgt waren.

Wann ehemalige Mitarbeiterpostfächer noch genutzt werden dürfen

Während der Zusammenarbeit erfolgt die Verarbeitung personenbezogener Daten regelmäßig zur Durchführung des Beschäftigungsverhältnisses nach Art. 6 Abs. 1 lit. b Datenschutz-Grundverordnung (DSGVO).

Nach dem Ausscheiden kann das Postfach für einen begrenzten Zeitraum weiterhin genutzt werden, etwa um eingehende Nachrichten umzuleiten oder Geschäftskontakte über das Ausscheiden zu informieren. Grundlage hierfür kann das berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 lit. f DSGVO sein.

Nach Auffassung der belgischen Datenschutzbehörde sollte ein ehemaliges Mitarbeiterpostfach grundsätzlich nicht länger als einen Monat weiter genutzt werden. Eine Verlängerung um maximal zwei weitere Monate kommt nur ausnahmsweise und auf Grundlage einer dokumentierten Interessenabwägung in Betracht.

Nach Ablauf dieser Fristen müssen die personenbezogenen Daten grundsätzlich gelöscht werden. Eine bloße Deaktivierung des Postfachs reicht nach Auffassung der Behörde nicht aus.

Deaktivierung ist keine Löschung

Eine zentrale Aussage der Entscheidung betrifft das Verhältnis zwischen Deaktivierung und Löschung. Das Unternehmen hatte argumentiert, ein deaktiviertes Postfach sei faktisch bereits gelöscht, da niemand mehr Zugriff darauf habe.

Diese Auffassung wies die GBA ausdrücklich zurück. Solange Daten gespeichert und grundsätzlich zugänglich bleiben, liegt weiterhin eine Verarbeitung im Sinne der DSGVO vor. Der Verantwortliche muss daher sämtliche Grundsätze des Datenschutzes einhalten und die weitere Speicherung auf eine Rechtsgrundlage stützen können.

Diese Klarstellung dürfte für viele Unternehmen erhebliche praktische Bedeutung haben, da Postfächer ausgeschiedener Mitarbeiter in der Praxis oft lediglich deaktiviert und langfristig in einer Art Archivmodus belassen werden.

Weitere Verstöße im Überblick

Neben der fehlenden Löschung des ehemaligen Mitarbeiterpostfachs stellte die belgische Datenschutzbehörde weitere Verstöße gegen die DSGVO fest.

Die GBA beanstandete zunächst die unzureichende Information externer Kontakte. Die Abwesenheitsnotiz ließ lediglich auf eine vorübergehende Abwesenheit schließen. Ein Hinweis auf das Ausscheiden der Mitarbeiterin oder eine alternative Kontaktperson fehlte. Externe Absender konnten daher nicht erkennen, dass ihre Nachrichten den ursprünglichen Empfänger nicht mehr erreichten.

Kritisch sah die Behörde zudem das überwiegend manuelle Offboarding-Verfahren. Trotz dokumentierter Prozesse und jährlich rund 1.000 Austritten bestand keine ausreichende Kontrolle über die tatsächliche Löschung der Postfächer. Eine geplante Automatisierung war zum maßgeblichen Zeitpunkt noch nicht umgesetzt.

Darüber hinaus beanstandete die Behörde den Umgang mit dem Auskunftsersuchen der ehemaligen Mitarbeiterin. Die Auskunft wurde auf E-Mails externer Absender beschränkt und an Bedingungen geknüpft, die nach Auffassung der Behörde unzulässig waren.

Schließlich sah die GBA Defizite bei der Sicherstellung der Vertraulichkeit und Nachvollziehbarkeit der Verarbeitung. Insbesondere lagen Zugriffsprotokolle nur eingeschränkt vor.

Bußgeldbemessung und Abhilfemaßnahmen

Im Ergebnis verhängte die Behörde ein Bußgeld in Höhe von 176.946,61 €. Davon entfielen 160.860,55 € auf die fortdauernde Speicherung des ehemaligen Mitarbeiterpostfachs und 16.086,06 € auf die unzureichende Information externer Kontakte über das Ausscheiden der Mitarbeiterin.

Bußgeldmindernd berücksichtigte die belgische Datenschutzbehörde unter anderem die schnelle Reaktion des Datenschutzbeauftragten, die bereits eingeleitete Verbesserung (Automatisierung) des Offboarding-Prozesses, das Fehlen früherer Verstöße sowie den Umstand, dass das Unternehmen aus den Verstößen keinen wirtschaftlichen Vorteil gezogen hatte.

Neben dem Bußgeld ordnete die Behörde mehrere Abhilfemaßnahmen an: die vollständige Einsicht in das Postfach, dessen anschließende Löschung sowie die Vorlage der Zugriffsprotokolle.

Bedeutung für die Praxis

Die Entscheidung greift ein Problem auf, das sich in der Praxis vieler Unternehmen beobachten lässt: Offboarding-Prozesse sind datenschutzrechtlich häufig nicht klar geregelt oder werden organisatorisch nicht konsequent umgesetzt. Ein klar strukturierter Offboarding-Prozess ist jedoch ein zentraler Baustein eines funktionierenden Datenschutzmanagements.

Unternehmen sollten ihre bestehenden Offboarding-Prozesse daher kritisch überprüfen und vorhandene Lücken identifizieren. Insbesondere bei hoher Personalfluktuation stoßen manuelle Prozesse schnell an ihre Grenzen. Eine weitgehende Automatisierung der Löschvorgänge sowie regelmäßige Kontrollen helfen sicherzustellen, dass Postfächer ausgeschiedener Mitarbeitender tatsächlich fristgerecht geschlossen werden.

Praxis-Tipps

• Legen Sie verbindliche Prozesse für den Umgang mit ehemaligen Mitarbeiterpostfächern fest. Regeln Sie insbesondere Löschfristen, Zuständigkeiten sowie den Umgang mit eingehenden Nachrichten.
• Kommunizieren Sie diese Prozesse transparent gegenüber Ihren Beschäftigten. Mitarbeitende sollten frühzeitig wissen, wie nach ihrem Ausscheiden mit dem Postfach verfahren wird.
• Berücksichtigen Sie mögliche Privatnutzung dienstlicher E-Mail-Postfächer. Klare Regelungen zur Privatnutzung schaffen zusätzliche Rechtssicherheit.
• Sichern Sie geschäftsrelevante Inhalte möglichst vor dem Ausscheiden des Mitarbeitenden und idealerweise in dessen Beisein. Dies reduziert spätere Zugriffe auf personenbezogene oder private Inhalte.
• Verwenden Sie aussagekräftige Abwesenheitsnachrichten und benennen Sie alternative Ansprechpartner für externe Kontakte.
• Automatisieren Sie Löschprozesse möglichst weitgehend und implementieren Sie wirksame Kontrollmechanismen. Gerade bei hoher Fluktuation sind manuelle Prozesse besonders fehleranfällig.
• Dokumentieren Sie sämtliche Offboarding-Maßnahmen nachvollziehbar. Eine vollständige Dokumentation erleichtert den Nachweis gegenüber Aufsichtsbehörden.

Gerne unterstützen wir Sie bei der Überprüfung Ihrer bestehenden Offboarding-Prozesse, der Erstellung verbindlicher interner Richtlinien sowie bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Darüber hinaus schulen wir Ihre Mitarbeitenden im datenschutzkonformen Umgang mit personenbezogenen Daten beim On- und Offboarding.