Darf ich das E-Mail-Konto eines ausscheidenden Mitarbeiters einfach übernehmen?

Nicht ohne Sorgfalt. Eine personenbezogene Arbeitsadresse wie vorname.nachname@ihrunternehmen.eu enthält personenbezogene Daten des Mitarbeiters; der Zugriff darauf oder die Übernahme ist daher eine Verarbeitung im Sinne der DSGVO. Sie müssen den Mitarbeiter informieren, ihm die Gelegenheit geben, persönliche Inhalte zu entfernen, und über eine Rechtsgrundlage verfügen. Ein norwegisches Unternehmen, das während der Kündigungsfrist das Passwort änderte und das Konto übernahm, ohne den Mitarbeiter zu informieren, erhielt ein Bußgeld von 14.700 Euro.

Darf ich die E-Mail eines ehemaligen Mitarbeiters aktiv halten, um eingehende Kundenmails aufzufangen?

Nein, nicht unbegrenzt. Die norwegische Aufsichtsbehörde befand, dass das Aktivhalten des Postfachs nach dem Ausscheiden ein Verstoß gegen die DSGVO war. Der richtige Ansatz ist, das persönliche Konto zu schließen und Kunden auf eine generische Adresse wie info@ oder sales@ zu verweisen, gegebenenfalls mit einer vorübergehenden automatischen Antwort, die auf den neuen Kontakt hinweist. Die italienische Aufsichtsbehörde (Garante) stellte klar, dass die zulässige Alternative gerade eine automatische Antwort ist, die Absender auf andere Adressen verweist, ohne die eingehende Post zu lesen.

Reicht es, das Postfach zu deaktivieren, oder muss ich es löschen?

Deaktivieren ist nicht dasselbe wie Löschen. 2026 verhängte die belgische Datenschutzbehörde gegen ein Unternehmen ein Bußgeld von rund 176.000 Euro, unter anderem weil das Postfach eines ehemaligen Mitarbeiters weiterhin auf den Servern bestand. Solange das Postfach existiert, verarbeiten Sie weiterhin die personenbezogenen Daten dieser Person. Eine kurze Übergangszeit von etwa einem Monat kann gerechtfertigt sein; danach sollten Sie das Postfach löschen.

Was sollte ich regeln, bevor ein Mitarbeiter ausscheidet?

Sorgen Sie für eine Mitarbeiter-Datenschutzrichtlinie, die die Nutzung von E-Mail und Konten abdeckt, dokumentieren Sie Ihren Offboarding-Prozess und geben Sie dem Mitarbeiter eine klare Gelegenheit, persönliche Inhalte aus seinem Postfach und anderen Tools zu entfernen, bevor sein Zugang endet.

Warum sollte ich mich nicht auf personenbezogene Arbeitsadressen verlassen?

Wenn eine Funktion von vorname.nachname@ihrunternehmen.eu abhängt, sind Sie versucht, dieses Konto nach dem Ausscheiden der Person aktiv zu halten, und genau das führt zu Bußgeldern. Mit generischen Adressen wie sales@ oder info@ können Sie persönliche Konten sauber schließen, ohne die Geschäftskontinuität zu verlieren.

Mitarbeiter Scheidet Aus? Was Tun mit der E-Mail (DSGVO)

Wenn jemand das Unternehmen verlässt, dürfen Sie sein berufliches E-Mail-Konto nicht einfach übernehmen oder löschen. Ein norwegisches Unternehmen lernte das mit einem Bußgeld von 14.700 Euro. So gehen Sie mit den Konten ausscheidender Mitarbeiter unter der DSGVO um.

Wenn ein Mitarbeiter Ihr Unternehmen verlässt, was tun Sie mit seinen Konten? Er hat wahrscheinlich ein vom Unternehmen bereitgestelltes berufliches E-Mail-Konto sowie Konten in den Tools, die Sie täglich nutzen: das CRM, das HR-System und so weiter.

Können Sie diese Konten einfach löschen oder übernehmen? Unter Berücksichtigung der DSGVO und guter Datenschutzpraxis müssen Sie vorsichtiger sein, als Sie vielleicht denken.

Eine Lektion über 14.700 Euro aus Norwegen

Ein norwegisches Unternehmen machte beim Umgang mit dem E-Mail-Konto eines ehemaligen Mitarbeiters mehrere Fehler, und das kostete es 14.700 Euro Bußgeld. Es lohnt sich zu verstehen, was schiefging.

Ein Mitarbeiter beendete sein Arbeitsverhältnis mit dem Unternehmen. Während der Kündigungsfrist änderte der Arbeitgeber das Passwort und übernahm das berufliche E-Mail-Konto, ohne den Betroffenen zu informieren und damit ohne ihm die Gelegenheit zu geben, persönliche Inhalte zu löschen. Zudem wurde das Konto nach dem Ausscheiden nicht geschlossen.

Der ehemalige Arbeitgeber ignorierte die Aufforderung, das E-Mail-Konto zu löschen, und richtete lediglich eine Abwesenheitsnotiz ein. Zur Stellungnahme aufgefordert, argumentierte das Unternehmen, es benötige das Postfach, um Kundenbeziehungen aufrechtzuerhalten und betriebliche Informationen zu erhalten, bis der Mitarbeiter ersetzt sei.

Die norwegische Datenschutzbehörde stellte mehrere Verstöße gegen die DSGVO fest:

Der Zugriff auf das E-Mail-Konto und die E-Mails des Mitarbeiters war unrechtmäßig.
Der Arbeitgeber informierte den Mitarbeiter nicht und verstieß damit gegen Artikel 13.
Der Arbeitgeber schloss das E-Mail-Konto des Mitarbeiters nicht.

Für diese Verstöße wurde das Unternehmen mit 14.700 Euro Bußgeld belegt.

Das ist kein Einzelfall

Norwegen ist keine Ausnahme. Datenschutzbehörden in ganz Europa verhängen weiterhin Bußgelder gegen Arbeitgeber für genau dies, und die Entscheidungen werden strenger.

Italien, 2023. Die italienische Aufsichtsbehörde (Garante) verhängte gegen ein Unternehmen ein Bußgeld von 5.000 Euro, weil es das Postfach eines ausgeschiedenen Mitarbeiters aktiv hielt, die eingehende Post las und eine automatische Weiterleitung an einen anderen Mitarbeiter einrichtete. Der Arbeitgeber argumentierte, er benötige das Konto, um sich vor Gericht zu verteidigen. Der Garante wies dies entschieden zurück: Das Interesse, einen Rechtsanspruch zu verteidigen, kann das Recht einer Person auf Datenschutz nicht überwiegen. Die Behörde benannte auch die richtige Alternative, nämlich eine automatische Antwort, die Absender auf andere Adressen verweist, ohne die eingehende Post zu lesen.

Belgien, 2026. Die belgische Datenschutzbehörde verhängte gegen ein Unternehmen ein Bußgeld von rund 176.000 Euro, weil es das Postfach eines ehemaligen Mitarbeiters etwa sechs Monate nach dessen Ausscheiden aktiv hielt. Die zentrale Lektion: Ein Postfach zu deaktivieren ist nicht dasselbe, wie es zu löschen. Solange das Postfach weiterhin auf Ihren Servern besteht, verarbeiten Sie weiterhin die personenbezogenen Daten dieser Person. Eine kurze Übergangszeit (in der Regel etwa ein Monat) kann gerechtfertigt sein, danach muss das Postfach weg.

Warum eine Arbeitsadresse ein personenbezogenes Datum ist

Eine personenbezogene Arbeitsadresse wie vorname.nachname@ihrunternehmen.eu identifiziert eine bestimmte Person. Damit ist sie ein personenbezogenes Datum dieses Mitarbeiters. Das Konto nach dem Ausscheiden aktiv zu halten, die eingehende Post zu lesen oder es ohne Mitteilung zu übernehmen sind allesamt Formen der Verarbeitung, und jede davon erfordert eine Rechtsgrundlage und angemessene Transparenz.

Das ist der Punkt, den viele Unternehmen übersehen. Ein Konto zu schließen fühlt sich wie eine IT-Routineaufgabe an, aber unter der DSGVO ist es eine Verarbeitungsentscheidung über die personenbezogenen Daten einer Person.

Best Practices für die Konten ausscheidender Mitarbeiter

Auf Grundlage der norwegischen Entscheidung und ähnlicher Fälle empfehlen wir Folgendes:

1. Führen Sie eine Mitarbeiter-Datenschutzrichtlinie ein

Stellen Sie sicher, dass Sie eine Mitarbeiter-Datenschutzrichtlinie haben, die die Nutzung und den Zugriff auf E-Mail-Konten und andere Konten abdeckt, damit die Mitarbeiter im Voraus wissen, wie mit ihren Konten umgegangen wird.

2. Dokumentieren Sie Ihren internen Prozess

Halten Sie schriftlich fest, wie Ihr Unternehmen Konten verwaltet und die Übergabe von Konten regelt, wenn ein Arbeitsverhältnis endet. Ein klarer, wiederholbarer Offboarding-Prozess ist Ihr bester Schutz.

3. Übernehmen Sie ein persönliches Arbeitskonto niemals ohne Mitteilung

Ändern Sie nicht das Passwort eines persönlichen Arbeitskontos wie vorname.nachname@ihrunternehmen.eu und übernehmen Sie es nicht, ohne den Mitarbeiter zuvor zu informieren. Geben Sie ihm die Gelegenheit, persönliche Inhalte zu entfernen.

4. Schließen Sie das Konto, und löschen Sie es auch wirklich

Beenden Sie ein persönliches Arbeitskonto wie vorname.nachname@ihrunternehmen.eu immer, sobald der Mitarbeiter ausgeschieden ist. Halten Sie es nicht unbegrenzt aktiv, um eingehende Post aufzufangen. Denken Sie an die belgische Lektion: Deaktivieren ist nicht Löschen. Löschen Sie das Postfach nach einer kurzen Übergangszeit (etwa einem Monat) endgültig.

5. Nutzen Sie eine automatische Antwort, statt das Postfach zu lesen

Wenn Sie ein Zeitfenster benötigen, um Kontakte umzuleiten, richten Sie eine automatische Antwort ein, die Absender auf eine generische Adresse verweist, ohne die eingehende Post zu öffnen oder weiterzuleiten. Genau diesen Ansatz beschrieb die italienische Aufsichtsbehörde als zulässige Alternative.

6. Machen Sie Geschäftsfunktionen nicht von personenbezogenen Arbeitsadressen abhängig

Verlassen Sie sich für keine Funktion im Unternehmen ausschließlich auf personenbezogene Arbeitskonten. Richten Sie generische Adressen wie sales@ihrunternehmen.eu oder info@ihrunternehmen.eu ein und bitten Sie Kunden, diese zu verwenden. So können Sie ein persönliches Konto beim Ausscheiden einer Person sauber schließen, ohne die Kontinuität zu verlieren.

Quellen

Entscheidung der norwegischen Datenschutzbehörde (2021, 14.700 Euro): Virksomhet får gebyr for innsyn i tidligere ansatts e-postkasse
Entscheidung des italienischen Garante (2023, 5.000 Euro): Company email: the employer’s right of defence in court cannot limit the worker’s right to data protection
Bußgeld der belgischen Datenschutzbehörde (2026, ca. 176.000 Euro): Belgium: unlawful mailbox retention leads to EUR 176,000 fine

auto_awesome Dokumentieren Sie Ihren Offboarding-Prozess

GDPRWise hilft Ihnen, eine Mitarbeiter-Datenschutzrichtlinie und klare interne Prozesse einzuführen, damit Sie mit den Konten ausscheidender Mitarbeiter richtig umgehen.

Kostenlosen Scan starten

Mitarbeiter verlässt das Unternehmen: Was tun mit dem E-Mail-Konto?