Newsletter

Das E-Mail-Postfach läuft noch, der Mitarbeiter längst weg.

/in /von

Ein Beschäftigter verlässt das Unternehmen. Das E-Mail-Postfach bleibt „sicherheitshalber“ noch monatelang aktiv. Vielleicht leitet jemand eingehende Mails sogar intern weiter. Klingt pragmatisch? Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sieht das anders. In seinem 15. Tätigkeitsbericht für das Jahr 2025 hat es genau dieses Vorgehen mit einer Verwarnung quittiert.

Was ist passiert?

Mehrere ehemalige Beschäftigte haben sich beim BayLDA beschwert. Sie hatten festgestellt, dass ihr persönliches E-Mail-Postfach nach dem Ausscheiden weiter aktiv war. Eingehende Mails wurden teilweise intern weitergeleitet. Die Arbeitgeber verteidigten sich damit, dass betriebsrelevante E-Mails ankommen und geschäftliche Mails im Postfach gesichert werden müssten.

Das BayLDA überzeugte das nicht.

Klare Ansage der Aufsichtsbehörde

Das BayLDA formuliert unmissverständlich. E-Mail-Postfächer ehemaliger Beschäftigter sind schnellstens zu deaktivieren oder zu löschen.

In einem konkreten Fall blieb ein persönliches Postfach über mehrere Monate ohne Abwesenheitsnotiz aktiv. Das BayLDA konnte weder eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) noch aus Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erkennen. Die Folge war eine Verwarnung nach Art. 58 Abs. 2 lit. b DSGVO.

Wann darf ein Postfach ausnahmsweise aktiv bleiben?

Die Aufsichtsbehörde erkennt an, dass es Einzelfälle gibt, in denen ein Postfach für einen kurzen Zeitraum aktiv bleiben darf. Nämlich, wenn wichtige E Mails eingehen und Kunden ein sanfter Übergang zu einem neuen Ansprechpartner ermöglicht werden soll.

Aber Achtung. „Kurzer Zeitraum“ bedeutet nicht Monate. Und ohne Abwesenheitsnotiz geht gar nichts.

Das BayLDA empfiehlt einen Offboarding-Leitfaden

Das BayLDA empfiehlt, den Umgang mit E-Mail-Postfächern in einem Offboarding-Prozess zu regeln. Dieser sollte folgende Punkte abdecken.

  • Dauer und Begründung. Ob und wie lange ein Postfach nach Vertragsende aktiv bleibt, inklusive dokumentierter Begründung.
  • Umgang mit vorhandenen und neuen E Mails. Welche Mails werden gesichert, welche gelöscht? Wie geht das Unternehmen mit privaten oder sensiblen Inhalten um?
  • Abwesenheitsnotiz. Wer richtet sie ein und was steht drin?
  • Zuständigkeit. Wer sichtet, wer legt ab, wer leitet zur Bearbeitung weiter?
  • Transparenz vorab. Die Beschäftigten müssen bereits während des bestehenden Arbeitsverhältnisses über diesen Prozess Bescheid wissen.
  • Praxisempfehlung. Das abgestufte Verfahren

Auf Basis der Vorgaben des BayLDA empfehlen wir folgendes Vorgehen.

  1. Unverzüglich bei Austritt: Zugang des Beschäftigten zum Postfach deaktivieren. Keine weitere Anmeldung möglich.
  2. Abwesenheitsnotiz aktivieren: Eine automatische Antwort informiert Absender darüber, dass die Person nicht mehr im Unternehmen ist, und nennt einen neuen Ansprechpartner. Keine automatische Weiterleitung der E Mails.
  3. Kurze Übergangsphase: Eingehende Mails werden von einer definierten, zuständigen Person gesichtet. Geschäftlich relevante Inhalte gehen an die richtige Stelle. Private E-Mails bleiben ungelesen.
  4. Konto löschen: Nach einem angemessenen Zeitraum wird das Konto endgültig gelöscht. Die E-Mailadresse verschwindet aus dem globalen Adressbuch und aus der Auto-Vervollständigung.
  5. Aufbewahrung trennen: Das E-Mail-Konto wird gelöscht. Geschäftliche E Mails, die steuerlichen oder handelsrechtlichen Aufbewahrungsfristen unterliegen (z.B. nach §§ 147 AO, 257 HGB), werden separat archiviert.