Firmenpostfach nach Kündigung:

Was Unternehmen beachten sollten

Hintergrund

Die belgische Datenschutzaufsicht (GBA) hat am 1. Oktober 2025 einen Fall zum Zugriff auf ein ehemaliges Firmenpostfach abgeschlossen. Ein Ex-Mitarbeiter bemerkte 2023, dass auf sein früheres, personalisiertes E-Mail-Konto offenbar eine Lesebestätigung zurückging. Er war bereits seit 2018 nicht mehr im Unternehmen. Die Beschwerde richtete sich gegen die weitere Nutzung/Zugänglichkeit dieses beruflichen E-Mail-Kontos nach Ende der Beschäftigung. Die GBA schloss das Verfahren (Sepot), weil der Betroffene anonym bleiben wollte und dadurch eine Prüfung praktisch nicht möglich war. Zudem sah die Behörde keine „großskalige“ oder „hochriskante“ Verarbeitung.

Was wurde entschieden?

Die Geschillenkamer (Streitkammer) der GBA stellte das Verfahren aus Opportunitätsgründen ein (Sepot). Sie hatte den Beschwerdeführer am 24. April 2024 gebeten, die Anonymität aufzuheben, da sonst weder der betroffene Verantwortliche informiert noch dessen Sicht angehört werden konnte. Der Beschwerdeführer lehnte dies am 26. April 2024 ab. Ohne Identifizierung sei eine wirksame Untersuchung nicht möglich. Außerdem ordnete die Behörde den Vorgang nicht als „hoch riskant“ im Sinn von Art. 35 DSGVO ein.

Bedeutung für Unternehmen

Auch wenn es hier keine Sanktion gab, ist die Botschaft klar: Der Umgang mit dienstlichen E-Mail-Konten nach dem Austritt braucht klare Regeln. Wer Postfächer offen lässt, automatische Weiterleitungen einrichtet oder Lesebestätigungen auslöst, verarbeitet personenbezogene Daten. Dafür werden Rechtsgrundlage, Transparenz, Zweckbindung, Speicherbegrenzung und technische Maßnahmen benötigt (Stichworte: DSGVO-Rechtsgrundlage, Löschkonzept, Aufbewahrungsfristen, Zugriffskontrollen). Der Fall zeigt zudem, dass Beschwerden auch dann geprüft werden können, wenn Jahre vergangen sind — und dass fehlende Dokumentation oder unklare Prozesse zu unnötigen Risiken führen.

o reagieren Unternehmen richtig

1) Prozesse definieren

• Austritts-Checkliste: Zeitpunkt der Postfachabschaltung, Stellvertretung, Abwesenheitsnotiz, Löschfristen.

• Rollen & Verantwortlichkeiten: IT, HR, Fachbereich, Datenschutzkoordination.

2) Datenschutz sauber umsetzen

• Rechtsgrundlage: Für eine kurze Übergangsphase kann berechtigtes Interesse (Art. 6 Abs. 1 f DSGVO) in Betracht kommen. Dokumentieren Sie die Interessenabwägung.

• Transparenz: Regelungen im On-/Offboarding-Handbuch, in der IT-Richtlinie und in der Datenschutzhinweis-Sektion für Beschäftigte.

• Zweck & Dauer begrenzen: Übergangsweiterleitung maximal 2–4 Wochen; danach Postfach deaktivieren und fristgerecht löschen.

• Abwesenheitsnotiz: Neutraler Text mit alternativer Kontaktadresse; keine Weitergabe privater Daten.

• Kein Mitlesen: Inhaltliche Einsicht in E-Mails nur nach dokumentiertem, eng begrenztem Anlass (z. B. zur Sicherstellung der Geschäftskontinuität), mit Vier-Augen-Prinzip und Protokoll.

• Technik & Sicherheit: Deaktivierung in IAM/AD, Entfernen aus Verteilerlisten, Abschalten von Weiterleitungen/Autoreplies zum Enddatum, Prüfprotokoll.

3) Praxisbeispiele

• Beispiel „Handwerker GmbH“: Ein Monteur verlässt die Firma. Für 14 Tage läuft eine Auto-Reply mit „Bitte wenden Sie sich an service@…“. Das Postfach ist inaktiv; keine Weiterleitung, keine Einsicht. Nach 30 Tagen wird das Konto gemäß Löschkonzept entfernt.

• Beispiel „Vertrieb AG“: Eine Angebotsmail wird nach dem Austritt nur in Ausnahme geprüft, wenn ein konkreter Auftrag bedroht ist. Die Einsicht wird vorab genehmigt, protokolliert und die betroffene Korrespondenz anschließend archiviert oder gelöscht — je nach Aufbewahrungsfrist.

4) Dokumente & Nachweise

• Verarbeitungsverzeichnis-Eintrag „Übergangsverwaltung ehemaliger E-Mail-Konten“

• Interessenabwägung nach Art. 6 Abs. 1 f

• Löschkonzept inkl. Fristen

• Technische Arbeitsanweisung für IT (Deaktivierung/Archivierung)

• Schulungsfolien für Führungskräfte und HR

Empfehlung

Prüfen Sie heute Ihre Offboarding-Regeln für dienstliche E-Mails: kurze Übergangsphase, klare Zuständigkeiten, saubere Dokumentation und konsequente Löschung. So vermeiden Sie Beschwerden und bleiben auskunftsfähig. Gern unterstütze ich Sie mit einer praxistauglichen Richtlinie und Vorlagenpaketen.

Quellenangabe: Belgische Datenschutzaufsicht (GBA) – Geschillenkamer, Entscheidung 155/2025.

Sind Sie sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks