176.000 € DSGVO-Bußgeld für alte Mitarbeiter-Mailbox

Ein großes belgisches Tech-Unternehmen hat von der belgischen Datenschutzbehörde (GBA) ein Bußgeld in Höhe von insgesamt 176.000 Euro erhalten, weil es die E-Mail-Mailbox einer ehemaligen Mitarbeiterin nicht rechtzeitig gelöscht hat. Die GBA gab die Entscheidung am 12. Mai 2026 bekannt, wie Security.NL berichtet. Der Name des Unternehmens wurde nicht veröffentlicht.

Was ist passiert?

Laut Security.NL stellte die ehemalige Mitarbeiterin fest, dass ihre alte Arbeits-Mailbox noch aktiv war, nachdem sie das Unternehmen verlassen hatte. Sie forderte das Unternehmen auf, ihr Zugang zur Mailbox zu gewähren und diese zu löschen. Trotz ihrer Anfrage soll das Unternehmen nicht angemessen gehandelt haben.

Die GBA stellte fest, dass das Unternehmen die Mailbox mindestens ein Jahr nach dem Ausscheiden der Mitarbeiterin aktiv gehalten hatte, was die Behörde als rechtswidrig einstufte. Das Unternehmen soll argumentiert haben, dass die Aufbewahrung der Mailbox aufgrund der früheren Rolle der Mitarbeiterin gerechtfertigt sei, doch die GBA akzeptierte diese Begründung nicht als ausreichende Grundlage für eine so lange Aufbewahrungsdauer.

Laut Security.NL stellte die GBA mehrere Verstöße fest:

• Das Unternehmen verarbeitete die personenbezogenen Daten der ehemaligen Mitarbeiterin rechtswidrig, indem es ihre Mailbox aktiv hielt
• Die Frau und ihre Kontakte wurden nicht darüber informiert, dass ihre Daten noch verarbeitet wurden, was gegen die Transparenzpflicht des Unternehmens verstieß
• Das Unternehmen traf nicht die erforderlichen technischen und organisatorischen Maßnahmen, um die Löschung der Mailbox sicherzustellen
• Das Unternehmen respektierte das Auskunftsrecht der ehemaligen Mitarbeiterin gegenüber ihren eigenen Daten nicht

Das Bußgeld setzt sich aus zwei Teilen zusammen: 160.000 Euro für die rechtswidrige Datenverarbeitung und 16.000 Euro für die Verletzung der Transparenzpflicht, was einen Gesamtbetrag von 176.000 Euro ergibt.

Warum ist das relevant?

Dieser Fall ist eine Erinnerung daran, dass Datenschutzregeln nicht nur für Kundendaten gelten. Sie erfassen auch die personenbezogenen Daten Ihrer eigenen Mitarbeiter und ehemaligen Mitarbeiter. Wenn jemand Ihr Unternehmen verlässt, werden seine Daten nicht automatisch zu Ihrem dauerhaften Eigentum.

Auch in Deutschland gelten über die DSGVO und das BDSG strenge Anforderungen an den Umgang mit Beschäftigtendaten. Zuständig für die Durchsetzung sind je nach Unternehmensstruktur der BfDI oder eine der 16 Landesdatenschutzbehörden. Wenn Sie unsicher sind, ob Ihr Unternehmen Mitarbeiterdaten korrekt verarbeitet, ist unsere DSGVO-Compliance-Checkliste ein guter Ausgangspunkt. Weitere Informationen dazu, wie Bußgelder für kleinere Unternehmen berechnet werden, finden Sie in unserem Leitfaden zu DSGVO-Bußgeldern.

Was bedeutet das für Ihre Website?

Auch wenn es in diesem Fall um ein internes E-Mail-System und nicht um eine Website geht, gelten die zugrunde liegenden Regeln für alle personenbezogenen Daten, die Ihr Unternehmen verarbeitet. Wenn Ihre Website Kontaktdaten, Buchungsinformationen oder Mitarbeiterdaten erfasst, benötigen Sie eine klare Richtlinie dazu, wie lange Sie diese Daten aufbewahren und wie Sie sie löschen, wenn sie nicht mehr benötigt werden. Ihre Datenschutzerklärung sollte dies transparent widerspiegeln, damit Betroffene wissen, was mit ihren Daten geschieht. Denken Sie außerdem daran, dass deutsche Websites in der Regel ein Impressum vorhalten müssen, das auch Angaben zum Verantwortlichen im Sinne des Datenschutzrechts enthalten kann.