Effektives Offboarding: Datenschutz & IT-Sicherheit nach DSGVO

Sofortige Deaktivierung aller Zugänge: Benutzerkonten, VPN, E-Mail, Unternehmenssoftware und Zugänge zu sensiblen Systemen (ERP, CRM, HR-Tools) am letzten Arbeitstag des Mitarbeiters sperren.
Passwortänderungen: Bei generischen oder geteilten Konten nach Austritt des Mitarbeiters unverzüglich Passwörter ändern.
Systematische Überprüfung: Prüfen und Entzug von Berechtigungen in Betriebssystemen (Windows, Linux etc.), Anwendungen (Zeiterfassung, Fachanwendungen), Cloud-Diensten (Microsoft 365, Google Workspace) und sonstigen Plattformen.
Dokumentation: Alle Entzugs- und Deaktivierungsmaßnahmen protokollieren, um die Revisionssicherheit und Nachvollziehbarkeit sicherzustellen.

E-Mail-Konto deaktivieren oder umleiten: Dienstliches E-Mail-Konto unmittelbar nach Austritt sperren oder auf ein Vertretungskonto umleiten. Dauerhafte Weiterleitungen nur bei zwingender Notwendigkeit und unter Beachtung der Transparenz.
Private E-Mails:

Falls private Nutzung erlaubt war, sollten private E-Mails durch autorisierte Personen gesichtet und mit dem (ehemaligen) Mitarbeiter abgestimmt werden (falls noch erreichbar).
Private E-Mails an Mitarbeiter übergeben oder sicher auf Datenträger aushändigen.
Anschließend müssen alle privaten E-Mails aus dem dienstlichen Konto gelöscht werden.
Sicherstellen, dass keine unbefugte Einsichtnahme in personenbezogene Daten Dritter erfolgt.

Archivierung oder geordnete Übergabe an Nachfolger zur Wahrung gesetzlicher Aufbewahrungsfristen (z. B. nach HGB, AO).

Inventarprüfung: Rückgabe aller bereitgestellten Geräte (Laptop, Smartphone, USB-Sticks, Hardware-Token, Zutrittskarten) sicherstellen.

Datenübernahme: Zurückgegebene Geräte auf gespeicherte Daten überprüfen, um sicherzustellen, dass alle relevanten Informationen in aktueller oder aktuellerer Form als auf vorhandenen Netzlaufwerken vorliegen. Dabei prüfen, ob es Daten gibt, die übernommen oder in zentrale Systeme integriert werden müssen.

Sichere Datenlöschung: Auf zurückgegebenen Geräten befindliche sensible Unternehmensdaten sicher löschen (z. B. mittels zertifizierter Tools), um unbefugten Zugriff zu verhindern.
Personen-Zertifikate und Tokens: Nicht mehr benötigte Zertifikate von Servern und Hardware-Token entfernen oder ungültig machen.

Geschäftsrelevante Daten übergeben: Alle für den Geschäftsbetrieb relevanten Dokumente, Dateien und Daten strukturiert an zuständige Kollegen, Nachfolger oder Vorgesetzte übergeben.
Verhinderung unerlaubter Datentransfers: Sicherstellen, dass keine relevanten Unternehmensdaten auf privaten Geräten, externen Speichermedien oder unautorisierten Cloud-Diensten verbleiben.
Überprüfung von Backups: Prüfen, ob in Backups personenbezogene Daten des Mitarbeiters vorhanden sind. Nicht mehr benötigte personenbezogene Daten müssen, soweit technisch möglich und rechtlich zulässig, aus Backups entfernt oder durch geeignete Löschkonzepte kontrolliert behandelt werden.

Interne und externe Information: Die Belegschaft und ggf. Kunden über den Austritt informieren, um klaren Kenntnisstand über neue Ansprechpartner sicherzustellen.
Abwesenheitsnotiz: Im E-Mail-System eine Abwesenheitsnotiz einrichten, die auf die dauerhafte Abwesenheit hinweist und den neuen Ansprechpartner benennt.

Einwilligungen prüfen: Gegebene Einwilligungen (z. B. Nutzung von Fotos, Profilen auf der Webseite oder Intranet) ggf. widerrufen und dokumentieren.
Löschung personenbezogener Daten:

Private personenbezogene Daten des ehemaligen Mitarbeiters, die im Unternehmen gespeichert sind und nicht mehr benötigt werden, müssen gemäß Art. 17 DSGVO gelöscht werden. Zuvor sollte dem Mitarbeiter auf Wunsch die Aushändigung seiner personenbezogenen Daten angeboten werden.
Gesetzliche Aufbewahrungspflichten (z. B. Lohnabrechnungen) beachten: Nur für den vorgeschriebenen Zeitraum aufbewahren. Nach Ablauf der Fristen unverzüglich löschen oder vernichten.

Der Mitarbeiter hat das Recht, Auskunft über die zu seiner Person gespeicherten Daten zu erhalten. Bei entsprechender Anfrage:

Bereitstellung in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, PDF).
Vor der Übermittlung sorgfältige Prüfung, dass keine personenbezogenen Daten Dritter unrechtmäßig offengelegt werden. Ggf. Daten minimieren oder Schwärzungen vornehmen.
Prozess der Datenauskunft und -übertragung dokumentieren, um Rechenschaftspflichten nach DSGVO nachkommen zu können.

IT-Forensik bei Verdacht: Bei Hinweis auf Datenmissbrauch oder Compliance-Verstöße vor Austritt des Mitarbeiters IT-forensische Analysen einleiten.
Protokollierung des Offboardings: Alle durchgeführten Maßnahmen (Deaktivierungen, Herausgaben, Löschungen) protokollieren.
Abschlussgespräch und Sensibilisierung: Den Mitarbeiter darüber informieren, dass Verschwiegenheits- und Vertraulichkeitspflichten auch nach dem Austritt fortgelten. Auf mögliche rechtliche Konsequenzen bei Verstößen hinweisen.

Physische Sicherheit: Zutrittsrechte zu Gebäuden und Serverräumen prüfen; Schließkarten, Schlüssel und Hardware-Token deaktivieren oder einziehen.
Netzwerk- und Systemüberwachung: Nach Deaktivierung aller Zugänge sicherstellen, dass keine unautorisierte Nutzung von Ressourcen erfolgt (Monitoring-Logs überwachen, Anomalieerkennung einsetzen).

Checkliste zum Offboarding
Zugänge deaktivieren: Benutzerkonten (AD, ERP, CRM, Mail), Remote-Zugänge (VPN, Cloud).
Unternehmensressourcen zurückfordern: Hardware, Software-Lizenzen, Dokumente.
Datenübergabe sicherstellen: Geschäftlich relevante Dateien und Informationen an zuständige Kollegen übergeben.
E-Mail-Konto verwalten: Weiterleitung an Vertretung, Einrichtung von Abwesenheitsnotizen, Löschung privater E-Mails.
Kommunikation intern/extern: Information über Austritt, Benennung neuer Ansprechpartner.
Datenschutz- und Informationssicherheit:

Dokumentation: Alle Offboarding-Schritte, Entscheidungen und Übergaben protokollieren.