Viele Unternehmen haben keinen definierten Prozess für das Offboarding eines Mitarbeiters. Insbesondere ein unerwarteter Austritt oder eine fristlose Kündigung kann eine Gefahr für Datenschutz und Datensicherheit werden. Dieser Artikel gibt Hinweise zur Ausgestaltung des Offboarding-Prozesses.
Der Inhalt im Überblick
Risiken eines fehlenden Offboarding-Prozesses
Viele Unternehmen haben keinen definierten Prozess für das Offboarding eines Mitarbeiters, obwohl regelmäßig Mitarbeiter austreten. So kann eine unübersichtliche Lage hinsichtlich ausgegebener Arbeitsmittel und Rechte des Betroffenen entstehen sowie personenbezogene Daten, Know-How und Geschäftsgeheimnisse verloren gehen.
Schlimmstenfalls kann eine solche Situation in einem meldepflichtigen „Datenschutzpanne“ enden. Mit einigen einfachen betrieblichen Handlungsanweisungen werden diese Risiken jedoch erheblich minimiert.
Erste Übersicht durch Eintrittsliste
Die im Rahmen des Ausscheidens eines Mitarbeiters anfallenden Aufgaben, sind vielfältig und in verschiedenen Abteilungen eines Unternehmens verortet.
So müssen ggf. durch die Abteilung „Facility Management“ Zugangsrechte entzogen, durch die IT Zugriffsberechtigungen oder Bilder des Mitarbeiters Intranet und Social Media Präsenzen entfernt, sowie Hardware entzogen werden.
Als erster Schritt ist eine Bestandsaufnahme der ausgegebenen Endgeräte, Zutritts-und Zugriffsrechte notwendig. Dies geschieht bestenfalls bereits bei Eintritt des Mitarbeiters ins Unternehmen. Anschließend sollte diese während des Beschäftigungsverhältnisses regelmäßig aktualisiert werden. Eine Inventarisierung der Hardware ist dabei auch zweckdienlich.
Offboarding-Liste
Gibt es noch keinen definierten Onboarding-Prozess, so sollten wichtige Punkte für die Übergabe auf einer Offboarding-Liste erfasst sein. Folgende Maßnahmen dienen dabei als Anhaltspunkte dafür, was wichtig für ein Unternehmen beim Austritt eines Mitarbeiters sein könnte:
- Entzug der Zugriffsrechte auf Hardware, Software und Laufwerke
- Rückgabe des betrieblich überlassenen Smartphones
- Rückgabe von Hardware (Laptop, Tablet, USB-Stick, externe Festplatten o.ä.)
- Entzug von Zugangsrechten (Rückgabe von Schlüsseln oder Tokens)
- Rückgabe des Geschäftswagen
- Entzug von Zutrittsrechten (Rückgabe von Schlüsseln oder Tokens)
Umgang mit dem E-Mail-Postfach
Auch hinsichtlich des E-Mail-Postfachs muss das Unternehmen Regelungen für das Offboarding eines Mitarbeiters treffen.
Zunächst empfiehlt es sich, dass der Mitarbeiter ab dem ersten Tag seiner Abwesenheit den Abwesenheitsassistenten aktiviert. Der Agent kann einen Hinweis auf das Ausscheiden des Mitarbeiters und auf einen neuen Ansprechpartner enthalten.
Des Weiteren muss der Mitarbeiter seine privaten Mails vor Rückgabe der Endgeräte löschen dürfen. Unter Umständen kann es sinnvoll sein, die Löschung in Anwesenheit der IT und des Datenschutzbeauftragten durchzuführen, um sicher zu gehen, dass die Löschung korrekt erfolgt. Außerdem sollte der Mitarbeiter die Löschung und die Möglichkeit der Sichtung schriftlich bestätigen.
Wichtig ist es auch, verbindliche Regelungen zur Internet und E-Mail-Nutzung zu treffen, um keine Fehler beim Zugriff auf E-Mails im Postfach des Mitarbeiters zu machen.
Löschen von Daten
Grundsätzlich ist es auch wichtig zu prüfen, welche Löschrechte und Pflichten sowohl Arbeitgeber als auch Arbeitnehmer im Falle einer Kündigung im Rahmen des Offboarding haben.
Löschen aus Unternehmenssicht
Vorsicht Aufbewahrungsfristen! Daher ist es immer ratsam vor der Löschung personenbezogener Daten des ausgeschiedenen Mitarbeiters zu prüfen, ob ggf. gesetzliche Aufbewahrungsfristen bestehen.
Insbesondere die Personalakte sollte nicht sofort gelöscht werden. Für Personalakten kann eine Aufbewahrungsfrist von bis zu zehn Jahren gelten. In dieser Zeit ist das Unternehmen verpflichtet, alle entsprechenden Unterlagen zu archivieren und jederzeit vorzuhalten. Grundsätzlich bietet es sich auch an, ein Löschkonzept zu entwickeln.
Löschen aus Sicht des ausscheidenden Mitarbeiters
Der betroffene Mitarbeiter sollte beim Offboarding folgende Punkte prüfen und ggf. löschen oder sichern:
- Private Daten auf dem betrieblichen Smartphone (Kontaktdaten, Bilder/Videos, SMS etc.)
- Private Kommunikation auf der geschäftlichen E-Mail-Adresse
- Persönliche Daten auf dem persönlichen Laufwerk / in persönlichen Ordnern
- Private Routenplanungen im Navigationssystem des Geschäftswagens
- Persönliche Unterlagen am Arbeitsplatz
Erstellung einer Prozessbeschreibung
Es sollte jedem Mitarbeiter klar sein, wie er im Falle des Offboardings eines Mitarbeiters vorzugehen hat. Dazu können allgemeine und zusätzlich auf jede Abteilung separat zugeschnittene Offboarding-Prozesse beschrieben werden, die Anleitung dazu geben, was bis zu welchem Zeitpunkt abgearbeitet werden muss. In diesen Prozess kann z.B. die Off-Boarding-Liste als Checkliste/Umlaufliste integriert werden. Es empfiehlt sich für diese Prozesse auch Verfahren der Verarbeitungstätigkeit nach Artikel 30 Abs. 1 DSGVO zu erstellen.