Zum Inhalt springen Zur Navigation springen
Offboarding-Prozess: Was ist zu tun, wenn ein Mitarbeiter geht?

Offboarding-Prozess: Was ist zu tun, wenn ein Mitarbeiter geht?

Artikel von Dr. Datenschutz·22. Oktober 2018

Viele Unternehmen haben keinen definierten Prozess für das Offboarding eines Mitarbeiters. Insbesondere ein unerwarteter Austritt oder eine fristlose Kündigung kann eine Gefahr für Datenschutz und Datensicherheit werden. Dieser Artikel gibt Hinweise zur Ausgestaltung des Offboarding-Prozesses.

Risiken eines fehlenden Offboarding-Prozesses

Viele Unternehmen haben keinen definierten Prozess für das Offboarding eines Mitarbeiters, obwohl regelmäßig Mitarbeiter austreten. So kann eine unübersichtliche Lage hinsichtlich ausgegebener Arbeitsmittel und Rechte des Betroffenen entstehen sowie personenbezogene Daten, Know-How und Geschäftsgeheimnisse verloren gehen.

Schlimmstenfalls kann eine solche Situation in einem meldepflichtigen „Datenschutzpanne“ enden. Mit einigen einfachen betrieblichen Handlungsanweisungen werden diese Risiken jedoch erheblich minimiert.

Erste Übersicht durch Eintrittsliste

Die im Rahmen des Ausscheidens eines Mitarbeiters anfallenden Aufgaben, sind vielfältig und in verschiedenen Abteilungen eines Unternehmens verortet.

So müssen ggf. durch die Abteilung „Facility Management“ Zugangsrechte entzogen, durch die IT Zugriffsberechtigungen oder Bilder des Mitarbeiters Intranet und Social Media Präsenzen entfernt, sowie Hardware entzogen werden.

Als erster Schritt ist eine Bestandsaufnahme der ausgegebenen Endgeräte, Zutritts-und Zugriffsrechte notwendig. Dies geschieht bestenfalls bereits bei Eintritt des Mitarbeiters ins Unternehmen. Anschließend sollte diese während des Beschäftigungsverhältnisses regelmäßig aktualisiert werden. Eine Inventarisierung der Hardware ist dabei auch zweckdienlich.

Offboarding-Liste

Gibt es noch keinen definierten Onboarding-Prozess, so sollten wichtige Punkte für die Übergabe auf einer Offboarding-Liste erfasst sein. Folgende Maßnahmen dienen dabei als Anhaltspunkte dafür, was wichtig für ein Unternehmen beim Austritt eines Mitarbeiters sein könnte:

  • Entzug der Zugriffsrechte auf Hardware, Software und Laufwerke
  • Rückgabe des betrieblich überlassenen Smartphones
  • Rückgabe von Hardware (Laptop, Tablet, USB-Stick, externe Festplatten o.ä.)
  • Entzug von Zugangsrechten (Rückgabe von Schlüsseln oder Tokens)
  • Rückgabe des Geschäftswagen
  • Entzug von Zutrittsrechten (Rückgabe von Schlüsseln oder Tokens)

Umgang mit dem E-Mail-Postfach

Auch hinsichtlich des E-Mail-Postfachs muss das Unternehmen Regelungen für das Offboarding eines Mitarbeiters treffen.

Zunächst empfiehlt es sich, dass der Mitarbeiter ab dem ersten Tag seiner Abwesenheit den Abwesenheitsassistenten aktiviert. Der Agent kann einen Hinweis auf das Ausscheiden des Mitarbeiters und auf einen neuen Ansprechpartner enthalten.

Des Weiteren muss der Mitarbeiter seine privaten Mails vor Rückgabe der Endgeräte löschen dürfen. Unter Umständen kann es sinnvoll sein, die Löschung in Anwesenheit der IT und des Datenschutzbeauftragten durchzuführen, um sicher zu gehen, dass die Löschung korrekt erfolgt. Außerdem sollte der Mitarbeiter die Löschung und die Möglichkeit der Sichtung schriftlich bestätigen.

Wichtig ist es auch, verbindliche Regelungen zur Internet und E-Mail-Nutzung zu treffen, um keine Fehler beim Zugriff auf E-Mails im Postfach des Mitarbeiters zu machen.

Löschen von Daten

Grundsätzlich ist es auch wichtig zu prüfen, welche Löschrechte und Pflichten sowohl Arbeitgeber als auch Arbeitnehmer im Falle einer Kündigung im Rahmen des Offboarding haben.

Löschen aus Unternehmenssicht

Vorsicht Aufbewahrungsfristen! Daher ist es immer ratsam vor der Löschung personenbezogener Daten des ausgeschiedenen Mitarbeiters zu prüfen, ob ggf. gesetzliche Aufbewahrungsfristen bestehen.

Insbesondere die Personalakte sollte nicht sofort gelöscht werden. Für Personalakten kann eine Aufbewahrungsfrist von bis zu zehn Jahren gelten. In dieser Zeit ist das Unternehmen verpflichtet, alle entsprechenden Unterlagen zu archivieren und jederzeit vorzuhalten. Grundsätzlich bietet es sich auch an, ein Löschkonzept zu entwickeln.

Löschen aus Sicht des ausscheidenden Mitarbeiters

Der betroffene Mitarbeiter sollte beim Offboarding folgende Punkte prüfen und ggf. löschen oder sichern:

  • Private Daten auf dem betrieblichen Smartphone (Kontaktdaten, Bilder/Videos, SMS etc.)
  • Private Kommunikation auf der geschäftlichen E-Mail-Adresse
  • Persönliche Daten auf dem persönlichen Laufwerk / in persönlichen Ordnern
  • Private Routenplanungen im Navigationssystem des Geschäftswagens
  • Persönliche Unterlagen am Arbeitsplatz

Erstellung einer Prozessbeschreibung

Es sollte jedem Mitarbeiter klar sein, wie er im Falle des Offboardings eines Mitarbeiters vorzugehen hat. Dazu können allgemeine und zusätzlich auf jede Abteilung separat zugeschnittene Offboarding-Prozesse beschrieben werden, die Anleitung dazu geben, was bis zu welchem Zeitpunkt abgearbeitet werden muss. In diesen Prozess kann z.B. die Off-Boarding-Liste als Checkliste/Umlaufliste integriert werden. Es empfiehlt sich für diese Prozesse auch Verfahren der Verarbeitungstätigkeit nach Artikel 30 Abs. 1 DSGVO zu erstellen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.