Der ausgeschiedene Mitarbeiter als Sicherheitsrisiko für die IT- und Datensicherheit

Was ist „Onboarding“  und „Offboarding“?

„Onboarding“ hat sich in den vergangenen Jahren zu einer festen Größe in der modernen Unternehmenskultur entwickelt. Die einzelnen Schritte des Prozesses vom Erstkontakt mit dem Bewerber über die reibungslose Administration in der IT-Landschaft bis hin zu den ersten Wochen und Monaten im neuen Arbeitsverhältnis sind definiert – und werden im Übrigen, gerade von Berufseinsteigern, auch erwartet.

Im Vergleich zum „Onboarding“ führt der „Offboarding“-Prozess dagegen ein echtes Schattendasein. Hintergrund und wenig überraschend an dieser Stelle ist, dass in der Regel die Interessen- und Motivationslage beim Eintritt eines Mitarbeiters in ein Unternehmen eine völlig andere ist als bei dessen Austritt. Während zu Beginn eines Arbeitsverhältnisses gerade der positive Eindruck im Vordergrund steht, sind zu Ende eines Arbeitsverhältnisses die Fronten oft verhärtet. Genau diese Stimmungslage birgt für Unternehmen erhebliche Gefahren, insbesondere auch für deren IT- und Datensicherheit.

Warum ist ein „Offboarding“-Prozess für ausgeschiedene Mitarbeiter so wichtig?

Das Mobile Office ist bspw. darauf ausgerichtet, sich von einem anderen Ort als dem originären Firmengelände auf das Unternehmensnetzwerk aufzuschalten. Werden Mitarbeiter-Accounts nach einem Austritt nicht zeitnah gesperrt und/oder zumindest die Passwörter geändert, ist es für den ausgeschiedenen Mitarbeiter „Arbeitsalltag“, sich wieder auf seinen alten Arbeitsplatz aufzuschalten, um so Geschäftsprozesse und personenbezogene Daten einzusehen, „Know-how“ abzugreifen und im Ernstfall geschäftsschädigende Handlungen vorzunehmen. Zwar ist in diesen Konstellationen ein Schadenersatzprozess gegen den ehemaligen Mitarbeiter denkbar. Die zusätzlichen Kosten und Mühen, datenschutzrechtliche Bußgelder, allen voran aber der Imageschaden, welcher durch Meldepflichten nach der DSGVO ausgelöst wird, wiegen dagegen beträchtlich schwerer.

Was gehört zum „Offboarding“-Prozess?

Die technischen Komponenten eines Offboarding-Prozesses sind vielschichtig. Insbesondere sind Mitarbeiter-E-Mail-Accounts zu sperren, Telefonnummern und E-Mail-Adressen an Kollegen weiterzuleiten oder zu übertragen und firmen-
eigene Arbeitsmittel wie Laptop, Smartphone, Dienstwagen und Zutrittskarten unverzüglich zurückzufordern. Ebenso wichtig ist es, technische Geräte für eventuelle Nachfolger neu aufzusetzen und datenschutzrechtlich korrekt mit dem Löschen und Archivieren privater Daten zu verfahren.

Gerade weil ein verunglückter „Offboarding“-Prozess erhebliche Risiken für den Datenschutz und die Datensicherheit birgt, sollten rechtzeitig interne Personal-Prozesse geschaffen und technische organisatorische Maßnahmen (TOMs) Ihres Datenschutzkonzeptes nach der DSGVO angepasst werden.

Autor