Viele der Agenturen, die ich beraten habe, haben einen definierten Onboarding Prozess. Was vielen fehlt ist das Gegenteil: verlässt ein Mitarbeiter oder eine Mitarbeiterin die Agentur, gibt es häufig kein strukturiertes Vorgehen. Allerdings ist ein Offboarding-Check gerade in Bezug auf den Datenschutz und die Datensicherheit der Agentur äußerst wichtig!
Datenschutz und Datensicherheit beim Offboarding bedenken
Verlässt ein Mitarbeiter oder eine Mitarbeiterin die Agentur, ist dies aus vielerlei Gründen ein Einschnitt für Unternehmen und Kollegium. Teils muss Arbeit neu verteilt und für die Übergangszeit Liegengebliebenes übernommen werden. Es besteht auch die Gefahr der Kundenmitnahme und Unsicherheit im Team.
Hier kann ein strukturierter Prozess helfen, den Weg- und Übergang für alle Seiten – Kollegium, den oder die scheidende/n Mitarbeiter/in und Unternehmen – gut und konfliktfrei zu gestalten. Vor allem, wenn der Austritt unerwartet oder durch eine fristlose Kündigung erfolgt.
Aus Datenschutz- und Datensicherheits-Gründen ist dieser Offboarding-Check allerdings unerlässlich! Mit ihm kann verhindert werden, dass Unklarheiten über ausgegebene Arbeitsmittel oder personenbezogene Daten, Know-how und Geschäftsgeheimnisse verloren gehen, was im schlimmsten Fall in einer meldepflichtigen „Datenschutzpanne“ enden könnte!
Was sollte der Offboarding-Check enthalten?
Verlässt ein/e Mitarbeiter/in die Agentur, müssen Zutrittsmöglichkeiten entzogen, Hardware zurückerhalten (und ggf. neu aufgesetzt) werden und Zugänge und Accounts gesperrt bzw. gelöscht werden.
Checkliste
Auf diese Punkte muss geachtet werden:
- Entzug der Zugriffsrechte auf Hardware, Software und Laufwerke: Löschung von Berechtigungen und ggf. Änderung von Passwörter – gerade, wenn (wie leider oft üblich) – alle Mitarbeiter/innen die gleichen Passwörter verwenden. Hierbei ist auch besonders der Zugriff auf cloudbasierte Systeme sowie auf Email-Accounts zu berücksichtigen.
- Rückgabe von Hardware: Laptop, Tablet, USB-Stick, externe Festplatten, betrieblich überlassenes Smartphone …
- Verhinderung von Zugangsmöglichkeiten (Rückgabe von Schlüsseln, Änderung elektronischer Türcodes)
Das Risiko einer Datenschutzpanne kann deutlich minimiert werden, indem bereits beim Eintritt von Mitarbeiter/innen in die Agentur festgehalten wird, über welche Endgeräte sowie Zutritt- und Zugriffsrechte sie verfügen. Diese Liste muss stets aktualisiert und kann als Verfahren der Verarbeitungstätigkeit nach Artikel 30 Abs. 1 DSGVO zugeführt werden.
Wichtig: Mitarbeiter/innen sollen private Daten und Mails vor Rückgabe der Endgeräte löschen dürfen. Hier kann es sinnvoll sein, die Löschung in Anwesenheit des/der IT-Verantwortlichen (oder der/des Datenschützers) durchzuführen, um sicher zu gehen, dass die Löschung korrekt erfolgt. Außerdem sollte die Löschung für beide Seiten schriftlich bestätigt werden.