Ausscheidende Mitarbeiter gehören zum Tagesgeschäft einer jeden Organisation. Doch welche Gefahren verbergen sich hier? Wie begegnet man ihnen bestenfalls?
Wir zeigen Ihnen die notwendigen Schritte, um Risiken verbeugend zu begegnen.
Übersicht
- Ursachen für Sicherheitslücken
- Etablierung eines Austrittsprozesses
- Entziehung der Zutritts- und Zugangsrechte
- Zurückgabe der Arbeitsmittel
- Sicherung geschäftlicher und persönlicher Daten
- Entziehung der Zugriffsrechte
1) Ausscheidende Mitarbeiter: Ursachen für Sicherheitslücken
Ob es die Kündigung des Arbeitgebers, die eigene Kündigung ist oder der Eintritt in den Ruhestand – der damit anschließende Austrittsprozess aus der Organisation ist vor allem auch aus Sicht des Datenschutzes, der Informations- und IT-Sicherheit sehr relevant.
Es kommt beim Ausscheiden eines Mitarbeiters nicht selten vor, dass sich einer auf den anderen bzw. eine Abteilung auf die nächste verlässt. Damit entstehen Organisationen jedoch häufig vergleichbar hohe Sicherheitsrisiken wie bei einem externen Hacker-Angriff. Dies liegt zum einen daran, dass moderne Organisationen mit umfangreichen digitalen Datenmengen arbeiten. Zum anderen müssen sie den Mitarbeitern Zugriffsrechte einräumen, damit diese die ihnen zugeteilten Aufgaben erledigen können. Darüber hinaus findet eine Ausgabe verschiedenster mobiler Endgeräte statt. Außerdem gibt es oft eine große Menge an notwendigen Zugangs-, Zutritt- und Zugriffsrechten, wobei die Übersicht und Klarheit in der Zuständigkeit verloren gehen.
2) Etablierung eines Austrittsprozesses
Es ist daher sehr zu empfehlen, einen Austrittsprozess zu etablieren, der alle eben erwähnten Punkte berücksichtigt und alle notwendigen Parteien miteinbezieht. So kann sichergestellt werden, dass ausscheidende Mitarbeiter nach ihrem Ausscheiden aus der Organisation keinen Zutritt zum Gebäude / Gelände haben bzw. keinen Zugriff mehr auf Computersysteme, Dateien und Ordner mehr haben.
a) Entziehung der Zutritts- und Zugangsrechte
Sie sollten darauf achten, dass neben dem Mitarbeiter- / Werksausweis alle während des Beschäftigungsverhältnis ausgehändigten Schlüssel, Transponder und / oder Zugangskarten wieder zurückgegeben werden. Voraussetzung hierfür ist eine ordnungsgemäße Dokumentation und eine gepflegte Zugriffs- und Schlüsselverwaltung.
b) Zurückgabe der Arbeitsmittel
Zur Aufgabenerfüllung werden häufig verschiedene Endgeräte zur Verfügung gestellt. Auch hier muss sichergestellt sein, dass der ausscheidende Mitarbeiter die vollumfängliche IT-Ausstattung zurückgibt. Auch dies ist nur unter der Voraussetzung einer ordnungsgemäßen Dokumentation möglich. Der Schlüssel ist eine organisierte Hardwareverwaltung durch die IT-Abteilung als zuständige Abteilung, die sicherstellt, dass weder Datenträger noch Geräte vergessen geraten.
c) Sicherung geschäftlicher und persönlicher Daten
Wir empfehlen Ihnen, ausscheidende Mitarbeiter am Ende nochmal ausdrücklich -und möglichst schriftlich – darauf hinzuweisen, dass sie alle geschäftlichen Arbeitsergebnisse und -daten, die sie möglicherweise noch auf einem persönlichen Laufwerk gespeichert haben, auf das Unternehmenslaufwerk zu transferieren haben. Persönliche Daten wie z.B. Urlaubsanträge oder Arbeitsunfähigkeitsbescheinigungen sollten gesichert bzw. gelöscht werden.
d) Entziehung der Zugriffsrechte
Wenn die zuvor genannten Schritte erledigt sind, kommt die eigentliche Herausforderung: dem ausscheidenden Mitarbeiter die Zugriffsrechte auf digitale Datenbestände der Organisation flächendeckend zu entziehen. Und hier ist auf jeden Fall zeitnahes Handeln gefragt.
Wir empfehlen Ihnen, keine Zeit zu verlieren und spätestens mit dem Ausscheiden keine Zugriffsmöglichkeit auf IT-Systeme vorhanden ist. Dazu gehören u.a. die Löschung aller Zugriffsberechtigungen, die Deaktivierung von Benutzerkonten, die Umleitung von Anrufen und die Deaktivierung / Löschung von dienstlichen E-Mail-Accounts.
Gerade im Zusammenhang komplexer Organisationsstrukturen verzögern sich diese Prozesse häufig. Dieser sehr kritische Zeitraum könnte jedoch dafür genutzt werden, unbefugt auf personenbezogene Daten zuzugreifen, um diese zu löschen oder zu manipulieren. Beides könnte nicht nur finanzielle oder Reputationsschäden herbeiführen, sondern auch mit Bußgeldrisiken verbunden sein.
Mit einem in der Organisation dokumentierten und in der IT-Abteilung etablierten Prozess, der exakt vorgibt, wer wann welche Schritte zu übernehmen und auszuführen hat, um entsprechende Zugriffsrechte zu entziehen, kann dem entgegen gewirkt werden. Im Idealfall sind hier auch entsprechende Vertretungsregeln festgehalten, sodass im Falle von Abwesenheit eine ordnungsgemäße Vertretung erfolgt.
Darüber hinaus sollten Sie dafür sorgen, dass organisationsinterne Zugangsdaten rechtzeitig übergeben werden. Durch Passwortänderung lassen sie sich vor einem weiteren Zugriff schützen.
3) Muster
Hier finden Sie eine Checkliste zum Eintritt.
Hier finden Sie eine Checkliste zum Austritt.
Melden Sie sich gerne bei uns, wenn Sie weitere Unterstützung benötigen.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 02/2023