Der Mitarbeiteraustritt oder auch „Offboarding“ beschreibt den bewussten Trennungsprozess zwischen einem Mitarbeiter und dem Unternehmen.

Doch was passiert eigentlich, wenn ein Mitarbeiter ein Unternehmen verlässt? Die meisten Unternehmen verfügen über keinen gelebten Prozess für den Austritt von Angestellten.

Insbesondere wenn es zu unerwarteten oder fristlosen Kündigungen kommt, kann der Datenschutz, oder aber auch die Sicherheit der Daten, durch fehlende Prozesse bzw. Checklisten verletzt werden.

Checkliste

Sollte es im Unternehmen noch keinen festgelegten Prozess zum Mitarbeiteraustritt geben, so ist dieser dringend einzuführen. Denn schließlich ist mit dem Ausscheiden des Mitarbeiters so einiges zu tun. Haben Sie sich bspw. jemals Gedanken über die Zugangsrechte oder Zugriffsrechte nach dem Austritt gemacht? Eine Checkliste kann dabei Abhilfe schaffen, so stellen Sie sicher, dass Sie beim Offboarding nichts Wichtiges vergessen. Ein weiterer Vorteil: Im Sinne der Rechenschaftspflicht ist der Prozess auch noch dokumentiert.

Dabei sollten mindestens folgende Punkte in der Checkliste festgehalten werden:

• Entzug der Zutrittsrechte (Schlüssel, Chips, Token, Karten, etc.)
• Entzug der Zugangsrechte (Schlüssel, Chips, Token, Karten, etc.)
• Entzug der Zugriffsrechte (Active Directory, ERP-Systeme, etc.)
• Rückgabe der betrieblich überlassenen Arbeitsmittel (Handy, Laptop, Tablet, etc.)
• Rückgabe von Dienstwagen, Tankkarten
• Rückgabe des Mitarbeiterausweises

Die Liste ist nicht abschließend. Gerne wird das hier erwähnte Dokument auch Umlaufliste bzw. Laufzettel genannt. Ein Muster dazu kannst du hier finden.

Onboarding vs. Offboarding

Es empfiehlt sich nicht nur ein Prozess für das Offboarding zu implementieren, sondern auch für einen datenschutzrechtlich sicheren Ablauf zwecks Mitarbeitereinstellung (Onboarding) zu sorgen. Viele Unternehmen fassen beide Abläufe als einen Prozess zusammen. Tritt ein Mitarbeiter aus, können Onboarding und Offboarding-Checkliste nebeneinandergelegt und abgeglichen werden. So kann Ihnen niemand vorwerfen nachlässig oder sogar fahrlässig gehandelt zu haben. Dieses Prozedere sollte als Verfahren im Verzeichnis der Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 1 DSGVO dokumentiert werden.

Anschreiben

Neben der Checkliste für das Unternehmen, sollte der Mitarbeiter noch aktiv informiert werden. Dies kann über ein einfaches Anschreiben geschehen. Bei Kündigung ist das Anschreiben umgehend mit auszuhändigen. Damit wird dem Mitarbeiter die Möglichkeit gegeben, eventuelle persönliche Daten von dem Dienstcomputer bzw. aus dem Mailpostfach eigenständig zu entfernen. Weiterhin wird er darüber aufgeklärt, dass das Firmeneigentum umgehend zurückzugeben ist. Lassen Sie sich unbedingt den Empfang des Anschreibens schriftlich bestätigen. Bei eventuellen Einwänden zwecks ehemaliger Mitarbeiter sind Sie gegenüber der Behörde auf der sicheren Seite.

Datenschutzrechtlicher Bezug

• Welche Systeme und Arbeitsmittel können personenbezogene Daten enthalten?
• E-Mail-Postfach
• Visitenkarten
• Navigationsgeräte
• Personenbezogene Daten anderenorts
• Welche personenbezogenen Daten dürfen auch nach Ausscheiden des Mitarbeiters gespeichert werden?
• Auskunftsanspruch ehemaliger Mitarbeiter

E-Mail Postfach

Auch hinsichtlich der dienstlichen Mitarbeiterpostfächer muss das Unternehmen Regelungen für das Ausscheiden eines Mitarbeiters treffen.

Als allererster Schritt sollte ab dem ersten Tag der Abwesenheit eine Abwesenheitsnotiz im Outlook hinterlegt und aktiviert werden. Der Abwesenheitsassistenz kann dabei einen Hinweis auf das Ausscheiden des Mitarbeiters sowie auf einen neuen Ansprechpartner enthalten.

Ebenfalls sollte dem Mitarbeiter die Möglichkeit gegeben werden, seine privaten Mails vom Account zu löschen. Es empfiehlt sich die Löschung in Anwesenheit der IT, BR und des Datenschutzbeauftragten durchzuführen, um sicher zu stellen, das mit den Daten sowie dem Account kein Unfug betrieben wird. Gerade im Kündigungsprozess fließen so manche Daten gerne in Richtung ausgeschiedenen Mitarbeiter ab, oder sogar noch schlimmer, werden komplett gelöscht.

Generell empfiehlt es sich verbindliche Regelungen zur privaten Nutzung von Internet, E-Mail und Telefon zu treffen, um keine datenschutzrechtlichen Verstöße beim Zugriff auf das E-Mail-Postfachs des Mitarbeiters zu begehen.

Mitarbeiterdaten löschen

Nur weil der Mitarbeiter ausscheidet heißt dies nicht, dass Sie all die Daten des ehemaligen Mitarbeiters behalten oder ausnahmslos löschen dürfen.

Es gilt zu prüfen, welche personenbezogenen Daten den gesetzlichen Aufbewahrungsfristen unterstehen und welche personenbezogenen Daten umgehend gelöscht werden dürfen, da bei Kündigung der Zweck entfallen ist.

Etwaige Löschfristen sollten in einem Löschkonzept festgehalten werden.