Ein Blog der Rechtsanwältin Dr. Romy Latka
Immer wieder kommt es vor, dass Mitarbeiter ein Unternehmen verlassen. Manchmal geht der Mitarbeiter aus freien Stücken, da z.B. der nächste Karriereschritt ansteht, manchmal trennen sich Arbeitgeber und Arbeitnehmer nicht im Guten. Das kann zu datenschutzrechtlichen Problemen und damit verbunden zu Gefahren für personenbezogene Daten sowie zu Gefahren mit Geschäftsgeheimnissen führen.
Arbeitgeber sollten daher dafür sorgen, dass ehemalige Beschäftigte keine Berechtigungen und Rollen behalten, die ihnen ermöglichen, weiterhin auf Daten des Unternehmens zuzugreifen. Hilfreich ist an der Stelle den Offboarding Prozess von Mitarbeitern genau zu definieren und eine Checkliste zu haben, die es beim Ausscheiden eines Mitarbeiters abzuarbeiten und abzuhaken gilt.
Dabei sollte genau auf die IT-Berechtigungskonzepte sowie die Zugriffsrechte der jeweiligen Mitarbeiter geschaut werden und spätestens mit Beendigung des Arbeitsverhältnisses müssen jegliche Zugriffsrechte sowie Berechtigungen entzogen, deaktiviert bzw. gelöscht werden. Bei Mitarbeitern die bereits vor Beendigung des Arbeitsverhältnisses freigestellt werden, sollten die Zugriffsmöglichkeiten bereits zum Zeitpunkt der Freistellung entzogen bzw. deaktiviert werden.
Relevante Daten müssen gelöscht werden
Immer häufiger liegen auch Unternehmensdaten in der Cloud und sind teilweise über Internetverbindungen erreichbar. Hier ist dann sicherzustellen, dass ein ausscheidender Mitarbeiter nicht mehr per Fernzugriff über seine Passwörter auf Daten zugreifen kann, auf die er nicht mehr zugreifen können sollte.
IT-Systeme müssen so angelegt und gesichert sein, dass Mitarbeiter sich nicht selbst Zugriffe auf die Systemlandschaft verschaffen können und dadurch auch nach ihrem Ausscheiden noch auf die System zugreifen können. So sollte der Offboarding Prozess auf jeden Fall beinhalten, dass alle Nutzerkonten deaktiviert und bestenfalls auch gelöscht werden.
Wichtig ist auch, dass der Mitarbeiter jegliche Mobilgeräte, die ihm der Arbeitgeber zur Verfügung gestellt hat, wieder zurückgibt. Damit gemeint sind Handys, Tablets, Notebooks etc. Sollten der Arbeitgeber seinem ausscheidenden Mitarbeiter die Möglichkeit geben, dass er z.B. das Smartphone oder Notebook behalten darf, muss sichergestellt werden, dass die darauf befindlichen Unternehmens- und personenbezogenen Daten gelöscht sind. Auch hierfür sollte es ein Löschkonzept geben und die IT des Unternehmens sollte in den Löschvorgang involviert werden. Apps, die auf Unternehmensnetzwerke zugreifen oder in der Cloud liegen, müssen deaktiviert werden.
Sollte der ausscheidende Mitarbeiter möglicherweise auch auf seinen eigenen Geräten gearbeitet haben, frei nach dem Motto „Bring your own device“, muss der Arbeitgeber auch an der Stelle sicherstellen, dass die Unternehmensdaten auf den privaten Geräten gelöscht werden. Auch in diesen Löschungsvorgang muss die IT des Unternehmens einbezogen werden. Es muss sichergestellt werden, dass auch wirklich alle unternehmens- und datenschutzrelevanten Daten gelöscht wurden.
Über die Autorin
Dr. Romy Latka ist Rechtsanwältin bei der grenzüberschreitend tätigen Kanzlei STRICK – Rechtsanwälte & Steuerberater und zertifizierte Datenschutzbeauftragte.