Ausscheidende Mitarbeitende: Wenn der Abschied zum Datenrisiko wird

Ehemalige Beschäftigte können – gewollt oder ungewollt – zu einem erheblichen Sicherheitsrisiko für personenbezogene Daten und Geschäftsgeheimnisse werden.

Nur klar geregelte und konsequent umgesetzte Prozesse für ausscheidende Mitarbeitende verhindern, dass aus dem Personalwechsel ein Datenleck wird. Unternehmen und Behörden sollten diese Verarbeitungstätigkeit daher regelmäßig und kritisch überprüfen.

Risiko: Ehemalige Mitarbeitende behalten IT-Zugriffe

Mit dem Ende des Arbeitsverhältnisses endet häufig nicht automatisch der Zugriff auf IT-Systeme. Fehlende oder unklare Offboarding-Prozesse führen dazu, dass Berechtigungen bestehen bleiben.

Typisches Beispiel: Das E-Mail-Konto eines ausgeschiedenen Mitarbeiters ist deaktiviert, der VPN- oder Cloud-Zugang jedoch weiterhin aktiv.

• Zentrales Offboarding-Verfahren mit klaren Zuständigkeiten definieren
• Alle Benutzerkonten systematisch identifizieren und deaktivieren
• Berechtigungs- und Rollenkonzepte regelmäßig überprüfen

Risiko: Unklare On- und Offboarding-Prozesse

In vielen Unternehmen sind Prozesse historisch gewachsen, aber nicht sauber dokumentiert. Dadurch hängt der Entzug von Zugriffsrechten vom Zufall oder vom Engagement einzelner Personen ab.

Typisches Beispiel: HR meldet den Austritt, die IT erfährt davon verspätet oder gar nicht.

• Verbindlichen Offboarding-Laufzettel einführen
• HR, IT und Fachbereiche klar einbinden
• Austritt erst abschließen, wenn alle Schritte dokumentiert sind

Risiko: Interne Rollenwechsel mit zu vielen Rechten

Nicht nur der Austritt, auch der interne Stellenwechsel birgt Risiken. Alte Zugriffsrechte bleiben oft bestehen, obwohl sie nicht mehr benötigt werden.

Typisches Beispiel: Ein Projektmitarbeiter wechselt die Abteilung, behält aber Zugriff auf frühere Kundendaten.

• Rollenwechsel wie einen Austritt mit anschließendem Re-Onboarding behandeln
• Alte Berechtigungen aktiv entziehen
• Regelmäßige Rezertifizierung von Zugriffsrechten durchführen

Risiko: Mobile Geräte und BYOD werden vergessen

Smartphones, Tablets oder private Geräte mit BYOD-Regelungen enthalten häufig noch Unternehmensdaten oder aktive Zugänge.

Typisches Beispiel: Ein ausscheidender Mitarbeiter erhält sein Firmenhandy, ohne dass E-Mails oder Apps gelöscht wurden.

• Mobile Geräte vor Übergabe vollständig prüfen
• Betriebliche Daten sichern und sicher löschen
• Betriebliche Apps und Profile konsequent entfernen

Risiko: Cloud- und KI-Dienste bleiben aktiv

Cloud-Services und KI-Tools werden oft dezentral genutzt und sind im Offboarding-Prozess nicht vollständig erfasst.

Typisches Beispiel: Ein ehemaliger Mitarbeiter kann weiterhin auf einen Cloud-Speicher oder ein KI-Tool zugreifen.

• Alle Cloud- und KI-Dienste zentral erfassen
• Zugänge beim Austritt deaktivieren
• Daten sichern und anschließend löschen

Risiko: Soziale Netzwerke und externe Plattformen

Soziale Netzwerke und externe Plattformen werden zunehmend für berufliche Zwecke genutzt – häufig mit privaten Accounts.

Typisches Beispiel: Ein ehemaliger Mitarbeiter nutzt weiterhin LinkedIn-Zugänge für Unternehmensseiten oder Tools.

• Betriebliche Social-Media-Zugänge klar trennen
• Berechtigungen beim Austritt entziehen
• Nutzung privater Accounts für betriebliche Zwecke regeln

Sprechen Sie mit uns

Tulos ist Ihr kompetenter Partner im Bereich Datenschutz und IT-Sicherheit, um sicherzustellen, dass Ihre Organisation optimal geschützt ist. Informieren Sie sich über unsere Dienstleistungen auf unserer Webseite: Datenschutz.

Quelle: csoonline.com