Direkt zum Artikeltext springen

Inhalt in Kürze

  • Beim Austritt eines Mitarbeiters müssen alle Zugänge lückenlos entzogen werden — E-Mail, VPN, Cloud, SaaS, Passwortsafe, Geräte und physische Zutritte.
  • Ein noch aktiver Zugang eines Ex-Mitarbeiters ist ein Verstoß gegen Art. 32 DSGVO und ein konkretes Datenpannen-Risiko.
  • Mitarbeiterdaten werden nicht sofort gelöscht: gesetzliche Aufbewahrungsfristen (6–10 Jahre) gehen der Löschpflicht aus Art. 17 DSGVO vor.
  • Jeder Offboarding-Schritt gehört dokumentiert — als Nachweis gegenüber der Aufsichtsbehörde.

Eine Mitarbeiterin verlässt das Unternehmen im Streit. Drei Monate später fällt auf: Ihr VPN-Zugang funktioniert noch, ihr Konto in der Projektsoftware ist aktiv, ihre Zutrittskarte wurde nie gesperrt. Klingt konstruiert? Wir sehen genau das bei neuen Mandanten regelmäßig.

Warum Mitarbeiter-Offboarding ein Datenschutz-Thema ist

Offboarding ist: der strukturierte Prozess, mit dem ein Unternehmen einen ausscheidenden Mitarbeiter aus allen Systemen, Berechtigungen und Zutritten wieder herauslöst.

Aus Datenschutzsicht ist das keine Kür. Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen (TOM), damit nur befugte Personen auf personenbezogene Daten zugreifen. Ein ausgeschiedener Mitarbeiter zählt rechtlich zu den Unbefugten. Bleibt sein Zugang offen, verletzt das Unternehmen seine Pflicht zur Vertraulichkeit — unabhängig davon, ob er den Zugang je wieder nutzt.

Art. 32
DSGVO: Zugriffsentzug als Pflicht-TOM
Art. 17
Löschpflicht — mit Ausnahmen
72 h
Meldefrist bei Datenpanne (Art. 33)

Das Kernrisiko: der vergessene Zugang

Der gefährlichste Fehler ist nicht der böswillige Ex-Mitarbeiter. Es ist das schlicht vergessene Konto. Ein aktiver Log-in, den niemand mehr überwacht, ist ein ideales Einfallstor — gerade wenn dasselbe Passwort auch privat verwendet wurde und irgendwo in einem Datenleck auftaucht.

Wie groß der wirtschaftliche Schaden durch Datenabfluss inzwischen ist, zeigt der Bitkom-Wirtschaftsschutz 2025: 289 Milliarden Euro Schaden pro Jahr, 87 Prozent der Unternehmen betroffen. Ein Teil davon geht auf verwaiste Konten und zu weit gefasste Berechtigungen zurück.

Achtung:

Verwaiste Konten fallen bei einer Prüfung sofort auf. Kommt es zur Datenpanne, prüft die Aufsichtsbehörde als Erstes, ob der Zugriff sauber gesteuert war. Ein Verstoß gegen Art. 32 kann mit bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Ein sauberes Berechtigungskonzept ist die beste Vorsorge.

Die Datenschutz-Checkliste fürs Offboarding

Diese Punkte gehören bei jedem Austritt abgearbeitet — idealerweise am letzten Arbeitstag, spätestens unmittelbar danach:

  • Konten & E-Mail deaktivieren. Log-in sperren, Passwort zurücksetzen, aktive Sitzungen beenden. Postfach mit Auto-Antwort versehen — keine heimliche Weiterleitung auf einen Kollegen.
  • VPN & Remote-Zugänge kappen. VPN-Zertifikate, RDP- und Fernwartungszugänge widerrufen. Diese werden am häufigsten übersehen.
  • Cloud- & SaaS-Zugänge entziehen. Microsoft 365, DATEV, CRM, Projekttools, Newsletter-Tool. Jeder Dienst mit eigenem Log-in gehört auf die Liste — geführt im Verarbeitungsverzeichnis.
  • Passwortsafe-Freigaben zurückziehen. Geteilte Zugangsdaten (Team-Vaults) entfernen. Gemeinsam genutzte Passwörter, die der Mitarbeiter kannte, ändern.
  • Berechtigungen & Rollen entfernen. Gruppenmitgliedschaften, Admin-Rechte, Dateifreigaben. Ein sauberes Identity- und Access-Management macht diesen Schritt zum Klick statt zur Suchaktion.
  • Geräte zurücknehmen & löschen. Laptop, Diensthandy, USB-Sticks. Firmendaten sicher löschen (Wipe), bevor das Gerät neu vergeben wird — auch bei privaten Geräten mit dienstlichem Zugriff (BYOD).
  • Weiterleitungen & Automatismen prüfen. E-Mail-Weiterleitungen, Kalender-Delegationen, API-Token, Signaturen und Verteiler-Einträge auflösen.
  • Physische Zutritte sperren. Schlüssel, Transponder, Zutrittskarte einziehen und im System deaktivieren. Alarmcodes ändern.
Tipp:

Je mehr Systeme, desto größer die Lücke bei Handarbeit. Wer den Zugangsentzug nicht in jedem Tool einzeln klicken will, lässt ihn automatisieren — bei Firmen ohne eigenes IT-Team übernimmt das ein Managed-IT-Dienstleister wie Offboarding per Klick, der die IT-Abteilung als Service stellt und den Sperrprozess systemübergreifend anstößt.

Aus der Praxis

Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, bei dem der Geschäftsführer eine E-Mail von einem Geschäftspartner bekam. Die E-Mail kam wirklich von diesem Geschäftspartner – trotzdem war es ein Angriff.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Datenpannen entstehen selten spektakulär. Sie entstehen im Übersehenen — im Konto, das keiner mehr kennt, im Zugang, den niemand gesperrt hat. Genau deshalb ist die langweilige Checkliste beim Austritt so wirksam.

Löschen und Aufbewahren: was mit den Mitarbeiterdaten passiert

Zugang entziehen und Daten löschen sind zwei verschiedene Schritte. Der Zugang wird sofort gesperrt. Die Daten dagegen dürfen — und müssen teils — bleiben.

Art. 17 DSGVO gibt Betroffenen ein Recht auf Löschung. Absatz 3 nimmt davon aber alles aus, was einer gesetzlichen Aufbewahrungspflicht unterliegt. Personalunterlagen werden deshalb nicht am Austrittstag vernichtet, sondern fristgerecht getrennt gelagert — zugriffsbeschränkt, nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).

Die wichtigsten Orientierungswerte laut dr-datenschutz.de:

DatenkategorieAufbewahrungGrundlage
Lohn- & Gehaltsunterlagenca. 6 Jahre§ 257 HGB, § 147 AO
Sozialversicherungs-Unterlagenbis 10 Jahre§ 28f SGB IV
Arbeitsvertrag, Zeugnisdatenbis 3 Jahre nach EndeVerjährung, § 195 BGB
Unterlagen abgelehnter Bewerberca. 6 Monate§ 61b ArbGG, § 15 AGG
Nutzerkonten, Log-inssofort deaktivierenArt. 32 DSGVO
Wichtig:

Ohne Löschkonzept passiert eines von zwei Dingen: Entweder werden Daten zu früh vernichtet (Verstoß gegen Aufbewahrungspflichten) oder ewig behalten (Verstoß gegen die Speicherbegrenzung). Beides ist angreifbar. Ein dokumentiertes Löschkonzept löst den Konflikt.

Nachweis: Offboarding dokumentieren

Die DSGVO verlangt nicht nur Handeln, sondern Nachweisbarkeit (Rechenschaftspflicht, Art. 5 Abs. 2). Halten Sie pro Austritt fest, welche Zugänge wann von wem gesperrt wurden. Ein einfaches Offboarding-Protokoll reicht — es muss nur existieren und ausgefüllt sein.

Das Wichtigste: Zugriffsentzug ist eine Pflicht-Maßnahme nach Art. 32 DSGVO, kein IT-Nice-to-have. Sofort sperren, fristgerecht aufbewahren, jeden Schritt dokumentieren.

Fazit / Ihr nächster Schritt

Ein sauberes Offboarding schützt vor Datenpannen, Bußgeldern und peinlichen Nachfragen der Aufsichtsbehörde. Es braucht keinen großen Apparat — nur einen festen Prozess, klare Zuständigkeiten zwischen HR und IT und eine Checkliste, die wirklich jedes Mal abgearbeitet wird.

Offboarding-Prozess DSGVO-fest aufsetzen

Wir prüfen Ihre Zugriffs- und Löschprozesse und bauen mit Ihnen eine Checkliste, die zu Ihren Systemen passt.

Kostenloses Erstgespräch (15 Min) →

Häufige Fragen (FAQ)

Was gehört in eine Offboarding-Checkliste aus Datenschutzsicht?

Der Entzug aller Zugänge (E-Mail, VPN, Cloud, SaaS, Passwortsafe), die Rückgabe und Löschung von Geräten, das Aufheben von Weiterleitungen und Berechtigungen sowie der Entzug physischer Zutritte. Ergänzt um die korrekte Löschung oder Archivierung der Mitarbeiterdaten und einen dokumentierten Nachweis.

Müssen alle Daten eines ausgeschiedenen Mitarbeiters sofort gelöscht werden?

Nein. Zugänge werden sofort entzogen, aber viele Personalunterlagen unterliegen gesetzlichen Aufbewahrungspflichten. Art. 17 Abs. 3 DSGVO nimmt diese von der Löschpflicht aus. Gelöscht wird erst nach Ablauf der jeweiligen Frist.

Wie lange darf das E-Mail-Postfach eines ehemaligen Mitarbeiters aktiv bleiben?

Der Log-in wird am letzten Arbeitstag deaktiviert. Das Postfach selbst sollte nur so lange bestehen, wie es für den Geschäftsbetrieb nötig ist — mit Auto-Antwort statt heimlicher Weiterleitung. Nach einer kurzen Übergangszeit wird es gelöscht.

Welche Fristen gelten für die Aufbewahrung von Personalunterlagen?

Lohn- und Gehaltsunterlagen sind steuerlich rund sechs Jahre aufzubewahren, sozialversicherungsrelevante Unterlagen bis zu zehn Jahre. Unterlagen abgelehnter Bewerber dürfen in der Regel nur etwa sechs Monate gespeichert werden.

Warum ist der Zugriffsentzug beim Austritt eine DSGVO-Pflicht?

Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen, damit nur befugte Personen auf personenbezogene Daten zugreifen. Ein ausgeschiedener Mitarbeiter ist eine unbefugte Person — ein noch aktiver Zugang ist damit ein Verstoß und ein Datenpannen-Risiko.

Wer ist im Unternehmen für das Offboarding zuständig?

Meist arbeiten Personalabteilung und IT zusammen: HR meldet den Austritt, die IT entzieht die Zugänge. Ein schriftlicher Prozess mit klarer Verantwortung verhindert, dass einzelne Systeme vergessen werden.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular