TL;DR – DIE KURZFASSUNG

  • Zugänge sperren, Geräte einsammeln, Daten sichern – am besten noch am letzten Arbeitstag.
  • Geteilte Passwörter müssen geändert werden, auch wenn du dem Mitarbeiter vertraust.
  • Ein fester Offboarding-Prozess verhindert, dass beim nächsten Mal etwas vergessen wird.

Die direkte Antwort

Wenn ein Mitarbeiter den Betrieb verlässt, gibt es eine digitale Checkliste, die du abarbeiten solltest – am besten noch am letzten Arbeitstag, nicht eine Woche später. Danach sind offene Zugänge ein Sicherheitsrisiko.

Checkliste: Digitales Offboarding

Zugangsdaten sperren und ändern

  • E-Mail-Konto des Mitarbeiters deaktivieren oder auf Weiterleitung stellen
  • Passwort für alle geteilten Zugänge ändern – WLAN, gemeinsame Software, Kundenportale
  • Zugang zum Passwort-Manager entziehen (bei Bitwarden: Mitgliedschaft aus der Organisation entfernen)
  • VPN-Zugang sperren, falls vorhanden

Geräte zurückfordern und zurücksetzen

  • Laptop, Smartphone, Tablet – alle Betriebsgeräte einsammeln
  • Geräte auf Werkseinstellungen zurücksetzen, bevor sie neu vergeben werden
  • Prüfen, ob private Cloud-Konten (z.B. iCloud, Google-Konto) vom Betriebsgerät abgemeldet sind

Daten sichern

  • Wichtige E-Mails oder Dokumente aus dem Konto des Mitarbeiters sichern, bevor es gelöscht wird
  • Prüfen, ob Dateien nur lokal auf dem Mitarbeiter-PC lagen – und diese auf den Server übertragen

Lizenzen prüfen

  • Personengebundene Softwarelizenzen können oft auf einen Nachfolger übertragen werden
  • Abo-Lizenzen (z.B. Microsoft 365) auf den neuen Mitarbeiter ummelden oder kündigen

Wichtig bei geteilten Passwörtern: Auch wenn du dem scheidenden Mitarbeiter voll vertraust – ändere sie trotzdem. Das ist kein Misstrauen, sondern gute Praxis. Morgen weiß niemand, wessen Gerät irgendwann kompromittiert wird.

Hintergrund: Warum ist das so wichtig?

Offene Zugänge ehemaliger Mitarbeiter gehören zu den häufigsten Einfallstoren bei Datenpannen. Das passiert nicht durch böse Absicht – ein alter Laptop landet beim Nachbarn, ein Passwort wird irgendwo wiederverwendet, ein Cloud-Zugang bleibt aktiv.

Für Betriebe, die mit Kundendaten oder sensiblen Informationen arbeiten, ist das auch ein DSGVO-Thema. Nicht gesperrte Zugänge früherer Mitarbeiter können bei einer Prüfung zum Problem werden.

Häufige Folgefragen

Wie lange darf ich die E-Mail-Adresse des Mitarbeiters noch aktiv lassen?

Eine Weiterleitung auf einen aktiven Kollegen für drei bis sechs Monate ist üblich. Danach sollte das Konto vollständig deaktiviert werden. Eine automatische Abwesenheitsantwort mit dem Hinweis auf den Nachfolger ist sinnvoll.

Was, wenn der Mitarbeiter im Streit geht?

Dann hat Schritt 1 – Zugänge sperren – höchste Priorität und sollte sofort, noch am gleichen Tag passieren. Im Zweifel noch vor der offiziellen Kündigung, sobald klar ist, dass das Arbeitsverhältnis endet.

Brauche ich für das Offboarding einen IT-Dienstleister?

Für einfache Fälle reicht die Checkliste. Wenn ihr aber viele Systeme habt, Fernzugänge, eigene Server oder besonders sensible Daten – ist ein geordnetes Offboarding mit professioneller Begleitung die sicherere Wahl.