#14 Mitarbeiter Offboarding

[René] So, Michael, moin!

[Michael] Gude, René, hi!

[René] Heute mal ganz entspan­nt rein. Wir haben heute ja nicht das ein­fach­ste The­ma, aber…

[Michael] Ja, das ist heute ein­er der The­men, die noch weniger Spaß machen als son­stige Daten­schutz- und IT-The­men. Das ist kor­rekt, ja.

[René] Genau, hof­fen wir mal, dass es nicht so viele so oft haben. Denn heute geht es um das Mitar­beit­er-Off­board­ing aus IT-Sicht. So wie beim let­zten Mal auch, aus IT-Sicht wirk­lich.

Aber das Off­board­ing ist natür­lich immer so ein heik­les The­ma.

[Michael] Ja, wobei es ja unter­schiedliche Arten von Off­board­ings gibt. Kom­men wir nach­her noch dazu. Und es gibt ja auch, wenn die Leute sich bei mir immer in der Beratung sagen, ja, Off­board­ing, wenn der Mitar­beit­er in die wohlver­di­ente Rente geht, muss er auch geoff­board­et wer­den.

Und das ist ja dann eigentlich ein fröh­lich­es Event. Also von daher gibt es auch schöne Off­board­ings.

[René] Da hast du natür­lich recht. Nicht jedes ist schlecht behaftet. Aber ja, grund­sät­zlich gibt es ja trotz­dem iden­tis­che Schritte.

Vielle­icht in ein­er anderen Rei­hen­folge, aber die Schritte sind rel­a­tiv iden­tisch. Genau, das heißt, also beim Off­board­ing ist es so, dass wir dafür sor­gen, dass wenn ein Mitar­beit­er das Unternehmen ver­lässt, dass wir dann die Zugänge und sowas wieder sper­ren, sodass die Unternehmens­dat­en nicht abfließen, dass keine Zugrif­f­en mehr auf dieses The­ma beste­hen. Darüber hin­aus, und das ist halt auch wichtig, ist, dass wir nicht alleine nur von den Zugän­gen sprechen.

Also wie ich ger­ade schon gesagt habe, ein­mal die Daten­sicher­heit herzustellen, sodass nichts abfließen kann im Nach­gang. Und halt vor allem auch Com­pli­ance-Anforderun­gen, dass die einge­hal­ten wer­den. Jedes Unternehmen sollte sich wirk­lich auch Com­pli­ance-Richtlin­ien zule­gen, ist jet­zt falsch aus­ge­drückt, aber sollte sich auf jeden Fall welche ausar­beit­en, damit man eben weiß, wie mit dem Sys­tem umge­gan­gen wer­den kann.

Das ist aber nochmal ein anderes The­ma. Und ja, also das gilt es auf jeden Fall beim Off­board­ing einzuhal­ten. Deswe­gen ist es halt auch ein sehr kri­tis­ch­er Prozess.

[Michael] Ja, also für mich ist immer, es gibt gute und schlechte Off­board­ings, wie wir eben schon gemerkt haben, aber am Ende ist ein Off­board­ing ein Off­board­ing.

[Michael] Also es kommt irgend­wann der Tag, wo halt der Mitar­beit­er und das Unternehmen nicht mehr zusam­me­nar­beit­en wollen, aus unter­schiedlichen Grün­den. Der Mitar­beit­er kann sich verän­dern, das Unternehmen kann sich verän­dern, der Mitar­beit­er kann ver­rentet wer­den etc.

Und was an dieser Stelle wirk­lich wichtig ist, wo man darauf acht­en muss, ist, dass das Unternehmen halt in dem Moment, wo sie sich von dem Mitar­beit­er tren­nen, aus welchen Grün­den auch immer, die Zugänge auch regeln. Früher war es, man hat einen Mitar­beit­er, früher, vor eini­gen Jahren war es so, wenn der Mitar­beit­er aus dem Unternehmen raus­ge­gan­gen ist und hat das Unternehmen aus der Tür ver­lassen, ist aus dem Gebäude raus, aus der Abteilung raus, aus was auch immer, dann waren mal die Dat­en im Unternehmen und der hat nichts mitgenom­men, hat von außen wenig Zugriff gehabt. Die Zeit­en sind halt rum.

Also Mitar­beit­er haben ganz, ganz viele Möglichkeit­en, von außen noch auf Infor­ma­tio­nen und auf Fir­men­dat­en, darauf zuzu­greifen, auch wenn sie sich nicht im Gebäude befind­en und auch wenn sie nicht mehr Mitar­beit­er sind. Deswe­gen ist es halt ganz wichtig, für Unternehmen da Regelun­gen zu haben und zu definieren, welche Schritte wer­den getrof­fen, wenn ein Mitar­beit­er nicht mehr im Unternehmen arbeit­et oder auch nicht mehr im Unternehmen arbeit­en soll. Also das kann ja auch dur­chaus mal richtig schnell gehen.

Und dann müssen halt ein­fach Regeln und Struk­turen klar sein, die halt sagen, wow, Mitar­beit­er weg, sofort die IT anrufen und IT hat irgend­wo eine Check­liste oder weiß, was es tun muss, um halt eben den Mitar­beit­ern, ich sage jet­zt mal so Klas­sik­er, VPN-Zugänge sper­ren, E‑Mail-Adresse sper­ren, etc., PP, dass er halt ein­fach nicht mehr auf Dat­en draufkommt, weil das ist ja der Kern, der ver­mieden wer­den soll.

[René] Ja, also das, was du jet­zt ger­ade ange­sprochen hast, diese Check­liste, das ist das A und O bei sowas, damit da eben keine Sicher­heit­slück­en bleiben, weil man jet­zt irgend­wie vergessen hat, mal irgend­wie einen Zugang zu sper­ren oder so. Wie du schon sagst, also ger­ade dadurch, dass wir jet­zt so viel ver­net­zt sind in unter­schiedlich­ste Sys­teme, ob es in der Cloud ist, ob es, keine Ahnung, meinetwe­gen auch per VPN ist, das sind halt so Dinge, da müssen viele Sachen berück­sichtigt wer­den und müssen auch wirk­lich mit Sorgfalt erledigt wer­den. Und ja, da ist so eine Check­liste Gold wert.

[Michael] Die du aber auch nur vernün­ftig, die du aber auch nur vernün­ftig erledi­gen kannst, wenn du deine Hausauf­gaben davor vernün­ftig gemacht hast. Ja, abso­lut. Also nur wenn du, ganz banal zu sagen, nur wenn du weißt, ob er eine E‑Mail-Adresse angelegt hat oder was er für einen Lap­top gekriegt hat oder was auch immer, kannst du nach­her beim Ent­zo­gen von dem ganzen Kram auch wieder sich­er sein, dass du alles weg­n­immst.

Und das ist jet­zt bei einem Lap­top und bei ein­er E‑Mail-Adresse für die ITler noch rel­a­tiv ein­fach, sage ich jet­zt ein­fach mal. Also wenn du es vorn­her­aus doku­men­tiert hast, ist das eine Num­mer. Aber inner­halb der Leben­szeit oder inner­halb der Aufen­thalts­dauer eines Unternehmens, eines Mitar­beit­ers im Unternehmen, ist das ja in der Regel so, dass du zu ganz, ganz vie­len Soft­ware-Sys­te­men Zugriffe kriegst.

[Michael] Ja, also auch die Zeit­en, wo Soft­ware auf einem Com­put­er oder auf einem Serv­er instal­liert war und in dem Moment, wo ich die Login-Dat­en zum Serv­er weg­nehme, kom­men die nicht mehr auf die Soft­ware. Auch das ist ja rum. Wir haben Per­son­al­soft­ware, wir haben Daten­schutz­soft­ware, wir haben QM-Soft­ware, wir haben ERP-Sys­teme, wir haben Doku­menten­man­age­ment-Sys­teme, also ganz, ganz viele Dinge, die halt ein­fach inzwis­chen als Cloud-Soft­ware ver­füg­bar sind.

Und da muss ich halt ein­fach inner­halb oder solange mein Mitar­beit­er bei mir arbeit­et, als IT sauber doku­men­tieren, wo hat er denn, auf welche Anwen­dung hat er denn Zugriff und was darf er denn über­haupt. Ist er bei uns in der Per­son­al­soft­ware drin? Ist er bei uns in DocuWare, also in unserem DMS-Sys­tem drin, in was auch immer?

Weil nur so kann ich im Fall der Fälle die Zugänge halt ein­fach auch kor­rekt zumachen beziehungsweise ihm da so das Pass­wort ändern, dass er nicht mehr dran kann.

[René] Ja, genau. Und da kann ich auch sagen, wir haben einen guten Daten­schützer. Der hat für so einen Fall, also das unter­stützt uns dann an der Stelle auch.

Also für alle, die es immer noch nicht wis­sen, Michael ist unser Daten­schützer. Aber jet­zt mal unab­hängig von Michael, es gibt halt gute Soft­warelö­sun­gen, die eben genau das bieten, wo man eben die unter­schiedlichen Sys­teme für sich darstellt und eben auch dann die einzel­nen Mitar­beit­er damit ver­linken kann, dass man wirk­lich sieht, wer hat worauf Zugriff, mit welchen Berech­ti­gun­gen auch. Und das unter­stützt diesen Prozess natür­lich auch nochmal opti­mal.

[Michael] Ja, weil wenn du halt in ein Unternehmen reinkommst, der Mitar­beit­er hat sich vor einem Viertel­jahr ver­lassen und du siehst halt ein­fach, ja, bei Docube hat er sich vor drei Tagen nochmal ein­gel­og­gt, durch Log­files oder etc. Das ist halt ein­fach blöd. Und dann sagt die IT, ja, da haben wir ja gar nicht gewusst, dass er einen Account hat.

Also man muss sich, wo man hin­misst ist, ein Off­board­ing ist wesentlich kom­plex­er, wie nur den Mitar­beit­er vor die Tür zu jagen, son­dern ein Off­board­ing bedeutet auch, ihn aus dem IT-Sys­tem raus zu operieren, sage ich mal so vor­sichtig. Und da muss ich halt ein­fach wis­sen, wo sitzt der über­all drin, wo ist er verzah­nt, wo ist er ver­net­zt? Und das muss ich im Ide­al­fall dann machen, wenn ich ihm mal die Zugänge dazu gebe.

Das muss halt ein­fach ein doku­men­tiertes Ver­fahren sein. Das muss halt in irgen­dein­er Art und Weise fest­gelegt sein, dass ich in meinem Unternehmen klar weiß, welch­er Mitar­beit­er hat Zugang auf welche Sys­teme, sowohl lokal als aber auch Cloud. Und ist der Mitar­beit­er, der jet­zt geht, der let­zte Bre­vo-Newslet­ter-Admin­is­tra­tor, den ich noch hat­te?

Und ist er der Einzige, der da Zugriff drauf hat? Das ist halt dann gnaden­los doof. Also da sollte ich mir vorher schon mal Gedanken machen, dass ich auch auf solche Sys­teme immer mal min­destens zwei Leute drauf habe, dass so Teile, dass ich es mache, dass ich halt im Off­board­ing weiß, was ich machen muss.

[Michael] Nicht, dass der mir noch irgen­dein­er rein­drück­en kann. Weil wir reden ja die ganze Zeit um die Sache, aber wir beschreiben ja zwei Szenar­ien. Das eine Szenario ist, der Mitar­beit­er geht in Frieden.

Da sagt er, pass auf, ich habe einen anderen Laden gefun­den, war eine schöne Zeit mit euch, ich ziehe weit­er. Und dann kann der dir nochmal sagen, pass mal auf, ich habe Zugang zu fol­gen­den Din­gen, du musst mich da noch bitte weglöschen. Dass der Mitar­beit­er proak­tiv mitar­beit­et.

Aber spätestens, wenn du einen Mitar­beit­er hast, den du von der Unternehmens­seite aus off­boar­d­en willst und du ihm ein­fach dann auch noch sagst, pass auf, du musst jet­zt auch gar nicht mehr kom­men, son­dern wir bezahlen dich gerne noch, bis das fer­tig ist, du hast eine Freis­tel­lung, aber bitte nicht mehr zu uns. Der wird einen Teufel tun und wird dann im Anschluss dir noch großar­tig erzählen, wo er über­all Zugang hat und was er alles hat und was er alles weggenom­men hat. Ganz im Gegen­teil ist so ein­er eher der Kan­di­dat, der dann erst nochmal guckt, sich nach Hause set­zt, ver­sucht irgendwelche Dat­en run­terzuziehen oder irgendwelche Infor­ma­tio­nen noch zu saugen oder nochmal nach 14 Tagen guckt, ob er noch in die E‑Mail-Adresse reinkommt oder ins Doku­menten­man­age­mentsys­tem etc.

Und das sind ja die Prob­leme oder die Dinge, wo man sich wirk­lich mit beschäfti­gen muss.

[René] Ja, aber du hast es ger­ade echt nett umschrieben. Ein Mitar­beit­er, den das Unternehmen off­boar­d­en möchte. Habe ich so auch noch nicht gehört, aber trifft es natür­lich, aber hört sich sehr nett an.

[Michael] Ich habe das in mein­er Beratung, dadurch, dass ich ver­schiedene Unternehmen, QM-Sys­teme und Daten­schutz betreue, ich habe das öfters, dass ich einen Anruf kriege und da bin ich immer froh, wenn es passiert, dass ich einen Anruf kriege und sage, hier passt mal auf, Mitar­beit­er XY, der ist zwar heute Mor­gen noch auf die Arbeit gekom­men, aber der wird heute das let­zte Mal von der Arbeit wegge­hen und dann nicht mehr kom­men. Sperre mal bitte heute Nach­mit­tag um 16 Uhr die Zugänge auf die Daten­schutz­soft­ware, die Zugänge auf die QM-Soft­ware, vielle­icht noch da und da. Mach mal schon mal, du weißt Bescheid.

Also schon mal proak­tiv, dass das passiert. Und das muss ein­fach prozes­su­al sichergestellt sein. Und das kann ich halt nur, wenn ich weiß, wo der Mitar­beit­er agiert oder zumin­d­est einen Ansprech­part­ner habe, der mir sagen kann, wo ich es einsinke.

[René] Ja, genau. Und ich finde, es ist ja auch nochmal ein Unter­schied, also wie du ger­ade schon mal gesagt hast, es kommt ja auch darauf an, aus welchen Grün­den der Mitar­beit­er das Unternehmen ver­lässt. Und ist das eine Ach und Krache-Aktion?

Das kann ja dur­chaus mal sein. Oder ist es eben eine geplante Sache? Also wenn jet­zt wirk­lich, so wie du vorhin gesagt hast, wenn der Mitar­beit­er sel­ber sagen sollte, ich ver­lasse das Unternehmen, weil ich mich umori­en­tiere oder keine Ahnung, dann in Rente gehe, ist das so ein Prozess, der kann ja laufend passieren.

Das heißt, der Mitar­beit­er, der noch da ist, weist jemand anders ins Sys­tem ein und sagt so, hier, ab jet­zt kann er den Zugang bekom­men, löscht bitte meinen.

[René] Also dann ist das so ein laufend­er Prozess bis zum Tag X. Wenn es aber so eine Unternehmensentschei­dung sein sollte, wo das Unternehmen ein­fach die Reißleine zieht und sagt, du pass mal auf, hier, du bist ab jet­zt sofort freigestellt, dann muss in diesem Augen­blick oder eigentlich, ja doch, in dem Augen­blick müssen die Zugänge ges­per­rt wer­den.

Da ist das natür­lich nochmal ganz anders, also mit ein­er anderen Brisanz auch zu ver­fol­gen. Und da, also ger­ade dann, wenn wir davon sprechen, dass es eben so eine Ach und Krach-Aktion ist, dann muss das natür­lich sitzen. Also da muss man da ganz klar die Vor­la­gen haben, wo man weiß, wo wer Zugriff hat.

In ein­er anderen Sit­u­a­tion wird der Mitar­beit­er, wie du schon richtig gesagt hast, wird er natür­lich auch mitar­beit­en. Wenn man sich im Gruten tren­nt, ist die Sit­u­a­tion ein­fach eine ganz andere. Aber den­noch sollte das Unternehmen wis­sen, wer wo Zugriff hat.

[Michael] Wobei ich auch ger­ade sagen muss, diese Ach und Krach-Aktion, also ich habe auch schon Unternehmen ken­nen­gel­ernt und Unternehmen gehört von Unternehmen, die halt ein­fach auch auf eine fre­undliche Kündi­gung des Mitar­beit­ers ein­fach bock­ig reagiert haben. Die haben gesagt, du willst kündi­gen, also wenn du jet­zt kündi­gen willst, dann jet­zt bitte raus. Das heißt, es ist ja nicht immer nur das Unternehmen, was von Anfang an trig­gert und macht, son­dern es gibt ja auch dur­chaus den Mitar­beit­er, der sagt, hey, ich möchte in Frieden gehen, es ist alles in Ord­nung, aber wir tren­nen uns an dieser Stelle.

Und das Unternehmen hat gesagt, nee, nee, nee, dann aber raus. Und dann hast du den Mitar­beit­er, der dir eigentlich noch wohlgeson­nen war bis zu diesem Zeit­punkt zum Unternehmen und gesagt hat, ich kön­nte hier noch Lis­ten machen, wir kön­nen noch mal 14 Tage Über­gangsphase machen etc. pp.

Und dann halt ein­fach von der Unternehmens­seite oder von der Geschäfts­führung­seite ein­fach kommt und jet­zt nicht und jet­zt raus. Und dann sind halt, in dem Fall sind halt auch die Regeln einzuhal­ten und die Zugänge zuzu­machen.

[René] Ja, abso­lut. Ja, kom­men wir mal dazu, der Schritt, nach­dem der Mitar­beit­er raus ist. Wir haben jet­zt die Zugänge alle ges­per­rt und der Mitar­beit­er ist schon nicht mehr im Unternehmen.

Sagen wir mal, würde jet­zt heute gehen, dann was machen wir mit dem Endgerät? An der Stelle, also nicht alleine nur mit dem Endgerät, son­dern auch mit den Dat­en. Nehmen wir mal an, wir bewe­gen uns wieder in der Microsoft-Welt.

Vielle­icht ermü­dend, dass ich es immer wieder sage, aber es ist halt ja so. So, jed­er hat da seinen OneDrive dahin­ter und spe­ichert da meinetwe­gen seine Dat­en drauf. So, dann ist es ja, sollte es im Inter­esse des Unternehmens sein, diese Dat­en zu migri­eren, das heißt, an eine andere Stelle zu ver­schieben, sodass diese ver­füg­bar bleiben.

Zumin­d­est das, was man für rel­e­vant hält. Alles andere kann auch in eine reine Daten­sicherung laufen und man würde dann eben das Gerät löschen, sodass die Dat­en wirk­lich zumin­d­est noch ver­füg­bar bleiben in irgen­dein­er Form.

[René] Und ja, anson­sten dann das Gerät schon mal wieder leer zu machen, damit wir da auch dieses wieder ander­weit­ig nutzen kön­nen.

Aber ich glaube ger­ade dieses Dat­en migri­eren oder dass die Dat­en irgend­wo noch ver­füg­bar bleiben, ist sehr, sehr wichtig. Also auch das, deswe­gen ist auch dieses Zugänge schnell sper­ren, ist ein­fach auch ein The­ma. Also da kann ich auch aus der Kund­schaft erzählen.

Da gab es tat­säch­lich Mitar­beit­er, die sich sel­ber auch entsch­ieden haben zu gehen und an Tag X haben die das gesamte Gerät plus Dat­en, die da eben drauf waren, ein­fach kom­plett gelöscht. Da ste­ht das Unternehmen dann natür­lich ziem­lich schlecht da. Und deswe­gen ver­ste­he ich auch an der einen oder anderen Stelle, dass ein Unternehmen sagt, okay, du bist ab jet­zt sofort freigestellt und kommst die näch­ste Zeit nicht.

Aber ich glaube, es ist immer eine indi­vidu­elle Entschei­dung. Aber den­noch, also dieses Dat­en dann vorhal­ten, dass man sie eben noch zur Ver­fü­gung hat und da noch Zugriff drauf hat, das ist schon noch ein wichtiger Punkt.

[Michael] Ja, du musst da schon auf­passen. Wobei, machen wir mal einen anderen Pod­cast drüber, es wird eine andere Pod­cast-Folge geben, wobei du dir ja auch da schon wieder, wir haben eben schon kurz gesagt, du soll­test dir beim Onboard­ing und beim laufend­en Betrieb des Mitar­beit­ers schon über die Zugänge Gedanken machen. Und dann soll­test du dir natür­lich auch schon während des laufend­en Betriebs Gedanken machen, welche Dat­en darf der Mitar­beit­er über­haupt auf seinem Endgerät ver­ar­beit­en und wie darf er es nutzen.

Und da ist halt der absolute, der Klas­sik­er, den wir immer wieder brin­gen, ist halt dien­stliche E‑Mail, dien­stliche Kom­mu­nika­tion. Keine pri­vate Kom­mu­nika­tion mit dien­stlich­er E‑Mail. Auf einem Fir­men­lap­top gehören halt auch keine pri­vat­en Doku­mente und keine Unter­la­gen und kein dien­stlich­es Gerät zur dien­stlichen Nutzung.

Und das spielt dir halt dann halt ein­fach beim Off­board­ing in die Karten, dass du sowas machen kannst. Weil wenn du das vorher nicht sichergestellt hast, und du steckst den Mitar­beit­er ein­fach vor die Tür, der ste­ht ja irgend­wann, da klin­gelt der Anwalt vor der Tür und sagt, ja, ich habe auch noch pri­vate Dat­en auf meinem Endgerät, die möchte ich noch haben, ich möchte die Her­aus­gabe dieser Dat­en haben. Und dann hast du den Salat und dann geht halt ein­fach ein Tanz los, den du gar nicht haben möcht­est als Unternehmen.

Und deswe­gen zieht sich wie so ein rot­er Faden durch alles, durch klare Regeln, klare Vor­gaben, dien­stliche Geräte nutzen, keine pri­vat­en Dat­en auf dien­stlichen Geräten etc. Dass man ein­fach von Anfang an safer und sicher­er ist, als das ein­fach ungeregelt laufen zu lassen.

[René] Genau, das sehe ich ganz genau so. Also nur dann hat man ja auch die Möglichkeit­en, wie du ger­ade schon sagst. Wenn es dann mal wirk­lich klin­gelt, dann hat man nach­her ein Prob­lem.

Also wenn dann wirk­lich mal jemand da vor der Tür ste­ht und sagt, wir brauchen jet­zt noch den Zugriff darauf. Ihr habt das vorher nicht fest­gelegt, also haben wir auch eine Möglichkeit oder das Recht darauf Zugriff zu bekom­men. Wenn man es nicht geregelt hat, okay, dann muss man sich auch an die eigene Nase fassen.

Aber bitte achtet darauf und legt diese Regeln eben fest. Das macht man ein­mal, dann hat man aber hin­ten raus auf jeden Fall da keinen Stress mit. Am Ende des Tages, selb­st der Mitar­beit­er, der dann das Unternehmen ver­lässt, hat ja auch keinen Stress.

Weil für ihn war es von Anfang an klar, er hat hof­fentlich seine Dat­en dann auf­grund dessen auf seinem Pri­vat­gerät abgelegt, also zu Hause und braucht dann eben auch keinen Zugriff mehr auf diese Dat­en.

[Michael] Ja.

[René] Genau. Ja. Let­zter Punkt ist auf jeden Fall.

Bitte.

[Michael] Ja, mach du.

[René] Der let­zte Punkt beim Off­board­ing ist, denke ich, oder ja, nicht mal der let­zte, aber es geht in eins über, Kom­mu­nika­tion und Doku­men­ta­tion. Also die Kom­mu­nika­tion, das sollte man, gehen wir mal von einem guten Off­board­ing aus, dann ist es schon wichtig, dass man diese Schritte wirk­lich mit dem auss­chei­den­den Mitar­beit­er bespricht. Also dann ist das Ver­ständ­nis auch nach­her da.

Der Mitar­beit­er wird ein Ver­ständ­nis dafür haben, weil wenn wir ihm sagen, hey, du hast hier die ganze Zeit gear­beit­et, du weißt, dass wir auch Sicher­heit wertle­gen, wir müssen jet­zt die und die Schritte ein­leit­en, dann wird er das auch unter­stützen und er wird es auch ver­ste­hen, warum das so ist. Ich hoffe, dass die meis­ten das generell schon ver­ste­hen, ohne dass es dann nochmal extra gesagt wer­den muss, aber wenn es halt so ist, dann ist es ja völ­lig in Ord­nung. Aber Haupt­sache, man geht diesen Weg gemein­sam.

Doku­men­ta­tion ist aus mein­er Sicht extrem wichtig, weil wir dadurch für uns sel­ber auch nochmal doku­men­tieren, war der Prozess gut? Also ist er wirk­lich erfol­gre­ich gelaufen? Wenn nicht, muss er natür­lich angepasst wer­den.

Also immer alle Prozesse nochmal hin­ter­fra­gen, wenn man sie aus­führt, ob es nicht einen besseren Weg gibt oder auch vielle­icht einen effek­tiv­eren, wie auch immer. Aber auf jeden Fall, dass der Prozess immer wieder opti­miert wird. Und genau­so, dass man dann nach­her nicht nur den reinen Prozess doku­men­tiert, son­dern auch die neuen Benutzer­rechte.

Das heißt, wenn jet­zt jemand auss­chei­det, dass wir nicht ein­fach sagen, hör, der ist raus, son­dern man geht jet­zt alle Sys­teme nochmal durch und passt entsprechend die Über­sicht­en an, seine eigene Doku­men­ta­tion, dass eben diese Per­son an der einen oder anderen Stelle eben keinen Zugriff mehr hat und da, wo sie es noch hat, dass man da natür­lich nochmal nachbessert und sie dann auch raus­nimmt oder auch die Zugänge dann sper­rt.

Aber das ist halt so eine Gegen­probe, der eige­nen Doku­men­ta­tion und natür­lich der durchge­führten Schritte, die man da gegan­gen ist.

[Michael] Jet­zt habe ich aber den IT-Spezial­is­ten hier dran. Zwei Fra­gen. Frage eins.

Was macht ihr mit, also gelebte Prax­is, was macht ihr mit alten, aber noch brauch­baren Note­books? Gehen die eins zu eins an den Nach­fol­ger? Wer­den die foren­sisch gelöscht?

Schmeißen die Fest­plat­ten weg? Also wie erlebt ihr in der Prax­is, wie ihr mit solchen Geräten umge­ht? Ich rede jet­zt nicht davon, dass sie raus­ge­hen.

Das IT nach Extern ist ein anderes The­ma. Das sind meine Ansicht­en rel­a­tiv klar. Aber wie sieht es bei euch aus, wenn du ein­fach sagst, pass auf, der Mitar­beit­er XY ist gegan­gen, mor­gen fängt Heinz an, ähn­liche Abteilung, braucht den Lap­top, der ist noch ganz gut, der ist erst ein halbes Jahr alt, wir nehmen den und die Entschei­dung ent­ge­gen getrof­fen wird im Unternehmen.

Wie wird die IT wieder vor­bere­it­et und prä­pari­ert, dass der Mitar­beit­er das nehmen kann?

[René] Also wir führen eine Neuin­stal­la­tion des Betrieb­ssys­tems durch. Das heißt, dass die Dat­en, die irgend­wo in irgen­deinem Nutzer­pro­fil auf dem Gerät waren, dass sie wirk­lich nicht mehr in Zugriff sind. Und ja, dann wer­den sie wiederver­wen­det.

Das ist so. Hat ja auch ein Stück weit mit Nach­haltigkeit und was weiß ich was zu tun.

[Michael] Alles legit­im, alles gut. Mich würde jet­zt nochmal so die Prax­is inter­essieren. Also Fest­plat­ten hätte ich fast.

SSD drin lassen, ein­mal kom­plett neu auf­set­zen, ein­mal durch­for­matieren, neues Betrieb­ssys­tem, Betrieb­ssys­tem neu auf­spie­len und als Clean Instal­la­tion dann wieder raus­geben an weit­ere interne Mitar­beit­er.

[René] Würde ich auf jeden Fall empfehlen, weil es gibt ger­ade im Bere­ich, ja eigentlich alle Sys­teme, die Benutzer­pro­file bere­it­stellen. Da ist es ja so, dass man, wenn man möchte, bekommt man auch Zugriff auf die anderen Benutzer­pro­file auf dem Sys­tem. Egal, was irgen­dein Her­steller da ver­spricht.

Also man kann auf die anderen Pro­file zugreifen. Und das ver­hin­dern wir halt durch die neue Instal­la­tion. Ich meine, klar, jet­zt kön­nte ich auch sagen, okay, da macht einen eine Daten­ret­tung von der SSD.

Wie wir ja ger­ade schon gesagt haben, okay, wenn wir vorher unsere Richtlin­ien durchge­set­zt haben und der Mitar­beit­er wirk­lich keine per­sön­lichen Dat­en da liegen hat, sprechen wir wahrschein­lich auch nicht davon, dass es da Dat­en gibt, die der neue Mitar­beit­er nicht sehen darf. Aber den­noch, ja, natür­lich, es gibt immer einzelne Bere­iche. Aber ich meine jet­zt, nor­maler­weise sind das Sachen, die immer in unseren Sys­te­men oder auf unseren Servern, was weiß ich, wo liegen.

Und da unter­schei­det es sich jet­zt nicht extrem stark. Ich meine, klar, wenn ich vorher ein Per­son­aler geoff­board­et habe und jet­zt aber, keine Ahnung, ich sage mal eine Bürokraft dann da ranset­zt, dann natür­lich sind da die Zugriff­s­rechte anders. Aber da hoffe ich halt, dass die Dat­en wirk­lich im Sys­tem geblieben sind und nicht lokal aufs Sys­tem gespe­ichert wur­den.

Aber für einen nor­malen Nutzer ist es dann nicht möglich, ein­fach eben auf die Dat­en Zugriff zu bekom­men. Das ist der Kern.

[Michael] Ich glaube, der richtige Trig­ger ist, es reicht nicht, einen neuen Benutzer anzule­gen, son­dern man sollte sich die Mühe machen und das Sys­tem min­destens neu auf­set­zen. Ob man sie jet­zt foren­sisch löschen muss oder ob man die Fest­plat­te ver­bren­nen muss, das ist ein anderes The­ma. Betrieb­sin­tern sicher­lich mit Kanonen aufs Spatzen, je nach­dem von welch­er Abteilung zu welch­er Abteilung das wech­selt.

[René] Ganz kurz, da muss ich nochmal dazwis­chen, ohne dich unter­brechen zu wollen. Das foren­sis­che Löschen, ja, an sich hast du recht, das ist natür­lich eine Möglichkeit. Ander­srum ist es aber so bei SSDs, die Chips darauf sind ja auch nur x‑mal beschreib­bar.

Und wenn wir jet­zt foren­sis­ches Löschen machen, bedeutet das ja auch, dass wir min­destens sieben­mal über­schreiben, nach europäis­chem Stan­dard, nach amerikanis­chem, glaube ich, sog­ar 21 Mal. Da kann man sich aber vorstellen, wie sehr wir eigentlich die SSD durch diesen Prozess belas­ten. Also dann, wenn man diesen Schritt gehen will, dann kann man bess­er die SSD raus­nehmen, weg­w­er­fen, neue nehmen.

Und da muss ich dann wieder sagen, okay, nee, heutzu­tage bitte nicht mehr.

[Michael] Bei intern, das bleibt ja im Unternehmen. Raus­geben, abso­lut, gebe ich dir recht. Muss man gesun­den Men­schen­ver­stand auch mal laufen lassen.

Und wenn die Dat­en oder das Endgerät ja im Unternehmen verbleibt, reicht, würde aus mein­er Sicht aus­re­ichen. Ich glaube, da geben ja einige recht. Das ist aus mein­er Sicht aus­re­ichend, wenn ich das Sys­tem ein­fach platt mache, auf deutsch gesagt, hier die Fest­plat­te, set­ze das Sys­tem neu auf.

Was unschön ist und was man nicht machen sollte, ist halt ein­fach einen neuen User anle­gen. Also das ist halt ein­fach eine blöde Lösung, zumal das Sys­tem auch irgend­wann langsam macht, davon mal ganz weg. Also ein­mal Com­put­er neu, okay.

Zweite Sache, für dich gelebte Prax­is, was ist denn mit der E‑Mail-Adresse des aus­geschiede­nen Mitar­beit­ers? Ist da ein Abwe­sen­heit­sagen­ten drauf? Ist da eine E‑Mail-Weit­er­leitung drauf?

Wie hal­ten es deine Kun­den in der Regel?

[René] Wir sper­ren Zugänge zu diesen Post­fäch­ern von außen, also dass sich der Mitar­beit­er logis­cher­weise nicht mehr anmelden kann. Auch nie­mand son­st im Unternehmen. Und dann kommt dort eine Abwe­sen­heit­sno­tiz drauf, die eben mit­teilt, hier Mitar­beit­er nicht mehr im Unternehmen.

Also Gründe und sowas lässt man natür­lich außen vor, bevor da irgend­je­mand auf eine tolle Idee kommt. Ja, und dann halt wirk­lich ein­fach nur den Hin­weis darauf, für Anfra­gen bitte dort melden oder dort melden. Und das war es dann schon.

Und das lässt man dann eine Zeit lang laufen und dann irgend­wann wird das Post­fach tat­säch­lich auch ein­fach gelöscht.

[Michael] Genau, das ist auch, finde ich, ein richtiges Vorge­hen. Es macht keinen Sinn, bei einem aus­geschiede­nen Mitar­beit­er das Post­fach immer noch mal laufen zu lassen, nach dem Mot­to, da kom­men ja immer noch mal E‑Mails an oder Kun­de­nan­fra­gen an. Son­dern da macht es ein­fach Sinn, das Post­fach nach außen mit einem Autore­play zu verse­hen, nach dem Mot­to, Mitar­beit­er ist nicht mehr im Unternehmen tätig oder E‑Mail-Adresse etc. pp. Und bitte wen­den Sie sich für Anfra­gen zukün­ftig an und dann eben die entsprechende E‑Mail-Adresse einzugeben. Das finde ich auch der wesentlich bessere Weg.

[René] Genau, wir hat­ten es ja schon mal in ein­er anderen Episode. Ich kann mir ger­ade nicht genau sagen, bei welchem The­ma, aber da ging es ja auch um den Autore­ply. Und da ist es ja auch so, wie du da ja auch schon gesagt hast, ein Mitar­beit­er, der meinetwe­gen 10 Jahre im Unternehmen war, der wird ein bes­timmtes per­sön­lich­es Ver­hält­nis ein­fach zu anderen aufge­baut haben, weil man ein­fach seit Jahren irgend­wie in Kom­mu­nika­tion ste­ht.

Und dann wird das immer so ein Touch per­sön­liche Kom­mu­nika­tion haben, also E‑Mails. Und diese E‑Mails sollte man dann tat­säch­lich nicht weit­er­leit­en. Also die müssen nicht bei jemand anderem auf den Tisch liegen.

Es reicht halt ein­fach, wenn der Gegenüber weiß, hier, der Mitar­beit­er ist nicht mehr im Unternehmen, okay, ab jet­zt wende ich mich dahin. Weil dann wird er seine Kom­mu­nika­tion, also die Führung der Kom­mu­nika­tion entsprechend auch schon wieder umstellen. Und dann ist es auch in Ord­nung.

Also dann läuft man da nicht Gefahr, wirk­lich dann doch irgend­wie per­sön­liche Dat­en zu erfassen, wom­it man ein­fach nichts zu tun haben sollte. Okay, super. Vie­len Dank.

Ja, danke auch, Michael. Ich würde sagen, ich ver­ab­schiede mich dies­mal zuerst. Ja, wir hören uns in der näch­sten Folge wieder.

Und bis dahin alles Gute.

[Michael] Alles klar. Dankeschön. Mach’s gut.

Tschüss.

[René] Ciao.