M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern
Verantwortlich für Initiierung: Leiter Personal, Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte
Verlässt ein Mitarbeiter die Institution oder wechselt die Funktion, so ist zu beachten:
- Vor dem Weggang ist eine rechtzeitige Einweisung des Nachfolgers durchzuführen. Dafür ist es wünschenswert, dass sich die Arbeitszeiträume wenigstens kurz überschneiden.
- Von dem Ausscheidenden sind sämtliche Unterlagen (wie auch entliehene institutionseigene Bücher), ausgehändigte Schlüssel, ausgeliehene IT-Geräte (z. B. tragbare Rechner, Speichermedien, Dokumentationen) zurückzufordern. Insbesondere sind die Behörden- bzw. Firmenausweise sowie sonstige Karten zur Zutrittsberechtigung einzuziehen. Ferner sind bei biometrischen (z. B. Irisscanner, Fingerabdrücke und Handrückenerkennung) entsprechende Zutrittsberechtigungen zu löschen bzw. auf die getroffene Vertreterregelung anzupassen.
- Es sind sämtliche für den Ausscheidenden eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. B. mittels eines gemeinsamen Passwortes), so ist nach Ausscheiden einer der Personen die Zugangsberechtigung zu ändern.
- Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden, dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine während der Arbeit erhaltenen Informationen weitergegeben werden dürfen.
- Ist die ausscheidende Person ein Funktionsträger in einem Notfallplan, so ist der Notfallplan zu aktualisieren.
- Sämtliche mit Sicherheitsaufgaben betrauten Personen, insbesondere der Pförtnerdienst, sind über den Weggang und Funktionsänderungen von Mitarbeitern zu unterrichten.
- Ausgeschiedenen Mitarbeitern ist der unkontrollierte Zutritt zum Behörden- oder Firmengelände, insbesondere zu Räumen mit IT-Systemen zu verwehren. Auch bei Funktionsänderungen muss unter Umständen die Zutrittsberechtigung zu bestimmten Räumlichkeiten wie Serverräumen entzogen werden.
- Optional kann sogar für den Zeitraum zwischen Aussprechen einer Kündigung und dem Weggang der Entzug sämtlicher Zugangs- und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot, schützenswerte Räume zu betreten, ausgesprochen werden.
Als ein praktikables Hilfsmittel haben sich Laufzettel erwiesen, auf denen die einzelnen Aktivitäten des Ausscheidenden vorgezeichnet sind, die er vor Verlassen der Behörde bzw. des Unternehmens zu erledigen hat.
Ergänzende Kontrollfragen:
- Wird das Ausscheiden eines Mitarbeiters geordnet durchgeführt?
- Werden die zuständigen Stellen über das Ausscheiden eines Mitarbeiters unterrichtet?
- Wie wird sichergestellt, dass sämtliche Zugangsberechtigungen und Zugriffsrechte einer ausscheidenden Person entzogen und gelöscht werden?