Personal & Zugänge

Das Sicherheitsproblem, das mit dem ersten Mitarbeiter beginnt¶

Nicht, weil Mitarbeiter böswillig wären. Sondern weil kein Prozess existiert, der klärt: Wer bekommt Zugang zu was? Wer darf was lesen, ändern, löschen? Was passiert, wenn jemand das Unternehmen verlässt?

Merksatz: Zugriffsrechte sind keine Frage des Vertrauens. Sie sind eine Frage der Haftung – für dich und für deine Mitarbeiter.

Das Need-to-Know-Prinzip: Weniger ist mehr¶

Das wichtigste Prinzip beim Umgang mit Zugängen und Berechtigungen heißt Need-to-Know: Jeder bekommt Zugang nur zu dem, was er für seine konkrete Arbeit tatsächlich braucht – und nicht mehr.

Das klingt misstrauisch. Es ist das Gegenteil: Es schützt alle Beteiligten.

Wenn eine Mitarbeiterin versehentlich eine Datei löscht, die sie nie hätte sehen sollen – wer haftet? Wenn ein ehemaliger Mitarbeiter Kundendaten mitnimmt, die er vollständig einsehen konnte – wer haftet? Wenn ein Angreifer das Konto einer Bürokraft kompromittiert und über dieses Konto auf sämtliche Finanzdaten zugreift – hätte das verhindert werden können?

Minimale Rechte bedeuten nicht, dass du deinen Mitarbeitern misstraust. Sie bedeuten, dass der Schaden begrenzt bleibt – egal was passiert. Ein kompromittiertes Konto mit eingeschränkten Rechten richtet viel weniger Schaden an als ein kompromittiertes Admin-Konto mit Vollzugriff auf alles.

Wie du das in der Praxis umsetzt:

Die meisten Programme und Dienste, die du ohnehin nutzt, haben Benutzerrollen. WordPress kennt Redakteure, Autoren und Administratoren. Google Workspace erlaubt feingranulare Berechtigungen. Buchungssoftware wie Lexoffice oder DATEV hat Zugriffsebenen. Nutze sie.

Die praktische Frage beim Einrichten jedes Zugangs: Was ist das Minimum, das diese Person für ihre Aufgabe braucht? Wer nur Termine einträgt, braucht keinen Zugang zur Finanzbuchhaltung. Wer Rechnungen schreibt, braucht keine Administratorrechte im System. Wer die Praxismailbox betreut, braucht keinen Zugang zum Domain-Registrar.

Onboarding – Der erste Tag entscheidet¶

Onboarding ist nicht nur HR. Es ist IT-Sicherheit. Was am ersten Tag eingerichtet wird – und wie – bestimmt, wie sicher dein Betrieb in den nächsten Jahren aufgestellt ist.

Schritt 1: Eigene Konten einrichten, nicht teilen¶

Der häufigste Fehler: Der neue Mitarbeiter bekommt das Passwort des Inhabers – oder das Passwort eines allgemeinen „Büro"-Kontos, das alle nutzen. Das ist aus mehreren Gründen problematisch.

Erstens: Du weißt nicht mehr, wer was getan hat. Wenn in der gemeinsam genutzten Mailbox etwas gelöscht wurde, kannst du nicht nachvollziehen, wer es war. Wenn im System eine Änderung gemacht wurde, ist sie als „Büro" geloggt, nicht als Person.

Zweitens: Du kannst den Zugang nicht gezielt entziehen. Wenn du den Mitarbeiter entlässt, musst du das Passwort aller ändern – und störst damit alle anderen.

Drittens: Mit einem geteilten Konto lässt sich Zwei-Faktor-Authentifizierung kaum sinnvoll einrichten.

Die Alternative: Jeder Mitarbeiter bekommt von Anfang an eigene Zugangsdaten für alle Systeme, die er nutzt. Für interne Dienste bedeutet das: einen eigenen Benutzer. Für externe Dienste: soweit möglich eine eigene Einladung mit eigener E-Mail-Adresse.

Schritt 2: Rechte bewusst vergeben und dokumentieren¶

Bevor du Zugänge einrichtest, überlege kurz: Welche Systeme braucht diese Person? Welche Rechte innerhalb dieser Systeme? Halte das in einer einfachen Liste fest – nicht für die Bürokratie, sondern damit du beim Offboarding weißt, was du widerrufen musst.

Eine einfache Vorlage für deine Zugangsliste:

Name	System	Zugangslevel	Eingerichtet am	Entzogen am
Muster, Maria	Lexoffice	Lesezugriff	01.03.2025	–
Muster, Maria	WordPress	Redakteur	01.03.2025	–
Muster, Maria	WLAN Büro	–	01.03.2025	–

Das kostet zehn Minuten – und spart beim Offboarding Stunden.

Schritt 3: Verpflichtung auf Vertraulichkeit¶

Bevor ein neuer Mitarbeiter zum ersten Mal Zugang zu Systemen oder Daten erhält, gehört die schriftliche Verpflichtung auf Vertraulichkeit dazu. Das hat zwei Ebenen.

DSGVO: Verpflichtung auf Vertraulichkeit bei der Verarbeitung personenbezogener Daten

Art. 32 Abs. 4 DSGVO verlangt, dass alle Personen, die Zugang zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichtet werden. Das gilt für jeden Mitarbeiter, der mit Kunden-, Patienten- oder Mandantendaten arbeitet – also in den allermeisten Betrieben für jeden.

Die Verpflichtungserklärung muss kein langes Dokument sein. Sie muss aber vor dem ersten Datenzugriff unterzeichnet werden und klarstellen: Welche Daten sind gemeint? Was darf damit getan werden, was nicht? Was gilt nach dem Ende des Arbeitsverhältnisses?

§ 203 Abs. 4 StGB: Förmliche Verpflichtung für Berufsgeheimnisträger

Wenn du zu den Berufsgruppen gehörst, die wir in Teil 5 besprochen haben – Ärzte, Zahnärzte, Psychotherapeuten, Anwälte, Steuerberater, Notare, Wirtschaftsprüfer –, genügt die DSGVO-Verpflichtung allein nicht. Mitarbeiter, die Zugang zu berufsgeheimnisgeschützten Daten erhalten, müssen zusätzlich förmlich nach § 203 Abs. 4 StGB verpflichtet werden.

Aufbau und rechtliche Anforderungen dieser Verpflichtung haben wir im Kapitel IT-Sicherheit für Berufsgeheimnisträger ausführlich behandelt. Für eigene Mitarbeiter gilt dasselbe wie für externe Dienstleister: Der AVV allein reicht nicht, die förmliche Verpflichtung muss hinzu – und sie muss vor dem ersten Zugang zu geschützten Daten erfolgen, nicht nach der Probezeit.

Muster für beide Verpflichtungserklärungen bekommst du bei deinem Berufsverband, beim Datenschutzbeauftragten oder bei einem auf Arbeitsrecht spezialisierten Anwalt.

Schritt 4: Einweisung in Sicherheitsregeln¶

Mitarbeiter können nur dann sicher handeln, wenn sie wissen, was von ihnen erwartet wird. Ein kurzes Gespräch beim Onboarding sollte mindestens folgende Punkte abdecken:

Passwörter: Keine Weitergabe, kein Aufschreiben auf Post-its, eigener Passwort-Manager empfohlen.
Phishing: Wie erkenne ich verdächtige E-Mails? Was tue ich, wenn ich unsicher bin?
Private Geräte: Was darf auf privaten Geräten genutzt werden, was nicht?
Meldepflicht: Wenn etwas Verdächtiges passiert – ein komischer Anruf, eine seltsame E-Mail, ein verlorenes Gerät – muss das sofort gemeldet werden. Keine Hemmung, kein „ich regele das selbst".

Lass dir die Einweisung kurz gegenzeichnen. Eine Unterschrift unter einer Seite „Sicherheitsregeln im Betrieb" schafft Bewusstsein und Verbindlichkeit – und ist im Zweifelsfall der Beleg, dass du deiner Sorgfaltspflicht nachgekommen bist.

Zugänge im laufenden Betrieb¶

Keine geteilten Passwörter – auch nicht „nur kurz"¶

„Ich geb dir kurz mein Passwort, dann kannst du das erledigen" – das ist der Einstieg in ein strukturelles Problem. Aus dem „kurz" wird ein Dauerzustand, und das Passwort ist irgendwann in drei Köpfen gleichzeitig gespeichert.

Die Lösung ist selten kompliziert: Richte einen weiteren Benutzer ein. Erhöhe die Rechte temporär. Nutze die Delegations- oder Freigabefunktion des jeweiligen Dienstes. Fast alle modernen Programme haben das – und wenn nicht, ist das ein Argument, das Programm zu überdenken.

Falls es in einer Ausnahmesituation wirklich nötig ist, ein Passwort zu teilen: Nutze einen Passwort-Manager mit Freigabefunktion (Bitwarden und 1Password bieten das), ändere das Passwort danach, und halte fest, wer es wann hatte.

BYOD – Private Geräte im Betrieb¶

BYOD steht für „Bring Your Own Device" – die Nutzung privater Geräte für berufliche Zwecke. In kleinen Betrieben ist das die Regel, nicht die Ausnahme: Die Mitarbeiterin beantwortet Nachrichten vom eigenen Smartphone. Der Geselle greift vom privaten Laptop auf die Terminverwaltung zu.

Das ist praktisch – und schafft neue Risiken. Ein privates Gerät unterliegt nicht deinen Sicherheitsstandards. Es wird vielleicht nicht regelmäßig aktualisiert. Es hat vielleicht keine Festplattenverschlüsselung. Es teilt sich eine WLAN-Verbindung mit dem Smart-TV und der Spielekonsole.

Du kannst BYOD nicht einfach verbieten – das ist in kleinen Betrieben oft nicht realistisch. Aber du kannst Regeln setzen:

Berufliche E-Mails und Daten nur über betrieblich freigegebene Apps oder Browser-Zugang, nicht über private Mail-Apps.
Bildschirmsperre auf privaten Geräten, die beruflich genutzt werden, ist Pflicht.
Betriebliche Daten werden nicht lokal auf privaten Geräten gespeichert – kein Download von Kundenlisten, keine lokale Ablage von Rechnungen.
Wenn ein privates Gerät verloren geht oder gestohlen wird: sofortige Meldung, damit du Zugänge sperren kannst.

Für Bereiche mit besonderen Anforderungen – Arztpraxen, Anwaltskanzleien, Steuerberatungsbüros – sollten berufliche und private Nutzung auf getrennten Geräten stattfinden. Das ist kein Luxus, sondern eine Anforderung, die sich aus dem Schutz der anvertrauten Daten ergibt.

Regelmäßige Überprüfung der Zugangsliste¶

Betriebe verändern sich. Mitarbeiter wechseln ihre Aufgaben. Neue Tools kommen hinzu. Alte werden nicht mehr genutzt. Was vor einem Jahr sinnvoll war, passt heute vielleicht nicht mehr.

Plane einmal pro Quartal zehn Minuten ein, um deine Zugangsliste durchzugehen: Hat jemand noch Rechte, die er für seine aktuelle Aufgabe nicht mehr braucht? Gibt es Zugänge, die seit Monaten nicht genutzt wurden? Sind alle eingetragenen Zugänge noch aktuell?

Das ist kein Misstrauensvotum – es ist Betriebshygiene.

Offboarding – Der wichtigste Moment, den fast alle verpassen¶

Onboarding ist selbstverständlich. Offboarding passiert oft gar nicht – oder mit Wochen Verzögerung, wenn zufällig jemand daran denkt.

Das ist das eigentliche Sicherheitsproblem: Nicht der neue Mitarbeiter, der morgen anfängt. Sondern der frühere Mitarbeiter, der vor sechs Monaten gegangen ist und theoretisch noch Zugang zur Kundendatenbank hat.

Meistens passiert nichts. Aber manchmal doch: Ein ehemaliger Mitarbeiter, der die Trennung als ungerecht empfindet. Ein ehemaliges Konto, das von einem Angreifer kompromittiert wird, weil niemand es deaktiviert hat. Eine Zugangsberechtigung, die jemand unbewusst mitnimmt und beim nächsten Arbeitgeber nutzt.

Die Offboarding-Checkliste – für jeden Abgang, ohne Ausnahme:

Führe diese Checkliste am letzten Arbeitstag durch – nicht eine Woche später, nicht irgendwann.

Zugänge sperren:

Unternehmens-E-Mail deaktivieren oder auf Nachfolger weiterleiten
Zugänge zu allen genutzten Diensten entziehen (anhand der Zugangsliste)
WLAN-Passwort ändern, falls die Person es kannte
Passwörter ändern, die geteilt wurden – auch wenn es nur „kurz" war
VPN-Zugang deaktivieren (falls vorhanden)
Gerät aus der Geräteverwaltung entfernen oder fernlöschen (falls vorhanden)

Geräte und Daten:

Firmeneigene Geräte zurückfordern – Laptop, Smartphone, Tokens, Schlüssel
Prüfen, ob Firmendaten auf privaten Geräten gelöscht wurden
Cloud-Synchronisierungen auf ausgegebenen Geräten beenden
Bei Administrationsrechten: Prüfen, ob Änderungen an Systemen oder Berechtigungen vorgenommen wurden

Kommunikation:

E-Mail-Abwesenheitsnotiz einrichten oder Postfach auf Nachfolger umleiten
Kunden und Partner informieren, wenn nötig
Interne Übergabe dokumentieren

Für Berufsgeheimnisträger zusätzlich:

Ausdrückliche Erinnerung an die fortbestehende Verschwiegenheitspflicht nach § 203 StGB – schriftlich bestätigen lassen
Rückgabe aller Unterlagen und Datenträger mit geschützten Informationen
Löschnachweis für personenbezogene Daten auf ausgegebenen Geräten

Was bei fristloser Kündigung anders ist¶

Bei einem regulären Abgang hast du Zeit für einen geordneten Prozess. Bei einer fristlosen Kündigung – oder einem Abgang im Streit – musst du sofort handeln, noch bevor die Person das Gebäude verlässt oder das Gespräch beendet ist.

Das klingt dramatisch. Es ist leider nötig: In Ausnahmesituationen können Minuten den Unterschied machen zwischen einem gesperrten und einem gelöschten oder kopierten Datenbestand.

Priorität Eins: E-Mail und die wichtigsten Systeme sperren. Alles andere kann danach geordnet werden. Wenn du absehen kannst, dass ein Gespräch schwierig werden könnte, bereite dich vor: Wer sperrt die Zugänge? Wann genau? Wer informiert danach die Kunden?

Schulungen und Unterweisungen – Sicherheit als Daueraufgabe¶

Eine einmalige Einweisung beim Onboarding reicht nicht. Sicherheitsbedrohungen verändern sich – und das Wissen, das jemand im ersten Monat hatte, ist nach zwei Jahren vielleicht überholt.

Das bedeutet nicht, dass du monatliche Pflichtschulungen organisieren musst. Aber das Thema darf nicht einmalig abgehakt werden.

Was realistisch funktioniert:

Kurzer Jahrescheck: Einmal im Jahr – am besten als Teil deines IT-Jahreschecks – besprichst du mit deinen Mitarbeitern: Was hat sich verändert? Gibt es neue Bedrohungen? Hat sich etwas an den Regeln geändert?
Anlassbezogen: Wenn ein Phishing-Angriff fast erfolgreich war – bei dir oder einem Bekannten –, ist das ein guter Anlass für ein kurzes Gespräch. Wenn ein neues Tool eingeführt wird, erkläre dabei auch die sicherheitsrelevanten Einstellungen.
Ressourcen teilen: Das BSI veröffentlicht regelmäßig verständliche Infomaterialien für Mitarbeiter. Ein Link von Zeit zu Zeit – ohne Zwang, aber als Signal: Das Thema ist uns wichtig.

Für Berufsgeheimnisträger: In einigen Branchen sind regelmäßige Datenschutz-Unterweisungen gesetzlich vorgeschrieben – für Mitarbeiter in Arztpraxen etwa nach den Anforderungen der KBV, für Beschäftigte in Steuerberatungskanzleien nach dem StBerG. Prüfe mit deinem Datenschutzbeauftragten oder Berufsverband, in welchem Turnus die Unterweisung zu dokumentieren ist.

Sonderfälle: Aushilfen, Praktikanten und Vertretungen¶

Die bisherigen Regeln gelten für Festangestellte. Für andere Konstellationen braucht es Anpassungen.

Aushilfen und Minijobber sind oft unregelmäßig tätig und arbeiten in begrenzten Bereichen. Das macht es verlockend, ihnen einen „schnellen" Zugang zu geben – zum Beispiel das allgemeine Büro-Login. Besser: ein eigenes, auf ihre Aufgaben beschränktes Konto. Wichtig: Auch Aushilfen müssen auf Vertraulichkeit nach Art. 32 Abs. 4 DSGVO verpflichtet werden, sobald sie Zugang zu personenbezogenen Daten haben. Bei Berufsgeheimnisträger-Betrieben gilt die förmliche Verpflichtung nach § 203 Abs. 4 StGB unabhängig vom Beschäftigungstyp – es kommt auf den Datenzugang an, nicht auf den Arbeitsvertrag.

Praktikanten sind eine besonders sensible Gruppe. Sie sind oft neugierig, haben noch kein ausgeprägtes Bewusstsein für Datensicherheit – und bekommen oft mehr Einblick als nötig, weil niemand genau nachgedacht hat, was sie eigentlich brauchen. Klare Grenzen von Anfang an und die gleichen Verpflichtungserklärungen wie für Festangestellte sind hier besonders wichtig.

Wenn Mitarbeiter längere Zeit ausfallen – Krankheit, Elternzeit, Sabbatical – stellt sich die Frage der Vertretung. Die saubere Lösung: kein Sharing der Original-Zugangsdaten, sondern entweder temporäre Delegationsrechte oder ein Vertretungskonto. Keine dauerhaften Zugänge, solange die Person abwesend ist – auch hier gilt das Prinzip der minimalen Rechte.

DSGVO im Beschäftigungskontext – was hinzukommt¶

Die DSGVO-Grundlagen – Verarbeitungsverzeichnis, Informationspflichten, Rechtsgrundlagen, TOMs – haben wir in Teil 4 ausführlich besprochen. All das gilt unverändert auch für den Betrieb mit Mitarbeitern. Es kommen jedoch drei beschäftigungsspezifische Besonderheiten hinzu.

Mitarbeiterdaten gehören ins Verarbeitungsverzeichnis. Es gibt kein separates VVT für Beschäftigte – aber Lohnbuchhaltung, Zeiterfassung, Bewerbermanagement und Personalaktenführung gehören als eigene Einträge in dein bestehendes VVT nach Art. 30 DSGVO. Die Rechtsgrundlage ist dabei in aller Regel § 26 BDSG. Für Gesundheitsdaten wie Krankmeldungen gilt Art. 9 DSGVO mit erhöhter Schutzpflicht: Du darfst sie verarbeiten, soweit es für die Beurteilung der Arbeitsfähigkeit nötig ist – nicht darüber hinaus.

Die Informationspflicht nach Art. 13 DSGVO gilt auch gegenüber Mitarbeitern. Sie müssen beim Beginn des Arbeitsverhältnisses darüber informiert werden, welche Daten du über sie verarbeitest, auf welcher Rechtsgrundlage, wie lange und an wen du sie weitergibst. In der Praxis reicht ein kurzes Datenschutzinformationsblatt beim Onboarding – eine Seite mit den wesentlichen Punkten, die dein Datenschutzbeauftragter oder ein Anwalt für deinen Bereich vorformulieren kann.

Löschfristen für Mitarbeiterdaten sind einzuhalten. Lohn- und Gehaltsunterlagen unterliegen einer Aufbewahrungspflicht von sechs Jahren nach § 257 HGB, steuerlich relevante Unterlagen sogar zehn Jahren nach § 147 AO. Bewerbungsunterlagen abgelehnter Bewerber dürfen dagegen nur sechs Monate nach Abschluss des Verfahrens aufbewahrt werden – danach sind sie zu löschen, es sei denn, der Bewerber hat ausdrücklich eingewilligt. Allgemeine Personalunterlagen werden nach Ende des Arbeitsverhältnisses in der Regel drei Jahre aufbewahrt (Verjährungsfrist für arbeitsrechtliche Ansprüche).

Hinweis: Die DSGVO-Pflichten im Beschäftigungskontext überschneiden sich mit Arbeitsrecht und Steuerrecht. Wenn du zum ersten Mal Mitarbeiter einstellst oder bestehende Prozesse prüfen möchtest, lohnt sich ein kurzes Gespräch mit einem auf Arbeits- und Datenschutzrecht spezialisierten Anwalt oder deinem Datenschutzbeauftragten.