Offboarding von Mitarbeitern in Google Workspace

Verlässt ein Mitarbeiter das Unternehmen – planbar oder auch kurzfristig – muss das „Offboarding“, der geregelte Austritt der Person, nicht nur vertraglich und in den HR-Systemen umgesetzt werden… auch in Google Workspace ist einiges zu tun, um die berechtigten Interessen der Organisation und anderer Personen zu wahren.

In diesem Artikel möchten wir Support-Mitarbeitern, Administratoren und HR-Verantwortlichen einen möglichen Fahrplan an die Hand geben, in welchen Phasen und Schritten der Abschied von Mitarbeitern technisch in Google Workspace umgesetzt werden kann.

Disclaimer: Die hier beschriebenen Möglichkeiten stellen keine Rechtsberatung dar und sind im Unternehmen individuell anzupassen und zu testen. Dabei unterstützen wir gern im Zuge unserer Beratung für Google Workspace oder in einem Workshop mit HR und IT.

Gefahren eines ungeordneten Offboardings

Schlecht oder gar nicht organisiertes Ausscheiden von Mitarbeitern sorgt für viele Risiken und Schäden für Organisation und Menschen:

  • Unnötige Lizenzkosten belasten Unternehmen und deren Kostenstellen.
  • Durch „Rache-Aktion“ vernichtete Informationen sind, wenn überhaupt, nur aufwendig und kostenintensiv wieder herstellbar.
  • Security Token und weitere Hardware „gehen verloren“, anstatt wiederverwendet zu werden.
  • Ex-Mitarbeiter schaden dem alten Arbeitgeber durch Veröffentlichungen von kritischen internen Informationen und Kommunikation.
  • IT und Unternehmen erzeugen ein unprofessionelles Bild bei Partnern und Kunden, wenn User-Accounts weiterhin bestehen bleiben.
  • Persönliche Daten von Mitarbeitern werden in beruflichen Systemen gespeichert und für andere bei der Migration sichtbar.
  • Persönliche Daten und Kontaktdaten von Kunden werden mitgenommen und missbraucht.
  • Abfluss von Daten an Konkurrenz oder Öffentlichkeit.
  • Verbundene Social Media Kanäle werden übernommen, wenn Rollen und Berechtigungen nicht entzogen werden.
  • Firmendaten verbleiben auf Mobilgeräten und Laptops.

Gesetze und Regularien werden bei ungenügend organisiertem Offboarding-Prozess tangiert oder gar verletzt, was ggf. durch Vorgesetzte zu verantworten ist:

  • DIN EN ISO 9001 ff.
  • ISO/IEC 27001
  • DSGVO / GDPR
  • GoBD
  • Compliance

Empfehlungen vorab

  • Der Offboarding-Prozess sollte professionell und Bereichs-übergreifend aufgesetzt werden, aber dennoch auch in einem gewissen Rahmen agil umsetzbar sein. Ein regelmäßiges Review und Feedback sorgen für Qualität und Verlässlichkeit.

  • Durch die Vergabe von individuellen und granularen Administrationsrechten können Verantwortliche verschiedener Bereiche den Prozess umsetzen. IT und Support müssen nach Einweisung und Übung dann nur granular unterstützen.

  • Eine überlegte OU-Struktur, inklusive einer „Quarantäne-Zone für das Offboarding“, hilft beim strukturierten Vorgehen durch Voreinstellungen.

  • Der Takeout-Service sollte generell für alle aktiven Nutzer deaktiviert sein, um einem Datenabfluss vorzubeugen. Genauso ist die 2FA obligatorisch, wenn dies auch zu etwas komplexeren Vorgehen führt.

  • Google Groups sind Funktions-Postfächern vorzuziehen. Das Wissen um den Login ist durch wenige in der IT zu verwalten, Zugriff zu delegieren.
  • Binden Sie den scheidenden Mitarbeiter durch klare Kommunikation, Sensibilisierung und Abstimmung aktiv in den Prozess ein, wenn das möglich ist.

  • Binden Sie den Betriebsrat aktiv ein! Ist eine Nutzung von IT-Ressourcen nicht ausschließlich für betriebliche Zwecke vereinbart, könnten persönliche Informationen für Dritte sichtbar werden. In dem Fall hat ggf. eine Abwägung zwischen operativer Handlungsfähigkeit und Datenschutz stattzufinden.

  • Binden Sie den Datenschutzbeauftragten ein, um frühzeitig möglichen Unwegsamkeiten wie Datenauskunftsverlangen etc. des scheidenden Mitarbeiters konstruktiv begegnen zu können.

Annahmen

Im hier vorgestellten Ablauf klammern wir die Nutzung von Google Vault als Archivierungslösung vorerst aus. Auch können zusätzliche Tools nur grob bedacht, aber durch die Vielzahl nicht differenziert erläutert werden. Ebenso wird eine, im Enterprise-Umfeld weit verbreitete, automatische Replikation von Usern aufgrund der komplexen Aspekte in diesem Artikel nicht berücksichtigt.

Es existiert eine Betriebsvereinbarung, die die private Nutzung von IT-Ressourcen ausschließt.

Im Szenario ist, an übliche Praxisfälle angelehnt, der betreffende Mitarbeiter kurzfristig vom Arbeitsplatz suspendiert und im späteren Verlauf aus dem Arbeitsvertrag entlassen. Die wesentlichen Aspekte können analog auch bei ungeplant eintretender Arbeitsunfähigkeit oder Auflösung des Arbeitsverhältnisses umgesetzt werden.

Ablauf im Offboarding-Prozess

Im Krisenfall gilt es schnell und kurzfristig möglichen Schaden vom Unternehmen abzuwenden, aber die Arbeitsfähigkeit aller Beteiligten muss trotz Ausfall eines Mitarbeiters aufrecht erhalten werden. Im Anschluss geht es um den strukturierten Übergang in den Regelbetrieb mit neuer Besetzung, wenn Umstände geklärt und nötige Vereinbarungen getroffen sind. Das kann man in den dargestellten 3 Phasen in Google Workspace realisieren.

Die dargestellten Aktivitäten müssen dabei natürlich stets durch zeitnahe individuelle Kommunikation und weitere organisatorische Maßnahmen in anderen Systemen begleitet werden.

Phase 1: Kurzfristig den Nutzer-Account sichern

  1. Ein Administrator setzt ein neues Passwort und dokumentiert dieses sicher für einen benannten Kreis von Personen.
  2. Verschieben Sie den User in die OU „Offboarding“: nur dort ist ein Takeout der Daten freigeschaltet und der Status ist damit eindeutig.
  3. Entfernen Sie die vom User verknüpften Keys für die Zwei-Faktor-Authentifizierung (2FA) und passen Sie Recovery-E-Mail und Handynummer an. Dokumentieren Sie die neuen Einstellungen. (Supportartikel)
  4. Wipen Sie verbundene Mobil-Geräte, Work-Container auf persönlichen Geräten und Chromebooks, um die Firmendaten zu entfernen. (Supportartikel)
  5. Checken Sie mit dem Account verbundene Dritt-Applikationen, dokumentieren Sie diese und ergreifen Sie ggf. kurzfristige Maßnahmen. (Im User-Kontext: https://myaccount.google.com/permissions)

Phase 2: Arbeitsfähig bleiben

Deaktivieren Sie die Bestätigung in zwei Schritten (2FA) für den User und verzichten Sie für 10min auf die Identitätsbestätigung (Supportartikel)

Im User-Kontext:

  1. Sichern Sie via Takeout (https://takeout.google.com/) alle relevanten Daten und speichern Sie diese auf einem (externen) Datenträger für eine ggf. später nötige Nachweisführung. Dokumentieren Sie dies ausreichend. Der Vorgang kann bis zu 24 Stunden oder länger benötigen.
  2. Setzen Sie eine Abwesenheitsnotiz in Gmail, zumindest für Kontakte oder alle interne Kollegen aus der Domain.
  3. Delegieren Sie das E-Mail-Postfach an einen Vorgesetzten und/oder benannten Nachfolger. So kann intern weiter agiert werden, während nach draußen kein Schaden eintreten kann.
  4. Klar identifizierbare Absender können via „Filter“ individuell weitergeleitet werden; von einer pauschalen Weiterleitung wird abgeraten.

Phase 3: Abschließen und Dokumentieren

  1. Übertragen Sie die Eigentümerschaft von Dateien in Drive an den Nachfolger (Tool im Adminbereich)
  2. Übertragen Sie Kalender-Einträge oder sagen Sie diese ab (Tool im Adminbereich)
  3. Überprüfen Sie, ob der User Inhaber von Google Groups ist und übertragen Sie diese Rolle.
  4. Übertragen Sie alle oder eine Auswahl von E-Mails in das Postfach des Nachfolgers (Migrations-Tool im Adminbereich)
  5. Überprüfen Sie detailliert gekoppelte Applikationen anderer Hersteller, ob dort Aktivitäten wie Datentransfer, Kündigung, Takeout, etc. nötig sind.
  6. Suspendieren Sie den User-Account. Nach einer Karenzzeit, in der keine weiteren internen oder externen Anforderungen eintreffen, können Sie ihn dann final löschen und die Lizenz freigeben.

Tipps

Verlässt ein Mitarbeiter regulär das Unternehmen kann es sinnvoll sein, den User-Account erst nach der Probezeit beim neuen Arbeitgeber final zu löschen. Manchmal kommen Mitarbeiter wieder… und die Prozesskosten für die Reaktivierung sind ggf. geringer als das Neuanlegen.

Kommt Google Vault zum Einsatz, kann man spezielle Lizenzen nutzen, um User final zu löschen, aber dennoch deren elektronische Korrespondenzen noch aufzubewahren. Insbesondere im Rahmen der GoBD kann dies für Unternehmen relevant sein, um Aufbewahrungsfristen rechtssicher einzuhalten. (Supportartikel)

Nutzen Sie die Sicherheits-Features von Google Workspace, um kritische Datentransfers von Usern zu beobachten.

Sie können in einer Betriebsvereinbarung festlegen, dass IT-Ressourcen ausdrücklich nicht für persönliche Nutzung zur Verfügung stehen: Übertragung und Kontrolle der Daten sind dann bedeutend einfacher durchführbar.

Denken Sie an die menschliche Seite des Abschieds und sorgen Sie für Wissenstransfer zwischen den Menschen, wenn dies möglich ist. Das ist Ausdruck einer guten Kultur und spart bares Geld beim Wechsel.

Changelog

Schon jetzt ist klar, dass durch technologische Weiterentwicklung und sich ändernde rechtliche Rahmenbedingungen dieser Artikel angepasst werden muss. Dies wollen wir hier transparent machen.

Erstellung und Publizierung

Links und weitere Artikel

FAQ-Artikel von plus3trainings

Hilfeartikel von Google

Über den Autor:

person
Seit 2000 rund um Digitales aktiv ist der Dipl.-Informatiker (FH) Holger Ahrens ab 2010 Trainer/Consultant für Google Workspace und berät zu vielfältigen Aspekten der Digitalisation in Organisationen und Unternehmen.
Nach oben