Offboarding von Mitarbeitern in Google Workspace

Verlässt ein Mitarbeiter das Unternehmen – planbar oder auch kurzfristig – muss das „Offboarding“, der geregelte Austritt der Person, nicht nur vertraglich und in den HR-Systemen umgesetzt werden… auch in Google Workspace ist einiges zu tun, um die berechtigten Interessen der Organisation und anderer Personen zu wahren.

In diesem Artikel möchten wir Support-Mitarbeitern, Administratoren und HR-Verantwortlichen einen möglichen Fahrplan an die Hand geben, in welchen Phasen und Schritten der Abschied von Mitarbeitern technisch in Google Workspace umgesetzt werden kann.

Disclaimer: Die hier beschriebenen Möglichkeiten stellen keine Rechtsberatung dar und sind im Unternehmen individuell anzupassen und zu testen. Dabei unterstützen wir gern im Zuge unserer Beratung für Google Workspace oder in einem Workshop mit HR und IT.

Gefahren eines ungeordneten Offboardings

Schlecht oder gar nicht organisiertes Ausscheiden von Mitarbeitern sorgt für viele Risiken und Schäden für Organisation und Menschen:

  • Unnötige Lizenzkosten belasten Unternehmen und deren Kostenstellen.
  • Durch „Rache-Aktion“ vernichtete Informationen sind, wenn überhaupt, nur aufwendig und kostenintensiv aus einem Backup wieder herstellbar.
  • Security Token und weitere Hardware „gehen verloren“, anstatt wiederverwendet zu werden.
  • Ex-Mitarbeiter schaden dem alten Arbeitgeber durch Veröffentlichungen von kritischen internen Informationen und Kommunikation.
  • IT und Unternehmen erzeugen ein unprofessionelles Bild bei Partnern und Kunden, wenn User-Accounts weiterhin unkoordiniert bestehen bleiben.
  • Persönliche Daten von Mitarbeitern werden in beruflichen Systemen gespeichert und für andere bei der Migration sichtbar.
  • Persönliche Daten und Kontaktdaten von Kunden werden mitgenommen und zum Beispiel beim nächsten Arbeitgeber missbraucht.
  • Abfluss von Daten an Konkurrenz oder Öffentlichkeit.
  • Verbundene Social Media Kanäle werden übernommen oder blockiert, wenn Rollen und Berechtigungen nicht entzogen werden.
  • Firmendaten verbleiben auf fremden Mobilgeräten und Laptops.

Gesetze und Regularien werden bei ungenügend organisiertem Offboarding-Prozess tangiert oder gar verletzt, was ggf. durch Vorgesetzte zu verantworten ist:

  • DIN EN ISO 9001 ff.
  • ISO/IEC 27001
  • DSGVO / GDPR
  • GoBD
  • Compliance

Empfehlungen vorab

  • Der Offboarding-Prozess sollte professionell und Bereichs-übergreifend aufgesetzt werden, aber dennoch auch in einem gewissen Rahmen agil umsetzbar sein. Ein regelmäßiges Review und Feedback sorgen für Qualität und Verlässlichkeit.

  • Durch die Vergabe von individuellen und granularen Administrationsrechten können Verantwortliche verschiedener Bereiche den Prozess umsetzen. IT und Support müssen nach Einweisung und Übung dann nur granular unterstützen.

  • Eine wohlüberlegte OU-Struktur, inklusive einer „Quarantäne-Zone für das Offboarding“, hilft beim strukturierten Vorgehen durch Voreinstellungen.

  • Der Takeout-Service sollte generell für alle aktiven Nutzer deaktiviert sein, um einem Datenabfluss präventiv vorzubeugen. Genauso ist die 2FA obligatorisch, wenn dies auch zu etwas komplexeren Vorgehen führt.

  • Google Groups sind Funktions-Postfächern vorzuziehen. Das Wissen um den Login für Funktions-Postfächer ist durch wenige in der IT zu verwalten, Zugriff für Gmail zu delegieren.
  • Binden Sie den scheidenden Mitarbeiter durch klare Kommunikation, Sensibilisierung und Abstimmung aktiv in den Prozess ein, wenn das möglich ist. So wird die Übergabe einfacher.

  • Binden Sie den Betriebsrat vorausschauend und aktiv ein! Ist eine Nutzung von IT-Ressourcen nicht ausschließlich für betriebliche Zwecke vereinbart, könnten persönliche Informationen für Dritte sichtbar werden. In dem Fall hat ggf. eine Abwägung zwischen operativer Handlungsfähigkeit und Datenschutz stattzufinden.

  • Binden Sie den Datenschutzbeauftragten ein, um frühzeitig möglichen Unwegsamkeiten wie Datenauskunftsverlangen etc. des scheidenden Mitarbeiters konstruktiv begegnen zu können.

Annahmen

  1. Im hier vorgestellten Ablauf klammern wir die Nutzung von Google Vault als Archivierungslösung vorerst aus.
  2. Auch können zusätzliche Tools nur grob bedacht, aber durch die Vielzahl nicht differenziert erläutert werden. Ebenso wird eine, im Enterprise-Umfeld weit verbreitete, automatische Replikation von Usern aufgrund der komplexen Aspekte in diesem Artikel nicht berücksichtigt.
  3. Es existiert eine Betriebsvereinbarung, die die private Nutzung von IT-Ressourcen ausschließt.
  4. Im Szenario ist, an übliche Praxisfälle angelehnt, der betreffende Mitarbeiter kurzfristig vom Arbeitsplatz suspendiert und im späteren Verlauf aus dem Arbeitsvertrag entlassen.Die wesentlichen Aspekte können ähnlich auch bei ungeplant eintretender Arbeitsunfähigkeit oder Auflösung des Arbeitsverhältnisses umgesetzt werden.

Ablauf im Offboarding-Prozess

Im Krisenfall gilt es schnell und kurzfristig möglichen Schaden vom Unternehmen abzuwenden, aber die Arbeitsfähigkeit aller Beteiligten muss trotz Ausfall eines Mitarbeiters aufrecht erhalten werden. Im Anschluss geht es um den strukturierten Übergang in den Regelbetrieb mit neuer Besetzung, wenn Umstände geklärt und nötige Vereinbarungen getroffen sind. Das kann man in den dargestellten 3 Phasen in Google Workspace realisieren.

Die dargestellten Aktivitäten müssen dabei natürlich stets durch zeitnahe individuelle Kommunikation und weitere organisatorische Maßnahmen in anderen Systemen begleitet werden.

Phase 1: Kurzfristig den Nutzer-Account sichern

  1. Ein Administrator setzt ein neues Passwort und dokumentiert dieses sicher für einen benannten Kreis von Personen.
  2. Entfernen Sie die vom User verknüpften Keys für die Zwei-Faktor-Authentifizierung (2FA) und passen Sie Recovery-E-Mail und Handynummer an. Dokumentieren Sie die neuen Einstellungen. (Supportartikel)
  3. Verschieben Sie den User in die OU „Offboarding“: nur dort ist ein Takeout der Daten freigeschaltet und der Status ist damit eindeutig.
  4. Wipen Sie verbundene Mobil-Geräte, Work-Container auf persönlichen Geräten und Chromebooks, um die Firmendaten zu entfernen. (Supportartikel)
  5. Checken Sie mit dem Account verbundene Dritt-Applikationen, dokumentieren Sie diese und ergreifen Sie ggf. kurzfristige Maßnahmen. (Im User-Kontext: https://youtu.be/9lx2c_l4gDs?feature=shared&t=948)

Phase 2: Arbeitsfähig bleiben

Deaktivieren Sie die Bestätigung in zwei Schritten (2FA) für den User und verzichten Sie für 10min auf die Identitätsbestätigung (Supportartikel)

Im User-Kontext durchzuführende Aktivitäten:

  1. Sichern Sie via Takeout (https://takeout.google.com/) alle relevanten Daten des User-Accounts und speichern Sie diese auf einem (externen) Datenträger für eine ggf. später nötige Nachweisführung. Dokumentieren Sie dies ausreichend. Der Vorgang kann bis zu 24 Stunden oder bei großen Datenmengen sogar länger dauern.
    Alternativ kann man auch ohne in den User-Kontext als Administrator einzelne Benutzer über das Tool für Kunden-Datenexport herunterladen.
  2. Setzen Sie eine Abwesenheitsnotiz in Gmail, zumindest für Kontakte des Accounts oder alle internen Kollegen aus der Domain.
  3. Delegieren Sie das E-Mail-Postfach an einen Vorgesetzten und/oder benannten Nachfolger. So kann intern weiter agiert werden, während nach draußen kein Schaden eintritt.
  4. Klar identifizierbare Absender können via „Filter“ individuell weitergeleitet werden; von einer pauschalen Weiterleitung wird abgeraten.
  5. Nach einem manuellen Check anstehender Termine kann man im Admin-Interface alle zukünftigen Termine übertragen oder absagen.
  6. Durchsicht und (gezielter) Export aller externen Kontakte, falls diese für den Nachfolger relevante Informationen enthalten. Vorab kann man auch alle Kontakte delegieren und so ein Label „Export“ pflegen.

Phase 3: Prozess abschließen

  1. Übertragen Sie die Eigentümerschaft von Dateien in Drive an den Nachfolger (Tool im Adminbereich)
  2. Überprüfen Sie, ob der User Inhaber von Google Groups ist und übertragen Sie diese Rolle.
  3. Übertragen Sie alle oder eine Auswahl von E-Mails in das Postfach des Nachfolgers (Migrations-Tool im Adminbereich)
  4. Überprüfen Sie detailliert gekoppelte Applikationen anderer Hersteller, ob dort Aktivitäten wie Datentransfer, Kündigung, Takeout, etc. nötig sind.
  5. Suspendieren Sie den User-Account. Nach einer Karenzzeit, in der keine weiteren internen oder externen Anforderungen eintreffen, können Sie ihn dann final löschen und die Lizenz freigeben.

Tipps für den Offboarding-Prozess und danach

Verlässt ein Mitarbeiter regulär das Unternehmen kann es sinnvoll sein, den User-Account erst nach der Probezeit beim neuen Arbeitgeber final zu löschen. Manchmal kommen Mitarbeiter wieder… und die Prozesskosten für die Reaktivierung sind ggf. geringer als das Neuanlegen.

Kommt Google Vault zum Einsatz, kann man spezielle Workspace-Lizenzen nutzen, um User final zu löschen, aber dennoch deren elektronische Korrespondenzen noch aufzubewahren. Insbesondere im Rahmen der GoBD kann dies für Unternehmen relevant sein, um Aufbewahrungsfristen rechtssicher einzuhalten. (Supportartikel)

Nutzen Sie die Sicherheits-Features von Google Workspace, um kritische Datentransfers von Usern zu beobachten. Das sollte mit dem Betriebsrat abgestimmt sein.

Sie können in einer Betriebsvereinbarung festlegen, dass IT-Ressourcen ausdrücklich nicht für persönliche Nutzung zur Verfügung stehen: Übertragung und Kontrolle der Daten sind dann bedeutend einfacher durchführbar.

Denken Sie an die menschliche Seite des Abschieds und sorgen Sie für Wissenstransfer zwischen den Menschen, wenn dies möglich ist. Das ist Ausdruck einer guten Kultur und spart bares Geld beim Wechsel.

Tipps und Tricks und häufige Probleme

Oft hilft es, sich parallel zur Datenmigration in den Account einzuloggen. Google kann damit den Zugriff eher gestatten.

Will man die, für den ausscheidenden Mitarbeiter einst freigegebenen Dokumente, auch dem Nachfolger zur Verfügung stellen sollte man diese retten:

  1. Alle zugeteilten Dateien auflisten via Ansicht Für mich freigegeben
  2. Einzelne Dateien oder alle mit STRG+A (CTRL+A / ⌘+A) auswählen
  3. Über das Kontext-Menü oder die Menüleiste und 3 Punkte:
    Drive-Verknüpfungen in einem Ordner erstellen

Ein Nachfolger oder Kollegen können so den Zugriff auf diese Dokumente einfach erneut anfordern.

Bei einer absehbar endenden Auszeit wie Mutterschaftsurlaub kann ein Account passiv bestehen bleiben. Folgende Punkte sollte man speziell angehen:

  • Umfassende Delegation von Mail + Kalender + Kontakte und Übertragung der Eigentümerschaften in Drive
  • Takeout zum Tag des Ausscheidens anfertigen
  • Neues Passwort durch den User erstellen und versiegelt dokumentieren lassen
  • Abwesenheit „auf unbestimmte Zeit“ setzen

Changelog

Schon jetzt ist klar, dass durch technologische Weiterentwicklung und sich ändernde rechtliche Rahmenbedingungen dieser Artikel angepasst werden muss. Dies wollen wir hier transparent machen.

  1. Aktualisierungen
  2. Tipp: Mutterschaft und Auszeit
  1. Kleine Ergänzungen und Formatierungen
  2. Neu: User-Export im Tool für Kunden-Datenexport
  1. Kleine Updates im Layout
  2. Neue Rubrik „Tipps und Tricks und häufige Probleme“
  3. Kalendertermine absagen/übertragen (via Jasmin Hopavac) früher
  4. Kontakte exportieren
  5. Fehlercodes-Link

Erstellung und Publizierung

Links und weitere Artikel

FAQ-Artikel von plus3trainings

Hilfeartikel von Google

Über den Autor:

person
Seit 2000 rund um Digitales aktiv, ist der Dipl.-Informatiker (FH) Holger Ahrens ab 2013 Trainer und Consultant für Google Workspace und berät zu vielfältigen Aspekten der Digitalisation in Organisationen und Unternehmen.
Nach oben