Mitarbeiter-Austritt:
die Zugangs-Audit-Stunde am letzten Arbeitstag
Der letzte Arbeitstag eines Mitarbeiters ist das einzige saubere Zeitfenster, in dem alle Zugänge ohne nachträgliche Verhandlung getrennt werden können. Wer es verstreichen lässt, repariert anschließend mit erheblich höherem Aufwand.
Ein langjähriger Mitarbeiter verlässt das Unternehmen zum Monatsende. Die Übergabe der laufenden Aufgaben ist vorbereitet, der Schreibtisch geräumt, das Arbeitsgerät steht bereit zur Rückgabe. In den meisten Mittelstands-Unternehmen endet das Offboarding an genau diesem Punkt — und beginnt das eigentliche Problem.
Hinter den sichtbaren Gegenständen liegt eine zweite Schicht: Zugänge zu Systemen, die der ausscheidende Mitarbeiter im Laufe der Jahre angelegt, erweitert oder übernommen hat. Domain-Verwaltung, Hosting-Konsole, Mail-Tenant, Cloud-Speicher, Code-Repository, Passwort-Manager, Verwaltungs-Konsolen für Fach-Software. Jeder dieser Zugänge bleibt nach dem Austritt offen, bis er aktiv geschlossen wird. Die letzte Stunde vor dem Verlassen des Gebäudes ist das einzige Zeitfenster, in dem das geordnet möglich ist — sortiert nach einer Reihenfolge, die im Streitfall auch belegbar ist.
Die vier Phasen der Zugangs-Audit-Stunde
Vom Inventar bis zum unterschriebenen Übergabe-Protokoll
Wer Phase 1 überspringt, sperrt nur das, was er gerade im Kopf hat — und nicht das, was tatsächlich offen ist
Warum der letzte Arbeitstag das Zeitfenster ist
Zwischen Kündigungseingang und Austrittstag liegen üblicherweise mehrere Wochen. In dieser Zeit ist der Mitarbeiter regulär im Dienst und braucht seine Zugänge weiterhin, um die laufenden Aufgaben sauber zu übergeben. Eine vorzeitige Sperrung erzeugt Reibung im Übergabe-Prozess und ist nur in besonderen Konstellationen sinnvoll — etwa bei einer fristlosen Kündigung oder einem Wechsel zu einem direkten Wettbewerber.
Nach dem Austrittstag wird die Sperrung dagegen schwieriger, je weiter der Abstand wächst. Mitarbeiter geben Arbeitsgeräte zurück, aber nicht automatisch jeden Zugang. 2FA-Verfahren sind häufig mit Privatgeräten verknüpft. Recovery-Codes liegen in Notizbüchern oder Passwort-Managern. Die Erinnerung an einzelne Fachsysteme verblasst — beim Unternehmen ebenso wie beim ausgeschiedenen Mitarbeiter.
Der letzte Arbeitstag ist der einzige Punkt, an dem alle Beteiligten physisch anwesend sind, das Inventar gemeinsam durchgegangen werden kann und ein unterschriebenes Übergabe-Protokoll entsteht. Wer diesen Punkt ungenutzt lässt, bezahlt den Aufwand später drei- bis fünffach.
In den meisten Offboarding-Fällen besteht keinerlei böser Wille auf Seiten des Ausscheidenden. Das Risiko entsteht durch offen gelassene Zugänge, die später von Dritten missbraucht werden — durch verlorene Privatgeräte, durch ein kompromittiertes privates Mailkonto oder durch Adresslisten, die nach Jahren auf einer Recycling-Plattform auftauchen. Der Zugangs-Audit schützt nicht vor dem ausscheidenden Mitarbeiter, sondern vor allen späteren Folge-Szenarien.
Die zwölf Zugangs-Schichten im Inventar
Vor jeder Sperrung steht die Inventur. Ohne vollständige Liste wird nur gesperrt, was gerade in Erinnerung ist — und das ist erfahrungsgemäß die Hälfte. Folgende zwölf Schichten gehören in jedes Inventar, auch wenn ein Teil davon im konkreten Mitarbeiter-Profil leer bleibt:
- Domain-Registrar: Verwaltungs-Konsole bei der Stelle, die die Firmen-Domain hält — inklusive Renewal-Mailadresse und Inhaber-Kontakt
- DNS-Verwaltung: Falls von der Registrar-Konsole getrennt — Steuerung der Mail- und Web-Einträge
- Hosting-Panel: Verwaltungs-Konsole beim Hoster mit allen Service-Zugängen
- Server-Zugang: SSH-Schlüssel, Server-Root-Passwörter, Bastion-Hosts, Deployment-Schlüssel
- CMS / Website-Backend: Admin-Accounts in Redaktions- und Shop-Systemen
- Mail-Tenant: Persönliches Postfach, Funktions-Postfächer, Verteiler-Listen, Mail-Aliasse, Weiterleitungen
- Cloud-Speicher: Datei-Ablage des Unternehmens, geteilte Ordner, externe Freigaben
- Code-Repository: Quellcode-Verwaltung mit Schreib- und Lese-Rechten, Deploy-Tokens, CI-Geheimnisse
- Passwort-Manager: Geteilte Tresore und persönliche Tresore mit Geschäfts-Zugängen
- 2FA-Geräte und Recovery-Codes: Authenticator-Apps auf Privatgeräten, Hardware-Token, hinterlegte Recovery-Codes
- VPN und Remote-Zugang: VPN-Konfigurationen, Remote-Desktop, Fernwartungs-Zugänge zu Maschinen
- Fach-Software und externe Plattformen: Verwaltungs-Konsolen für Buchhaltung, Warenwirtschaft, Werbe-Konten, Analyse-Plattformen, Bewertungs-Plattformen, Karriere-Profile
In den meisten Mittelstands-Unternehmen werden Schicht 1, 2, 10 und 12 regelmäßig übersehen. Die Renewal-Mailadresse beim Registrar zeigt häufig noch auf einen ausgeschiedenen Mitarbeiter — mit der Folge, dass die jährliche Verlängerungs-Mail im falschen Postfach landet und im schlimmsten Fall verfällt. Wie Sie diese Konstellation in einem geordneten Verfahren bereinigen, wenn der Wechsel ohne Übergabe stattgefunden hat, beschreibt der Beitrag zur Domain-Übernahme bei Firmenkauf oder Inhaberwechsel.
Die 60-Minuten-Reihenfolge
Wenn die Inventur vor dem letzten Tag vorbereitet ist, lässt sich die eigentliche Sperrung in einer Stunde abarbeiten. Die Reihenfolge ist dabei nicht beliebig — sie folgt der Logik, dass kritische Zugänge zuerst geschlossen werden, bevor Übergabe-Themen geklärt werden.
- Mail-Postfach: Senden-Berechtigung entziehen, eingehende Nachrichten auf Übergangs-Postfach umleiten, Login-Zugriff entziehen. Postfach selbst bleibt für die Übergangs- und Archivphase bestehen.
- VPN und Remote-Zugang: VPN-Account deaktivieren, Remote-Desktop-Konten sperren, Fernwartungs-Zugänge widerrufen. Falls Zugriff über Hardware-Token läuft, Token zurücknehmen.
- Cloud-Speicher: Persönliche Lese- und Schreib-Rechte entziehen, externe Freigaben des Mitarbeiters sichten und umschreiben, Eigentum geteilter Ordner auf einen verbleibenden Mitarbeiter übertragen.
- Passwort-Manager: Mitgliedschaft in geteilten Tresoren beenden, persönlichen Tresor mit Geschäfts-Inhalten sichten und Inhalte übertragen. Hier verbergen sich häufig Zugänge zu Drittsystemen, die sonst nirgends im Inventar stehen.
- Code-Repository: Schreib- und Lese-Rechte entziehen, persönliche Zugangs-Schlüssel und Deploy-Tokens widerrufen, CI-Geheimnisse rotieren, soweit der Mitarbeiter Einblick hatte.
- CMS und Server-Konsolen: Admin-Accounts in Redaktions- und Shop-Systemen entfernen, SSH-Schlüssel des Mitarbeiters aus allen Servern entfernen, persönliche API-Schlüssel deaktivieren.
- Hosting-Panel, DNS und Registrar: Verwaltungs-Konsolen prüfen und Zugänge entziehen. Renewal-Mailadressen und Inhaber-Kontakte auf die aktuelle Verantwortung umschreiben.
- Fach-Software und externe Plattformen: Pro System einzeln durchgehen — Buchhaltung, Warenwirtschaft, Werbe-Konten, Analyse-Plattformen, Karriere-Profile. Bei verwalteten Werbe-Konten besonders auf Zahlungs-Berechtigungen achten.
- 2FA-Verfahren und Recovery-Codes: Pro System die hinterlegte 2FA-Methode entfernen, durch Nachfolger-Methode ersetzen, Recovery-Codes neu erzeugen.
- Verteiler-Listen und Funktions-Postfächer: Mitgliedschaft beenden, Funktions-Postfächer auf neue Verantwortung übertragen, automatische Antworten anpassen.
- Physische Zugänge: Schlüssel, Transponder, Werksausweise, Tankkarten zurücknehmen und im Protokoll bestätigen.
- Arbeitsgeräte: Notebook, Telefon, Tablet, Headset zurücknehmen. Geräte zurücksetzen, Festplatten verschlüsseln und der nachgelagerten Geräte-Verwaltung übergeben.
Jeder Schritt wird mit Uhrzeit und ausführender Person im Protokoll vermerkt. Die Zeitstempel sind im Streitfall die einzige belastbare Grundlage — Erinnerungs-Aussagen reichen nicht aus.
Die Reihenfolge wird umgedreht — zuerst werden Schlüssel und Notebook zurückgenommen, danach erst die digitalen Zugänge gesperrt. Solange die digitalen Zugänge offen sind, ist der Zugriff aber auch von jedem privaten Gerät möglich. Die physische Rückgabe schließt das offene Tor nicht — sie suggeriert lediglich, es sei geschlossen.
Mail-Postfach: zwischen Datenpflicht und Übergabe
Das persönliche E-Mail-Postfach ist die heikelste Schicht im Offboarding — und gleichzeitig die, bei der die meisten Fehler entstehen. Es lässt sich nicht einfach löschen, weil eingehende Geschäftsmails sonst verloren gehen. Es lässt sich nicht einfach offen lassen, weil sonst eine unbestimmte Zeit Dritte mit dem Mitarbeiter kommunizieren, der nicht mehr im Unternehmen ist. Und es unterliegt steuer- und handelsrechtlichen Aufbewahrungspflichten.
Drei-Phasen-Modell für das Postfach
Bewährt hat sich ein klar abgegrenztes Drei-Phasen-Modell, das die Übergabe und die Aufbewahrungspflicht voneinander trennt:
- Phase 1 (Tag 1 bis sechs Monate): Eingehende Mails werden auf einen vorhandenen Mitarbeiter umgeleitet. Eine automatische Antwort weist auf den neuen Ansprechpartner hin — neutral formuliert, ohne Austritts-Begründung. Ausgehende Sende-Berechtigung ist entzogen.
- Phase 2 (Monat 7 bis Ende der Aufbewahrungsfrist): Postfach wird in ein revisionssicheres Archiv überführt. Weiterleitung läuft aus, eingehende Mails an die alte Adresse werden mit einem Hinweis auf die neue Adresse abgewiesen.
- Phase 3 (nach Ablauf der Aufbewahrungsfrist): Archivinhalte werden nach Aufbewahrungsregeln gelöscht. Mail-Alias bleibt gegebenenfalls als sprechende Adresse für die Nachfolgeposition erhalten.
Die Trennung von Phasen ist wichtig, weil sonst die Weiterleitung dauerhaft läuft und Datenschutz-Konflikte entstehen, wenn private Nachrichten Dritter weiter an den Nachfolger zugestellt werden. E-Mail-Authentifizierung mit SPF, DKIM und DMARC schützt das ausgehende Sende-Verhalten zusätzlich gegen Missbrauch — Hintergründe dazu im Beitrag Phishing mit Ihrer Firmen-Adresse: was SPF, DKIM und DMARC verhindern.
Was später nur mit erheblichem Aufwand reparabel ist
Nicht jede vergessene Schicht ist gleich folgenreich. Ein paar Konstellationen sind allerdings im Nachgang nur noch mit deutlich höherem Aufwand zu bereinigen — diese gehören in die erste Aufmerksamkeit der Sperr-Stunde.
Renewal-Mailadressen und Inhaber-Kontakte
Wenn die Mailadresse, an die Domain-Verlängerungen oder SSL-Zertifikats- Erneuerungen gehen, auf einen ausgeschiedenen Mitarbeiter zeigt, läuft die jährliche Erinnerung ins Leere. Im Extremfall verfällt die Domain. Die Korrektur erfordert je nach Registrar eine Identitäts-Bestätigung des aktuellen Inhabers — was Wochen dauert, wenn der historische Inhaber-Eintrag ebenfalls auf den Ausgeschiedenen lautet.
Privat verknüpfte 2FA-Geräte
Authenticator-Apps auf Privatgeräten und Hardware-Token in privater Hand bleiben aktiv, bis sie administrativ entkoppelt sind. Bei Systemen, die ausschließlich über 2FA des ausgeschiedenen Mitarbeiters erreichbar sind, kann der Recovery-Pfad mehrere Wochen dauern — insbesondere bei Plattformen mit Identitäts-Bestätigung per Personal dokument.
Geteilte Tresore in privaten Passwort-Managern
Wenn der Mitarbeiter geschäftliche Zugänge in einem privaten Passwort- Manager-Account abgelegt hat, gibt es keine administrative Möglichkeit, diese zurückzuholen. Die einzig saubere Lösung ist die Rotation aller betroffenen Zugänge — eine vollständige Liste setzt voraus, dass der Mitarbeiter selbst preisgibt, was er gespeichert hat.
Code-Signing-Schlüssel und API-Zertifikate
Schlüssel, mit denen sich der Mitarbeiter gegenüber externen Systemen ausgewiesen hat, bleiben gültig, bis sie widerrufen sind. Bei automatisierten Schnittstellen zu Marktplätzen, Zahlungs-Anbietern oder Buchhaltung ist die Folge möglicherweise erst Tage später sichtbar — wenn Buchungen fehlschlagen.
Werbe-Konten und Zahlungs-Berechtigungen
Werbe-Konten mit hinterlegter Kreditkarte oder Lastschrift-Vollmacht können auch nach Austritt weiterhin Ausgaben verursachen, wenn die administrative Berechtigung beim ausgeschiedenen Mitarbeiter liegt. Hier ist nicht nur der Account-Zugang zu entziehen, sondern die Zahlungs-Berechtigung im Account selbst zu ändern.
Die Inventur lässt sich am besten dort vorbereiten, wo sie ohnehin nötig ist: in einem laufend gepflegten Zugangs-Register, das nicht erst zum Austrittstag entsteht. Eine simple Tabelle mit System, primärem Account, 2FA-Methode, Renewal-Adresse und verantwortlicher Person reicht aus — wichtig ist, dass sie nicht im persönlichen Postfach eines einzelnen Mitarbeiters liegt, sondern unter zentraler Kontrolle der Geschäftsführung.
Was vor dem letzten Tag geklärt sein muss
Die 60-Minuten-Stunde funktioniert nur, wenn die Vorbereitung vorher steht. Sechs Punkte sind im Vorlauf zu klären — typischerweise in den letzten zwei Wochen vor dem Austrittstermin:
- Sperrzeitpunkt mit Personalabteilung abstimmen: Die genaue Stunde des Sperr-Beginns wird mit Personal und Vorgesetztem festgelegt und im Kalender hinterlegt — nicht „am letzten Tag", sondern „Freitag, 16:00 Uhr".
- Inventar gegen Ist-Zustand abgleichen: Das bestehende Zugangs-Register wird gegen die zwölf Schichten geprüft. Lücken werden in den verbleibenden Tagen ergänzt.
- Nachfolger und Übergabe-Empfänger benennen: Pro Funktions-Postfach, geteiltem Tresor und kritischem System steht fest, an wen die Verantwortung übergeht. Ohne diesen Schritt entstehen Postfächer, die nirgendwo zugestellt werden.
- Renewal-Mailadressen vorab umschreiben: Bei Domain-Registrar, SSL-Provider, Hosting-Konsole und Fach-Software wird die Kontakt-Mailadresse vor dem Austrittstag auf die zukünftige Verantwortung umgestellt.
- Schriftliche Checkliste vorbereiten: Die zwölf Schichten und die Sperr-Reihenfolge stehen auf Papier — nicht im Browser-Tab. Im Protokoll werden Uhrzeit und Ausführende eingetragen.
- Eskalations-Plan für unerwartete Sofort-Trennung: Wenn der Austritt kurzfristig oder konfliktbeladen wird, ist die umgekehrte Reihenfolge (zuerst sperren, dann inventarisieren) vorbereitet — inklusive Liste der kritischen Sofort-Sperrungen.
Der Punkt mit der Renewal-Mailadresse ist der einzige, der zwingend vor dem letzten Tag erledigt sein muss. Die anderen lassen sich theoretisch in der Sperr-Stunde nachholen — kosten dann aber die Zeit, die für die Sperrung selbst eingeplant war. Eine routinemäßige Prüfung dieser Stellen einmal pro Jahr verhindert, dass beim nächsten Austritt kurzfristig nachgearbeitet werden muss; mehr dazu im Jahres-Audit für Ihre Website.
Übergabe-Protokoll und Dokumentation
Am Ende der Sperr-Stunde steht ein unterschriebenes Übergabe-Protokoll. Es dokumentiert pro System die durchgeführte Sperrung mit Uhrzeit, ausführender Person und Bestätigung. Im Streitfall ist es die einzige belastbare Grundlage — etwa wenn nach Monaten ein Vorwurf erhoben wird, das Unternehmen habe Zugriff zu spät entzogen.
Pflicht-Bestandteile des Protokolls
Mit Uhrzeit, pro gesperrtem System einzeln vermerkt
Alle zwölf Schichten durchgegangen, jede einzelne mit „gesperrt", „nicht vorhanden" oder „übergeben"
Arbeitsgeräte, Schlüssel, Transponder, Tankkarten, Dienst-Telefon mit Bestätigung der Rückgabe
Wer übernimmt welche Verantwortung — schriftlich fixiert, nicht „intern besprochen"
Ausscheidender Mitarbeiter, ausführende Person aus IT/Geschäftsführung, Personalabteilung
Aufbewahrung gemäß betrieblicher Regelung — typischerweise bis Ablauf der arbeitsrechtlichen Aufbewahrungsfristen
Das Protokoll wird in zweifacher Ausfertigung erstellt — eine Ausfertigung für die Personalakte, eine für den ausscheidenden Mitarbeiter. Diese Symmetrie verhindert spätere Auseinandersetzungen darüber, was gesperrt wurde und was nicht. Der Aufwand, das Protokoll ordentlich zu führen, ist im Verhältnis zur möglichen Streit-Energie vernachlässigbar.
Die fünf häufigsten Fehler im Offboarding
Bei der Analyse von Offboarding-Vorfällen zeigen sich klare Wiederholungsmuster — branchenübergreifend und unabhängig von der Unternehmensgröße.
Domain- und SSL-Verlängerungen landen im falschen Postfach
Authenticator-App wird nicht entkoppelt — Zugang bleibt offen
Eingehende Geschäftsmails gehen verloren, Belege fehlen
Sperr-Zeitpunkt ist im Streitfall nicht beweisbar
Ausgaben laufen nach Austritt weiter, niemand merkt es
Punkte 1 bis 3 sind die typischen Folge-Risiken, die im Nachgang nur mit erheblichem Aufwand zu reparieren sind — sie betreffen Zugangs-Kontrolle und Aufbewahrungspflicht, nicht die formelle Sperrung selbst.
Häufig gestellte Fragen
Verbindlich vor der Übergabe des Arbeitsgeräts und vor dem Verlassen des Gebäudes — also am letzten Arbeitstag, abgestimmt mit der Personalabteilung. Spätestens vor Übergabe der Dienstausstattung müssen die kritischen Zugänge (E-Mail, VPN, Cloud-Speicher, Repository, Passwort-Manager) entzogen sein. Wer den Zugriff erst am Folgetag entzieht, hat ein offenes Zeitfenster, das später nicht mehr rekonstruierbar ist — und im Streitfall nicht beweisbar, was zwischen letztem Arbeitstag und Sperrung passiert ist.
Drei Schritte: Das Postfach wird auf einen vorhandenen Mitarbeiter umgeleitet (Weiterleitungs-Regel mit automatischer Antwort), das ausgehende Senden wird gesperrt, der Login-Zugriff wird entzogen. Das Postfach selbst bleibt mindestens sechs Monate bestehen, damit eingehende Geschäftsmails nicht verloren gehen und Nachweise im Streitfall verfügbar sind. Nach dieser Übergangsphase wird das Postfach archiviert und nach den geltenden Aufbewahrungsfristen gelöscht. Eine automatische Antwort weist Absender auf den neuen Ansprechpartner hin — kein Verweis auf den Austritt selbst.
Geschäftliche E-Mails mit steuerrelevantem Inhalt unterliegen den handels- und steuerrechtlichen Aufbewahrungspflichten — sechs Jahre nach AO und HGB für Handelsbriefe, zehn Jahre für Buchungsbelege. Praktisch heißt das: Das Postfach wird in ein revisionssicheres Archiv überführt, nicht einfach gelöscht. Rein private E-Mails ohne geschäftlichen Bezug sind kein Archiv-Gegenstand und sollten vor Archivierung im Rahmen der Möglichkeiten getrennt werden. Eine klare betriebliche Regelung zur Privatnutzung dienstlicher Postfächer vor dem Austrittsfall vermeidet hier die meisten Auseinandersetzungen.
Jedes 2FA-Verfahren, das mit dem Privatgerät des Mitarbeiters verknüpft ist — Authenticator-App auf dem privaten Smartphone, Hardware-Token in privater Hand — bleibt nach Austritt aktiv, solange es nicht administrativ entkoppelt wird. Das ist der häufigste vergessene Punkt im Offboarding. Konkret bedeutet das: Pro System einzeln prüfen, welche 2FA-Methode beim ausscheidenden Mitarbeiter hinterlegt ist, die Methode aus dem Account entfernen und durch eine neue Methode des Nachfolgers ersetzen. Bei kritischen Systemen mit Recovery-Codes müssen auch diese ausgetauscht werden.
Bei sofortiger Trennung gilt die umgekehrte Reihenfolge: zuerst sperren, dann inventarisieren. Die kritischen Zugänge (E-Mail, VPN, Cloud-Speicher, Code-Repository, Passwort-Manager, Verwaltungs-Konsolen) werden umgehend entzogen, bevor die formelle Mitteilung an den Mitarbeiter erfolgt. Anschließend wird das vollständige Zugangs-Inventar gegen die gesperrten Systeme abgeglichen. Übergabe-Themen wie Abschieds-Mail oder Postfach-Weiterleitung werden erst danach geklärt. Wichtig: Dokumentation des Sperr-Zeitpunkts pro System mit Uhrzeit und sperrender Person — das ist im Streitfall die Grundlage.
Die Verantwortung liegt klassisch dreigeteilt: Personalabteilung meldet den Austrittstermin (mit Stunde des Sperr-Zeitpunkts), IT führt die technische Sperrung durch (oder die jeweilige Fachabteilung bei Fach-Systemen), Geschäftsführung verantwortet die Vollständigkeit des Inventars. In KMU ohne dedizierte IT-Rolle ist die Geschäftsführung in beiden Funktionen aktiv und sollte mit einer schriftlichen Checkliste arbeiten, die nach jedem Austritt unterschrieben wird. Diese Trennung ist auch deshalb wichtig, weil bei einem späteren Streit der Sperr-Zeitpunkt belegbar dokumentiert sein muss — nicht aus dem Gedächtnis rekonstruiert.
Der Aufwand entsteht vor dem Tag — nicht an ihm
Die Vorstellung, die Zugangs-Audit-Stunde sei der eigentliche Aufwand, führt regelmäßig in die Defensive — und damit zu einer unvollständigen Sperrung. Die Erfahrung zeigt das Gegenteil: Wenn das Zugangs-Register laufend gepflegt ist, die Übergabe-Empfänger feststehen und die Renewal-Adressen vorab geklärt sind, ist die Stunde am Austrittstag eine geordnete Routine.
Der Aufwand verschiebt sich damit dorthin, wo er ohnehin gut aufgehoben ist — in die laufende Verwaltung der Zugänge, nicht in eine hektische Nachreparatur unter Zeitdruck. Wer eine routinemäßige Prüfung der gesamten Website- und Zugangs-Landschaft etablieren möchte, findet im Beitrag zum Website-Notfallplan den weitergehenden Rahmen.
Wir prüfen in 2 Werktagen, wo Ihr Unternehmen offene Zugänge ausgeschiedener Mitarbeiter hat — und nennen die Reihenfolge, in der Sie sie sauber schließen.