Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Datenschutz-Organisation · Beschäftigtendatenschutz · DSGVO Art. 32, 28

Onboarding-Checkliste neue Mitarbeitende

Der Erstkontakt mit der Datenverarbeitung ist der wichtigste — was hier vergessen wird, holt selten jemand nach. Die folgende Checkliste deckt drei Verantwortlichkeiten ab: HR, IT, Fachbereich.

Vor Arbeitsbeginn

HR

  • Datenschutzhinweis nach Art. 13 für Beschäftigte ausgehändigt.
  • Verpflichtungserklärung auf das Datengeheimnis (§ 53 BDSG) unterschrieben.
  • Verpflichtung auf Geheimhaltung (Geschäftsgeheimnisgesetz) unterschrieben.
  • Bei besonderen Datenkategorien (Sozial-/Gesundheitsdaten): zusätzliche Verpflichtung auf das Sozialgeheimnis (§ 35 SGB I) bzw. ärztliche Schweigepflicht.
  • Bei Auftragsverarbeitungs-Tätigkeit: Hinweis auf Weisungsbindung gegenüber Kunden.

IT

  • Account angelegt, minimal privilegiert (Need-to-Know).
  • Initial-Passwort gesetzt, Zwangsänderung beim ersten Login.
  • MFA eingerichtet (TOTP-App oder Hardware-Token).
  • Mobile-Device-Management auf dienstlichem Smartphone (oder BYOD-Vereinbarung).
  • Zugang zu Datenschutz-Wiki / KB für Mitarbeitende eingerichtet.
  • Mailadresse mit DSB-Verteiler im Kalender (bei DSB-relevanten Funktionen).

Fachbereich

  • Rollenzuweisung (welche Systeme, welche Aufgaben).
  • Berechtigungsantrag im Berechtigungs-Workflow dokumentiert.
  • Genehmigung durch Vorgesetzte + IT-Sicherheit (Vier-Augen-Prinzip).
  • Buddy als Ansprechpartner für die ersten 4 Wochen festgelegt.

In der ersten Arbeitswoche

  • Datenschutz-Grundschulung (Online, 45 Min, mit Test).
  • Vorstellung beim DSB (5-10 Min, real oder per Mail).
  • Hands-on-Demo zum Datenpannen-Meldeweg (wo melden, an wen, wie schnell).
  • Phishing-Erkennung anhand realer Beispiele.
  • Tour durch die wichtigsten Verarbeitungsverzeichnis-Einträge des eigenen Bereichs.

In den ersten 30 Tagen

  • Quiz zur Schulung bestanden (≥ 80 %).
  • Berechtigungen werden in der Praxis genutzt — Über-Berechtigungen vom Buddy / Fachbereich gemeldet und reduziert.
  • Optionale Vertiefungsschulung je nach Rolle (z.B. „Datenschutz im Vertrieb”, „Datenschutz im Personalwesen”).

Beim Austritt — die Spiegelung

Das Onboarding hat ein Offboarding-Pendant. In der Personalakte zum Austrittsdatum:

  • Alle Accounts deaktiviert (gleichzeitig mit Übergabe des letzten Arbeitstags).
  • Hardware zurückgegeben (Laptop, Smartphone, Token, Schlüssel).
  • Mailadresse umgeleitet oder mit Auto-Reply belegt; 30-90 Tage später gelöscht.
  • Berechtigungen aus Drittsystemen entfernt (CRM, Cloud, Banking).
  • Datenschutzpflichten nach Beendigung in Erinnerung gerufen (Geheimhaltung bleibt).

Häufige Fehler

  • Account ist da, bevor die Verpflichtungserklärung unterschrieben ist.
  • Schulung erst nach 3 Monaten, wenn die Person schon kritische Daten sieht.
  • Berechtigungen werden nie minimiert — alle Neuen bekommen das Standard-Vollpaket.
  • Offboarding hat keine Checkliste — alter Account bleibt ein Jahr aktiv.

Wenn wir DSB sind

Wir liefern die Vorlage (Word/PDF), führen einen jährlichen Audit der Onboarding/Offboarding-Praxis durch (Stichprobe: 5 zuletzt eingestellte + 5 zuletzt ausgetretene Personen) und melden Lücken an die Personalleitung.

Quelle: FS/CS GmbH