Zum Inhalt

Onboarding & Offboarding

Onboarding und Offboarding

Onboarding: Der erste Tag entscheidet

Onboarding ist nicht nur HR – es ist IT-Sicherheit. Was am ersten Tag eingerichtet wird, bestimmt die Sicherheit der nächsten Jahre.

Onboarding-Checkliste (Am ersten Arbeitstag durchführen)

Vor dem ersten Arbeitstag: - [ ] Nächster Arzt oder Senior-Mitarbeiter wird als "Pate" für Einweisung benannt - [ ] Alle Verpflichtungserklärungen sind vorbereitet (ausgedruckt)

Am ersten Arbeitstag – Computer und Zugang: - [ ] Benutzer im PVS anlegen - [ ] Name korrekt eingeben (nicht "Mitarbeiter 5") - [ ] Rolle zuweisen (MFA, Verwaltung, etc.) - [ ] Startes Passwort vergeben (lang, komplex, zu ändern beim ersten Login) - [ ] 2FA einrichten (wenn verfügbar) - [ ] Windows-Benutzerkonto anlegen (Standard-Rechte, nicht Admin) - [ ] E-Mail-Konto erstellen oder aktivieren - [ ] WLAN-Zugang erklären und geben - [ ] Telefon-Zugang erklären

Am ersten Arbeitstag – Verpflichtungen: - [ ] Verpflichtungserklärung nach Art. 32 Abs. 4 DSGVO unterschreiben lassen - [ ] Förmliche Verpflichtung nach § 203 StGB unterschreiben lassen (Schweigepflicht) - [ ] Datenschutz-Informationsblatt nach Art. 13 DSGVO geben und unterschreiben lassen - [ ] Beide Dokumente in der Personalakte hinterlegen

Am ersten Arbeitstag – Sicherheits-Einweisung: - [ ] Kurzes Gespräch (30 Min) über Sicherheits-Regeln - [ ] Passwort-Sicherheit - [ ] Phishing-Erkennung (verdächtige E-Mails) - [ ] Umgang mit Patientendaten - [ ] Meldepflicht bei verdächtigem Vorfall - [ ] Sicherheits-Regeln-Seite unterschreiben lassen

In der ersten Woche: - [ ] Praxis-Tour + IT-Infrastruktur zeigen (wo sind die Server, Backup-Geräte, etc.) - [ ] PVS-Schulung (mit Hersteller oder erfahrenem Kollegen) - [ ] Fachliche Einarbeitung beginnen

Dokumentation: Alle Unterschriften und Bestätigungen sollten in einer Ordner "Onboarding" in der Personalakte gespeichert werden oder analog.

Offboarding: Der kritischste Moment

Offboarding passiert oft gar nicht. Das ist das eigentliche Sicherheits-Problem. Ein Mitarbeiter, der vor sechs Monaten gegangen ist und noch Zugang hat – das ist der normale Fall.

Offboarding-Checkliste (Am LETZTEN Arbeitstag durchführen)

Im Gespräch oder direkt vorher mit dem Mitarbeiter: - [ ] Klären, dass Schweigepflicht und Vertraulichkeit nach Kündigung weitergilt - [ ] Alle firmeneigenen Geräte zurückfordern - [ ] Laptop - [ ] Smartphone - [ ] eHBA oder Schlüsselkarten - [ ] Schlüssel (Praxis, Schränke) - [ ] Cloud-Synchronisierungen auf Privatgeräten beenden/erklären - [ ] Rückgabe aller Unterlagen

SOFORT (noch am gleichen Tag oder am nächsten Morgen, bevor der Mitarbeiter Praxis betreten kann): - [ ] PVS-Konto sperren - [ ] Windows-Benutzerkonto deaktivieren - [ ] E-Mail-Konto sperren oder auf Nachfolger umleiten - [ ] Alle Geräte-Zugriffe deaktivieren (Laptop, Smartphone, Zugangskontrollen) - [ ] WLAN-Passwort ändern (falls Mitarbeiter es kannte) - [ ] Fernlöschung von ausgegebenen Geräten initiieren (wenn möglich)

Im Laufe des Tages: - [ ] Alle benutzerdefinierten Passwörter, die der Mitarbeiter kannte, ändern - [ ] Zugriffsberechtigungen für Cloud-Dienste entziehen - [ ] VPN-Zugang deaktivieren (falls vorhanden) - [ ] Telefon-Weiterleitung deaktivieren oder neu einrichten

In der Woche danach: - [ ] Ausgegebene Geräte überprüfen (Daten löschen, wenn nötig) - [ ] Audit-Logs checken, ob der Mitarbeiter noch irgendwo Zugriff hatte, den wir nicht kennten - [ ] Customers informieren, falls der Mitarbeiter direkter Ansprechpartner war

Besonderheit für Berufsgeheimnisträger: - [ ] Schriftliche Erinnerung an fortbestehende Schweigepflicht (§ 203 StGB) – unterschreiben oder empfangen (Einschreiben) - [ ] Alle Unterlagen und Datenträger mit geschützten Informationen sind zurückgefordert und dokumentiert - [ ] Löschnachweis für persönliche Daten auf privaten Geräten des Mitarbeiters (wenn möglich)

Dokumentation: Alle Offboarding-Schritte sollten auf einer Checkliste dokumentiert werden. Datum, Uhrzeit, wer hat es getan. Diese Dokumentation schützt die Praxis, falls später Fragen auftauchen.

Der Notfall: Fristlose Kündigung

Wenn ein Mitarbeiter fristlos gekündigt wird oder plötzlich geht, müssen Sie schneller handeln. Im Idealfall wird die Sperrung noch während des Kündigungsgesprächs durchgeführt – oder sofort danach, bevor der Mitarbeiter den Ort verlässt.

Plan im Kopf haben: - Wer sperrt Zugänge? (IT-Dienstleister oder technischer Mitarbeiter) - Welche Systeme sind am kritischsten? (PVS, E-Mail, Finanzen) - Wie wird internen kommuniziert? (Wer informiert die Kunden?)

So etwas kann im Streitfall eskalieren – Vorbereitung ist wichtig.

Checkliste: Onboarding & Offboarding

Onboarding: - [ ] Verpflichtungserklärungen sind vorbereitet. - [ ] Alle Onboarding-Schritte werden am ersten Tag durchgeführt. - [ ] PVS-Konto mit Rolle und starkem Passwort. - [ ] Verpflichtungen unterschrieben, in Personalakte. - [ ] Sicherheits-Einweisung dokumentiert.

Offboarding: - [ ] Offboarding-Checkliste existiert und wird bei jedem Abgang durchlaufen. - [ ] Alle Zugänge werden am letzten Arbeitstag gesperrt. - [ ] Geräte werden zurückgefordert und überprüft. - [ ] Firmen-Passwörter werden geändert (auch "nur kurz benutzte"). - [ ] Schweigepflicht-Erinnerung wird dokumentiert. - [ ] Audit-Logs werden überprüft auf unerwartete Zugriffe.