Provisioning und Deprovisioning: HR-FM-Zusammenarbeit

Deutsche Rahmenbedingungen

In deutschen Organisationen steuert HR in der Regel den Ein- und Austrittsrozess, mit IT und FM als ausführenden Stellen. Die DSGVO verlangt, dass Zugriffsrechte zeitnah entzogen werden, sobald die Rechtsgrundlage für die Datenverarbeitung entfällt (Ende des Beschäftigungsverhältnisses). ISO 27001 Annex A.6.5 stellt Anforderungen an das Management von Zugriffsrechten bei Änderungen im Beschäftigungsverhältnis. Das BDSG § 26 regelt die Rechtsgrundlage für die Verarbeitung der zugehörigen Personaldaten. Der Betriebsrat hat nach § 99 BetrVG Mitbestimmungsrecht bei personenbezogenen Änderungen, die über rollenbasierte Zugangssysteme abgebildet werden.

Schlüsselbegriffe

Provisioning

Strukturierte Vergabe physischer und digitaler Zutrittsrechte an einen neuen Mitarbeitenden auf Basis von Funktion und Einsatzort.

Deprovisioning

Entzug aller Zutrittsrechte beim Ausscheiden, Funktionswechsel oder längerer Abwesenheit. Einschließlich der Rückgabe physischer Ausweise und Schlüssel.

Joiner-Mover-Leaver (JML)

Prozessbeschreibung für das Management von Zutrittsrechten über den gesamten Mitarbeitendenlebenszyklus: Eintritt, Versetzung und Austritt.

Orphan Account

Aktives Zugangsprofil, das nicht mehr an einen aktiven Mitarbeitenden geknüpft ist. Sicherheitsrisiko, das bei mangelhaftem Deprovisioning entsteht.

Schritt-für-Schritt-Vorgehen

Entwickeln Sie gemeinsam mit HR und IT einen JML-Prozess (Joiner-Mover-Leaver). Bei Dienstantritt (Joiner) übermittelt HR eine Benachrichtigung an FM mit Startdatum, Standort, Abteilung und Funktion. Auf Basis der Funktion weist FM die zugehörigen Zutrittszonen zu – verwenden Sie ein rollenbasiertes Modell, damit keine individuelle Konfiguration erforderlich ist. Der Ausweis ist am ersten Arbeitstag einsatzbereit.

Bei Funktionswechsel (Mover) übermittelt HR eine Änderungsmeldung. FM passt die Zutrittsrechte an: Neue Zonen werden geöffnet, bisherige werden geschlossen. Das wird oft vergessen – jemand, der von Forschung & Entwicklung in den Vertrieb wechselt, behält dann unzulässigerweise Zugang zum Labor. Eine vierteljährliche Abgleichung, bei der FM die aktiven Berechtigungen mit den HR-Daten vergleicht, deckt solche Versäumnisse auf.

Bei Ausscheiden (Leaver) ist Schnelligkeit entscheidend. Der Ausweis muss am letzten Arbeitstag gesperrt werden, idealerweise in dem Moment, in dem der Mitarbeitende das Gebäude verlässt. Nehmen Sie die Einziehung des physischen Ausweises in die Offboarding-Checkliste von HR auf. Prüfen Sie monatlich auf Orphan Accounts: aktive Ausweise, die nicht mehr an aktive Mitarbeitende geknüpft sind. Die Automatisierung über eine Schnittstelle zwischen HR-System und Zugangssystem ist die zuverlässigste Lösung.