3E1 Onboarding/Offboarding

• Standardisierte Prozesse: Die Erteilung und Sperrung von Zugangsberechtigungen erfolgt anhand standardisierter, dokumentierter Verfahren. Alle Prozessschritte müssen nachvollziehbar und revisionssicher protokolliert werden.

• Unmittelbare Sperrung: Bei Beendigung des Arbeitsverhältnisses oder bei unberechtigtem Zugriff werden Zugangsdaten und Zutrittsmedien ohne Verzögerung deaktiviert, um Risiken für die Betriebssicherheit auszuschließen.

• Protokollierung und Nachvollziehbarkeit: Das Zutrittskontrollsystem protokolliert automatisch jede Änderung von Berechtigungen und alle Zutrittsversuche. Diese Protokolle dienen als Nachweis für Audits und Sicherheitsüberprüfungen.

• Integrität und Unverfälschtheit: Das System muss Manipulationsschutz bieten, um die Integrität der Zutrittsdaten und Protokolle zu gewährleisten. Eingriffe und Wartungen erfolgen unter Einhaltung dokumentierter Sicherheitsverfahren.

• Rechtskonformität: Alle Maßnahmen entsprechen den geltenden gesetzlichen, normativen und vertraglichen Vorgaben, insbesondere im Hinblick auf Datenschutz und Arbeitsrecht.

• Kooperation mit dem Nutzerunternehmen: Der Bieter stimmt mit dem Auftraggeber bzw. dessen Beauftragten die detaillierten Abstimmungsprozesse (z. B. Kommunikationswege mit HR und IT) ab, um einen reibungslosen Ablauf sicherzustellen.

• Antragseinreichung: Ein Zugangsantrag wird vom zuständigen Fachbereich über die Personalabteilung eingereicht. Der Antrag enthält Personalien, Beschäftigungsart (Festanstellung, Zeitarbeit, Praktikum), voraussichtliche Einsatzdauer, Arbeitszeiten und die erforderlichen Zutrittsbereiche.

• Prüfung der Berechtigung: Die Personalabteilung prüft die Beschäftigungs- bzw. Vertragsunterlagen und bestätigt die Berechtigung für Zutrittsrechte. Zusätzlich erfolgt eine Identitätsprüfung (z. B. Vorlage eines gültigen Ausweisdokuments).

• Rollenbasiertes Berechtigungskonzept: Basierend auf der Funktion des Mitarbeiters wird in der definierten Zugriffsmatrix ein Berechtigungsprofil ausgewählt. Dieses legt fest, zu welchen Bereichen und Zeiten der Mitarbeiter Zugang erhält (Prinzip der minimalen Rechtevergabe).

• Freigabeprozess: Nach der Vorprüfung wird der Antrag an eine autorisierte Stelle (z. B. Sicherheitsbeauftragter, IT-Security) weitergeleitet. Dort erfolgt eine sachliche und sicherheitsrelevante Überprüfung. Bei Übereinstimmung mit den Sicherheitsrichtlinien wird der Antrag genehmigt.

• Vier-Augen-Prinzip: Für Zugangsarten mit hohem Risiko (z. B. Serverraum, Labor) wird eine Doppelgenehmigung durch zwei befugte Personen (z. B. Abteilungsleitung und Sicherheitsmanagement) eingeholt.

• Dokumentation: Jeder Schritt des Genehmigungsprozesses wird protokolliert, einschließlich Antragsteller, Entscheidungsbefugten und Zeitstempel. Dadurch ist eine lückenlose Nachvollziehbarkeit sichergestellt.

• Benutzerprofilanlage: Nach Genehmigung erstellt die verantwortliche IT- oder Sicherheitsabteilung ein Benutzerkonto im elektronischen Zutrittskontrollsystem. Dabei werden Personalnummer und Rolleninformationen hinterlegt.

• Zuordnung der Medien: Jedem neuen Nutzer werden Zutrittsmedien zugewiesen. Dies kann ein RFID-Ausweis, ein persönlicher PIN-Code, ein biometrisches Merkmal oder ein mobiles Zugangstoken (z. B. Smartphone-App) sein.

• Biometrische Verfahren: Sofern Biometrie eingesetzt wird, erfolgt dies nur mit ausdrücklicher Einwilligung der betroffenen Person. Vor der Erfassung werden Zweck, Umfang, Speicherdauer und Löschung der biometrischen Daten gemäß DSGVO erläutert.

• Kennwort- und PINSicherheit: Werden PIN-Codes oder Passwörter vergeben, unterliegen diese strengen Vergaberegeln (Mindestlänge, Komplexität, regelmäßiger Wechsel). Die Ausgabemedien werden mittels spezieller Software eindeutig mit dem Nutzer verknüpft.

• Übergabeprotokoll: Der Empfang von Ausweisen und Zugangsdaten wird dokumentiert. Das Protokoll enthält Ausweisnummer, Datum, Unterschrift des Empfängers und des Ausstellers. Eventuelle Besonderheiten (z. B. beschädigter Chip) werden vermerkt.

• Befristete Berechtigungen: Für temporäre Zutrittsmedien (z. B. Besucherausweise) wird eine definierte Nutzungslaufzeit eingestellt, danach erfolgt automatische Deaktivierung.

• Einführung in Sicherheitsrichtlinien: Neue Nutzer erhalten eine detaillierte Einweisung in die Zutrittskontrollrichtlinien. Dazu gehören Hinweise zum Verhalten bei Verlust von Zutrittsmedien, zum Umgang mit Alarm- und Notsituationen sowie Informationen zu betrieblichen Vorschriften.

• Umgang mit Zutrittsmedien: Demonstration des korrekten Gebrauchs von Ausweisen, Schließfächern, Drehkreuzen oder biometrischen Lesegeräten. Besonderes Augenmerk liegt auf dem Schutz der Zugangsdaten vor unberechtigter Weitergabe.

• Datenschutzinformation: Bei der Nutzung personenbezogener Daten (z. B. Biometriedaten) wird der Nutzer über seine Rechte und den Verarbeitungszweck informiert. Ein schriftliches Einverständnis für die Datenverarbeitung wird eingeholt und dokumentiert.

• Bestätigung der Einweisung: Am Ende der Schulung bestätigen die Teilnehmer schriftlich oder elektronisch, dass sie die Sicherheits- und Datenschutzregeln verstanden haben. Diese Bestätigung wird archiviert.

• Aktualisierung bei Änderungen: Erfolgt eine Änderung der Zutrittsprozesse (z. B. Einführung neuer Technologien oder geänderter Sicherheitsrichtlinien), erhalten alle betroffenen Personen zeitnah eine Auffrischung der Schulung.

• Beendigung des Beschäftigungsverhältnisses: Bei Kündigung, Ablauf des Vertrags oder Ruhestand wird der Zutritt sofort deaktiviert. Dies gilt ebenfalls für Leih- und Zeitarbeitnehmer, Praktikanten, Auszubildende, Werkstudenten und Projektmitarbeiter.

• Funktions- oder Bereichswechsel: Wechselt ein Mitarbeiter intern in eine Position oder einen Bereich mit anderen Zutrittsanforderungen, wird sein altes Berechtigungsprofil umgehend angepasst oder entzogen.

• Langzeitabwesenheit: Langfristige Abwesenheiten (z. B. Elternzeit, Sabbatical) führen zur temporären Sperrung der Zutrittsmedien, bis der Zutritt wieder benötigt wird.

• Sicherheitsvorfälle: Bei Verdacht auf Missbrauch, Sicherheitsverletzungen oder Ermittlungen werden alle Zugangsrechte sofort gesperrt, unabhängig vom aktuellen Beschäftigungsstatus.

• Unmittelbare Deaktivierung: Das Sicherheitsteam deaktiviert sämtliche elektronischen Zugangsberechtigungen im System unverzüglich nach Bekanntgabe des Ausscheidens. Dabei werden RFID-Ausweise gesperrt, PIN-Codes widerrufen, mobile Zugangstoken entzogen und elektronische Schlüssel deaktiviert.

• Rückgabe physischer Medien: Der Mitarbeiter ist verpflichtet, alle physischen Zutrittsmedien (Ausweise, Schlüssel, Smartcards, mobile Lesegeräte) bei Austritt zurückzugeben. Der Rückgabeempfang wird dokumentiert.

• Biometrische Datenlöschung: Bei biometrischen Systemen werden die individuellen Daten des Mitarbeiters unmittelbar gelöscht oder zumindest so deaktiviert, dass kein Zugriff mehr möglich ist. Ein Löschprotokoll wird erstellt.

• Nachverfolgung bei Rückgabeverzug: Sollte ein Zutrittsmedium nicht umgehend zurückgegeben werden, erfolgt sofort eine Fernsperrung. Parallel wird ein Nachverfolgungsprozess mit Fristsetzung durch die Personalabteilung bzw. den Vorgesetzten initiiert.

• Notfallzugänge: Falls zuvor Notfall-Zugänge (Schlüsselkopien, Master-Karten) ausgegeben wurden, wird deren Notwendigkeit geprüft und sie werden gegebenenfalls ebenfalls entzogen oder eingezogen.

• Stufenweise Sperrung: In Einrichtungen mit mehreren Zutrittssystemen wird gestuft vorgegangen: Zunächst werden alle nicht mehr benötigten Rechte entzogen, anschließend verbleiben nur die für einen möglichen Transfer notwendigen Rechte, bis neue Berechtigungen vergeben werden.

• Protokollierung: Jede Sperrung wird im Zutrittskontrollsystem lückenlos dokumentiert. Zeitstempel, verantwortlicher Mitarbeiter, Anlass der Sperrung und betroffene Berechtigungen werden erfasst.

• Information der Personalabteilung: Die Personalabteilung erhält eine formelle Mitteilung über die erfolgte Deaktivierung, um die Personalakte zu aktualisieren und gegebenenfalls Abrechnungsprozesse (z. B. Rückzahlung von Kautionen) einzuleiten.

• Bestätigung und Abschluss: Nach erfolgreicher Rückgabe der Medien und Löschung der Daten wird eine Abschlussbestätigung erstellt und vom zuständigen Sicherheitsbeauftragten freigegeben.

• Betriebsratsinformation: Ist der Betriebsrat in den Zutrittskontrollprozess eingebunden, wird er über den Abschluss des Offboarding-Prozesses informiert, insbesondere wenn besondere Daten (z. B. biometrische Informationen) betroffen sind.

• Archivierung: Alle Dokumente und Protokolle im Zusammenhang mit der Erteilung und Entziehung von Zugangsberechtigungen werden gemäß interner und gesetzlicher Aufbewahrungsfristen revisionssicher archiviert.

• Mehr-Augen-Prinzip: Für sicherheitskritische Vorgänge (z. B. Freischaltung besonders sensibler Bereiche, Änderung zentraler Zutrittsrichtlinien) sind stets zwei berechtigte Personen erforderlich. Ein Einzelzugriff auf diese Prozesse ist ausgeschlossen.

• Alarm- und Meldesysteme: Das Zutrittskontrollsystem informiert per E-Mail oder SMS über ungewöhnliche Zutrittsversuche, mehrfach fehlerhafte PIN-Eingaben oder Systemstörungen. Verantwortliche Stellen werden sofort alarmiert.

• Regelmäßige Audits: In festgelegten Abständen (mindestens vierteljährlich) wird eine Kontrolle der gespeicherten Zutrittsberechtigungen durchgeführt. Dabei wird geprüft, ob die vergebenen Rechte mit aktuellen Personal- und Einsatzdaten übereinstimmen.

• Systemintegrität: Die gespeicherten Zugangsdaten und Protokolle sind verschlüsselt und gegen Manipulation geschützt. Nur autorisierte Administratoren haben Zugriff auf die sicherheitsrelevanten Systemkomponenten.

• Notfallverfahren: Für Situationen, in denen das elektronische System nicht verfügbar ist, bestehen manuelle Notfallzugangsregeln (z. B. Schlüsseldepots, mechanische Zylinder). Alle Vorgänge während dieser Phase werden ebenfalls dokumentiert.

• Schnittstellenabgleich: Änderungen in externen Systemen (z. B. Personalverwaltung, Zeiterfassung) werden automatisch mit dem Zutrittskontrollsystem synchronisiert, um Inkonsistenzen zu vermeiden.

• Onboarding-Prozess: Personalabteilung initiiert Zutrittsantrag → Prüfung durch HR → Freigabe durch Abteilungsleitung und Sicherheitsmanagement → Erstellung des Nutzerprofils im System → Ausgabe der Zugangsmedien → Anwenderschulung → abschließende Bestätigung und Dokumentation.

• Offboarding-Prozess: Kündigungs- oder Austrittsmeldung → Information an Sicherheitsteam → sofortige Deaktivierung der elektronischen Berechtigungen → Rückgabe und Abnahme der physischen Medien → Löschung personenbezogener Daten → Abschlussbestätigung und Dokumentation.

Der Bieter bestätigt hiermit, dass alle oben beschriebenen Verfahren und Prozesse vollständig umgesetzt sind und allen gesetzlichen und vertraglichen Anforderungen entsprechen. Alle Erteilungen und Entzüge von Zutrittsberechtigungen erfolgen dokumentiert, nachweisbar und unter Beachtung der Facility-Management-Richtlinien sowie der Datenschutzbestimmungen.

Ort, Datum

Name des Zeichnungsberechtigten

: __________________________

Position: _______________________

Unterschrift: ______________________

Firmenstempel: ___________________