Ehemaliger Mitarbeiter noch in der WhatsApp-Gruppe: das Leck, das du nicht siehst

Postfächer und Logins regelst du beim Austritt sauber, aber WhatsApp-, Signal- und Teams-Gruppen werden oft vergessen. So gehst du das strukturell an.

Jemand verabschiedet sich. Du sperrst das Postfach, holst den Laptop zurück, änderst die Passwörter der gemeinsamen Accounts. Erledigt, denkst du. Bis drei Monate später jemand im Gruppen-Chat der Belegschaft eine Preisliste teilt und dir plötzlich auffällt: Hey, Karin ist hier ja immer noch drin. Karin arbeitet seit einem halben Jahr beim Wettbewerber.

Das ist eines der häufigsten Lecks bei KMU-Unternehmen. Nicht spektakulär, kein Hack, kein Alarm. Einfach vergessen. Und genau das macht es so hartnäckig.

Warum WhatsApp-Gruppen so oft vergessen werden

E-Mail-Konten und geschäftliche Logins stehen meistens auf einer Liste. Beim Austritt geht jemand diese Liste durch. Aber Gruppen-Chats entstehen organisch: Ein Fahrer erstellt eine Gruppe „Lieferung Nord", ein Verkäufer startet eine Signal-Gruppe mit drei Kollegen für Angebote, jemand richtet einen Teams-Kanal für ein Projekt ein, das längst abgeschlossen ist.

Niemand dokumentiert diese Gruppen. Sie liegen auf privaten Handys. Und wer die Gruppe damals angelegt hat, erinnert sich nach einer Weile nicht mehr, wer alles drin ist. Das Ergebnis: Ehemalige Mitarbeiter lesen jahrelang operative Informationen, Preisstellungen, Kundennamen und interne Beschwerden mit.

Was konkret schiefgehen kann

• Wettbewerbssensible Informationen: Preislisten, Rabattvereinbarungen, Lieferantennamen.
• Kundendaten: Fotos von Lieferscheinen, Adressen, Telefonnummern — oft GDPR-relevant.
• Reputation: Ein ehemaliger Mitarbeiter liest mit, wenn über einen Kunden gelästert wird, und gibt das weiter.
• Phishing-Einfallstor: Ein Ex-Kollege, dessen Nummer übernommen oder dessen Handy gestohlen wurde, kann plötzlich „im Namen des Unternehmens" etwas in einer Gruppe anfragen, in der man ihm noch vertraut.

Das klingt unwahrscheinlich, aber wir erleben es öfter als du denkst. Ein ehemaliger Mitarbeiter verliert sein Handy, die Nummer wird später neu vergeben, und der neue Inhaber sitzt plötzlich in deiner Unternehmensgruppe.

Ein praktikabler Ansatz in vier Schritten

1. Erstelle einmalig eine Liste aller Gruppen

Bitte jeden Mitarbeiter, in fünf Minuten aufzuschreiben, in welchen arbeitsbezogenen Gruppen-Chats er oder sie ist. Nicht nur WhatsApp, auch Signal, Telegram, Teams-Kanäle, Slack-Channels und die eine Facebook Messenger-Gruppe aus dem Jahr 2021. Sammle das in einem Dokument. Du wirst staunen, wie viele es sind.

2. Bestimme pro Gruppe einen „Gruppen-Verantwortlichen"

Eine Person ist dafür zuständig, wer in der Gruppe ist. Kein Verantwortlicher = die Gruppe kann weg oder muss zusammengeführt werden. Das verhindert, dass Gruppen weiter existieren, ohne dass sich jemand verantwortlich fühlt.

3. Füge „Gruppen-Chats bereinigen" zu deiner Offboarding-Checkliste hinzu

Beim Austritt bittest du den Mitarbeiter, selbst aus allen Arbeitsgruppen auszutreten — vor dem letzten Arbeitstag, nicht danach. Und der Gruppen-Verantwortliche entfernt die Person zusätzlich aktiv (das vergessen manche schlicht). Doppelte Absicherung.

4. Führe zweimal im Jahr eine kurze Kontrolle durch

Geh im Januar und Juli die Gruppenliste durch. Stimmt die Mitgliederzahl noch? Ist noch jemand drin, der nicht mehr dazugehört? Zehn Minuten Aufwand, enormer Unterschied.

Bonus: Geschäftliche Nummern vom Privaten trennen

Wenn mit privaten Handys gearbeitet wird und ein Mitarbeiter das Unternehmen verlässt, nimmt er oder sie die persönliche Nummer mit. Logisch, das ist seine oder ihre Nummer. Damit verschwinden aber auch die Kundenkontakte, die über diese Nummer aufgebaut wurden. Erwäge für Funktionen mit viel Kundenkontakt eine separate Geschäftsnummer (z. B. über eine zweite SIM-Karte oder eine mobile App wie WhatsApp Business mit eigener Nummer). Bei Austritt wird diese Nummer zurückgegeben, Kunden behalten denselben Ansprechpartner, und der ehemalige Mitarbeiter nimmt keinen Kundenstamm auf seinem Handy mit.

Und was ist mit Teams, Slack und SharePoint?

Bei Microsoft 365 oder Google Workspace ist das teilweise einfacher: Sobald du das Konto deaktivierst, erlischt der Zugriff auf alle verknüpften Kanäle und Dateien. Vorausgesetzt, du deaktivierst das Konto wirklich und „pausierst es nicht nur vorübergehend". Wir sehen regelmäßig, dass alte Konten monatelang aktiv bleiben, weil „wir vielleicht noch etwas aus dem Postfach brauchen". Mach stattdessen einen Postfach-Export und schließe das Konto innerhalb von 30 Tagen.

Möchtest du wissen, ob das bei dir sauber geregelt ist? Dann lohnt sich ein Zugangs-Check: Wir schauen, wer in deinem Microsoft 365 oder Google Workspace noch aktiv ist, welche Konten sich seit Langem nicht mehr eingeloggt haben und welche externen Gäste noch Zugriff auf deine Dateien haben. Dabei kommen oft zwei oder drei Überraschungen zum Vorschein, die du seit Monaten nicht bemerkt hast.

Das Wesentliche

Offboarding ist mehr als ein Klick auf „Abmelden". Die informellen Kanäle — Gruppen-Chats, Kanäle, geteilte Ordner ohne klaren Verantwortlichen — sind der häufigste Ort für Lecks. Nicht weil jemand böse Absichten hat, sondern weil niemand den Überblick behält. Eine Liste, ein Verantwortlicher pro Gruppe und zwei Kontrolltermine im Jahr lösen 90 % der Probleme.