Best Practices

Diese Seite fasst bewahrte Vorgehensweisen fur die effektive Nutzung des Mitarbeiter-Moduls zusammen.

Ersteinrichtung

Schritt-fur-Schritt Setup

┌─────────────────────────────────────────────────────────────────┐
│  1. SECURITY GROUPS IN ENTRA ID ERSTELLEN                       │
│     Azure Portal → Entra ID → Gruppen → Neue Gruppe             │
│     └── KlarKonform-`[TenantName]`-Admin                          │
│     └── KlarKonform-`[TenantName]`-User                           │
│     └── KlarKonform-`[TenantName]`-HR (optional)                  │
│     └── KlarKonform-`[TenantName]`-Accounting (optional)          │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│  2. ADMIN-CONSENT ERTEILEN                                      │
│     Entra ID → Enterprise Applications → KlarKonform            │
│     └── Permissions → Grant admin consent                       │
│     └── Berechtigungen prufen (User.Read.All, etc.)             │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│  3. INITIALE ADMIN-ZUWEISUNG                                    │
│     Mindestens einen Benutzer zur Admin-Gruppe hinzufugen       │
│     └── Idealerweise IT-Leitung + Stellvertretung               │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│  4. ERSTE SYNCHRONISATION                                       │
│     KlarKonform → Mitarbeiter → Von M365 synchronisieren        │
│     └── Alle M365-Benutzer werden importiert                    │
│     └── Rollen werden aus Gruppen abgeleitet                    │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│  5. DSGVO-FELDER ERGANZEN                                       │
│     Fur jeden Mitarbeiter:                                      │
│     └── Mitarbeitertyp setzen                                   │
│     └── Status setzen                                           │
│     └── Remote Worker markieren (wenn zutreffend)               │
│     └── Eintrittsdatum eintragen                                │
└─────────────────────────────────────────────────────────────────┘
                              │
                              ▼
┌─────────────────────────────────────────────────────────────────┐
│  ✓ SETUP ABGESCHLOSSEN                                          │
│    Mitarbeiter-Modul ist einsatzbereit                          │
└─────────────────────────────────────────────────────────────────┘

Checkliste Ersteinrichtung

Schritt	Verantwortlich	Status
Security Groups erstellt	IT	☐
Admin-Consent erteilt	IT/Admin	☐
Admins zugewiesen	IT	☐
Synchronisation erfolgreich	Admin	☐
DSGVO-Felder gepflegt	HR/Admin	☐
Vereinbarungen zugewiesen	HR	☐

Datenpflege

Goldene Regel

┌─────────────────────────────────────────────────────────────────┐
│                    DATENQUELLEN-HIERARCHIE                       │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  Microsoft 365 / Entra ID                                       │
│  ────────────────────────                                       │
│  • Vorname, Nachname, Anzeigename                               │
│  • E-Mail-Adresse                                               │
│  • Position, Abteilung                                          │
│  • Telefonnummer                                                │
│  • Adresse                                                      │
│  • Kontostatus                                                  │
│                                                                 │
│                    │                                            │
│                    ▼                                            │
│                                                                 │
│  KlarKonform (erganzt)                                          │
│  ─────────────────────                                          │
│  • Mitarbeitertyp                                               │
│  • Mitarbeiterstatus                                            │
│  • Remote Worker                                                │
│  • DSGVO-Ausnahmen                                              │
│  • Ein-/Austrittsdatum                                          │
│  • Vereinbarungen                                               │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Regel: Stammdaten in M365 pflegen, DSGVO-Daten in KlarKonform erganzen.

Empfohlene Felder pro Mitarbeiter

Feld	Prioritat	Quelle	Hinweis
E-Mail	Pflicht	M365	Login-Identitat
Name	Pflicht	M365	Vor- und Nachname
Mitarbeitertyp	Hoch	KlarKonform	Fur Compliance
Status	Hoch	KlarKonform	Fur Compliance
Remote Worker	Hoch	KlarKonform	Zusatzvereinbarungen
Eintrittsdatum	Mittel	KlarKonform	Dokumentation
Position	Mittel	M365	Ubersichtlichkeit
Abteilung	Mittel	M365	Filterung

Synchronisation

Sync-Strategie

Trigger	Aktion	Frequenz
Routinebetrieb	Manuelle Sync	Wochentlich
Nach HR-Anderungen	Sofortige Sync	Bei Bedarf
Nach M365-Anderungen	Sofortige Sync	Bei Bedarf
Audit-Vorbereitung	Vollstandige Sync	Vor dem Audit

Sync-Kalender einrichten

Tag	Aufgabe
Montag	Wochentliche Synchronisation
Nach Bedarf	Sofort-Sync bei Anderungen
Monatsanfang	DSGVO-Felder prufen

Sync-Monitoring

┌─────────────────────────────────────────────────────────────────┐
│ SYNC-MONITORING CHECKLISTE                                      │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ Nach jeder Synchronisation prufen:                              │
│                                                                 │
│ ☐ Keine Fehlermeldungen aufgetreten                             │
│ ☐ Anzahl synchronisierter Benutzer plausibel                    │
│ ☐ Neue Mitarbeiter erscheinen in der Liste                      │
│ ☐ Letzte-Sync-Zeitstempel aktualisiert                          │
│                                                                 │
│ Bei Problemen:                                                  │
│ ☐ Fehler-Logs prufen                                            │
│ ☐ M365-Verbindung testen                                        │
│ ☐ Admin-Token erneuern (neu anmelden)                           │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Berechtigungsmanagement

Rollen-Design

┌─────────────────────────────────────────────────────────────────┐
│ EMPFOHLENE ROLLENVERTEILUNG                                     │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ Admin (2-3 Personen)                                            │
│ ├── IT-Leitung                                                  │
│ ├── Stellvertretung                                             │
│ └── Ggf. Geschaftsfuhrung                                       │
│                                                                 │
│ HR (Personalabteilung)                                          │
│ ├── HR-Leitung                                                  │
│ └── HR-Mitarbeiter mit Personalaktenzugriff                     │
│                                                                 │
│ Accounting (Buchhaltung)                                        │
│ └── Buchhaltungsmitarbeiter (falls DSGVO-relevant)              │
│                                                                 │
│ User (alle anderen)                                             │
│ └── Alle Mitarbeiter automatisch                                │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Rollenvergabe-Prinzipien

Prinzip	Beschreibung
Minimal	Nur notwendige Rechte vergeben
Temporal	Befristete Rechte wenn moglich
Nachvollziehbar	Jede Zuweisung dokumentieren
Regelmasig prufen	Quartalsweise Revision

Rollen-Review Prozess

┌─────────────────────────────────────────────────────────────────┐
│ QUARTALSWEISER ROLLEN-REVIEW                                    │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ 1. Liste aller Admin-Benutzer exportieren                       │
│    └── Jeder Admin noch berechtigt?                             │
│    └── Ausgeschiedene Admins entfernen                          │
│                                                                 │
│ 2. HR- und Accounting-Rollen prufen                             │
│    └── Noch in der Abteilung tatig?                             │
│    └── Aufgaben erfordern noch die Rolle?                       │
│                                                                 │
│ 3. Dokumentation aktualisieren                                  │
│    └── Wer hat welche Rolle und warum?                          │
│                                                                 │
│ 4. Ergebnis an Geschaftsfuhrung berichten                       │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Lifecycle Management

Neuer Mitarbeiter

┌─────────────────────────────────────────────────────────────────┐
│ ONBOARDING-WORKFLOW                                             │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ VOR dem ersten Arbeitstag:                                      │
│ ☐ M365-Konto erstellen (IT)                                     │
│ ☐ Security Groups zuweisen (IT)                                 │
│ ☐ KlarKonform synchronisieren (Admin)                           │
│                                                                 │
│ AM ersten Arbeitstag:                                           │
│ ☐ DSGVO-Felder erganzen (HR)                                    │
│    ├── Mitarbeitertyp                                           │
│    ├── Status: Aktiv oder Probezeit                             │
│    ├── Eintrittsdatum                                           │
│    └── Remote Worker (wenn zutreffend)                          │
│                                                                 │
│ IN der ersten Woche:                                            │
│ ☐ DSGVO-Vereinbarungen zuweisen (HR)                            │
│    ├── Vertraulichkeitsvereinbarung                             │
│    ├── IT-Nutzungsrichtlinie                                    │
│    └── Remote-Work-Vereinbarung (wenn Remote)                   │
│ ☐ Unterschriften einholen                                       │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Mitarbeiter verlasst Unternehmen

┌─────────────────────────────────────────────────────────────────┐
│ OFFBOARDING-WORKFLOW                                            │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ BEI KUNDIGUNGSEINGANG:                                          │
│ ☐ Austrittsdatum in KlarKonform eintragen                       │
│ ☐ Offene Vereinbarungen prufen                                  │
│                                                                 │
│ AM LETZTEN ARBEITSTAG:                                          │
│ ☐ Status auf "Ausgeschieden" setzen                             │
│ ☐ Rollen entfernen (ausser "User")                              │
│                                                                 │
│ NACH DEM LETZTEN ARBEITSTAG:                                    │
│ ☐ M365-Konto deaktivieren (IT in Entra ID)                      │
│ ☐ KlarKonform synchronisieren                                   │
│ ☐ Kontostatus wird automatisch auf "Deaktiviert"                │
│                                                                 │
│ AUFBEWAHRUNG:                                                   │
│ ☐ Mitarbeiterdatensatz NICHT loschen                            │
│ ☐ Vereinbarungen archivieren (DSGVO-Nachweis)                   │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Statusanderungen

Situation	Aktion
Elternzeit beginnt	Status andern, Datum dokumentieren
Elternzeit endet	Status auf "Aktiv" zurucksetzen
Langzeitkrankheit	Status andern, M365-Konto kann aktiv bleiben
Probezeit endet	Status auf "Aktiv" andern
Abteilungswechsel	In M365 andern, dann synchronisieren

DSGVO-Integration

Vereinbarungs-Matrix

Mitarbeitertyp	Remote	Erforderliche Vereinbarungen
Angestellter	Nein	Vertraulichkeit, IT-Nutzung
Angestellter	Ja	+ Remote-Work, ggf. BYOD
Freelancer	Egal	AVV, NDA
Praktikant	Nein	Vertraulichkeit
Praktikant	Ja	+ Remote-Work

Compliance-Tracking

┌─────────────────────────────────────────────────────────────────┐
│ MONATLICHER COMPLIANCE-CHECK                                    │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ 1. Mitarbeiter ohne Vereinbarung identifizieren                 │
│    └── Filter: Status = Aktiv, keine Vereinbarung               │
│                                                                 │
│ 2. Remote Worker prufen                                         │
│    └── Haben alle Remote Worker die zusatzlichen                │
│        Vereinbarungen unterschrieben?                           │
│                                                                 │
│ 3. Ablaufende Vereinbarungen                                    │
│    └── Vereinbarungen die in 30 Tagen ablaufen                  │
│                                                                 │
│ 4. Ausgeschiedene Mitarbeiter                                   │
│    └── Status "Ausgeschieden" ohne Austrittsdatum?              │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Reporting und Audit

Regelmasige Reports

Report	Frequenz	Inhalt
Mitarbeiterliste	Monatlich	Alle aktiven Mitarbeiter
Rollen-Report	Quartalsweise	Wer hat welche Rollen
Compliance-Status	Monatlich	Vereinbarungsquote
Sync-Log	Bei Problemen	Letzte Synchronisationen

Audit-Vorbereitung

┌─────────────────────────────────────────────────────────────────┐
│ VOR DEM AUDIT                                                   │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ 1 Woche vorher:                                                 │
│ ☐ Vollstandige Synchronisation durchfuhren                      │
│ ☐ DSGVO-Felder aller Mitarbeiter prufen                         │
│ ☐ Vereinbarungsstatus prufen                                    │
│                                                                 │
│ 1 Tag vorher:                                                   │
│ ☐ Mitarbeiterliste exportieren (CSV/PDF)                        │
│ ☐ Rollen-Report erstellen                                       │
│ ☐ Vereinbarungs-Export bereithalten                             │
│                                                                 │
│ Fur den Auditor bereithalten:                                   │
│ ☐ Wie werden Benutzer verwaltet? (M365-Integration)             │
│ ☐ Wie werden Rollen vergeben? (Security Groups)                 │
│ ☐ Wie ist der Onboarding-Prozess?                               │
│ ☐ Wie ist der Offboarding-Prozess?                              │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Troubleshooting-Leitfaden

Haufige Probleme und Losungen

Problem	Mogliche Ursache	Losung
Sync schlagt fehl	Token abgelaufen	Admin neu anmelden
Keine Rollen	Security Groups fehlen	Gruppen in Entra ID erstellen
Benutzer fehlt	Keine E-Mail in M365	E-Mail in M365 hinzufugen
Falscher Name	M365 nicht aktuell	In M365 andern, dann sync
Kein M365-Zugriff	Admin-Consent fehlt	Consent in Entra ID erteilen

Eskalationspfad

Level 1: Admin (KlarKonform)
    │
    ├── Sync-Probleme beheben
    ├── DSGVO-Felder korrigieren
    │
    ▼
Level 2: IT (M365/Entra ID)
    │
    ├── Token-Probleme
    ├── Berechtigungsprobleme
    ├── Security Groups verwalten
    │
    ▼
Level 3: Support (KlarKonform)
    │
    └── Technische Probleme der Anwendung

Best Practices

On this page