Typische Fehler vermeiden

Diese Seite beschreibt haufige Fehler bei der Nutzung des Mitarbeiter-Moduls und wie Sie diese vermeiden.

Synchronisation

Fehler 1: Stammdaten in KlarKonform statt M365 pflegen

Problem: Anderungen in KlarKonform werden bei der nachsten M365-Synchronisation uberschrieben.

Falsch:

1. Mitarbeiter in KlarKonform bearbeiten
2. Namen andern
3. Speichern
4. Bei nachster Sync: Alte M365-Daten uberschreiben lokale Anderungen

Richtig:

1. Stammdaten in M365/Entra ID andern
2. KlarKonform synchronisieren
3. DSGVO-spezifische Felder in KlarKonform erganzen

Merke: M365 ist die Single Source of Truth fur Stammdaten!

Fehler 2: Nicht regelmasig synchronisieren

Problem: Daten werden veraltet, neue Mitarbeiter fehlen.

Falsch:

Initiale Synchronisation bei Setup
└── Dann nie wieder synchronisiert
    └── Neue Mitarbeiter fehlen
    └── Namensanderungen nicht ubernommen
    └── Ausgeschiedene noch als aktiv

Richtig:

┌─────────────────────────────────────────────────────────────────┐
│ SYNC-EMPFEHLUNG                                                 │
├─────────────────────────────────────────────────────────────────┤
│ Wochentlich:     Routine-Synchronisation                        │
│ Bei Bedarf:      Nach HR-Anderungen                             │
│ Sofort:          Bei bekannten Anderungen (Neueintritt, etc.)   │
└─────────────────────────────────────────────────────────────────┘

Fehler 3: Sync-Fehler ignorieren

Problem: Fehlerhafte Synchronisation fuhrt zu Inkonsistenzen.

Falsch:

Sync gestartet
└── Fehlermeldung erscheint
    └── Weggeklickt
    └── Problem nicht behoben
    └── Wochen spater: Massive Dateninkonsistenzen

Richtig:

Sync gestartet
└── Fehlermeldung erscheint
    └── Fehler analysieren (Token? Berechtigung? Netzwerk?)
    └── Ursache beheben
    └── Sync erneut ausfuhren
    └── Erfolg verifizieren

Typische Sync-Fehler und Losungen

Fehler	Ursache	Losung
"No valid admin token"	Token abgelaufen	Admin muss sich neu anmelden
"Access denied"	Fehlende Graph-Berechtigung	Admin-Consent in Entra ID
"User not found"	Benutzer in M365 geloscht	Lokalen Status auf "Ausgeschieden"
"Rate limit"	Zu viele API-Anfragen	15 Min warten, dann erneut

Mitarbeiterverwaltung

Fehler 4: M365-Konto nicht deaktivieren bei Austritt

Problem: Ausgeschiedener Mitarbeiter hat noch Zugang zu Systemen.

Falsch:

Mitarbeiter verlasst Unternehmen
└── Status in KlarKonform auf "Ausgeschieden"
    └── M365-Konto bleibt aktiv
    └── Benutzer kann sich weiter anmelden!

Richtig:

Mitarbeiter verlasst Unternehmen
├── 1. M365-Konto in Entra ID deaktivieren
├── 2. KlarKonform synchronisieren
├── 3. Status auf "Ausgeschieden" setzen
├── 4. Austrittsdatum eintragen
└── 5. Offene Vereinbarungen prufen

Sicherheitsrisiko: Ein aktives M365-Konto ermoglicht weiterhin SSO-Zugang zu allen verknupften Systemen!

Fehler 5: DSGVO-Felder nicht pflegen

Problem: Compliance-Score sinkt, Vereinbarungen fehlen.

Falsch:

Mitarbeiter importiert
Nur M365-Daten vorhanden
Mitarbeitertyp, Status und Remote-Status sind leer

Richtig: Nach dem Import ergaenzen:

Mitarbeitertyp setzen (Angestellter, Freelancer, etc.)
Status setzen (Aktiv, Probezeit, etc.)
Remote Worker markieren (wenn zutreffend)
Eintrittsdatum setzen

Fehler 6: "DSGVO ignorieren" ohne Begrundung

Problem: Bei Audit keine Nachvollziehbarkeit.

Falsch:

Externe Berater
└── DSGVO ignoriert: Ja
    └── Grund: (leer)
    └── Bei Audit: "Warum wurde dieser Benutzer ausgeschlossen?"

Richtig:

Externe Berater
├── DSGVO ignoriert: Ja
└── Grund: "Externer IT-Consultant mit eigenem
            Datenschutzmanagement und separatem AVV.
            Arbeitet nicht mit personenbezogenen Daten
            unserer Kunden/Mitarbeiter."

Fehler 7: Remote Worker nicht markieren

Problem: Zusatzliche Vereinbarungen werden nicht zugewiesen.

Falsch:

Mitarbeiter arbeitet regelmasig von zu Hause
└── Remote Worker: Nein (nicht markiert)
    └── Keine IT-Nutzungsvereinbarung fur Home Office
    └── Keine Remote-Work-Vereinbarung
    └── DSGVO-Compliance-Lucke!

Richtig:

Mitarbeiter arbeitet regelmasig von zu Hause
├── Remote Worker: Ja
├── IT-Nutzungsvereinbarung zugewiesen
├── Remote-Work-Vereinbarung zugewiesen
└── BYOD-Vereinbarung (falls private Gerate)

Berechtigungen

Fehler 8: Zu viele Admin-Berechtigungen

Problem: Jeder ist Admin = Niemand ist verantwortlich.

Falsch:

Benutzer mit Admin-Rolle:
├── alice@example.com (IT-Leitung) - OK
├── bob@example.com (Mitarbeiter) - Warum?
├── carol@example.com (Mitarbeiter) - Warum?
├── dave@example.com (Praktikant!) - Problematisch!
└── eve@example.com (Externe!) - Sehr problematisch!

Richtig:

Benutzer mit Admin-Rolle:
├── alice@example.com (IT-Leitung)
└── cio@example.com (Stellvertretung)

Alle anderen: User oder spezifische Rollen (HR, Accounting)

Minimal-Prinzip: Nur so viele Rechte wie notig vergeben!

Fehler 9: Security Groups nicht erstellen

Problem: Rollen konnen nicht zugewiesen werden.

Falsch:

KlarKonform eingerichtet
└── Security Groups in M365: (keine)
    └── Rollenzuweisung: Fehler
    └── Alle Benutzer nur "User"-Rolle

Richtig:

VOR der KlarKonform-Einrichtung in Entra ID erstellen:
├── KlarKonform-[Tenant]-Admin
├── KlarKonform-[Tenant]-User
├── KlarKonform-[Tenant]-HR (optional)
└── KlarKonform-[Tenant]-Accounting (optional)

Fehler 10: Gruppen falsch benennen

Problem: Rollen-Mapping funktioniert nicht.

Falsch:

Gruppen in Entra ID:
├── KlarKonform Admins          (Leerzeichen!)
├── kk-admin                    (Falsches Format!)
└── Admin-KlarKonform-Firma     (Falsches Format!)

Richtig:

Gruppen in Entra ID:
├── KlarKonform-MeineFirma-Admin
├── KlarKonform-MeineFirma-User
├── KlarKonform-MeineFirma-HR
└── KlarKonform-MeineFirma-Accounting

Format: KlarKonform-[TenantName]-[Role]

M365-Integration

Problem: Sync und Berechtigungen funktionieren nicht.

Symptome:

"Access denied" Fehler
M365-Daten werden nicht geladen
Rollen konnen nicht geandert werden

Losung:

┌─────────────────────────────────────────────────────────────────┐
│ ADMIN-CONSENT ERTEILEN                                          │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│ 1. Azure Portal → Entra ID → Enterprise Applications           │
│ 2. KlarKonform-App suchen                                       │
│ 3. Permissions → "Grant admin consent"                          │
│ 4. Berechtigungen prufen:                                       │
│    ├── User.Read.All                                            │
│    ├── User.ReadWrite.All                                       │
│    ├── Group.Read.All                                           │
│    ├── GroupMember.ReadWrite.All                                │
│    ├── Directory.Read.All                                       │
│    └── Files.Read.All (optional)                                │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Fehler 12: Shared Mailboxes importieren

Problem: Unnotige Eintrage, die keine echten Mitarbeiter sind.

Falsch:

Importierte "Mitarbeiter":
├── max.mustermann@example.com      (OK)
├── info@example.com                (Shared Mailbox!)
├── bewerbung@example.com           (Shared Mailbox!)
└── no-reply@example.com            (Service Account!)

Richtig:

Nur echte Mitarbeiter importieren:
├── max.mustermann@example.com
├── anna.schmidt@example.com
└── peter.mueller@example.com

Nicht importieren:
├── Shared Mailboxes
├── Service Accounts
├── Ressourcen-Postfacher
└── Gaste ohne DSGVO-Relevanz

Workflow-Fehler

Fehler 13: Falscher Workflow bei Neueintritt

Falsch:

Mitarbeiter zuerst in KlarKonform angelegt
Spaeter M365-Konto separat erstellt
Daten stimmen nicht ueberein, M365-Verknuepfung fehlt

Richtig:

Option A: Ueber M365

M365-Konto in Entra ID erstellen
KlarKonform synchronisieren
DSGVO-Felder ergaenzen

Option B: Ueber KlarKonform

Navigieren Sie zu Mitarbeiter > Hinzufuegen
Alle Felder ausfuellen
Speichern (erstellt M365-Konto automatisch)

Fehler 14: Keine Dokumentation bei Statusanderungen

Problem: Bei Audit nicht nachvollziehbar.

Falsch:

Mitarbeiter geht in Elternzeit
└── Status geandert auf "Elternzeit"
    └── Kein Datum dokumentiert
    └── Keine Notiz

Richtig:

Mitarbeiter geht in Elternzeit
├── Status: "Elternzeit"
├── Beginndatum: 01.03.2026
├── Enddatum (geplant): 28.02.2027
└── Notiz: "Elternzeit genehmigt, M365-Konto bleibt aktiv
            fur E-Mail-Zugang"

Checkliste: Fehler vermeiden

Bei Neueintritt

M365-Konto zuerst erstellen oder uber KlarKonform anlegen
Synchronisation ausfuhren
Mitarbeitertyp und Status setzen
Remote-Status prufen
Eintrittsdatum eintragen
Vereinbarungen zuweisen

Bei Austritt

M365-Konto in Entra ID deaktivieren
Synchronisation ausfuhren
Status auf "Ausgeschieden" setzen
Austrittsdatum eintragen
Offene Vereinbarungen prufen/archivieren
Rollen entfernen

Bei Rollenanderungen

Anderung in Entra ID oder KlarKonform vornehmen
Bei Entra-Anderung: Synchronisation ausfuhren
Neue Berechtigungen testen
Dokumentieren, warum die Anderung erfolgte

Regelmasige Prufungen

Wochentlich: Synchronisation ausfuhren
Monatlich: Admin-Rollen uberprufen
Quartalsweise: DSGVO-Felder aller Mitarbeiter prufen
Jahrlich: Vollstandige Revision

Typische Fehler vermeiden

On this page