DSGVO-konformes Off-Boarding im Active Directory – mit dem ISW DSGVO Off-Boarding Management Tool
Wenn ein Mitarbeiter das Unternehmen verlässt, beginnt für die IT eine Aufgabe, die unscheinbar wirkt, aber datenschutzrechtlich heikel ist: das Konto im Active Directory muss sauber entfernt werden – und zwar nachweisbar. Genau hier setzt das ISW DSGVO Off-Boarding Management Tool an. In diesem Beitrag stelle ich das Werkzeug vor, zeige, welches Problem es löst, und gehe die Funktionen im Detail durch.
Das Problem: Speicherbegrenzung in der Praxis
Die DSGVO verlangt in Art. 5 Abs. 1 lit. e den Grundsatz der Speicherbegrenzung: personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es der Zweck erfordert. Für die IT bedeutet das konkret, dass die Konten ausgeschiedener Mitarbeiter nicht jahrelang als „deaktiviert“ in einer Sammel-OU verstauben dürfen, sondern fristgerecht und dokumentiert zu löschen sind.
In der Praxis läuft dieser Vorgang oft über mehrere Konsolen: Active-Directory-Benutzer und -Computer für das Konto, die Exchange-Verwaltung für das Postfach, dazu eine handgepflegte Liste oder ein Ticket als Nachweis. Das ist zeitaufwendig, fehleranfällig und im Streitfall – etwa bei einer Anfrage der Aufsichtsbehörde – nur schwer belastbar nachzuweisen. Wurde das Postfach wirklich entfernt? Wann genau? Durch wen? Und wer kann das im Zweifel belegen?
Das ISW DSGVO Off-Boarding Management Tool bündelt diesen kompletten Off-Boarding-Prozess in einem Werkzeug und erzeugt bei jedem Lauf einen revisionssicheren Bericht. Aus einem manuellen, verteilten Vorgang wird ein standardisiertes, abgesichertes und automatisierbares Verfahren.
Was das Tool im Kern leistet
Das Werkzeug verarbeitet ausschließlich deaktivierte Konten in einer definierten Such-OU. Diese werden dokumentiert, von ihren Gruppenrechten befreit und – je nach Konfiguration – samt Postfach und AD-Objekt gelöscht. Vor jedem Lauf prüft das Tool, ob sich noch aktive Konten in der OU befinden, und bricht im Zweifel zum Schutz ab. So werden versehentliche Massenlöschungen von vornherein verhindert.
Die Funktionen im Detail
Ausführung – der zentrale Ablauf
Im Reiter „Ausführung“ werden die einzelnen Schritte gewählt, rechts zeigen Kennzahlen-Karten (Verarbeitet, Erfolg, Warnungen, Fehler) den Lauf live mit, darunter läuft das Protokoll ein. Folgende Schritte stehen zur Verfügung:
- DSGVO-Bericht erzeugen – immer aktiv und nicht abwählbar; dokumentiert den gesamten Vorgang.
- Gruppenrechte entziehen – entfernt alle Mitgliedschaften außer der Standardgruppe „Domain Users“.
- Postfach löschen – führt Disable-Mailbox aus; entfernt nur das Postfach, das AD-Objekt bleibt bestehen.
- AD-Benutzerobjekt löschen – entfernt das Konto via Remove-ADUser, unabhängig von der Postfach-Löschung.
Ein vollständiger Simulationsmodus (WhatIf) zeigt das Ergebnis, ohne echte Änderungen vorzunehmen – ideal für den Testlauf vor dem Ernstfall.
Vorschau – sehen, was passieren würde
Die Vorschau lädt alle Objekte der Such-OU und kennzeichnet aktive sowie deaktivierte Konten. So lässt sich vor dem Lauf genau prüfen, welche Benutzer verarbeitet würden. Die Kennzahlen-Karten fassen das zusammen: Objekte gesamt, deaktiviert (werden verarbeitet), aktiv in der OU und mit Postfach.
Mailbox-Bereinigung – verwaiste Postfächer aufräumen
Wird ein AD-Konto gelöscht, ohne vorher das Postfach zu entfernen, bleibt dieses in Exchange als getrennte (disconnected) Mailbox zurück. Dieser Reiter findet solche verwaisten Postfächer über alle Datenbanken und entfernt sie nachträglich. Auch hier gibt es einen Simulationsmodus, der nur anzeigt, was entfernt würde.
Einstellungen – einmal sauber konfigurieren
Hier werden Such-OU, Domänencontroller, Ausführungskontext, Berichtsablage, Ereignisprotokoll und SMTP-Versand hinterlegt. Für den Ausführungskontext gibt es drei Varianten: den aktuellen Kontext, einen alternativen Benutzer mit AES-256-verschlüsseltem Kennwort oder ein gMSA-Dienstkonto, dessen Kennwort das Active Directory selbst verwaltet. Über die Schaltfläche „Test-Mail senden“ lassen sich die SMTP-Einstellungen mit den aktuell eingegebenen Werten prüfen – auch ohne vorheriges Speichern.
Automatisierung – einmal einrichten, dann läuft es
Über den Reiter „Automatisierung“ wird eine geplante Aufgabe in der Windows-Aufgabenplanung angelegt, die den Off-Boarding-Prozess unbeaufsichtigt ausführt – täglich oder wöchentlich, mit technischem Benutzer oder gMSA. Das Ausführungskonto erhält beim Anlegen automatisch das lokale Recht „Als Batch anmelden“. Die Aufgabe nutzt dieselbe gespeicherte Konfiguration wie die Oberfläche, sodass keine Doppelpflege entsteht.
Kommandozeile (CLI) – headless für die Aufgabenplanung
Dasselbe Programm lässt sich ohne Oberfläche starten. Genau das nutzen die geplanten Aufgaben. Die wichtigsten Schalter:
| Parameter | Wirkung |
| –run | Führt den Löschprozess mit den gespeicherten Einstellungen aus |
| –dry-run | Simulation (WhatIf), keine echten Änderungen |
| –mail / –no-mail | Erzwingt bzw. unterdrückt den E-Mail-Versand |
| –help / -h / /? | Zeigt die Hilfe zur Kommandozeile |
Die Rückgabewerte (Exit-Codes) sind in der Aufgabenplanung als „Letztes Ergebnis“ sichtbar: 0 = Erfolg, 1 = mit Warnungen, 2 = mit Fehlern oder fehlgeschlagener Nachkontrolle, 3 = abgebrochen (z. B. aktive Konten in der OU), 4 = Konfigurations- oder Startfehler. So lässt sich der Erfolg auch im unbeaufsichtigten Betrieb maschinell auswerten.
Berichte & Aufbewahrung
Berichte entstehen als PDF (Querformat), als Outlook-kompatibles HTML und als CSV. Der PDF-Bericht enthält die verarbeiteten Objekte, ein vollständiges Schritt-Protokoll mit Schweregrad sowie einen Datenschutzhinweis zur Aufbewahrungsfrist. Die Aufbewahrungsbereinigung entfernt Berichte, die älter als die eingestellte Anzahl Tage sind – die Speicherbegrenzung gilt schließlich auch für die Berichte selbst.
Sicherheit & Datenschutz by Design
Das Werkzeug ist nicht nur ein DSGVO-Hilfsmittel, es ist selbst nach Sicherheitsgrundsätzen gebaut:
- ✓ Anmeldedaten werden ausschließlich AES-256-GCM-verschlüsselt und maschinengebunden gespeichert – niemals im Klartext.
- ✓ Konfiguration und Protokolle liegen maschinenweit unter %ProgramData%, damit Oberfläche und geplante Läufe (auch unter gMSA) dieselben Daten nutzen.
- ✓ Die Konfigurationsdatei wird per NTFS-Berechtigung auf SYSTEM, Administratoren und das Ausführungskonto beschränkt.
- ✓ Jeder Lauf wird in eine Logdatei und optional in das Windows-Ereignisprotokoll geschrieben.
- ✓ Der Sicherheits-Check verhindert die Verarbeitung, solange aktive Konten in der OU liegen.
Für wen lohnt sich das?
Das ISW DSGVO Off-Boarding Management Tool richtet sich an IT-Administratoren mit eigenem Active Directory, an Managed-Service-Provider, die das Off-Boarding für mehrere Mandanten standardisiert anbieten, sowie an Datenschutz- und Compliance-Verantwortliche, die einen prüffähigen Nachweis benötigen. Wer das Postfach-Handling mit abdecken will, profitiert zusätzlich von der Exchange-Integration – das reine Off-Boarding aus AD funktioniert aber auch ohne Exchange-Werkzeuge.
Voraussetzung ist eine Windows-Umgebung mit .NET 10, lokale Administratorrechte und entsprechende Berechtigungen im Active Directory. Das Tool ist lizenzpflichtig und prüft beim Start eine RSA-signierte Lizenzdatei – in der Oberfläche wie auch in der Kommandozeile.
Off-Boarding ist eine dieser Aufgaben, die selten Aufmerksamkeit bekommen – bis sie im Rahmen einer Prüfung plötzlich doch zählen. Das ISW DSGVO Off-Boarding Management Tool macht aus einem verteilten, schwer belegbaren Vorgang ein standardisiertes, automatisierbares und vor allem nachweisbares Verfahren. Wer regelmäßig Konten ausgeschiedener Mitarbeiter entfernt, spart damit nicht nur Zeit, sondern hat im Zweifel auch den passenden Nachweis griffbereit: DSGVO-konformes Off-Boarding – automatisiert, nachvollziehbar, revisionssicher.