ISO 27002 - Kapitel 6.2 Arbeits- und Beschäftigungsbedingungen

Ist ein geeigneter Kandidat für eine Position gefunden, steht in aller Regel an, die Bedingungen der Tätigkeit zu vereinbaren. Dies sehr sorgfältig zu tun, ist schon allgemein anzuraten, um nicht insbesondere arbeitsrechtliche Überraschungen zu erleben. Auch aus Sicht der Informationssicherheit ist es geboten, die Zusammenarbeit auf eine klar definierte Basis zu stellen. Kapitel 6.2 der ISO 27002 widmet sich diesem Problem. Im Folgenden geben wir dazu einen Überblick.

Klare und dokumentierte Verpflichtungen

Grundsätzlich können die meisten Verträge auch ohne eine schriftliche Vereinbarung wirksam abgeschlossen werden. Das gilt sogar für Arbeitsverträge.

Organisationen sollten dennoch stets ein sauber ausformuliertes Vertragsdokument einsetzen. Nur so kann sichergestellt werden, dass die gegenseitigen Rechte und Pflichten vollständig, zweifelsfrei und nachweislich festgehalten sind. In Bezug auf die Informationssicherheit geht es dabei vor allem darum, dem Beschäftigten seine Rolle und die damit verbundenen Verantwortlichkeiten klar zu beschreiben. Dies muss nicht zwingend im Arbeitsvertrag selbst erfolgen, sondern kann auch in Anlagen dazu geregelt werden. Oft ist dies sogar sinnvoll, da sich einzelne konkrete Anlagen besser ersetzen oder aktualisieren lassen, als wenn die Regelung im Arbeitsvertrag steckt.

Es muss im Ergebnis aber immer klargestellt sein, dass es sich bei solchen Anlagen nicht um informatorisches Beiwerk handelt, sondern um echte Pflichten, deren Erfüllung auch erwartet und nötigenfalls durchgesetzt wird. Ebenfalls muss dem Mitarbeiter verdeutlicht werden, wo er für ihn relevante Regelungen finden kann und dass erwartet wird, dass ggf. dort auch nachgelesen wird.

Viele notwendige Weisungen können auch während des laufenden Beschäftigungsverhältnisses durch den Arbeitgeber erteilt werden. Sie müssen nicht etwa bereits bei Aufnahme der Tätigkeit angesprochen worden sein. Auch dies ändert jedoch nichts daran, dass jegliche nicht völlig triviale Weisung aus den bereits genannten Gründen dokumentiert erfolgen sollte.

Regelungen zur Informationssicherheit

Eine kurze Bemerkung vorweg: Völlig unabhängig davon, was geregelt werden soll, sollte die Regelung so klar und verständlich abgefasst werden, dass sie nicht mehr vom Adressaten interpretiert werden muss und auch durch einen Dritten interpretiert werden kann. In der Praxis findet man immer noch zuhauf irgendwelche Vorgaben für Mitarbeiter, die letztendlich aber vom Mitarbeiter verlangen, die richtige Lösung zu finden. Als ein triviales Beispiel sei die Verpflichtung für Mitarbeiter genannt, „vertrauliche Informationen datenschutzkonform zu entsorgen“. Weder ist klargestellt, was genau vertrauliche Informationen sind, noch wie die konkrete Entsorgung aussehen soll. Abgesehen davon, dass die Mitarbeiter hier vorhersehbar zu unterschiedlichen Ergebnissen kommen, lässt sich eine solche Vorgabe auch nicht vernünftig dahingehend überwachen, ob sie auch eingehalten wird.

Welche Inhalte sind aber nun aus Sicht der Informationssicherheit sinnvoll?

  • Vertraulichkeitsverpflichtungen und Geheimhaltungsvereinbarungen: Die datenschutzrechtlich gebotene Verpflichtung zur Vertraulichkeit ist hier ebenso zu berücksichtigen, wie andere gesetzliche Geheimhaltungspflichten. Verpflichtungen zur Geheimhaltung können sich aber auch aus Verträgen mit Geschäftspartnern und Kunden ergeben oder auch aus der Notwendigkeit, die eigenen Geschäftsgeheimnisse angemessen zu schützen. Welche Geheimnisse hier im Einzelnen genannt und gegebenenfalls erläutert werden sollten, muss jede Organisation für sich erörtern.
  • Beachtung von Rechten am geistigen Eigentum, also der Umgang mit Werken und Software und die Notwendigkeit, sauberer Lizenzierung
  • Klassifizierung von Informationen bzw. Verwaltung von Informationen und dazugehöriger Vermögenswerte: Was ist wie einzuordnen und wie darf was eingesetzt werden?
  • Andere im Bezug auf die Organisation und ihre Ziele relevante Verhaltensvorschriften: Hier könnte beispielsweise ein Verhaltenskodex eine Rolle spielen.
  • Regelungen für den Fall, dass Anforderungen missachtet werden. Bereits im Zusammenhang mit der entsprechenden Vorgabe auch auf die Sanktionen einzugehen, erhöht nicht nur deren Wirksamkeit. Eine klare und transparente Schilderung dessen, was passieren kann, wenn ein Arbeitgeber gegen Vorgaben verstößt, ist auch aus arbeitsrechtlicher Sicht dringend geboten. Andernfalls kann es passieren, dass der Arbeitgeber vor dem Arbeitsgericht eine Niederlage einstecken muss; selbst bei eigentlich klarer Sachlage.

Insbesondere, da sich beachtliche Vorgaben im Laufe der Zeit ändern können, sollten alle eingesetzten Dokumente einem regelmäßigen Review unterzogen werden.

Zustimmung des Verpflichteten

Wie bereits angedeutet, kann der Arbeitgeberkraft seines Direktionsrechts viele Weisungen wirksam erteilen, auch wenn diese nicht im Detail im Arbeitsvertrag angesprochen waren. Dennoch sollten Beschäftigte die für sie relevanten und besonders wichtigen Verpflichtungen nach Möglichkeit nicht lediglich zur Kenntnis nehmen, sondern diese aktiv zur Kenntnis nehmen und sich zu deren Einhaltung bekennen. Dies hebt die Bedeutung einer Pflicht zum einen nochmals deutlicher hervor. Zum anderen lässt sich mit diesem Schritt nochmals überprüfen, ob ein konkreter Beschäftigter für eine bestimmte Rolle tatsächlich persönlich geeignet ist. Es ist nicht ganz selten, dass Beschäftigte die Unterschrift unter ein relevantes Dokument verweigern, obwohl die darin enthaltene Verpflichtung sich eindeutig im Rahmen des Arbeitsvertrages und seiner Nebenpflichten bewegt. Auch wenn die Weisung wirksam bleibt, auch ohne dass ein Mitarbeiter damit einverstanden ist, sollten Organisationen in dieser Hinsicht wachsam sein, falls ein Mitarbeiter die Kenntnisnahme nicht bestätigen will. Setzt ein Mitarbeiter ein so klares Signal, dass er nicht bereit ist, bestimmte wichtige Ziele der Organisation mitzutragen, kann und muss darauf noch reagiert werden.

Externe Personen nicht übersehen

Alles vorgenannte lässt sich entsprechend auch auf externe Personen übertragen – mit einer Ausnahme. Ein Direktionsrecht des Arbeitgebers besteht gegenüber solchen Personen nicht. Daher ist die ausdrückliche Verpflichtung und vertragliche Bindung externer Personen unverzichtbar.

Fazit: Verpflichtungen sollten sorgfältig ausgearbeitet werden

Wie gezeigt, sind auf dem Weg zu einer sauberen Verpflichtung von Mitarbeitern und externen Personen diverse Hürden zu nehmen. Es müssen bereits im Vorfeld vielfältige Überlegungen angestellt werden und zuletzt ist ein Text zu entwerfen, der den geschilderten Ansprüchen entspricht.

Diese Aufgabe sollten Organisationen von vornherein sehr ernst nehmen. Nachträgliche und nachgeschobene Änderungen bei Verpflichtungen sind nicht nur unpraktisch, sondern es zeigt sich auch, dass darunter auch die Akzeptanz der Regelungen leidet. Bei zu viel Hü und Hott sucht sich das Pferd am Ende den eigenen Weg. Nicht zuletzt stellt sich in solchen Fällen immer noch das zusätzliche Problem alter Vorlagen, die längst nicht mehr im Einsatz sein sollten und doch immer wieder irgendwo auftauchen.

Abschließend sei unter dem gerade genannten Gesichtspunkt noch darauf hingewiesen, dass der Einsatz von Checklisten, insbesondere beim Onboarding vom Mitarbeitern ein einfaches Mittel ist, um Fehler zu vermeiden und die Beachtung des Prozesses gleichzeitig machzuweisen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten Vorlagen für Verpflichtungserklärungen zur Verfügung.