ISO 27002 - Kapitel 6.4 Disziplinarverfahren
Was für Gesetze gilt, ist auch bei Regelungen innerhalb von Organisationen nicht anders: Die besten Regelungen und Vereinbarungen nützen im Ergebnis wenig, wenn sie nicht durchgesetzt werden können. Organisationen sollten sich daher rechtzeitig darum kümmern, ein angemessenes und wirksames Verfahren zu etablieren, um auf Verstöße gegen die Informationssicherheitspolitik zu reagieren.
Auch im Rahmen professionell aufgebauter Informationssicherheits-Managementsysteme (ISMS) wird dieses in der Praxis oft unangenehme Thema aufgegriffen und in Kapitel 6.4 der ISO 27002 behandelt. Dieser Artikel stellt die Grundzüge vor.
Warum ein Disziplinarverfahren definieren?
Wie bereits eingangs gesagt, ist es zur Wirksamkeit von Regelungen – nicht nur im Zusammenhang mit der Informationssicherheit – auch nötig, deren Einhaltung gegebenenfalls durchsetzen zu können. Die bereits dargestellte Sensibilisierung für die entsprechende Belange ist die eine Seite, Abschreckung die andere.
Das Disziplinarverfahren sollte aus mehreren Gesichtspunkten sauber und sorgfältig eingerichtet werden. Schließlich sollen Sanktionen auch nicht voreilig erfolgen und dem jeweiligen Verstoß angemessen bleiben. Im Ergebnis müssen ergriffenen Sanktionen dann aber auch Bestand haben und beispielsweise einer arbeitsgerichtlichen Überprüfung standhalten. Dies wird nur dann der Fall sein, wenn das Verfahren angemessen ist, korrekt durchgeführt wurde und für den betroffenen Mitarbeiter transparent war – und zwar bereits vor dem Verstoß.
Was ist im Disziplinarverfahren zu berücksichtigen?
Bereits die Einleitung eines Disziplinarverfahrens ist an klar geregelte Voraussetzungen zu knüpfen. Auch zum Schutz der betroffenen Mitarbeiter sollten Maßnahmen erst eingeleitet werden, wenn ein Verstoß mindestens mit sehr hoher Wahrscheinlichkeit vorliegt. Sanktionen dürfen erst erfolgen, wenn der Verstoß feststeht.
Bei der Festlegung der Reaktion sind ähnliche Gesichtspunkte relevant, wie sie auch das Strafrecht kennt:
- Wie erfolgte der Verstoß, wie schwerwiegend war der Verstoß und welche Folgen sind eingetreten?
- Erfolgte der Verstoß versehentlich oder absichtlich?
- Handelt es sich um einen erstmaligen Verstoß oder trat der betroffene Mitarbeiter bereits öfter in dieser Hinsicht negativ in Erscheinung?
- War der betroffene Mitarbeiter angemessen ausgebildet und angeleitet?
- Ist die vorgesehene Sanktion dem Einzelfall angemessen und erzielt sie aber auch die erwünschte allgemeine Abschreckungswirkung?
Zuckerbrot statt Peitsche
Der Vollständigkeit halber verschweigt die Norm auch nicht, dass sich neben Strafen auch Belohnungen eignen können, Belange der Informationssicherheit durchzusetzen. Organisationen steht damit selbstverständlich auch der Weg offen, Einzelpersonen, die sich besonders um die Informationssicherheit verdient gemacht haben, entsprechend zu belohnen.
Fazit: Das unangenehme Thema Sanktionen keinesfalls vermeiden
Schaffen Sie keine Papiertiger! Zum Schutz der Organisation und der verfolgten Sicherheitspolitik und damit im Ergebnis auch zum Schutz der eigenen Werte und der anderen Mitarbeiter ist es nicht zu vermeiden, Regelungen notfalls auch durchzusetzen bzw. Verstöße zu bestrafen.
Diesen Prozess so aufzubauen, dass er nachvollziehbar und ohne Willkür wirksam auf Verstöße reagiert und das Ergebnis auch gerichtsfest bleibt, ist nicht ganz trivial. Neben dem Management und den Informationssicherheits-Verantwortlichen werden auch die Kollegen aus der Abteilung Arbeitsrecht und nicht zuletzt der Datenschutzbeauftragte einbezogen werden müssen.
Um es abschließend noch mal deutlich zu sagen: Es ist zwingend, dass Mitarbeitern klar und deutlich und bereits vor einem Verstoß klargemacht wurde, was ihnen drohen kann. Organisationen können daher nicht abwarten, bis ein Verstoß erfolgte. Proaktives Handeln ist alternativlos.