A.6 Personenbezogene Maßnahmen
Arbeitsvertragliche Vereinbarungen
Arbeitsverträge müssen die Verantwortlichkeiten von Beschäftigten und Organisation für die Informationssicherheit festlegen, einschließlich Geheimhaltungspflichten und der Folgen bei Verstößen.
Was fordert dieses Control?
Arbeitsverträge müssen die Verantwortlichkeiten von Beschäftigten und Organisation für die Informationssicherheit festlegen, einschließlich Geheimhaltungspflichten und der Folgen bei Verstößen.
Warum ist das wichtig?
Ohne vertragliche Verankerung lassen sich Sicherheitspflichten arbeitsrechtlich kaum durchsetzen. Klare Klauseln schaffen Verbindlichkeit und sind Voraussetzung für disziplinarische Maßnahmen.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 1.3.2 | Direkt |
| BSI | ORP.2.A1 | Indirekt |
| DSGVO | Art. 29 | Indirekt |
Was der Auditor erwartet
- 1Standardvertrag mit Informationssicherheits- und Geheimhaltungsklausel
- 2Verweis auf geltende Richtlinien und deren Verbindlichkeit
- 3Regelung der Pflichten, die über das Beschäftigungsende hinaus gelten
Audit-Checkliste
Dokumente
Mustervertrag / Vertragsvorlage
Klauseln zu Vertraulichkeit, Richtlinienbindung und Sanktionen
Nachweise
Unterzeichnete Verträge oder Verpflichtungserklärungen
Nachweis, dass Mitarbeiter die Pflichten akzeptiert haben
Praxis-Tipps zur Umsetzung
Auf Richtlinien verweisen
Verweisen Sie im Vertrag dynamisch auf die jeweils gültige Sicherheitsrichtlinie statt starre Texte zu duplizieren.
Nachwirkende Pflichten regeln
Geheimhaltung und Rückgabe von Werten müssen auch nach Austritt gelten.
Verständlich formulieren
Pflichten so beschreiben, dass sie ohne Jura-Studium nachvollziehbar sind.
Häufige Fehler
Geheimhaltung endet mit dem Vertrag
Fehlende Nachwirkungsklausel lässt Schutz nach Austritt entfallen.
Keine Richtlinienbindung
Verträge nennen keine konkrete Verbindlichkeit interner Vorgaben.
Häufig gestellte Fragen
Reicht eine separate Geheimhaltungsvereinbarung?
Sie ergänzt den Vertrag sinnvoll, ersetzt aber nicht die grundsätzliche Verankerung der Sicherheitspflichten im Arbeitsverhältnis.
Müssen bestehende Verträge nachgebessert werden?
Neue Pflichten lassen sich über ergänzende Verpflichtungserklärungen oder Richtlinien-Bestätigungen einführen.
Gilt das auch für Werkstudenten?
Ja, jede Person mit Zugriff auf schützenswerte Informationen sollte vergleichbar verpflichtet werden.
So hilft CompliantDesk bei A.6.2
Verknüpfen Sie Richtlinien mit Pflicht-Bestätigungen per Magic-Link, sodass jeder Mitarbeiter die Sicherheitsvorgaben nachweisbar akzeptiert.