A.6 Personenbezogene Maßnahmen
Disziplinarverfahren
Es muss ein formales, kommuniziertes Disziplinarverfahren existieren, um gegen Beschäftigte vorzugehen, die gegen Informationssicherheitsvorgaben verstoßen haben.
Was fordert dieses Control?
Es muss ein formales, kommuniziertes Disziplinarverfahren existieren, um gegen Beschäftigte vorzugehen, die gegen Informationssicherheitsvorgaben verstoßen haben.
Warum ist das wichtig?
Ein bekanntes Sanktionsverfahren wirkt präventiv und stellt sicher, dass Verstöße einheitlich und rechtssicher behandelt werden. Ohne es bleiben Richtlinien zahnlos.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 1.3.3 | Direkt |
| BSI | ORP.4 | Indirekt |
Was der Auditor erwartet
- 1Dokumentiertes, abgestuftes Disziplinarverfahren
- 2Nachweis der Kommunikation an die Belegschaft
- 3Einbindung von HR und Mitbestimmung (Betriebsrat) wo erforderlich
Audit-Checkliste
Dokumente
Disziplinar- bzw. Sanktionsrichtlinie
Abstufung der Maßnahmen und Zuständigkeiten
Nachweise
Kommunikationsnachweis
Dass das Verfahren der Belegschaft bekannt gemacht wurde
Interviews
HR / Führungskräfte
Wie ein Verstoß konkret behandelt würde
Praxis-Tipps zur Umsetzung
Abstufen statt eskalieren
Vom klärenden Gespräch bis zur Kündigung verhältnismäßige Stufen definieren.
Mitbestimmung früh einbinden
Betriebsrat und Datenschutz vorab einbeziehen, um Verfahren rechtssicher zu machen.
Verfahren bekannt machen
Nur ein kommuniziertes Verfahren entfaltet präventive Wirkung.
Häufige Fehler
Nur auf dem Papier
Verfahren existiert, ist aber niemandem bekannt.
Unverhältnismäßig
Fehlende Abstufung führt zu rechtlich angreifbaren Sanktionen.
Häufig gestellte Fragen
Muss der Betriebsrat zustimmen?
Bei Maßnahmen mit Mitbestimmungsbezug ja. Eine frühe Einbindung verhindert spätere Konflikte.
Reicht ein Verweis im Arbeitsvertrag?
Der Vertrag kann darauf verweisen, das eigentliche Verfahren sollte aber dokumentiert und kommuniziert sein.
Gilt das auch bei fahrlässigen Verstößen?
Ja, das Verfahren sollte vorsätzliche und fahrlässige Verstöße angemessen unterscheiden.
So hilft CompliantDesk bei A.6.4
Verstöße lassen sich als Vorfälle erfassen, mit Richtlinien verknüpfen und der gesamte Behandlungsverlauf revisionssicher im Audit-Log nachvollziehen.