Vorbereitung ist die Mutter der Porzellankiste… nicht immer kann man alles vermeiden. Es gibt reihenweise Unfälle und Vorfälle, die man nicht verhindern kann. Man kann sich aber darauf vorbereiten – in Verbindung mit den notwendigen Maßnahmen, dass es gar nicht erst soweit kommt. Hier ein paar Beispiele für Maßnahmen, die man heute schon vorbereiten kann, um auf einen Vorfall adäquat reagieren zu können. Solche Maßnahmen können helfen, Schäden vom Unternehmen (und von Menschen) im Falle von plötzlich eintretenden Ereignissen fernzuhalten.
Der Mensch neigt dazu, erst aktiv zu werden, wenn etwas passiert. Vorbereitung ist nicht seine Stärke: „Mir wird das schon nicht passieren“… Oder wer ist schon auf einen tagelangen Stromausfall (inkl. aller Konsequenzen: Kühlschrank, Herd, Telefon…) vorbereitet?
1. IT-Sicherheit
Eine Firewall, eine Antiviren-Software und ein redundantes Backup-System oder eine gespiegelte Festplatte haben viele Unternehmen. Das ist aber natürlich nicht ausreichend. Diese Maßnahmen müssen (so wie bei den anderen Themen auch) immer in ein Gesamtkonzept eingebettet sein. Aber sind Sie vorbereitet auf einen Hackerangriff bzw. seine Folgen? Haben Sie Maßnahmen ergriffen, was Sie tun, wenn Sie einen Mitarbeiter kündigen, so dass dieser nicht noch alle Daten mitnehmen kann?
2. Datenschutz
Mit der IT-Sicherheit ist der Datenschutz eng verbandelt.
Sind Sie für den Fall eines Datenlecks vorbereitet? Wer ist zu informieren, was ist zu tun?
Bei einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen diese unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Das gilt nur dann nicht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Zu dokumentieren sind die Verletzung einschließlich aller im Zusammenhang mit ihr stehenden Fakten, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen.
3. Sicherheitskonzept für Veranstaltungen
Ich bin kein Fan von aufgeblähten Sicherheitskonzepten, aber darum geht es hier nicht. An dieser Stelle möchte ich dafür werben, dass auch der Kleinveranstalter (z.B. kleiner Meetings, kleiner Incentives, kleiner Konferenzen) ein Sicherheitskonzept erstellt. Dazu braucht er nicht unbedingt einen Berater – nur ein bisschen Köpfchen: Es macht Sinn, sich vorher zur überlegen, was passieren könnte und wie man darauf reagieren sollte. Wer kümmert sich bspw. um den Notruf? Wer prüft kurz vor Beginn und während der Veranstaltung die Freihaltung der Rettungswege? Wer schaut zumindest mal, wo der nächste Feuerlöscher steht/hängt? Ist unter mehreren Anwesenden geklärt, wer das Sagen hat? Eine kurze schriftliche Zusammenfassung solcher Überlegungen kann hier schon Sinn machen.
4. Notfallplan
Eigentlich ist der „Notfallplan“ der Überbegriff. Ich möchte ihn hier aber nutzen für die arbeitsschutzrechtlichen Maßnahmen, die nach einem Arbeitsunfall zu ergreifen sind. Dazu gehören u.a. die Meldung an die Unfallkasse, die Dokumentation und ggf. das Wiederauffüllen des Erste-Hilfe-Kastens. Hierfür stellen die Berufsgenossenschaft umfassende Informationen zur Verfügung.
5. Social Media
Das Unternehmen sollte festlegen, wer sich in den Sozialen Medien wie äußern darf – jedenfalls wenn man das im Namen des Unternehmens macht. Dabei sollte es dann auch Regelungen geben für einen PR-Notfall: Bei bestimmten Eskalationsstufen ist eine enge Abstimmung mit der Geschäftsleitung, der Presseabteilung und/oder dem Justitiariat notwendig.
6. Compliance
Compliance, also „organisierte Rechtskonformität“, soll letztendlich zu einer Enthaftung der Vorgesetzten führen. Das funktioniert aber nur, wenn das Compliance-System funktioniert. Dazu gehört u.a. ein Melde- und Beschwerdemanagement: Wer kann wohin melden, wenn er Verstöße feststellt? Und was passiert dann mit dieser Meldung? Wie ist sichergestellt, dass der Meldung nachgegangen und soweit notwendig etwas verändert wird?
7. Diskriminierung
Der Arbeitgeber darf Mitarbeiterinnen und Mitarbeiter nicht diskriminieren. Er muss grundsätzlich dafür sorgen, dass Personen, die eine Diskriminierung erfahren, diese auch melden können. Ab bestimmten Unternehmensgrößen muss dafür eine eigene Meldestelle eingerichtet werden. Auch hier muss also ein Prozess installiert werden, der funktionsfähig ist – nach einer Diskriminierung. Ungeachtet dessen muss der Arbeitgeber natürlich auch schon durch geeignete Maßnahmen verhindern, dass es überhaupt zu einer Diskriminierung kommen kann.
8. Unternehmenssicherheit
Unter diesen zugegeben eigentlich nicht ganz passenden Begriff in diesem Zusammenhang geht es mir um die Frage, ob das Unternehmen darauf vorbereitet ist, wenn z.B.
- ein Feuer ausgebrochen und Räume, Geräte und Unterlagen zerstört hat,
- ein wichtiger Mitarbeiter plötzlich nicht mehr erscheinen kann, der aber über Schlüssel und Passworte verfügt,
- Entscheidungsträger plötzlich nicht mehr vorhanden sind, bspw. durch Tod oder Ausscheiden.
Hierfür passt auch wieder der Begriff des Kontinuitätsmanagements: Wie geht es dann weiter?
Übrigens kann ich mit Blick auf einen plötzlichen Todesfall bspw. des Geschäftsführers nur empfehlen, dass auch für die Nachsorge Vorkehrungen getroffen werden: Wer hat im Todesfall Zugriff auf die Geschäftskonten und -unterlagen?