Datensicherheit 4.0: Was Fachkräfte für Arbeitssicherhei ... / 4.2 Organisatorische Maßnahmen

• Der konkrete Zuständigkeitsbereich der Sifa im Hinblick auf Aufgaben der Datensicherheit sollte mit der Unternehmensleitung festgelegt und schriftlich dokumentiert werden. Ansonsten können Doppelarbeiten und Versäumnisse – und letztlich auch Gefährdungen für den sicheren Ablauf der Systeme – die Folge sein. Es ist sinnvoll, die Zuständigkeitsbereiche regelmäßig zu prüfen. Ggf. sind die Einsatzzeiten anzupassen.
• Im Hinblick auf die zunehmende Komplexität der Prozesse und unterschiedlich ausgeprägte Expertisen sind im Betrieb verschiedene Beteiligte erforderlich, mit denen interdisziplinär zusammen gearbeitet werden muss – im Sinne eines erfolgreichen Arbeits- und Gesundheitsschutzes. Dabei sollten die Sifas als fachliche Berater fungieren, die alle Beteiligten verbinden bzw. koordinieren und Vorschläge zur sicherheits-, menschen- und alternsgerechten Arbeitssystemgestaltung geben.
• Sichergestellt sollte sein, dass die Sifas die benötigten Kenntnisse und Kompetenzen haben bzw. wie sie diese aufbauen können. Z. B. benötigen die Sifas Kenntnisse darüber, welche Aspekte der Sicherheit und Gesundheit bei der Entwicklung, Beschaffung der 4.0-Technologien berücksichtigt werden müssen und wie diese in die Systeme integriert werden können. Es sind aber auch Kenntnisse über emotionale Fertigkeiten notwendig bzw. Möglichkeiten, die Beschäftigten "mitzunehmen", zu motivieren, um mögliche Hemmschwellen sowie Widerstände zu erkennen und adäquat zu reagieren.
• Bei der Anschaffung neuer Technologien sollten Kriterien festgelegt werden, nach welchen diese beschafft werden sollen. Dafür können als Kriterien Punkte aus dem Abschn. "Technische Maßnahmen" herangezogen werden. Die Sifa kann einen Kriterienkatalog im Hinblick auf sicheres und gesundes Arbeiten zusammenstellen. Diese Kriterien können dann bei der Entscheidung, welche Technologie beschafft werden soll, berücksichtigt werden. Auch hier gilt, dass durch eine frühzeitige Planung mögliche Defizite oder potenzielle Gefährdungen rechtzeitig erkannt werden.
• Bei der Einführung einer neuen Technologie sollte geplant werden, wie die Beschäftigten darauf vorbereitet werden können, z. B. durch Informationen im Vorlauf im Rahmen von Mitarbeiterbesprechungen. Dabei sollte der Nutzen für den Arbeitsprozess betont und vor allem Sicherheit in der Anwendung vermittelt werden. Auch bei dieser Maßnahme ist die Einbindung der Sifa zentral, da es um ursächliche Themen der Arbeitssicherheit geht. Im Einführungsprozess sollten die Erfahrungen der Beschäftigten mit der Technologie eingeholt und Kompetenzen erweitert werden. Da die Beschäftigten bei der Nutzung der Technologie an erster Stelle stehen, sollten sie in den Prozess eingebunden werden.
• Vor der Verteilung mobiler Endgeräte sollte ein sicherer und datenschutzkonformer Umgang damit sichergestellt sein. Daher sollte eine Nutzungsrichtlinie schriftlich festgelegt werden. Hier sollten Punkte aus dem Abschn. "Technische Maßnahmen" aufgegriffen werden. Mit der Ausgabe von Geräten sollte eine Dienstanweisung für den Umgang verbunden sein. Die Sifa kann hier Punkte liefern, die in die Dienstanweisung aufgenommen werden und den sicheren und gesundheitsgerechten Umgang mit den Geräten betreffen.
• Bei der Planung neuer Technologien über mögliche Bedrohungen und Risiken diskutieren – für die Sifa ist dies Teil der Zuständigkeit und bezieht sich hier auch auf die Risiken der Sicherheit durch Technologienutzung im Betrieb. Die Diskussion sollte möglichst unter Einbeziehung der Beschäftigten stattfinden, die letztlich mit der Anwendung gut zurechtkommen müssen. Dabei soll es darum gehen, die Hintergründe und den Nutzen der neuen Technologie herauszustellen und in dem Zuge Akzeptanz herzustellen bzw. zu motivieren. Ziel soll immer ein leichter und sicherer Umgang mit der Technologie sein, sodass diese optimal eingesetzt werden kann. Diese Bedingungen sind auch ideal für die Datensicherheit, denn eine Nutzung durch unsichere Anwender beflügelt unachtsames Verhalten.
• Bei Angriffen sollte ein Erkennungssystem eingerichtet werden und den Führungskräften und Beschäftigten vermittelt werden, Pannen oder Verstöße gegen vereinbarte Vorgehensweisen umgehend zu melden, um weitere Schäden zu vermeiden/zu minimieren.
• Eine Person im Unternehmen^[1] benennen, die für Fragen und im Falle von Problemen zuständig ist und die weitere Vorgehensweise plant – selbst wenn der IT-Support bzw. der Administrator extern ist. Auch an Vertretungsregelungen und Notfallvorsorge denken! In kleineren Unternehmen kann eine Führungskraft für diese Aufgabe gewonnen werden. Die Aufgaben dieser Person umfassen z. B. Durchführung einer Bestandsaufnahme bisheriger Aktivitäten der Datensicherheit, Zusammenstellung der notwendigen Sicherheitsvorkehrungen (Sicherheitskonzept) und Ansprechpartner/in für Externe sein, die diese Sicherheitsüberlegungen umsetzen. Auch sollte die/der Zuständige sicherstellen, dass die IT-Sicherheitsmaßnahmen dokumentiert, kontrolliert und ständig verbessert werden. Di...