Das Personalrisiko kann als die Ungewissheit, die Personalressourcen für die Wettbewerbsfähigkeit und die Nachhaltigkeit des beschäftigenden Unternehmens darstellen, definiert werden¹. Aufgeführt werden können z.B. Betrug, Korruption, die Missachtung von Vorschriften oder auch ganz einfach menschliches Versagen.

Welche Kosten entstehen dadurch aber tatsächlich? 2018 beliefen sich die Schadenersatzforderungen in der Schweiz in 50 entschiedenen Fällen gesamthaft auf CHF 166 Millionen, d.h. durchschnittlich CHF 3.5 Millionen pro Fall, wobei der Mindeststreitwert CHF 50’000 betrug. Knapp 50% der Fälle wurden durch das Management und/oder die Mitarbeiter verursacht². Trotzdem spiegeln diese Fälle nur einen Bruchteil der Realität wider, da viele Fälle nicht gerichtlich entschieden (z.B. Streitbeilegung durch Mediation) oder überhaupt entdeckt werden. Der durch das betroffene Unternehmen erlittene Reputationsschaden ist zudem oftmals nicht bezifferbar.

Müsste also der Faktor Mensch ausgeschaltet werden? Meines Erachtens ist diese Frage rasch beantwortet. Die Entschärfung des Personalrisikos ist zwar möglich, die Praktiken in diesem Bereich sind aber noch weitgehend unbekannt, unbeachtet oder hinsichtlich ihrer Rechtmässigkeit unsicher.

Schulen und sensibilisieren

Das Klima der Unsicherheit, das wir derzeit durchqueren, sowie die Verbreitung des Home Office begünstigen den Betrug im Internet³, wie etwa das sogenannte Phishing, bei dem der Benutzer dazu aufgefordert wird, einen Link oder ein Attachment anzuklicken. In der Folge können Hacker z.B. Ransomware in Ihr Informatiksystem einschleusen und die Unachtsamkeit oder Unwissenheit der Benutzer ausnützen. Tragischerweise hat ein solcher Angriff kürzlich den Tod einer Patientin eines Düsseldorfer Krankenhauses nach sich gezogen. Auch bei uns in der Schweiz wurde bereits ein Krankenhaus Ziel eines Cyberangriffs.

Das Personalrisiko kann im vorliegenden Fall klarerweise durch eine verbesserte Schulung und Sensibilisierung der BenutzerInnen eingedämmt werden. Verschiedene Online-Plattformen ermöglichen Ihnen heutzutage die Simulation von Cyberattacken. So können Sie sich gezielt an die Personen wenden, die in diesem Bereich zusätzliche Schulung benötigen, und die Kontrolle über Ihre Daten bewahren.

Screenen

Die Praxis des Personal-Screenings ist im angelsächsischen Raum weit verbreitet. Zum Ersten ermöglicht sie die Vermeidung von Interessenkonflikten, z.B. bei internen Beförderungen im Rahmen einer Teamübernahme oder, wenn Manager selbst am Einstellungsprozess teilnehmen⁴. Zweitens kann von früheren Verhaltensweisen auf zukünftiges Verhalten geschlossen werden, da der Mensch ein Gewohnheitstier ist. Vielleicht geraten wir in Versuchung zu behaupten, dass dies in der Schweiz nicht nötig sei – aber ganz im Gegenteil: Die Ortsansässigkeit einer Person steht in keiner Korrelation zu ihrer Rechtschaffenheit.

Im Einklang mit Art. 328b des Obligationenrechts darf der Arbeitgeber die Personendaten seiner Mitarbeiter bearbeiten, sofern sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Desweiteren müssen die Vorschriften des Datenschutzgesetzes eingehalten werden. Sie müssen sich daher keine Sorgen darüber machen, dass die Praxis der Backgroundchecks Ihrer BewerberInnen und MitarbeiterInnen unrechtmässig sein könnte.

Konkret geht es einerseits um die Überprüfung der Rechtschaffenheit der Person anhand der Bestätigung der übermittelten Daten und Informationen und durch die Validierung der vorgelegten Dokumente durch die ausstellenden Quellen (Identität, Diplom, Arbeitszeugnis, Aufenthaltsbewilligung, Straf- und Betreibungsregisterauszug, Leumund usw.). Andererseits können Sie anhand der direkten Referenzeinholung bei früheren Arbeitgebern herausfinden, ob bereits ein Disziplinarverfahren gegen die betroffene Person eingeleitet wurde und welche die wahren Gründe für das Ende der Zusammenarbeit waren. Sie müssen sich somit nicht auf die pauschalen Ausführungen eines Arbeitszeugnisses beschränken.

Verschiedene Stufen der Überprüfung sind möglich und denkbar. Sie sollten jedoch nicht im Einzelfall auf die betroffene Person zugeschnitten, sondern anhand eines von der Human Resources Abteilung erstellten Risikoprofils ausgewählt werden. Diese muss anhand der Zugriffsrechte und Zuständigkeiten die Schlüsselpositionen innerhalb des Unternehmens eindeutig identifizieren und die Anforderungen in die Überprüfung integrieren⁵.

Verschiedene andere Massnahmen sind empfehlenswert, insbesondere die Einführung von abschreckenden Disziplinarmassnahmen oder eines internen Whistleblowing-Systems. Leider sind diese Massnahmen nicht vorbeugend, sondern kommen erst nach einem Vorfall zum Tragen. Und wenn die Zielsetzung der bessere Umgang mit einem Risiko ist, sollte man dieses besser entdecken und entschärfen, anstatt Folgen zu tragen.

¹Michel-Henry Bouchet, Intelligence économique et gestion des risques, Pearson Education, 2007.

²KPMG Forensic Fraud Barometer, 2019.

³Centre National pour la cybersécurité NCSC, MELANI, Coronavirus : Escroqueries sur Internet, 2020.

⁴Mathis, Jackson, Valentine, Meglich, Human Resource Management, Cengage Learning, 15ème edition, 2017, P.241-242.

⁵Nixon, Kerr, Background Screening and Investigations, Elsevier Inc., 2008, p.57-58.

Datum Erstveröffentlichung: 11.11.2020

Autor: Mahandry Rambinintsoa – DPO Aequivalent