Krisenmanagement - Compliance und Haftung hinsichtlich Umgang mit Krisen und Führung unter erschwerten Bedingungen

1. Arbeitssicherheit und Gesundheitsschutz

• Arbeitsgesetz (ArG): Unternehmen sind verpflichtet, die Sicherheit und Gesundheit ihrer Mitarbeitenden zu schützen, was auch Notfall- und Krisenmanagementpläne umfasst.
• Verordnung über die Unfallverhütung (VUV): Diese regelt Massnahmen zur Vermeidung von Unfällen und kritischen Ereignissen, insbesondere in gefährlichen Arbeitsumgebungen.

2. Datenschutz und IT-Sicherheit

• Datenschutzgesetz (DSG): Bei Krisen wie Cyberangriffen oder Datenlecks müssen Unternehmen sicherstellen, dass personenbezogene Daten geschützt sind und geeignete Massnahmen zur Reaktion getroffen werden.
• NIS-Richtlinie (Netzwerk- und Informationssicherheit): Für Betreiber kritischer Infrastrukturen gelten spezifische Vorgaben zur Sicherstellung der Cyberresilienz.

3. Katastrophen- und Bevölkerungsschutz

• Bevölkerungsschutzgesetz: Organisationen wie Kantone, Gemeinden und Betreiber kritischer Infrastrukturen sind verpflichtet, Pläne für den Katastrophenschutz zu entwickeln und regelmässig zu überprüfen.
• Alarmierungssysteme: Unternehmen, die in sensiblen Bereichen tätig sind, müssen funktionierende Alarm- und Evakuierungssysteme bereitstellen.

4. Branchen- und sektorspezifische Vorgaben

• Kritische Infrastrukturen: Betreiber von Energieversorgung, Transport, Kommunikation, Gesundheitswesen und Wasserversorgung unterliegen erhöhten Anforderungen an das Krisenmanagement.
• Banken und Finanzinstitute: Die FINMA-Rundschreiben enthalten Vorgaben zu Business Continuity Management (BCM) und Notfallplänen.
• Pharma- und Chemiebranche: Strenge Sicherheitsvorgaben und regelmässige Krisensimulationen sind Pflicht, z. B. nach den Vorgaben der SUVA oder ChemRRV (Chemikalien-Risikoreduktions-Verordnung).

5. Internationale Standards

Unternehmen in der Schweiz orientieren sich häufig an internationalen Standards für Krisenmanagement, um Compliance-Anforderungen zu erfüllen:

• ISO 22301: Business Continuity Management.
• ISO 31000: Risikomanagement.
• ISO 22361: Krisenmanagement und Krisenkommunikation.
• ITIL und COBIT: Für IT-Sicherheit und Krisenmanagement im IT-Bereich.

nicht abschliessend

Während es in der Schweiz keine einheitliche Krisenmanagement-Compliance gibt, müssen Unternehmen eine Vielzahl von rechtlichen und branchenspezifischen Anforderungen berücksichtigen. Ein gut strukturiertes Krisenmanagement hilft, diese Vorgaben zu erfüllen, die Sicherheit zu gewährleisten und die Geschäftskontinuität zu sichern. Orientierung an internationalen Standards wie ISO 22301 bzw. ISO 22361 und regelmässige Schulungen stärken die Resilienz und rechtliche Absicherung.

• Dokumentation und Aktualisierung: Unternehmen müssen sicherstellen, dass Notfall- und Krisenpläne dokumentiert, regelmässig aktualisiert und den Mitarbeitenden bekannt sind.
• Schulungen und Übungen: Gesetzliche Vorgaben in den Bereichen Arbeitsschutz und kritische Infrastrukturen schreiben regelmässige Schulungen und Übungen vor.
• Risikobewertung: Unternehmen sind verpflichtet, Risiken systematisch zu identifizieren und Massnahmen zur Minimierung zu ergreifen.
• Berichtspflichten: Bei Vorfällen wie Datenlecks oder Produktionsausfällen können Meldepflichten gegenüber Behörden bestehen.