Die Anwendung spezieller „Cyber Security Tools“, beispielsweise von SIEM-Systemen (Security Incident and Event Management), erfordern in der betrieblichen Praxis nicht nur die Berücksichtigung zusätzlicher Aspekte im Bereich Datenschutz, sondern verlangen auch einen gezielten Blick auf Inhalt und Umfang der betrieblichen Mitbestimmung.
Nutzen Anwendungen aus dem Bereich „Cyber Security“ vorrangig Daten, die im Rahmen der technischen oder organisatorischen Maßnahmen der Datensicherung erstellt werden (z.B. „Log-Dateien“) und sind solche Daten – nicht immer, aber häufig – personenbezogene Daten, handelt es sich insoweit überwiegend um Daten im Sinne des § 9 BDSG. Diese Norm stellt eine gesetzliche Regelung im Sinne des § 87 Abs. 1 S.1 BetrVG dar. § 9 BDSG schreibt technische und organisatorische Maßnahmen zur Datensicherung zwingend vor, was in diesem Bereich eine Mitbestimmungspflicht weitgehend ausschließt. Nur dort, wo diese Vorgaben einen Regelungsspielraum zulassen, besteht überhaupt eine – volle – Mitbestimmungspflicht.
Über diese rechtlichen Aspekte und sich daraus ergebenden Gestaltungshinweise und Handlungsempfehlungen referierte unser Partner Dr. Oliver Vollstädt am 28. Januar 2016 in der Regionalgruppe „Südwest“ des Bundesverbandes der Arbeitsrechtler in Unternehmen (BVAU) im Anschluss an eine Führung durch das neugeschaffene Cyberabwehrzentrum der Hewlett Packard Enterprise in Böblingen. Annähernd 30 Teilnehmer diskutierten im Anschluss zur Umsetzung von Cyber Security in der betrieblichen Praxis. Die Veranstaltung fand große positive Resonanz.