Suche 
Seit dem Cyber-Angriff auf die Router der Telekom in der letzten Woche ist die „Gefahr aus dem Internet“ wieder in aller Munde. Nach den aufsehenerregenden Attacken auf das IT-Netzwerk des Deutschen Bundestages und auf Krankenhäuser in NRW schien die Lage sich etwas zu beruhigen. Doch die Hacker arbeiten im Verborgenen und tüfteln ständig an neuen Trojanern und neuer Verschlüsselungssoftware mit stetig wachsendem Schadenspotential. Nicht selten aber erfolgt auch die Cyber-Abwehr in Unternehmen verdeckt, d.h. ohne Einbindung der Rechts- und Personalabteilung sowie der Mitarbeitervertretung. Diese Arbeit im Verborgenen ist rechtlich problematisch und kann zu Verwerfungen mit der Mitarbeitervertretung führen.
Unternehmenssicherheit zwischen Datenschutz und Mitbestimmung
Die datenschutzrechtliche Ausgangssituation ist einfach. Nach § 4 Abs. 1 BDSG steht die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter einem Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass es für jeden datenschutzrelevanten Vorgang einer automatisierten Verarbeitung oder Nutzung personenbezogener Daten eines konkreten Erlaubnistatbestandes bedarf. Solch ein erlaubnisbedürftiger Vorgang stellt auch der Einsatz von Cyber Security Tools dar. Denn beim Einsatz von Cyber Security Tools sind regelmäßig – wenn auch nicht ausschließlich – personenbezogene Daten betroffen.
Ein geeigneter datenschutzrechtlicher Erlaubnistatbestand kann dabei unter anderem eine Betriebsvereinbarung sein. So greifen Datenschutz und Mitbestimmung ineinander. Die Mitbestimmung des Betriebsrates ist beim Einsatz von Überwachungs-Software dabei besonders weitreichend. Es besteht gemäß § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht. Ohne Einhaltung der Mitbestimmungsrechte kann der Betriebsrat den Einsatz der Software wegen Verletzung seines Mitbestimmungsrechtes gerichtlich untersagen lassen. Dabei ist nicht einmal erforderlich, dass die eingesetzte Software die Kontrolle von Verhalten und Leistung der Arbeitnehmer bezweckt. Der Schutz des Unternehmens vor Infiltration durch Schadsoftware seitens Dritter steht dem Mitbestimmungsrecht nicht entgegen. Allein die bloße Eignung eines Cyber Security Tools zur Verhaltens- und Leistungskontrolle der Mitarbeiter ist ausreichend und löst das Mitbestimmungsrecht aus. Dies gilt dann in gleicher Weise bei jeder Anpassung oder Veränderung der eingesetzten Software, die bei Cyber Security Tools besonders häufig vorkommt. Denn die entsprechenden Tools müssen naturgemäß stets der aktuellen Bedrohungssituation angepasst werden, um mit den Entwicklungen der Angreifer Schritt zu halten und etwaige Schutzlücken umgehend zu schließen.
Welche besonderen Anforderungen gibt es bei Cyber Security Tools?
Das Zusammenspiel von Datenschutz und Mitbestimmung ist weitgehend bekannt und in der betrieblichen Praxis vielfach bewährt. So bestehen in den meisten Betrieben z.B. Betriebsvereinbarungen zu den Themen Zeiterfassung, Telefonanlage, E-Mail-System oder elektronische Personalakte, die das Mitbestimmungsrecht des Betriebsrates wahren und zugleich datenschutzrechtlich die Grundlage für die entsprechenden Bearbeitungsvorgänge darstellen. Beim Einsatz von Cyber Security Tools gilt es indes, einige Besonderheiten zu berücksichtigen. So greifen Cyber Security Tools regelmäßig auf Log-Dateien zu, die zwar nicht immer – aber häufig – personenbezogene Daten enthalten. Es handelt sich insoweit überwiegend um Daten im Sinne des § 9 BDSG. Nach dieser Vorschrift haben Unternehmen, die personenbezogene Daten erheben, verarbeiten und nutzen, die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. In einer Anlage zu § 9 BDSG sind dann die konkreten Vorgaben zur Gewährleistung der Datensicherheit, die sogenannten „8 Gebote der Datensicherheit“ niedergelegt. Hierzu zählt insbesondere das Gebot der nachträglichen Überprüfbarkeit, ob und von wem personenbezogene Daten im Datenverarbeitungssystem eingegeben, verändert oder entfernt worden sind (sogenannte Eingabekontrolle).
Die rechtliche Vorgabe des § 9 BDSG beinhaltet zwar eine verbindliche rechtliche Verpflichtung zur Ergreifung technischer und organisatorischer Maßnahmen der Datensicherheit. Die Regelung stellt jedoch keineswegs einen eigenständigen datenschutzrechtlichen Erlaubnistatbestand dar und führt auch nicht zur Entbehrlichkeit der Einhaltung des Mitbestimmungsrechtes. Zwar steht das Mitbestimmungsrecht bei technischen Überwachungseinrichtungen – wie bei allen Mitbestimmungstatbeständen des § 87 BetrVG – unter dem Vorbehalt des Fehlens einer gesetzlichen Regelung. Eine solche gesetzliche Regelung schließt das Mitbestimmungsrecht indes nur aus, wenn sie abschließend ist und keine Spielräume mehr für die Betriebsparteien belässt. Dies ist bei der Ausgestaltung technischer und organisatorischer Maßnahmen im Allgemeinen und beim Einsatz von Cyber Security Tools im Besonderen nicht der Fall. Insoweit bleibt das Mitbestimmungsrecht hinsichtlich der Ausgestaltung der Grundsätze der Datensicherheit und hinsichtlich des Einsatzes des konkreten Cyber Security Tools bestehen.
Der Regelungsspielraum der Betriebsparteien ist jedoch in anderer Weise eingeschränkt. Daten im Sinne des § 9 BDSG unterliegen nach § 31 BDSG in sämtlichen Phasen der Datenverarbeitung einer besonderen Zwecksetzung. Sie dürfen ausschließlich für Zwecke der Datenschutzkontrolle, der Datensicherung und der Sicherung eines ordnungsgemäßen Betriebs der Datenverarbeitungsanlage verwendet werden. Diese Zwecksetzung schließt die Auswertung von Protokolldaten für Zwecke der Missbrauchsbekämpfung ein. Nicht ohne weiteres zulässig ist jedoch die Verwendung der Daten im Rahmen eines allgemeinen Risikomanagements oder Compliance Systems.
Lösungen in Betriebsvereinbarungen
Der Abschluss einer Betriebsvereinbarung bietet auch hier die Möglichkeit, Datenschutzrecht und Mitbestimmung in ein ausgewogenes Verhältnis zu bringen. Die Betriebsvereinbarung stellt eine verlässliche Rechtsgrundlage für den entsprechenden Zugriff auf die personenbezogenen Daten durch das Cyber Security Tool dar. Im Rahmen der Betriebsvereinbarung kann dann ggf. auch festgelegt werden, ob neben der strengen Zweckbindung des § 31 BDSG weitere Zwecke mit der Erhebung der entsprechenden Daten verbunden sein sollen. Mit einer solchen Doppelzwecksetzung werden etwaige Streitigkeiten über die Auswertung und Nutzung der personenbezogenen Daten bei konkreten Vorfällen vermieden, die durch das Cyber Security Tool aufgedeckt werden. Naturgemäß hat der Betriebsrat hier indes ein besonderes Interesse an einer möglichst sparsamen Verwendung der Erkenntnisse, zumal das entsprechende Überwachungspotential enorm ist. Vor dem Hintergrund der Notwendigkeiten zur Gewährleistung der Datensicherheit einerseits und des Abschlusses einer Betriebsvereinbarung andererseits sollten aber stets Lösungen möglich sein, die den Interessen beider Seiten gerecht werden.
Der Abschluss einer Betriebsvereinbarung über ein Cyber Security Tool stellt die Betriebsparteien indes vor weitere Herausforderungen. Die Notwendigkeit der Wahrung der Vertraulichkeit über die eingesetzten Mittel der Cyber-Verteidigung sowie die Notwendigkeit einer sehr kurzfristigen Anpassung der Verteidigungsstrategie und damit der eingesetzten Cyber Tools lassen sich mit dem üblichen Mitbestimmungsverfahren kaum in Einklang bringen. Die Betriebsparteien werden sich daher auf besondere Verfahrensarten verständigen müssen, wie die Vertraulichkeit gewahrt und die Schnelligkeit in der Cyber-Abwehr gewährleistet wird. Nur durch eine betriebliche Regelung, die Grundlage für schnelles Handeln ohne Einhaltung langwieriger Mitbestimmungsprozesse und ohne Preisgabe der Verteidigungsstrategie ist, kann die Abwehr von Cyber-Angriffen erfolgreich gelingen. Die zukünftige Arbeit im Verborgenen durch Mitarbeiter der IT-Sicherheit muss insoweit vorab offengelegt und legitimiert werden.
Weitere Beiträge zu den Themen Datenschutz, Cyber Security und IT finden Sie in unseren früheren Blog-Beiträgen.
