open search
close
Digitalisierung in Unternehmen Neueste Beiträge

Tipps für die Einführung komplexer IT-Systeme – Teil 3: IT-Security Systeme

Print Friendly, PDF & Email

Werden IT-Systeme dank Cloud, SaaS und KI ganz allgemein immer schwieriger verhandelbar (siehe Beitrag zu Workday), dürfte die „Krönung“ die Verhandlung mit Betriebsräten über die Einführung einer neuen IT-Sicherheitslandschaft sein. Dies zum einen aufgrund der detaillierten Überwachung der Endgeräte, aber auch wegen der technischen Besonderheiten und vor allem der extrem sensiblen Informationen, die hierfür ausgetauscht werden müssen. Tipps zur Handhabung des Mitbestimmungsprozesses gibt dieser Blogbeitrag.

Grundsätzliches zur Struktur der IT-Sicherheitssysteme

Der Schutz der IT eines Unternehmens kann nicht durch ein einzelnes Softwareprodukt bewirkt werden, sondern es bedarf einer aufeinander abgestimmten Sicherheitsarchitektur. Zu dieser gehören verschiedene Systeme, die teils von verschiedenen Herstellern stammen und dennoch sämtlich über Schnittstellen miteinander verbunden sind und die aus einer Vielzahl von (persönlichen) Daten aufgrund spezifischer voreingestellter Regeln potentielle Cyber-Angriffe identifizieren und über eine Art Alarmsystem an die zuständige Cyber-Security Abteilung melden. Immer mehr kommt hier auch KI zum Einsatz. Die Cyber-Security Spezialisten entwerfen hier ein genau auf die Bedürfnisse und spezifische Bedrohungslage zugeschnittenes „State-of-the-Art- Konzept, die Systeme werden eingekauft und dann natürlich schnellstmöglich in allen Betrieben bzw. bei internationalen Konzernen in allen Konzernunternehmen ausgerollt.

Der Zeitdruck kommt hier nicht unbedingt von innen, weil das Management mit einer neuen Software Prozesse verbessern möchte sondern von außen, da Cyberkriminelle täglich neue Angriffsmöglichkeiten entwickeln, auf die die Hersteller von IT-Security Systemen versuchen, möglichst schnell zu reagieren und neue Produkte auf den Markt werfen. Dies und die Tatsache, dass eine komplette Sicherheitsarchitektur aus über zehn Systemen bestehen kann, ergibt für die Verhandlungen eine oft schon allein deshalb spannungsgeladene Atmosphäre. Hinzu kommen weitere Schwierigkeiten, bei denen nachfolgende Tipps helfen sollen.

Tipp 1: Zeitfahrplan fixieren und Verhandlungen strukturieren

Die Betriebspartner sollten die Thematik von Beginn an realistisch betrachten und sich womöglich gleich zu Beginn in eine Einigungsstelle begeben, auf deren Parameter (Vorsitzender, Beisitzer, Frequenz und Ort der Verhandlungen sowie die genauen Regelungsgegenstände) sie sich idealerweise verständigen können. So wird die Gefahr gebannt, zunächst mit freien Verhandlungen zu starten und dann bereits besprochene Inhalte im Rahmen einer Einigungsstelle im Beisein der Sachverständigen und Anwälte wiederholen zu müssen. Termine für Systemdemos oder sonstige Einsichtnahmen (soweit aus Geheimhaltungsgründen überhaupt möglich) sollten ebenfalls frühzeitig festgelegt und geklärt werden, ob diese im Rahme der Einigungsstelle oder außerhalb stattfinden sollen und wer alles teilnimmt.

Gerade bei IT-Security Systemen ist es oft schwierig, den Wald vor lauter Bäumen weiterhin zu sehen. Übersichtsdiagramme und Kurzbeschreibungen aller zu verhandelnden Systeme gleich zu Beginn der Verhandlungen helfen, eine vernünftige Reihenfolge festzulegen und auch, auf der Zeitschiene die Notwendigkeit von vorläufigen Regelungen zu erkennen und offen anzusprechen. So kann die Einigungsstelle hierfür entsprechend Zeit einplanen und die weiteren Verhandlungen können auf gesicherter rechtlicher Grundlage stattfinden.

Da auch existierende IT-Rahmenvereinbarungen von ihrem Regelungsgehalt her bei IT-Security Systemen an vielen Stellen an ihre Grenzen stoßen, sollten sich die Betriebsparteien zu Beginn ebenfalls auf eine auf die Eigenart der Systeme abgestimmte Regelungssystematik festlegen. Gegebenenfalls kann durch eine gesonderte Rahmenregelung Zeit und Papier gespart werden.

Alles in allem: Bevor es „ans Eingemachte“ geht, kann bereits viel vorbereitet werden. Für all das bietet sich z.B. die Form eines IT-Cooperation Agreements an.

Tipp 2: Sachverstand, Sachverstand und nochmals: Sachverstand

Ist KI im Spiel, ist der Sachverständige für den Betriebsrat ohnehin gesetzt. Aber auch im Übrigen ist ein Sachverständiger für diese Thematik dringend anzuraten. Denn selbst ausgewiesene IT-Fachleute im Gremium stoßen bei dieser Art von Systemen häufig an ihre Grenzen, da sie mit diesen nie arbeiten. Bei der Sachverständigenauswahl sollte der Betriebsrat dann auch gebeten werden, auf eine ausgewiesene Expertise im Bereich IT-Security zu achten. Denn Sachverstand ist nicht gleich Sachverstand und es hilft nichts, wenn durch Ungenauigkeiten bei der Beratung Fragen zu diskutieren sind, die sich bei kompetenter Aufklärung des Betriebsrates gar nicht gestellt hätten. Auch das kostet nur wertvolle Zeit.

Genauso muss aber auch arbeitgeberseitig sichergestellt werden, dass der nötige Sachverstand als Counterpart mit auf der Verhandlungsbank sitzt. Da Verhandlungen ohne diese Personen nahezu unmöglich geführt werden können, sollte unbedingt im Vorfeld die Vertretungssituation bei Urlaub geklärt werden oder die Abwesenheiten im Zeitplan berücksichtigt werden.

Tipp 3: Information trotz Geheimhaltungsbedürfnis

Eine sehr besondere Problematik bei IT-Security Systemen ist, dass viele technische Informationen, die sonst auf jeder Informationsagenda stehen, nicht gegeben werden können oder sollen. Dies nicht aus Misstrauen dem Betriebsrat oder Mitgliedern der Einigungsstelle gegenüber, die nach § 79 BetrVG zur Geheimhaltung verpflichtet sind, sondern aus der Tatsache heraus, dass eine Kenntnis bestimmter Parameter der Systeme niemandem vorbehalten ist außer dem Hersteller und den (spezielle Sicherheitsaudits durchlaufenden) Mitarbeitern der Cyber-Security Abteilung. So stellt jede weitere Person, die geheime Systemdetails kennt, ein potentielles Sicherheitsleck dar. Cyberkriminelle könnten mit dem Wissen über relevante Schnittstellen, die genaue Version des eingesetzten Systems oder gar die zugrunde liegenden Regeln zur Erkennung von Sicherheitsvorfällen einen gezielten Angriff starten und damit den gesamten Konzern zum Stillstand bringen und erheblichen wirtschaftlichen Schaden anrichten. Hier ist es Aufgabe der Einigungsstelle, eine Interessenabwägung sehr sorgfältig vorzunehmen und zu prüfen, welche Informationen wirklich gebraucht werden, um den Regelungsauftrag zu erfüllen.

Alternativen zur Dokumentation in der Betriebsvereinbarung sind zum Beispiel Live Einsichtnahmen unter Ausschluss von Handys und Notizmöglichkeiten, Einmalige Sichtung von Dokumenten und anschließende Verwahrung an einem sicheren Ort oder eben auch einmal das Regeln des Systems ohne bestimmte Informationen. Hier wird es dann aber zur Wahrung der Mitarbeiterinteressen häufig verstärkter Kontrollmöglichkeiten des Betriebsrates bedürfen und des klaren Commitments auf den eigentlichen Zweck der Systeme: Den Schutz der Daten (auch der der Mitarbeiter) vor Angriffen und nicht die Kontrolle der Mitarbeiter.

Tipp 4: Den Betriebsrat auf dem Laufenden halten

Auch bei der Kontrolle des ordnungsgemäßen Einsatzes der Systeme spielt die notwendige Geheimhaltung häufig eine Rolle. Auch hier kann es die Verhandlungen erleichtern, wenn der Betriebsrat genau versteht, wer wie mit den Systemen arbeitet. Eine Einbeziehung der betroffenen Abteilung ist daher unumgänglich. Die oft übliche Einsichtnahme in Reports wird hier nicht möglich sein, möglicherweise aber eine Information über Sicherheitsvorfälle im Nachhinein und auf einem gewissen Abstraktionslevel. Auch die Einbeziehung des Betriebsrates dann, wenn ein deutscher Mitarbeiter zur Aufklärung des Vorfalles kontaktiert werden muss und die Möglichkeit des Betriebsrates, nachzuprüfen, dass im Umgang mit den in einem durchaus sehr erheblichen Umfang gesammelten Daten eine strikte Zweckbindung und Zugangsbeschränkung gesichert ist hilft, das für diese Systeme unerlässliche Vertrauen zu schaffen.

Fazit

Bei IT-Security ist das Informationsbedürfnis des Betriebsrates gerade aufgrund der Komplexität und der erheblichen Sammlung von Mitarbeiterdaten extrem hoch, das Geheimhaltungsinteresse des Arbeitgebers jedoch auch. In diesem Fall ist es daher besonders: Der Arbeitgeber kann nicht informieren, selbst, wenn er wollte. Umso mehr gilt es, durch einen offenen Umgang mit diesen Restriktionen und gute Erklärung derselben beim Betriebsrat Vertrauen zu schaffen. Hier kann auch der (gute) Sachverständige des Betriebsrates helfen, der Best Practices Erfahrungen von anderen Unternehmen einbringen kann.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Kollektivarbeitsrecht Neueste Beiträge

Tendenzschutz und seine Auswirkungen im Arbeitsrecht

Tendenzschutz können zum Beispiel politische Parteien, Zeitungs- und Buchverlage, Nachrichtenagenturen, Rundfunk- und Fernsehsender, Privatschulen sowie Behindertenwerkstätten genießen. Der Begriff des Tendenzbetriebs folgt dabei aus § 118 Abs. 1 BetrVG. Genießt ein Betrieb Tendenzschutz, also eine besondere Freiheit, seine Tätigkeit nach seinen Überzeugungen und Zielsetzungen zu gestalten, kann dies sowohl Auswirkungen auf die individualarbeitsrechtliche Ebene haben als auch insbesondere die Mitbestimmungsrechte des Betriebsrats betreffen. Tendenzbetriebe sind dabei solche,…
Neueste Beiträge Private Equity M&A Restrukturierung

Carve-outs im Fokus: Arbeitsrechtliche Aspekte, die Sie kennen sollten

Der Begriff „Carve-out“ bezeichnet die Ausgliederung und den Verkauf eines Unternehmensteils aus einem bestehenden Unternehmen. Viele Unternehmen in Deutschland haben in den letzten Jahren gezeigt, dass solche Verselbständigungen zur Optimierung der Unternehmensstruktur sowie Beschleunigung von Transformationsprozessen wirtschaftlich vorteilhaft sein können. Dabei sind jedoch auch damit verbundene arbeitsrechtliche Herausforderungen zu erkennen und erfolgreich zu bewältigen. In unserem Blogbeitrag vom 29. November 2021 hatten wir bereits über…
Neueste Beiträge Unternehmensführung

"What Happens Next?" – Arbeitsrechtliche Herausforderungen der Zukunftsplanung

In einer sich ständig verändernden Geschäftswelt ist es für Unternehmen unerlässlich, vorausschauend zu planen und Risiken zu bewerten. Dabei spielen sowohl interne als auch externe Faktoren eine entscheidende Rolle. Die Herausforderungen, denen sich Unternehmen heute gegenübersehen, sind vielfältig und komplex. Sie reichen von technologischen Veränderungen und Arbeitsmarkttrends bis hin zu wirtschaftlichen Schwierigkeiten und dem Fachkräftemangel. Die rasante Entwicklung der Künstlichen Intelligenz (KI) stellt Unternehmen vor…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.