Werden IT-Systeme dank Cloud, SaaS und KI ganz allgemein immer schwieriger verhandelbar (siehe Beitrag zu Workday), dürfte die „Krönung“ die Verhandlung mit Betriebsräten über die Einführung einer neuen IT-Sicherheitslandschaft sein. Dies zum einen aufgrund der detaillierten Überwachung der Endgeräte, aber auch wegen der technischen Besonderheiten und vor allem der extrem sensiblen Informationen, die hierfür ausgetauscht werden müssen. Tipps zur Handhabung des Mitbestimmungsprozesses gibt dieser Blogbeitrag.
Grundsätzliches zur Struktur der IT-Sicherheitssysteme
Der Schutz der IT eines Unternehmens kann nicht durch ein einzelnes Softwareprodukt bewirkt werden, sondern es bedarf einer aufeinander abgestimmten Sicherheitsarchitektur. Zu dieser gehören verschiedene Systeme, die teils von verschiedenen Herstellern stammen und dennoch sämtlich über Schnittstellen miteinander verbunden sind und die aus einer Vielzahl von (persönlichen) Daten aufgrund spezifischer voreingestellter Regeln potentielle Cyber-Angriffe identifizieren und über eine Art Alarmsystem an die zuständige Cyber-Security Abteilung melden. Immer mehr kommt hier auch KI zum Einsatz. Die Cyber-Security Spezialisten entwerfen hier ein genau auf die Bedürfnisse und spezifische Bedrohungslage zugeschnittenes „State-of-the-Art- Konzept, die Systeme werden eingekauft und dann natürlich schnellstmöglich in allen Betrieben bzw. bei internationalen Konzernen in allen Konzernunternehmen ausgerollt.
Der Zeitdruck kommt hier nicht unbedingt von innen, weil das Management mit einer neuen Software Prozesse verbessern möchte sondern von außen, da Cyberkriminelle täglich neue Angriffsmöglichkeiten entwickeln, auf die die Hersteller von IT-Security Systemen versuchen, möglichst schnell zu reagieren und neue Produkte auf den Markt werfen. Dies und die Tatsache, dass eine komplette Sicherheitsarchitektur aus über zehn Systemen bestehen kann, ergibt für die Verhandlungen eine oft schon allein deshalb spannungsgeladene Atmosphäre. Hinzu kommen weitere Schwierigkeiten, bei denen nachfolgende Tipps helfen sollen.
Tipp 1: Zeitfahrplan fixieren und Verhandlungen strukturieren
Die Betriebspartner sollten die Thematik von Beginn an realistisch betrachten und sich womöglich gleich zu Beginn in eine Einigungsstelle begeben, auf deren Parameter (Vorsitzender, Beisitzer, Frequenz und Ort der Verhandlungen sowie die genauen Regelungsgegenstände) sie sich idealerweise verständigen können. So wird die Gefahr gebannt, zunächst mit freien Verhandlungen zu starten und dann bereits besprochene Inhalte im Rahmen einer Einigungsstelle im Beisein der Sachverständigen und Anwälte wiederholen zu müssen. Termine für Systemdemos oder sonstige Einsichtnahmen (soweit aus Geheimhaltungsgründen überhaupt möglich) sollten ebenfalls frühzeitig festgelegt und geklärt werden, ob diese im Rahme der Einigungsstelle oder außerhalb stattfinden sollen und wer alles teilnimmt.
Gerade bei IT-Security Systemen ist es oft schwierig, den Wald vor lauter Bäumen weiterhin zu sehen. Übersichtsdiagramme und Kurzbeschreibungen aller zu verhandelnden Systeme gleich zu Beginn der Verhandlungen helfen, eine vernünftige Reihenfolge festzulegen und auch, auf der Zeitschiene die Notwendigkeit von vorläufigen Regelungen zu erkennen und offen anzusprechen. So kann die Einigungsstelle hierfür entsprechend Zeit einplanen und die weiteren Verhandlungen können auf gesicherter rechtlicher Grundlage stattfinden.
Da auch existierende IT-Rahmenvereinbarungen von ihrem Regelungsgehalt her bei IT-Security Systemen an vielen Stellen an ihre Grenzen stoßen, sollten sich die Betriebsparteien zu Beginn ebenfalls auf eine auf die Eigenart der Systeme abgestimmte Regelungssystematik festlegen. Gegebenenfalls kann durch eine gesonderte Rahmenregelung Zeit und Papier gespart werden.
Alles in allem: Bevor es „ans Eingemachte“ geht, kann bereits viel vorbereitet werden. Für all das bietet sich z.B. die Form eines IT-Cooperation Agreements an.
Tipp 2: Sachverstand, Sachverstand und nochmals: Sachverstand
Ist KI im Spiel, ist der Sachverständige für den Betriebsrat ohnehin gesetzt. Aber auch im Übrigen ist ein Sachverständiger für diese Thematik dringend anzuraten. Denn selbst ausgewiesene IT-Fachleute im Gremium stoßen bei dieser Art von Systemen häufig an ihre Grenzen, da sie mit diesen nie arbeiten. Bei der Sachverständigenauswahl sollte der Betriebsrat dann auch gebeten werden, auf eine ausgewiesene Expertise im Bereich IT-Security zu achten. Denn Sachverstand ist nicht gleich Sachverstand und es hilft nichts, wenn durch Ungenauigkeiten bei der Beratung Fragen zu diskutieren sind, die sich bei kompetenter Aufklärung des Betriebsrates gar nicht gestellt hätten. Auch das kostet nur wertvolle Zeit.
Genauso muss aber auch arbeitgeberseitig sichergestellt werden, dass der nötige Sachverstand als Counterpart mit auf der Verhandlungsbank sitzt. Da Verhandlungen ohne diese Personen nahezu unmöglich geführt werden können, sollte unbedingt im Vorfeld die Vertretungssituation bei Urlaub geklärt werden oder die Abwesenheiten im Zeitplan berücksichtigt werden.
Tipp 3: Information trotz Geheimhaltungsbedürfnis
Eine sehr besondere Problematik bei IT-Security Systemen ist, dass viele technische Informationen, die sonst auf jeder Informationsagenda stehen, nicht gegeben werden können oder sollen. Dies nicht aus Misstrauen dem Betriebsrat oder Mitgliedern der Einigungsstelle gegenüber, die nach § 79 BetrVG zur Geheimhaltung verpflichtet sind, sondern aus der Tatsache heraus, dass eine Kenntnis bestimmter Parameter der Systeme niemandem vorbehalten ist außer dem Hersteller und den (spezielle Sicherheitsaudits durchlaufenden) Mitarbeitern der Cyber-Security Abteilung. So stellt jede weitere Person, die geheime Systemdetails kennt, ein potentielles Sicherheitsleck dar. Cyberkriminelle könnten mit dem Wissen über relevante Schnittstellen, die genaue Version des eingesetzten Systems oder gar die zugrunde liegenden Regeln zur Erkennung von Sicherheitsvorfällen einen gezielten Angriff starten und damit den gesamten Konzern zum Stillstand bringen und erheblichen wirtschaftlichen Schaden anrichten. Hier ist es Aufgabe der Einigungsstelle, eine Interessenabwägung sehr sorgfältig vorzunehmen und zu prüfen, welche Informationen wirklich gebraucht werden, um den Regelungsauftrag zu erfüllen.
Alternativen zur Dokumentation in der Betriebsvereinbarung sind zum Beispiel Live Einsichtnahmen unter Ausschluss von Handys und Notizmöglichkeiten, Einmalige Sichtung von Dokumenten und anschließende Verwahrung an einem sicheren Ort oder eben auch einmal das Regeln des Systems ohne bestimmte Informationen. Hier wird es dann aber zur Wahrung der Mitarbeiterinteressen häufig verstärkter Kontrollmöglichkeiten des Betriebsrates bedürfen und des klaren Commitments auf den eigentlichen Zweck der Systeme: Den Schutz der Daten (auch der der Mitarbeiter) vor Angriffen und nicht die Kontrolle der Mitarbeiter.
Tipp 4: Den Betriebsrat auf dem Laufenden halten
Auch bei der Kontrolle des ordnungsgemäßen Einsatzes der Systeme spielt die notwendige Geheimhaltung häufig eine Rolle. Auch hier kann es die Verhandlungen erleichtern, wenn der Betriebsrat genau versteht, wer wie mit den Systemen arbeitet. Eine Einbeziehung der betroffenen Abteilung ist daher unumgänglich. Die oft übliche Einsichtnahme in Reports wird hier nicht möglich sein, möglicherweise aber eine Information über Sicherheitsvorfälle im Nachhinein und auf einem gewissen Abstraktionslevel. Auch die Einbeziehung des Betriebsrates dann, wenn ein deutscher Mitarbeiter zur Aufklärung des Vorfalles kontaktiert werden muss und die Möglichkeit des Betriebsrates, nachzuprüfen, dass im Umgang mit den in einem durchaus sehr erheblichen Umfang gesammelten Daten eine strikte Zweckbindung und Zugangsbeschränkung gesichert ist hilft, das für diese Systeme unerlässliche Vertrauen zu schaffen.
Fazit
Bei IT-Security ist das Informationsbedürfnis des Betriebsrates gerade aufgrund der Komplexität und der erheblichen Sammlung von Mitarbeiterdaten extrem hoch, das Geheimhaltungsinteresse des Arbeitgebers jedoch auch. In diesem Fall ist es daher besonders: Der Arbeitgeber kann nicht informieren, selbst, wenn er wollte. Umso mehr gilt es, durch einen offenen Umgang mit diesen Restriktionen und gute Erklärung derselben beim Betriebsrat Vertrauen zu schaffen. Hier kann auch der (gute) Sachverständige des Betriebsrates helfen, der Best Practices Erfahrungen von anderen Unternehmen einbringen kann.