open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Digitalisierung in Unternehmen Neueste Beiträge

    Tipps für die Einführung komplexer IT-Systeme – Teil 3: IT-Security Systeme

    Print Friendly, PDF & Email

    Werden IT-Systeme dank Cloud, SaaS und KI ganz allgemein immer schwieriger verhandelbar (siehe Beitrag zu Workday), dürfte die „Krönung“ die Verhandlung mit Betriebsräten über die Einführung einer neuen IT-Sicherheitslandschaft sein. Dies zum einen aufgrund der detaillierten Überwachung der Endgeräte, aber auch wegen der technischen Besonderheiten und vor allem der extrem sensiblen Informationen, die hierfür ausgetauscht werden müssen. Tipps zur Handhabung des Mitbestimmungsprozesses gibt dieser Blogbeitrag.

    Grundsätzliches zur Struktur der IT-Sicherheitssysteme

    Der Schutz der IT eines Unternehmens kann nicht durch ein einzelnes Softwareprodukt bewirkt werden, sondern es bedarf einer aufeinander abgestimmten Sicherheitsarchitektur. Zu dieser gehören verschiedene Systeme, die teils von verschiedenen Herstellern stammen und dennoch sämtlich über Schnittstellen miteinander verbunden sind und die aus einer Vielzahl von (persönlichen) Daten aufgrund spezifischer voreingestellter Regeln potentielle Cyber-Angriffe identifizieren und über eine Art Alarmsystem an die zuständige Cyber-Security Abteilung melden. Immer mehr kommt hier auch KI zum Einsatz. Die Cyber-Security Spezialisten entwerfen hier ein genau auf die Bedürfnisse und spezifische Bedrohungslage zugeschnittenes „State-of-the-Art- Konzept, die Systeme werden eingekauft und dann natürlich schnellstmöglich in allen Betrieben bzw. bei internationalen Konzernen in allen Konzernunternehmen ausgerollt.

    Der Zeitdruck kommt hier nicht unbedingt von innen, weil das Management mit einer neuen Software Prozesse verbessern möchte sondern von außen, da Cyberkriminelle täglich neue Angriffsmöglichkeiten entwickeln, auf die die Hersteller von IT-Security Systemen versuchen, möglichst schnell zu reagieren und neue Produkte auf den Markt werfen. Dies und die Tatsache, dass eine komplette Sicherheitsarchitektur aus über zehn Systemen bestehen kann, ergibt für die Verhandlungen eine oft schon allein deshalb spannungsgeladene Atmosphäre. Hinzu kommen weitere Schwierigkeiten, bei denen nachfolgende Tipps helfen sollen.

    Tipp 1: Zeitfahrplan fixieren und Verhandlungen strukturieren

    Die Betriebspartner sollten die Thematik von Beginn an realistisch betrachten und sich womöglich gleich zu Beginn in eine Einigungsstelle begeben, auf deren Parameter (Vorsitzender, Beisitzer, Frequenz und Ort der Verhandlungen sowie die genauen Regelungsgegenstände) sie sich idealerweise verständigen können. So wird die Gefahr gebannt, zunächst mit freien Verhandlungen zu starten und dann bereits besprochene Inhalte im Rahmen einer Einigungsstelle im Beisein der Sachverständigen und Anwälte wiederholen zu müssen. Termine für Systemdemos oder sonstige Einsichtnahmen (soweit aus Geheimhaltungsgründen überhaupt möglich) sollten ebenfalls frühzeitig festgelegt und geklärt werden, ob diese im Rahme der Einigungsstelle oder außerhalb stattfinden sollen und wer alles teilnimmt.

    Gerade bei IT-Security Systemen ist es oft schwierig, den Wald vor lauter Bäumen weiterhin zu sehen. Übersichtsdiagramme und Kurzbeschreibungen aller zu verhandelnden Systeme gleich zu Beginn der Verhandlungen helfen, eine vernünftige Reihenfolge festzulegen und auch, auf der Zeitschiene die Notwendigkeit von vorläufigen Regelungen zu erkennen und offen anzusprechen. So kann die Einigungsstelle hierfür entsprechend Zeit einplanen und die weiteren Verhandlungen können auf gesicherter rechtlicher Grundlage stattfinden.

    Da auch existierende IT-Rahmenvereinbarungen von ihrem Regelungsgehalt her bei IT-Security Systemen an vielen Stellen an ihre Grenzen stoßen, sollten sich die Betriebsparteien zu Beginn ebenfalls auf eine auf die Eigenart der Systeme abgestimmte Regelungssystematik festlegen. Gegebenenfalls kann durch eine gesonderte Rahmenregelung Zeit und Papier gespart werden.

    Alles in allem: Bevor es „ans Eingemachte“ geht, kann bereits viel vorbereitet werden. Für all das bietet sich z.B. die Form eines IT-Cooperation Agreements an.

    Tipp 2: Sachverstand, Sachverstand und nochmals: Sachverstand

    Ist KI im Spiel, ist der Sachverständige für den Betriebsrat ohnehin gesetzt. Aber auch im Übrigen ist ein Sachverständiger für diese Thematik dringend anzuraten. Denn selbst ausgewiesene IT-Fachleute im Gremium stoßen bei dieser Art von Systemen häufig an ihre Grenzen, da sie mit diesen nie arbeiten. Bei der Sachverständigenauswahl sollte der Betriebsrat dann auch gebeten werden, auf eine ausgewiesene Expertise im Bereich IT-Security zu achten. Denn Sachverstand ist nicht gleich Sachverstand und es hilft nichts, wenn durch Ungenauigkeiten bei der Beratung Fragen zu diskutieren sind, die sich bei kompetenter Aufklärung des Betriebsrates gar nicht gestellt hätten. Auch das kostet nur wertvolle Zeit.

    Genauso muss aber auch arbeitgeberseitig sichergestellt werden, dass der nötige Sachverstand als Counterpart mit auf der Verhandlungsbank sitzt. Da Verhandlungen ohne diese Personen nahezu unmöglich geführt werden können, sollte unbedingt im Vorfeld die Vertretungssituation bei Urlaub geklärt werden oder die Abwesenheiten im Zeitplan berücksichtigt werden.

    Tipp 3: Information trotz Geheimhaltungsbedürfnis

    Eine sehr besondere Problematik bei IT-Security Systemen ist, dass viele technische Informationen, die sonst auf jeder Informationsagenda stehen, nicht gegeben werden können oder sollen. Dies nicht aus Misstrauen dem Betriebsrat oder Mitgliedern der Einigungsstelle gegenüber, die nach § 79 BetrVG zur Geheimhaltung verpflichtet sind, sondern aus der Tatsache heraus, dass eine Kenntnis bestimmter Parameter der Systeme niemandem vorbehalten ist außer dem Hersteller und den (spezielle Sicherheitsaudits durchlaufenden) Mitarbeitern der Cyber-Security Abteilung. So stellt jede weitere Person, die geheime Systemdetails kennt, ein potentielles Sicherheitsleck dar. Cyberkriminelle könnten mit dem Wissen über relevante Schnittstellen, die genaue Version des eingesetzten Systems oder gar die zugrunde liegenden Regeln zur Erkennung von Sicherheitsvorfällen einen gezielten Angriff starten und damit den gesamten Konzern zum Stillstand bringen und erheblichen wirtschaftlichen Schaden anrichten. Hier ist es Aufgabe der Einigungsstelle, eine Interessenabwägung sehr sorgfältig vorzunehmen und zu prüfen, welche Informationen wirklich gebraucht werden, um den Regelungsauftrag zu erfüllen.

    Alternativen zur Dokumentation in der Betriebsvereinbarung sind zum Beispiel Live Einsichtnahmen unter Ausschluss von Handys und Notizmöglichkeiten, Einmalige Sichtung von Dokumenten und anschließende Verwahrung an einem sicheren Ort oder eben auch einmal das Regeln des Systems ohne bestimmte Informationen. Hier wird es dann aber zur Wahrung der Mitarbeiterinteressen häufig verstärkter Kontrollmöglichkeiten des Betriebsrates bedürfen und des klaren Commitments auf den eigentlichen Zweck der Systeme: Den Schutz der Daten (auch der der Mitarbeiter) vor Angriffen und nicht die Kontrolle der Mitarbeiter.

    Tipp 4: Den Betriebsrat auf dem Laufenden halten

    Auch bei der Kontrolle des ordnungsgemäßen Einsatzes der Systeme spielt die notwendige Geheimhaltung häufig eine Rolle. Auch hier kann es die Verhandlungen erleichtern, wenn der Betriebsrat genau versteht, wer wie mit den Systemen arbeitet. Eine Einbeziehung der betroffenen Abteilung ist daher unumgänglich. Die oft übliche Einsichtnahme in Reports wird hier nicht möglich sein, möglicherweise aber eine Information über Sicherheitsvorfälle im Nachhinein und auf einem gewissen Abstraktionslevel. Auch die Einbeziehung des Betriebsrates dann, wenn ein deutscher Mitarbeiter zur Aufklärung des Vorfalles kontaktiert werden muss und die Möglichkeit des Betriebsrates, nachzuprüfen, dass im Umgang mit den in einem durchaus sehr erheblichen Umfang gesammelten Daten eine strikte Zweckbindung und Zugangsbeschränkung gesichert ist hilft, das für diese Systeme unerlässliche Vertrauen zu schaffen.

    Fazit

    Bei IT-Security ist das Informationsbedürfnis des Betriebsrates gerade aufgrund der Komplexität und der erheblichen Sammlung von Mitarbeiterdaten extrem hoch, das Geheimhaltungsinteresse des Arbeitgebers jedoch auch. In diesem Fall ist es daher besonders: Der Arbeitgeber kann nicht informieren, selbst, wenn er wollte. Umso mehr gilt es, durch einen offenen Umgang mit diesen Restriktionen und gute Erklärung derselben beim Betriebsrat Vertrauen zu schaffen. Hier kann auch der (gute) Sachverständige des Betriebsrates helfen, der Best Practices Erfahrungen von anderen Unternehmen einbringen kann.

    KLIEMT.Arbeitsrecht



    Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
    Verwandte Beiträge
    Individualarbeitsrecht Kollektivarbeitsrecht Neueste Beiträge Restrukturierung

    Wir ziehen um! Zieht ihr mit? – Herausforderungen von Standortwechseln des Arbeitgebers

    Das neue Bürogebäude ist fast fertiggestellt. Die Umzugskisten im alten Bürogebäude werden bereits gepackt. Was kann jetzt noch schiefgehen? Ein Umzug stellt auch für Arbeitgeber stets den Beginn eines neuen Abschnitts dar. Wir zeigen auf, woran Arbeitgeber denken sollten, damit auch möglichst alle Arbeitnehmer mitziehen. Verschiedene Gründe bewegen Arbeitgeber zu einem Standortwechsel. So können große Restrukturierungen oder auch nur das bloße Auslaufen des Bürogebäudemietvertrags einen…
    Internationales Arbeitsrecht Neueste Beiträge Unternehmensführung

    Europäischer Betriebsrat – Auswirkungen des Änderungsvorschlags zur EBR-Richtlinie auf länderübergreifend tätige Unternehmen

    Am 24. Januar 2024 hat die Europäische Kommission einen Vorschlag zur Änderung der Richtlinie 2009/38/EG über Europäische Betriebsräte (EBR-Richtlinie) vorgelegt. Wird dieser Vorschlag umgesetzt, könnte in rund 350 bisher privilegierten länderübergreifend tätigen Unternehmen(sgruppen) erstmalig ein Europäischer Betriebsrat (EBR) errichtet werden. Zudem würden die Rechte bestehender EBR gestärkt und erweitert. Länderübergreifend tätige Unternehmen(sgruppen) sollten sich bereits jetzt mit den Folgen einer Umsetzung des Änderungsvorschlags beschäftigen. Hintergründe…
    Arbeitsvertrag Digitalisierung in Unternehmen Individualarbeitsrecht Neueste Beiträge

    Strenges Schriftformerfordernis im Nachweisgesetz gelockert

    „Bürokratieabbau soll ein Dauerbrenner dieser Legislaturperiode werden“, versprach Justizminister Marco Buschmann. Mit dem Referentenentwurf eines Vierten Bürokratieentlastungsgesetzes (BEG IV-E) sollte das – nicht mehr zeitgemäße – strenge Schriftformerfordernis des Nachweisgesetzes gelockert werden. Bei näherer Betrachtung griff das selbst formulierte Ziel des Entwurfs, Unternehmen von Bürokratie zu entlasten, aber zu kurz (lesen Sie dazu den Blogbeitrag vom 27. Februar 2024). Nun ist erneut Bewegung in die…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.