Security mit Zustimmung

Wie gelingt es, Sicherheit und Mitbestimmung in Einklang zu bringen?

Die Einführung moderner Sicherheitstechnologien wie SOC, SIEM und UEBA stellt Unternehmen vor große Chancen – und ebenso vor neue Herausforderungen. Insbesondere die Einbindung des Betriebsrats ist dabei ein entscheidender Erfolgsfaktor: Denn Systeme zur Angriffserkennung und Verhaltensanalyse berühren nicht nur technische, sondern auch arbeitsrechtliche und datenschutzrechtliche Fragen.

Unser Webinar hat gezeigt: Frühzeitige, transparente Kommunikation und klare Leitplanken sind der Schlüssel zum Erfolg. Nur so lassen sich Missverständnisse vermeiden, Vertrauen schaffen und die Vorteile eines modernen Security Operations Centers voll ausschöpfen.

Daher möchten wir zusammen mit unseren Kollegen folgende Fragestellungen näher beleuchten:

1. Inwiefern sind Arbeitnehmerrechte von einer rein auf IT-Sicherheit fokussierten Überwachung der IT-Infrastruktur betroffen?
2. Welche Art Zusicherungen braucht der Betriebsrat, um seine Aufgabe als Arbeitnehmervertretung als erfüllt zu betrachten? (Folgt in Kürze)
3. Wie sieht eine dauerhafte Zusammenarbeit mit dem Betriebsrat bei diesem Thema aus? (Folgt in Kürze)

Inwiefern sind Arbeitnehmerrechte von einer rein auf IT-Sicherheit fokussierten Überwachung der IT-Infrastruktur betroffen?

Auch wenn das SOC nur die IT-Sicherheit verbessern soll, verarbeitet es Daten, die einzelnen Personen zugeordnet werden können. Dadurch wird sichtbar, wie sich Mitarbeitende verhalten. Das betrifft ihre Rechte und macht die Mitbestimmung des Betriebsrats notwendig.

Der Grund ist simpel: Ein SIEM – also ein Security Incident und Event Management System, dass das Handwerkzeug eines jeden SOC darstellt – verarbeitet auch Ereignisdaten die auf einzelne Personen zurückzuführen sind – etwa Anmelde‑, Netzwerk‑ und Datei‑Logs – und korreliert sie, um zum Beispiel Abweichungen vom üblichen Verhalten zu erkennen. Damit ist die Lösung geeignet, individuelles Verhalten sichtbar zu machen; genau diese Eignung löst die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG aus – selbst dann, wenn das Unternehmen keinerlei Leistungs‑ oder Verhaltenskontrolle beabsichtigt.

Dabei macht es keinen Unterschied, ob ein Analyst oder ein Algorithmus auswertet: Auch rein maschinelle Anomalie‑Erkennung gilt als Kontrolle im Sinne des Gesetzes.

Für Entscheider ist die positive Nachricht: Die DSGVO liefert mit Erwägungsgrund 49 eine Legitimation für die Verarbeitung personenbezogener Daten zur Gewährleistung der Netz‑ und Informationssicherheit. Das heißt: Die Einführung eines SOC wird durch den Rechtsrahmen ermöglicht – allerdings unter Bedingungen wie Zweckbindung, Erforderlichkeit und angemessenen Schutzmaßnahmen.

Wer hier früh sauber arbeitet, verschafft sich Argumente für die Diskussion mit dem Betriebsrat.^*

Jean-Christoph von Oertzen, Product Owner Security bei OEDIV KG

* Unsere Aussagen beruhen auf jahrelanger Praxiserfahrung und persönlichen Meinungen, sie stellen weder eine juristische Beratung dar, noch ersetzen sie eine solche.

Ihr persönlicher Kontakt

Erik Dorroch

Sales Manager

Unser Whitepaper zum Webinar

Hier können Sie sich kostenlos unser Whitepaper herunterladen. Es behandelt das Thema: Einrichtung von SOC, SIEM und UEBA unter Einbindung des Betriebsrats.

oediv_whitepaper.pdf
Download

Informationen anfordern

Sie möchten gerne mehr über unsere Lösungen erfahren und Informationsmaterial anfordern? Dann lassen Sie uns einfach Ihre Nachricht zukommen. Wir melden uns schnellstmöglich bei Ihnen zurück.