Security mit Zustimmung

Wie gelingt es, Sicherheit und Mitbestimmung in Einklang zu bringen?

Die Einführung moderner Sicherheitstechnologien wie SOC, SIEM und UEBA stellt Unternehmen vor große Chancen – und ebenso vor neue Herausforderungen. Insbesondere die Einbindung des Betriebsrats ist dabei ein entscheidender Erfolgsfaktor: Denn Systeme zur Angriffserkennung und Verhaltensanalyse berühren nicht nur technische, sondern auch arbeitsrechtliche und datenschutzrechtliche Fragen.

Unser Webinar hat gezeigt: Frühzeitige, transparente Kommunikation und klare Leitplanken sind der Schlüssel zum Erfolg. Nur so lassen sich Missverständnisse vermeiden, Vertrauen schaffen und die Vorteile eines modernen Security Operations Centers voll ausschöpfen.

Daher möchten wir zusammen mit unseren Kollegen folgende Fragestellungen näher beleuchten:

1. Inwiefern sind Arbeitnehmerrechte von einer rein auf IT-Sicherheit fokussierten Überwachung der IT-Infrastruktur betroffen?
2. Welche Art Zusicherungen braucht der Betriebsrat, um seine Aufgabe als Arbeitnehmervertretung als erfüllt zu betrachten?
3. Wie sieht eine dauerhafte Zusammenarbeit mit dem Betriebsrat bei diesem Thema aus?

Inwiefern sind Arbeitnehmerrechte von einer rein auf IT-Sicherheit fokussierten Überwachung der IT-Infrastruktur betroffen?

Auch wenn das SOC nur die IT-Sicherheit verbessern soll, verarbeitet es Daten, die einzelnen Personen zugeordnet werden können. Dadurch wird sichtbar, wie sich Mitarbeitende verhalten. Das betrifft ihre Rechte und macht die Mitbestimmung des Betriebsrats notwendig.

Der Grund ist simpel: Ein SIEM – also ein Security Incident und Event Management System, dass das Handwerkzeug eines jeden SOC darstellt – verarbeitet auch Ereignisdaten die auf einzelne Personen zurückzuführen sind – etwa Anmelde‑, Netzwerk‑ und Datei‑Logs – und korreliert sie, um zum Beispiel Abweichungen vom üblichen Verhalten zu erkennen. Damit ist die Lösung geeignet, individuelles Verhalten sichtbar zu machen; genau diese Eignung löst die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG aus – selbst dann, wenn das Unternehmen keinerlei Leistungs‑ oder Verhaltenskontrolle beabsichtigt.

Dabei macht es keinen Unterschied, ob ein Analyst oder ein Algorithmus auswertet: Auch rein maschinelle Anomalie‑Erkennung gilt als Kontrolle im Sinne des Gesetzes.

Für Entscheider ist die positive Nachricht: Die DSGVO liefert mit Erwägungsgrund 49 eine Legitimation für die Verarbeitung personenbezogener Daten zur Gewährleistung der Netz‑ und Informationssicherheit. Das heißt: Die Einführung eines SOC wird durch den Rechtsrahmen ermöglicht – allerdings unter Bedingungen wie Zweckbindung, Erforderlichkeit und angemessenen Schutzmaßnahmen.

Wer hier früh sauber arbeitet, verschafft sich Argumente für die Diskussion mit dem Betriebsrat.^*

Jean-Christoph von Oertzen, Product Owner Security bei OEDIV KG

Welche Art Zusicherungen braucht der Betriebsrat, um seine Aufgabe als Arbeitnehmervertretung als erfüllt zu betrachten?

Damit ein Betriebsrat seine Aufgabe als Interessenvertreter erfüllt sieht, braucht er vor allem klare, schriftlich fixierte Zusicherungen zur Zweckbindung und Ausgestaltung des SOC: Die Einführung muss auf IT‑ und Informationssicherheit zielen, nicht auf Leistungs‑ oder Verhaltenskontrolle, und genau benennen, welche Auswertungen zulässig und welche Anlässe eine individualisierte Betrachtung rechtfertigen.

Diese Zusicherungen kann zum Beispiel in Form einer Betriebsvereinbarung fixiert und transparent gemacht werden. Auch eine Datenschutz‑Folgenabschätzung, die Notwendigkeit, Verhältnismäßigkeit und Risiken dokumentiert und den Datenschutzbeauftragten einbindet, wäre ein weiteres Mittel. So entsteht ein belastbarer Rahmen, der die grundsätzliche Legitimität des SOC (Netz‑ und Informationssicherheit) mit konkreten Schutzmaßnahmen für Beschäftigte verbindet.

Auf dieser Grundlage erwartet der Betriebsrat zudem prüfbare Grenzen und Nachvollziehbarkeit im Betrieb: ein Profiling‑Verbot jenseits von Sicherheitszwecken, rollenbasierte Zugriffe mit dem geringstmöglichen Berechtigungsumfang, sowie Audit‑Logs für Abfragen und Regeländerungen.

Aus unserer Sicht lassen sich diese Punkte in der Praxis sehr gut in einer Betriebsvereinbarung abbilden – mit Kapiteln zu Zielsetzung/Nutzungszwecken, zulässiger Verarbeitung von Beschäftigtendaten, Auswertungsgrenzen, Berechtigungsschema und Rechten des Betriebsrats.

Kommt ein externer Dienstleister hinzu, erwartet der Betriebsrat für gewöhnlich vertragliche Zusicherungen, dass die Auswertung strikt use‑case‑basiert und ausschließlich sicherheitszweckgebunden erfolgt – ergänzt um Auditpflichten und Transparenz im Incident‑Handling.

Ein Managed‑Security‑Service‑Provider kann hier also zusätzliche Sicherheit bieten, weil der Leistungsauftrag keine Leistungsüberwachung von Beschäftigten umfasst und Kontrollen (z. B. nach ISO 27001) regelmäßig nachgewiesen werden.

Wichtig ist die Botschaft: Ohne die für die Sicherheit nötigen Signale geht es nicht – aber wie, wozu und von wem sie ausgewertet werden, ist verbindlich geregelt und überprüfbar.^*

Erik Dorroch, Sales Manager Security bei OEDIV KG

Wie sieht eine dauerhafte Zusammenarbeit mit dem Betriebsrat bei diesem Thema aus?

Eine dauerhafte Zusammenarbeit bedeutet, dass wir die Diskussionen über einmalige Projekte hinter uns lassen und stattdessen einen festen, gelebten Governance-Rhythmus etablieren. Wie das in der Praxis aussieht, ist oft sehr unterschiedlich.

Die Einführung eines eines Security Operations Center (SOC) ist für einen Betriebsrat meist nur eines von vielen Themen im Alltag. Daher werden in den Betriebsvereinbarungen oft auch nur Datenklassen vereinbart, keine dedizierten Datenquellen.

So ist allen Seiten genüge getan, denn der Betriebsrat kann seine Aufgabe wahrnehmen, die Mitarbeiter vor einer ungerechtfertigten Leistungs- oder Verhaltensüberwachung zu schützen und gleichzeitig bleit der IT-Abteilung bzw. dem Security-Team im Alltag die Flexibilität, neue Datenquellen anzuschließen oder bestehende anzupassen um ihr Ziel mehr Sicherheit für das Unternehmen auch erreichen zu können.

Wir sehen daher oft in unserer Praxis, dass der Betriebsrat mit einem regelmäßigen Bericht, z.B. über ein Audit zufrieden ist. Besonders wenn eine gute Betriebsvereinbarung geschlossen wurde oder ein externer SOC-Dienstleister zum Einsatz kommt, der vertragsgemäß kein Interesse an einer Leistungsüberwachung hat.

Im Alltag sind andere Berührungspunkte relevanter: Kommt es zu einem Sicherheitsvorfall und ein Informationssicherheitsbeauftragter spricht eine betroffene Person an, wenden sich Mitarbeitende mitunter parallel an den Betriebsrat. Sie fragen, ob das legitim sei. Wenn im Voraus gemeinsam festgelegt wurde, wann und wie individualisiert informiert und aufgeklärt wird, wird der Betriebsrat zum aktiven Übersetzer. Kritische Nachfragen werden zu einem hilfreichen Frühwarnsystem, beispielsweise wenn eine Richtlinie unklar formuliert ist oder Schulungsbedarf besteht. Durch diese Rückkopplung wird die Sicherheitskultur des Unternehmens gestärkt, da aus Einzelfällen Lerngelegenheiten gemacht werden und verhindert wird, dass Zweckbindung oder Verhältnismäßigkeit im Alltag verwässern.^*

Christian Schmidt, Betriebsrat bei OEDIV KG

* Unsere Aussagen beruhen auf jahrelanger Praxiserfahrung und persönlichen Meinungen, sie stellen weder eine juristische Beratung dar, noch ersetzen sie eine solche.

Ihr persönlicher Kontakt

Erik Dorroch

Sales Manager

Unser Whitepaper zum Webinar

Hier können Sie sich kostenlos unser Whitepaper herunterladen. Es behandelt das Thema: Einrichtung von SOC, SIEM und UEBA unter Einbindung des Betriebsrats.

oediv_whitepaper.pdf
Download

Informationen anfordern

Sie möchten gerne mehr über unsere Lösungen erfahren und Informationsmaterial anfordern? Dann lassen Sie uns einfach Ihre Nachricht zukommen. Wir melden uns schnellstmöglich bei Ihnen zurück.