IT-Sicherheit Cyber-Security und das Arbeitsrecht

Einmal im Monat wirft die Redaktion der Markt&Technik einen Blick in das Arbeitsrecht. Fachanwalt Dr. Oliver Vollstädt von Kliemt & Vollstädt berichtet dieses Mal über Cyber-Abwehr und die arbeitsrechtlichen Herausforderungen für die Unternehmen.

Thyssen Krupp kämpfte gegen Hacker aus dem Netz, die Telekom musste sich Angreifern stellen und viele Mittelständler suchen nach Schutz in der digitalen Welt. IT-Sicherheit hat Konjunktur. Die Cyber-Abwehr arbeitet dabei oft im Verborgenen. Das sorgt für rechtliche Probleme. 

Die datenschutzrechtliche Ausgangssituation ist einfach. Nach § 4 Abs. 1 BDSG steht die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unter einem Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass es für jeden datenschutzrelevanten Vorgang einer automatisierten Verarbeitung oder Nutzung personenbezogener Daten eines konkreten Erlaubnistatbestandes bedarf. Solch ein erlaubnisbedürftiger Vorgang stellt auch der Einsatz von Cyber Security Tools dar. Denn beim Einsatz von Cyber Security Tools sind regelmäßig – wenn auch nicht ausschließlich – personenbezogene Daten betroffen.

Ein geeigneter datenschutzrechtlicher Erlaubnistatbestand kann dabei unter anderem eine Betriebsvereinbarung sein. So greifen Datenschutz und Mitbestimmung ineinander. Die Mitbestimmung des Betriebsrates ist beim Einsatz von Überwachungs-Software dabei besonders weitreichend. Es besteht gemäß § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht. Ohne Einhaltung der Mitbestimmungsrechte kann der Betriebsrat den Einsatz der Software wegen Verletzung seines Mitbestimmungsrechtes gerichtlich untersagen lassen. Dabei ist nicht einmal erforderlich, dass die eingesetzte Software die Kontrolle von Verhalten und Leistung der Arbeitnehmer bezweckt. Der Schutz des Unternehmens vor Infiltration durch Schadsoftware seitens Dritter steht dem Mitbestimmungsrecht nicht entgegen. Allein die bloße Eignung eines Cyber Security Tools zur Verhaltens- und Leistungskontrolle der Mitarbeiter ist ausreichend und löst das Mitbestimmungsrecht aus. Dies gilt dann in gleicher Weise bei jeder Anpassung oder Veränderung der eingesetzten Software, die bei Cyber Security Tools besonders häufig vorkommt. Denn die entsprechenden Tools müssen naturgemäß stets der aktuellen Bedrohungssituation angepasst werden, um mit den Entwicklungen der Angreifer Schritt zu halten und etwaige Schutzlücken umgehend zu schließen.

Achtung bei personenbezogenen Daten

Das Zusammenspiel von Datenschutz und Mitbestimmung ist weitgehend bekannt und in der betrieblichen Praxis vielfach bewährt. So bestehen in den meisten Betrieben beispielsweise Betriebsvereinbarungen zu den Themen Zeiterfassung, Telefonanlage, E-Mail-System oder elektronische Personalakte, die das Mitbestimmungsrecht des Betriebsrates wahren und zugleich datenschutzrechtlich die Grundlage für die entsprechenden Bearbeitungsvorgänge darstellen. Beim Einsatz von Cyber Security Tools gilt es indes, einige Besonderheiten zu berücksichtigen. So greifen Cyber Security Tools regelmäßig auf Log-Dateien zu, die zwar nicht immer – aber häufig – personenbezogene Daten enthalten. Es handelt sich insoweit überwiegend um Daten im Sinne des § 9 BDSG. Nach dieser Vorschrift haben Unternehmen, die personenbezogene Daten erheben, verarbeiten und nutzen, die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. In einer Anlage zu § 9 BDSG sind dann die konkreten Vorgaben zur Gewährleistung der Datensicherheit, die sogenannten ‘8 Gebote der Datensicherheit’ niedergelegt. Hierzu zählt insbesondere das Gebot der nachträglichen Überprüfbarkeit, ob und von wem personenbezogene Daten im Datenverarbeitungssystem eingegeben, verändert oder entfernt worden sind (sogenannte Eingabekontrolle).

Die rechtliche Vorgabe des § 9 BDSG beinhaltet zwar eine verbindliche rechtliche Verpflichtung zur Ergreifung technischer und organisatorischer Maßnahmen der Datensicherheit. Die Regelung stellt jedoch keineswegs einen eigenständigen datenschutzrechtlichen Erlaubnistatbestand dar und führt auch nicht zur Entbehrlichkeit der Einhaltung des Mitbestimmungsrechtes. Zwar steht das Mitbestimmungsrecht bei technischen Überwachungseinrichtungen – wie bei allen Mitbestimmungstatbeständen des § 87 BetrVG – unter dem Vorbehalt des Fehlens einer gesetzlichen Regelung. Eine solche gesetzliche Regelung schließt das Mitbestimmungsrecht indes nur aus, wenn sie abschließend ist und keine Spielräume mehr für die Betriebsparteien belässt. Dies ist bei der Ausgestaltung technischer und organisatorischer Maßnahmen im Allgemeinen und beim Einsatz von Cyber Security Tools im Besonderen nicht der Fall. Insoweit bleibt das Mitbestimmungsrecht hinsichtlich der Ausgestaltung der Grundsätze der Datensicherheit und hinsichtlich des Einsatzes des konkreten Cyber Security Tools bestehen.

Der Regelungsspielraum der Betriebsparteien ist jedoch in anderer Weise eingeschränkt. Daten im Sinne des § 9 BDSG unterliegen nach § 31 BDSG in sämtlichen Phasen der Datenverarbeitung einer besonderen Zwecksetzung. Sie dürfen ausschließlich für Zwecke der Datenschutzkontrolle, der Datensicherung und der Sicherung eines ordnungsgemäßen Betriebs der Datenverarbeitungsanlage verwendet werden. Diese Zwecksetzung schließt die Auswertung von Protokolldaten für Zwecke der Missbrauchsbekämpfung ein. Nicht ohne weiteres zulässig ist jedoch die Verwendung der Daten im Rahmen eines allgemeinen Risikomanagements oder Compliance Systems.

Lösungen in Betriebsvereinbarungen

Der Abschluss einer Betriebsvereinbarung bietet auch hier die Möglichkeit, Datenschutzrecht und Mitbestimmung in ein ausgewogenes Verhältnis zu bringen. Die Betriebsvereinbarung stellt eine verlässliche Rechtsgrundlage für den entsprechenden Zugriff auf die personenbezogenen Daten durch das Cyber Security Tool dar. Im Rahmen der Betriebsvereinbarung kann dann ggf. auch festgelegt werden, ob neben der strengen Zweckbindung des § 31 BDSG weitere Zwecke mit der Erhebung der entsprechenden Daten verbunden sein sollen. Mit einer solchen Doppelzwecksetzung werden etwaige Streitigkeiten über die Auswertung und Nutzung der personenbezogenen Daten bei konkreten Vorfällen vermieden, die durch das Cyber Security Tool aufgedeckt werden. Naturgemäß hat der Betriebsrat hier indes ein besonderes Interesse an einer möglichst sparsamen Verwendung der Erkenntnisse, zumal das entsprechende Überwachungspotential enorm ist. Vor dem Hintergrund der Notwendigkeiten zur Gewährleistung der Datensicherheit einerseits und des Abschlusses einer Betriebsvereinbarung andererseits sollten aber stets Lösungen möglich sein, die den Interessen beider Seiten gerecht werden.

Der Abschluss einer Betriebsvereinbarung über ein Cyber Security Tool stellt die Betriebsparteien indes vor weitere Herausforderungen. Die Notwendigkeit der Wahrung der Vertraulichkeit über die eingesetzten Mittel der Cyber-Verteidigung sowie die Notwendigkeit einer sehr kurzfristigen Anpassung der Verteidigungsstrategie und damit der eingesetzten Cyber Tools lassen sich mit dem üblichen Mitbestimmungsverfahren kaum in Einklang bringen. Die Betriebsparteien werden sich daher auf besondere Verfahrensarten verständigen müssen, wie die Vertraulichkeit gewahrt und die Schnelligkeit in der Cyber-Abwehr gewährleistet wird. Nur durch eine betriebliche Regelung, die Grundlage für schnelles Handeln ohne Einhaltung langwieriger Mitbestimmungsprozesse und ohne Preisgabe der Verteidigungsstrategie ist, kann die Abwehr von Cyber-Angriffen erfolgreich gelingen. Die zukünftige Arbeit im Verborgenen durch Mitarbeiter der IT-Sicherheit muss insoweit vorab offengelegt und legitimiert werden.

Mehr Informationen zum Arbeitsrecht finden Sie im Blog http://www.arbeitsrecht-weltweit.de