Ihr habt euch endlich für einen neuen Password Manager entschieden, du bist dir mit dem Hersteller einig, der Vertrag ist unterschrieben, Spezifikationen sind erstellt. Doch dann kommt die Frage: „Hast du eigentlich mit dem Betriebsrat gesprochen?“ Kein Problem, denkst du. IT-Sicherheit ist schließlich wichtig, das verstehen die schon. Nach einer kurzen Präsentation vor dem Betriebsrat folgt dessen Rückmeldung jedoch unverzüglich: ein Veto! In diesem Blogbeitrag verraten wir dir, wie du solche Situationen vermeiden kannst und den Betriebsrat so früh wie möglich von Password Safe überzeugst.

Der Betriebsrat und sein Mitbestimmungsrecht bei IT-Projekten

Als Arbeitnehmervertretung in Unternehmen hat der Betriebsrat wichtige Aufgaben: er setzt sich für die Interessen aller Angestellten ein und darf bei wichtigen Themen, welche die Arbeitnehmer betreffen, mitbestimmen. Dazu gehört beispielsweise neben Belangen wie Urlaubs- und Arbeitszeiten auch die Einführung von Tools, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Dies wird in §87, Abs. 1 Nr. 6 der Betriebsverfassung geregelt.

„Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: (…)

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;“

Das Bundesarbeitsgericht bekräftigte in einem Urteil im November 2006 noch einmal, dass auch ein datenverarbeitendes System darunterfällt, das „individualisierte oder individualisierbare Verhaltens- oder Leistungsdaten selbst erhebt und aufzeichnet, unabhängig davon, ob der Arbeitgeber die erfassten und festgehaltenen Verhaltens- oder Leistungsdaten auch auswerten oder zur Reaktion auf festgestellte Verhaltens- oder Leistungsdaten verwenden will. Überwachung in diesem Sinne ist sowohl das Sammeln von Informationen als auch das Auswerten bereits vorliegender Informationen.“ (BAG 14. November 2006 – 1 ABR 4/06).

Muss der Betriebsrat über die Einführung von Password Safe informiert werden?

Die kurze Antwortet lautet: ja. Password Safe speichert nur die Informationen, die man für ein datenschutzkonformes Passwort- und Identity-Management braucht. Da sämtliche Aktionen in Password Safe aber für den Fall eines Angriffs nachvollziehbar sein müssen, werden alle Zustandsänderungen revisionssicher im Logbuch erfasst. Daraus lassen sich durchaus Verhaltens- oder Leistungsdaten ableiten – beispielsweise kann man erkennen, wie viele Passwort Resets ein Administrator durchgeführt hat. Diese Informationen könnten dann dafür genutzt werden, die Leistungen eines bestimmten Mitarbeiters zu überwachen und zu bewerten. Ein Passwort-Management-Tool wie Password Safe fällt also unweigerlich unter das Mitbestimmungsrecht des Betriebsrats. Es ist daher sinnvoll, ihn so früh wie möglich einzubinden, wenn man über die Einführung eines Passwort-Managers nachdenkt.

So holst du den Betriebsrat an Bord

Bereits wenn du das erste Mal über die Einführung eines Passwort-Managers nachdenkst, solltest du den Betriebsrat darüber informieren. Viele der Kollegen im Betriebsrat sind womöglich eher IT-fern und brauchen Zeit, um sich in die Materie einzuarbeiten. Diese Zeit solltest du ihnen auch zugestehen. In der Zwischenzeit kannst du angefangen, verschiedene Anbieter zu prüfen. Was ist dir wichtig und welche Funktionen braucht dein Unternehmen? Ein gutes Tool zur Generierung und Speicherung von komplexen Passwörtern, damit du und deine Kollegen euch nicht mehr unzählige Credentials merken müsst? Eine sichere Möglichkeit zum Password Sharing zwischen Kollegen? Eine On-Premise-Lösung, mit der ihr jederzeit die Hoheit über eure Daten behaltet? Einen Anbieter aus Deutschland, mit dem ihr sicher und DSGVO-konform arbeiten könnt?

Welche Features sind wichtig für den Betriebsrat?

Für den Betriebsrat sind womöglich noch andere Funktionen relevant. Beispielsweise ein verbindliches Rechtekonzept, mit dem genau geregelt werden kann, wer wann auf Log-Daten zugreift. So können alle Mitarbeiter und auch Führungskräfte, welche die Logbuch-Informationen nicht benötigen, davon ausgeschlossen und willkürliche Überwachungen vermieden werden. Außerdem kann man Log-Daten datenschutzkonform in regelmäßigen Intervallen löschen lassen. Solche Features solltest du im Hinterkopf behalten, wenn du dir verschiedene Tools ansiehst. Anschließend kannst du deine Favoriten dem Betriebsrat und auch dem Datenschutzbeauftragten vorstellen und ihr entscheidet gemeinsam, welches Angebot sich am besten für euer Unternehmen eignet.

Die Betriebsvereinbarung: mehr Sicherheit für alle

Auch wenn du dich mit dem Betriebsrat auf eine Anwendung geeinigt hast, haben die Kollegen vermutlich noch weitere Bedingungen zur Nutzung. Um diese festzuhalten, vereinbart ihr eine Betriebsvereinbarung (BV). Die meisten Unternehmen verfügen bereits über Rahmenbetriebsvereinbarungen für Themen wie Zeiterfassung, Urlaube oder E-Mail-Systeme. Für IT-Security-Tools müssen meistens weitere Aspekte wie beispielsweise die gesammelten Log-Daten beachtet werden. Üblicherweise legt man in einer BV zu einem solchen Projekt fest, dass die gespeicherten Daten nicht zur Leistungsbewertung von Mitarbeitern herangezogen werden dürfen.

Ein letzter Tipp: Kooperation auf Augenhöhe

Die Zusammenarbeit zwischen IT-Abteilung und Betriebsrat kann manchmal ziemlich spannungsreich sein, da beide Parteien unterschiedliche Ziele verfolgen. Während die IT-Abteilung die Daten- und Informationssicherheit im Auge hat, möchte der Betriebsrat die Interessen der Angestellten vertreten. Letztlich setzen sich aber beide dafür ein, das Unternehmen als Ganzes voranzubringen und eine sichere und effiziente Arbeitsumgebung für alle zu schaffen. Je offener und ehrlicher man miteinander kommuniziert, umso besser gelingt dieser Austausch. So kann die Zusammenarbeit mit dem Betriebsrat auch langfristig funktionieren.

* Haftungsausschluss: Dieser Beitrag gilt lediglich dem unverbindlichen Informationszweck und ersetzt in keinem Fall eine Rechtsberatung. Die dargestellten Informationen sind ohne Gewähr auf Richtigkeit und Vollständigkeit zu verstehen.