Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Betriebsrat: Von Mitbestimmung, Überwachung und Datenschutz

Von Cyril Simonnet, Sales Director DACH/NORDICS/BE/NL Mitbestimmung ist eine der tragenden Säulen deutscher Unternehmen. Das Betriebsverfassungsgesetz regelt, welche Funktion der Betriebsrat hat und wo genau er mitbestimmt. Wann er sogar...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Von Cyril Simonnet,
    Sales Director DACH/NORDICS/BE/NL

    Mitbestimmung ist eine der tragenden Säulen deutscher Unternehmen. Das Betriebsverfassungsgesetz regelt, welche Funktion der Betriebsrat hat und wo genau er mitbestimmt. Wann er sogar mitbestimmungspflichtig ist, definiert § 87 Abs. 1 Nr. 6 BetrVG. Beispielsweise bei der„Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. So der Wortlaut des Gesetzestextes.

    „Technische Einrichtungen“ und die Mitbestimmungspflicht des Betriebsrates
    Das Gesetz bezieht sich damit sowohl auf neue technische Einrichtungen als auch auf bereits im Unternehmen bestehende. Was allerdings mit „technischer Einrichtung“ alles gemeint sein kann, ist aus heutiger Sicht durchaus „ein weites Feld“.
    Als das Gesetz 1972 eingeführt wurde, dachte sicherlich noch niemand an Überwachungsmöglichkeiten wie sie heute beispielsweise über RFID problemlos möglich sind. Entsprechend weit ausgelegt ist der Begriff der „technischen Einrichtung“. Das Gesetz meint damit „jede optische, mechanische, akustische oder elektronische Einrichtung (Hard- und Software)“.

    Wie hängen nun die besagten technischen Einrichtungen und die oben skizzierte Mitbestimmungspflicht des Betriebsrates zusammen?

    Eine Aufgabe des Betriebsrates ist es, in einer Betriebsvereinbarung sicherzustellen, dass technische Einrichtungen nicht die Rechte der Mitarbeiter verletzen. Gleichzeitig hat ein Arbeitgeber die Pflicht, seine Mitarbeiter zu informieren und deren Einverständnis einzuholen, wenn personenbezogene Daten erhoben werden. Oder Daten, die personenbezogen sein könnten. Hier kommt zusätzlich die neue EU-Datenschutzgesetzgebung, in der die Definition von personenbezogenen Daten deutlich erweitert wird. In unserer unregelmäßigen Serie zur EU-Datenschutzreform beschäftigen wir uns schon länger mit diesem Themenkomplex.

    Technische Überwachung – was ist §-gemeint?
    Um besser zu verstehen und abzugrenzen was eine Data-Governance-Lösung wie DatAdvantage genau tut und wie, werfen wir noch einen Blick auf die Rechtsprechung des BAG. Sie verdeutlicht, was mit „technischer Überwachung“ eigentlich gemeint ist.

    Die Überwachung vollzieht sich laut BAG in drei Phasen:

    • In der ersten Phase werden Daten erhoben, die sich auf Leistung und/oder das Verhalten von Arbeitnehmern beziehen; wobei es auch hier auf das „wie“ ankommt.
    • In der zweiten Phase werden diese Daten gespeichert, geordnet und zueinander (oder mit anderen Daten und Informationen) in Beziehung gesetzt.
    • In der dritten Phase werden diese Ergebnisse schließlich ausgewertet.

    Aus Sicht des BAG reicht es übrigens, dass Einrichtungen prinzipiell zur Überwachung geeignet sind und nicht wie es der Gesetzestext formuliert sie „dazu bestimmt sind das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Mithin erfüllen eine ganze Reihe unterschiedlicher Systeme die vom BAG definierten Voraussetzungen. Dazu gehören Zugangskontrollen über Fingerprint-Scanner-Systeme oder Biometrie, Mikrophone, Systeme zur Arbeitszeiterfassung, RFID-Systeme, Personalabrechnungssysteme, Telefonverbindungsnachweise intern oder beim Provider, Keylogger, aber auch die sogenannte Journal-Funktion in Microsofts Outlook und die Grundstruktur von Server-Betriebssystemen. Soweit zum nicht ganz trivialen Hintergrund.

    Was heißt hier überwachen?
    Lösungen, die dazu dienen, Daten und Informationen besser zu schützen, sollte man an dieser Stelle von anderen Systemen innerhalb der IT-Infrastruktur abgrenzen:

    • Dokumenten-Management-Systeme (DMS) erfassen beispielsweise sowohl wann und wie Dateien geändert worden sind als auch Versionsstände, und sie erlauben inhaltliche Analysen. Hier kann man also sehr genau nachvollziehen, wer etwas an einem Dokument geändert hat.
    • Auch Desktop-Management-Systeme verfügen über Funktionen mit denen man das Verhalten eines Arbeitnehmers nachvollziehen kann. Solche Systeme erfassen pro Client nämlich nicht nur alle Anwendungen, sondern auch deren Versionsstände. Je nach dem wie das System konfiguriert wurde, kann man sehr wohl ermitteln, wer welche Applikation wann genutzt hat.
    • Dateisysteme wie NTFS bringen schon ein natives File-Auditing mit. Ist es aktiviert, lässt sich damit die Dateinutzung analysieren, allerdings keine inhaltlichen Komponenten.

    Was heißt hier überwachen – Was bei DatAdvantage anders ist
    Im Wesentlichen liefert eine Lösung wie DatAdvantage Informationen dazu wie Unternehmen ihre Berechtigungsstruktur optimieren können beziehungsweise wie sie herausfinden wo potenziell gefährdete oder auch veraltete Daten sitzen. Das übergeordnete Ziel: personenbezogene und geschäftskritische Daten besser gegen Datenschutzverstöße absichern. Unter anderem dadurch, dass nur diejenigen auf personenbezogene Daten und Informationen zugreifen können, die dazu tatsächlich berechtigt sind.

    Ein erwünschter Nebeneffekt dabei: Auch die Privatsphäre der Mitarbeiter ist besser geschützt. Die entsprechende Software analysiert und überwacht dazu den Zugriff auf alle Daten und von allen Benutzern.
    Es gibt allerdings einen ganz entscheidenden Unterschied zu einer Überwachung.
    Die Software protokolliert lediglich den reinen Zugriff, aber keine dazugehörigen Inhalte. Es ist also nicht nachvollziehbar, wer eine bestimmte Datei wie geändert hat oder in welchem Kontext diese Datei steht.
    Alle lokal auf den jeweiligen Arbeitsplatzrechner oder Laptops vorgehaltenen Daten werden ohnehin nicht erfasst, ebenso wenig wird protokolliert, wer auf ein ERP-, CRM- oder E-Mail-System zugreift.

    Grundsätzlich handelt es sich nur um einen Bruchteil der Daten, die in Teilbereichen des jeweiligen Arbeitsumfelds erfasst werden. Und das weder inhaltlich noch personenbezogen. Folglich eignen sich diese Daten nicht als Indikatoren, um die Arbeitsleistung eines Mitarbeiters zu messen. Es wird eben nicht protokolliert, ob im betreffenden Fall vielleicht nur wenige Zeichen geändert wurden oder ganze Seiten. DatAdvantage eignet sich also weder dazu Mitarbeiter zu überwachen, noch verletzt die Software deren Privatsphäre.

    Konfigurationsmöglichkeiten in der Praxis
    DatAdvantage erlaubt eine ganze Reihe von Konfigurationsmöglichkeiten, je nach dem wie das individuelle Anforderungsprofil eines Unternehmens beschaffen ist:

    • Selektiv überwachen: Bestimmte Verzeichnisse und Ordner können explizit ausgeschlossen werden, beispielsweise als vertraulich eingestufte Ordner oder Verzeichnisse, die persönliche und private Mitarbeiterdaten enthalten wie das “Home”-Verzeichnis.
    • Vertikal/Horizontales Rollenkonzept: Über dieses Rollenkonzept ist es möglich, den Zugriff auf Protokolle oder Berichte einzuschränken oder das Ausführen von Rollen auf bestimmte Server oder Serverbereiche zu begrenzen.
    • 4-Augen-Prinzip: Über Rollen und Benutzerkonten kann ein Unternehmen zusätzlich das 4-Augen-Prinzip umsetzen. Will man auf diese Ordner und Verzeichnisse zugreifen, ist das nur im Beisein des Betriebsrates gestattet.
    • Operational-Log: Diese Funktion übernimmt sozusagen eine Rückversicherungsgarantie, indem die Software sämtliche ihrer Aktionen, gelieferte Ansichten und geleistete Abfragen protokolliert. So können Unternehmen, IT-Abteilung und Betriebsrat jederzeit nachvollziehen, wer wann welche Funktionen und Berichte genutzt hat, und auf welche Daten oder Personen sie sich beziehen.

    Unsere Kunden setzen DatAdvantage in unterschiedlichen Bereichen ein, etwa um Berechtigungsstrukturen auf Fileservern zu optimieren und zu auditieren oder Berechtigungsänderungen vorab zu modellieren.

    The post Betriebsrat: Von Mitbestimmung, Überwachung und Datenschutz appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?