IT-Sicherheit – Was gilt für die Mitbestimmung?

05. Februar 2024

Cyberangriffe auf Unternehmen und Behörden nehmen stetig zu. Maßnahmen der IT-Sicherheit sind essentiell für den Schutz von Daten, aber auch für die Funktionsfähigkeit ganzer Betriebe. Betriebs- und Personalräte sollten sich auskennen.

Cyberangriffe haben in den letzten Jahren zugenommen. Das Bundeskriminalamt verzeichnete 2022 insgesamt 136.865 Fälle, doch sind diese nach seiner Einschätzung nur die Spitze des Eisbergs: Lediglich etwa ein Zehntel aller Fälle würden bekannt. Auch seien die aus dem Ausland kommenden Angriffe in der Statistik nicht erfasst.

Was sind Cyberangriffe?

Eine verbreitete Angriffsform besteht darin, dass durch Schadsoftware das ganze System eines Unternehmens lahmgelegt wird und dieses anschließend eine „Mitteilung“ erhält, bei Zahlung der Summe X (meist in Bitcoin) werde alles wieder freigeschaltet. Ebenfalls häufig ist sog. Phishing: Im Anhang einer harmlos aussehenden Mail der (angeblichen) Hausbank findet sich z. B. ein Fragebogen, in dem man „zu Verifikationszwecken“ zahlreiche Kontodaten eintragen soll, die dann zum „Abräumen“ des Kontos verwendet werden. Es versteht sich von selbst, dass sich Unternehmen gegen solche Angriffe schützen wollen. Bei kritischer Infrastruktur kommt hinzu, dass bei Angriffen unter Umständen elementare Bedürfnisse der Bevölkerung nicht mehr befriedigt werden können: Wenn das Wasserwerk oder das Krankenhaus plötzlich ohne IT dasteht, kann dies verheerende Folgen haben. So geschehen in einem Krankenhaus in Neuss, welches fast einen Tag lang kein Zugriff auf die Systeme hatte, wodurch die Einsicht in Patientenunterlagen sowie die Vorbereitung und Durchführung von Operationen ausgeschlossen waren (siehe dazu Konrad-Klein, CuA 2/2017, 24).

Welche Sicherheitsvorkehrungen sind zu treffen?

Welche Schutzmaßnahmen zu ergreifen sind, ist im Einzelnen nicht rechtlich geregelt. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) enthält in den §§ 8a bis 8i lediglich allgemeine Vorgaben, die viel Konkretisierungsspielraum lassen. Außerdem gilt das BSI-Gesetz nur für die sog. kritische Infrastruktur wie Energieversorger, Krankenhäuser usw., nicht aber für alle Unternehmen (siehe Däubler, Digitalisierung und Arbeitsrecht, 8. Aufl. 2022, § 19 Rn. 5 ff., auch zum Folgenden).

Die übrigen Unternehmen orientieren sich an den (rechtlich nicht verbindlichen) ISO-Normen 27001 ff. oder – wenn sie sich gegen IT-Risiken versichern wollen – an den Richtlinien der Versicherungswirtschaft. Man kann sich des Eindrucks nicht erwehren, dass die heute bestehende Rechtsordnung sehr viel mehr Wert auf die Sicherung personenbezogener Daten (Art. 32 DSGVO) legt als auf den Schutz der Allgemeinheit und den Schutz der Integrität von Unternehmen. Dies mag einer individualistischen Denkweise entspringen, die den „Dichter und Denker“ und seine Persönlichkeit umfassend schützen will, ohne darauf zu achten, dass auch er wie alle anderen Menschen Lebensumstände braucht, in denen zumindest die „basic needs“ wie Wasser, Strom, Wohnung und Nahrung gesichert sind.

Was gilt für die Mitbestimmung?

Für die Mitbestimmung des Betriebsrats und des Personalrats ergeben sich mehr Anwendungsmöglichkeiten, wenn keine zwingenden gesetzlichen Vorgaben vorhanden sind. Dabei hängt die Entscheidung, ob die Voraussetzungen eines Mitbestimmungsrechts gegeben sind, von den jeweiligen Umständen des Einzelfalls ab. (...)

Mehr lesen?

Welche Mitbestimmungsrechte der Betriebs- und Personalräte unser Experte für einschlägig erachtet und wie sie genutzt werden sollten, lesen Abonnent:innen in »Computer und Arbeit« 1/2024: