Netzwerksicherheit? Mit Überwachung! Ja sicher! § 87 Abs.1 Nr. 6

Question

Hallo Gemeinde!
Ich bin etwas ratlos, darum bitte ich hier um Hilfe oder Ideen:

Unser Betrieb ist Teil eines in den USA ansässigen Konzerns. Wir sind aber nicht Teil dieses Konzerns, sondern partizipieren von der IT in den USA. Das bedeutet, dort überlegt man sich, den Virenscanner / Sicherheitssoftware zu wechseln, macht das auch und rollt weltweit die neue Software aus und gut ist. (das schon einfach ohne BR Beteiligung!)

Jetzt kommen wir zum Kern der Sache:  § 87 Absatz 1 Nr. 6 BetrVG 
Wie können wir uns davor schützen, dass irgendjemand in den USA die Software nutzt, um uns zu überwachen? Wir haben keinen Plan, was die Software alles kann und bekommen auch keinen Zugang zu dem Sicherheitssystem. 
OK, eine BV ist sicherlich machbar, nur was muss da zwingend alles drinstehen?
Wir würden gern erzwingen, uns Zugang zu geben, um selbst zu sehen, was mit dieser Software alles möglich ist.

- Module benennen und für unseren Betrieb deaktivieren (wie überwacht man sowas?)
- Verbot der Überwachung (Durchsetzbarkeit)
- Verbot der Leistungskontrolle
- Verbot von Mitschnitten der Arbeit am PC 
- Transparente Problemlösung im Fall eines Sicherheitslecks (Virus/Malware/usw.)
- was ist mit Updates/Upgrades?
- wie kann man die Amerikaner dazu zwingen, die BV auch ernst zu nehmen?

Wir können ja nicht die einzigen sein, die in so einer Situation stecken.
Hat irgendjemand eine BV über so einen Sachverhalt?

Danke und Gruß

Kratzbürste · Answer

§ 80 Abs. 3 BetrVG.

Pjöööng · Answer

Beinhart,

darüber könnte man vermutlich ganze Bücher schreiben, deshalb nur ein paar Denkansätze:

Die erste und wichtigste Frage ist eigentlich welches Selbstverständnis Eure Personalabteilung hat. Sieht sie sich als verlängerter Arm der Amerikaner oder als Vertreter der deutschen Belegschaft? Gegen eine Persoanlabteilung kämpfen zu müssen die ihre Aufgabe vorrangig darin sieht, der amerikanischen Mutter zu gefallen ist so ziemlich die Höchststrafe. Wenn Eure Personal- und die Geschäftsführung brauchbar sind, dann kann man sich auch gegenseitig unterstützen indem z.B. im richtigen Moment eine Anfrage stellt und ähnliches.

In der Theorie ist es eigentlich ganz einfach: Der Arbeitgeber darf ohne Eure Zustimmung keine Software einsetzen die in der Lage ist das Verhalten oder die Leistung von Arbeitnehmern zu überwachen. Also nicht einmal Windows... 
Das betrifft aber nicht nur die auf den PCs installierte Software, sondern ebenso alles was die ganze IT-Infrastruktur betrifft. Jeder einzelne Router sammelt Daten die zur Verhaltens- und Leistungskontrolle dienen können. Ich denke aber dass der Umgang mit diesen Daten auch in vielen rein deutschen Betrieben nicht geregelt ist.

Nun dürfen ja Daten von EU-Bürgern nicht so einfach außerhalb der EU verabeitet werden. Um diese in den USA zu verarbeiten muss die Datensicherheit auf einem vergleichbaren Niveau wie innnerhalb der EU gewährleistet werden. Das kann z.B. durch den Abschluss von InterCompanyAgreements erfolgen, dafür gibt es Vorlagen von der OECD (?) die den rechtlichen Rahmen sicherstellen. Dort könnte man sicherlich auch einfügen dass eine Leistungs- und Verhaltenskontrolle von Arbeitnehmern in Deutscland nicht erfolgt. Dann müssen die Amerikaner das auch ernst nehmen.

Eine 100%ige Sicherheit wird man so aber sicherlich nicht bekommen. Von daher sollte man die Belegschaft davor schützen dass falls es doch einmal zu einem Verstoß kommt, die dabei gewonnenen Daten gegen sie verwendet werden dürfen. Also diese Formulierungen "Eine Leistungs- und Verhaltenskontrolle findet (über den beschriebenen Zweck hinaus) nicht statt. Die Daten dürfen nicht zur Leistungsbewertung oder für arbeitsrechtliche Maßnahmen herangezogen werden."

Dann bleibt da noch die grundsätzliche Frage wie man sich als deutscher Betrieb der amerikanischen Mutter gegenüber positioniert. Betriebsräte sind ja in den Augen amerikanischer Geschäftsleute die Antichristen, das personifizierte Böse und der Untergang der abendländischen Weltordnung. Hilfreich kann es hier sein, sich so zu positionieren dass nicht das Bild entsteht, in Deutschland sei alles viel zu kompliziert (und teuer sowieso) sondern sich als Verhandlungspartner zu präsentieren der dabei unterstützen möchte die Dinge auch in Deutschland vernünftig zu regeln.

RoterFaden · Answer

Sicher habt ihr einen Datenschutzbeauftragten?
Habt ihr da schon angeklopft?