Software für Passwörter

Ich würde sagen nein kann er nicht wobei ich KeePass aber für unkritisch halte in dem Zusammenhang. Ich denke aber nicht das er die MA zwingen kann es überhaupt zu Nutzen wenn ich meine Passwörter im Kopf behalte wieso sollte ich das Nutzen.

Es gibt auch noch anderes zu beachten. Arbeite ich immer am selben Platz oder kann der wechseln. Wenn er wechseln kann brauch ich einen zentralen Platz wo ich von jedem Rechner aus auf mein KeePass zugreifen kann oder ich brauch einen USB Stick wo er drauf ist. Wenn die Mitarbeiter einen USB Stick bekommen sollen dann sollte der Sicherheitsbeauftragte seinen Beruf an den Nagel hängen er hat bereits grundlegende Sicherheitsregeln nicht verstanden.

Unabhängig davon wie man zu Passwort Managern im Arbeitsleben steht oder nicht, ist das allein Sache des AG. Der BR hat da nichts mitzuwurschteln. Das Direktionsrecht bzw. Weisungsrecht berechtigt den AG, die konkrete Arbeitspflicht des einzelnen AN näher zu bestimmen. Und dazu gehört auch die Anwendung von Software, die nicht irgendetwas kontrolliert.

@ Meph1977 Und was wenn MA A urplötzlich erkrankt und MA A einspringen soll ds Passwort nicht weiß oder im Kopf hat?

Dann muss der sein eigenes Passwort verwenden und nicht das eines anderen Mitarbeiters. Und kucki nein das ist nicht vom Weisungsrecht gedeckt. Der AG darf zwar sagen es darf nur KeePass auf den Firmenrechnern benutzt werden aber er kann den AN nicht verpflichten KeePass zu benutzen. Der AN ist auch nicht verpflichtet irgendwem seine persönlichen Passwörter mitzuteilen im Bereich der kritischen Infrastruktur wäre das möglicherweise sogar strafbar mal abgesehen davon das es für den AG auch völlig unmöglich ist zu ermitteln ob der AN KeePass benutzt.

Mal davon abgesehen ist ein Informationssicherheitsbeauftragter nicht weisungsbefugt. Er berichtet und berät die gesamtverantwortungstragende Leitung in Fragen der Informationssicherheit.

Korrekt, das ist im Regelfall so. Es ist bestimmt auch den meisten hier durchaus bekannt, dass ein Sicherheitsbeauftragter gemäß § 22 Abs. 2 SGB VII in erster Linie dem AG zuarbeitet.

Dieser kann ihn aber auch zu seinem Erfüllungsgehilfen machen indem er ihn entsprechend beauftragt. Nachzulesen unter der DGUV Vorschrift 1 (§13 Pflichtenübertragung). Was dann durchaus eine ansonsten nicht vorliegende Weisungsbefugnis beinhalten kann. In einem solchen Fall wäre auch die Erstellung einer Richtlinie durch den Informationssicherheitsbeauftragten durchaus möglich.

@ Brasus
Daher bitte mal prüfen, ob eine derartige Pflichtenübertragung durch den AG bei euch vorliegt. Gibt es eine solche nicht, gilt die Richtlinie nur dann, wenn sie der AG erlässt.

@ Meph1977 Das sehe ich dann doch etwas anders.

Nicht wenige BR haben leider das Problem, dass sie fast permanent -- meistens allerdings ohne konkreten Anlass – meinen wegen Einhaltung von Datenschutzgrundsätzen Zugriffsrechte auf bestimmte Software haben zu müssen. Hierbei ist aber festzustellen, dass Datenschutz per se –- d. h. ohne jeden Aufgabenbezug des BR –- nicht mitbestimmt wird.

Einem Beschluss des BAG vom 9. April 2019 (1 ABR 51/17) kann man entnehmen, was hier für einen BR gilt. Passwortmanager fallen daher nmE nicht unter das MBR des § 87 Abs. 1 Nr. 6 BetrVG.

Ich sehe sie hier eher für ein, ein Beschäftigungsverhältnis notwendiges Übel, das gemäß § 26 BDSG, Art. 6 DSGVO u. Art. 88 DSGVO noch hinzunehmen ist. Nicht weil ich sie jetzt unbedingt für Notwendig erachte, sondern der AG es wohl so sieht.

Ja, ich weiß auch das es Urteile gibt - sogar vom BAG - die schon allein das Vorhandensein eines PC „noch“ als Basis eines MBR sehen. Allerdings ist dieses nicht allumfassend.

Anbei einmal eines als abschreckendes Beispiel:

LAG Nürnberg, 21.02.2017 - 7 Sa 441/16 Nach der Rechtsprechung des Bundesarbeitsgerichts, der das erkennende Gericht folgt, stellt Computersoftware in Verbindung mit dem Rechner, der mit ihr betrieben wird, eine technische Einrichtung iSd. § 87 Absatz 1 Nr. 6 BetrVG dar. Dabei ist es unerheblich, ob der verwendete Rechner bereits vor der Anschaffung der im Streit befindlichen Software im Betrieb vorhanden war und in anderer Weise genutzt wurde. Erst die entsprechende Software ermöglicht die Nutzung einer EDV-Anlage zu einem bestimmten Zweck (Bundesarbeitsgericht - Beschluss vom 26.07.1994 - 1 ABR 6/94; juris).

Da das dann ja auch jedes kleine Tool sowie im Grunde alle Updates beträfe, schießen sie etwas weit über das ursprüngliche Ziel eines Persönlichkeitsschutzes hinaus.

Das auch ein kleines Tool, erst recht wenn es ev. einer Verbesserung der Systemsicherheit oder der Benutzerfreundlichkeit dient und keine Kontrollmöglichkeit in sich trägt, der Entscheidung eines AG entzogen sein soll, ist nicht nur für mich nicht Nachvollziehbar.

Weil das wohl nicht nur für mich gilt, hat sich das Arbeitsgericht HH (ArbG Hamburg 24 BVGa 1/24) damit befasst und sieht hier auch kein MBR.

https://diercks-digital-recht.de/2024/02/kein-mitbestimmungsrecht-des-betriebsrates-bei-der-gestattung-der-privaten-nutzung-von-chatgpt-am-arbeitsplatz-durch-den-arbeitgeber-arbg-hamburg-24-bvga-1-24/

in diesem Sinne……..

Kucki nochmal zum mitmeiseln der AG hat kein Recht den AN zu verpflichten seine Passwörter in Keepass einzutragen und nichts von dem was du geschrieben hast ändert was daran. Wenn der AN sie lieber im Kopf behält kann der AG sich auf den Kopf stellen und Salto schlagen. Mal abgesehen davon hat gerade Keepass einen sehr hohen Datenschutzbezug Passwörter sind nämlich personenbezogene Daten und der AN darf die in dem Passwortmanager speichern den er für richtig hält er darf den eigenen Passwortmanager nur nicht auf einem Firmenrechner Installieren.

Ganz unabhängig davon, wo ich eventuell Passwörter speichere, unsere IT und auch meine Vorgesetzten würden mich unangespitzt in den Boden rammen, wenn ich meine Passwörter weitergeben würde. Das ist, zu mindestens bei uns, ein absolutes No Go. Für den Zugriff auf Konten von Mitarbeitern in dringenden Ausnahmefällen gibt es bei uns Regelungen. Wofür gibt es denn Administratoren in der IT?

Dieses "ich könnte ja eventuell ein Passwort benötigen" kann also keine Grundlage für die Einführung eines Passwortmanagers sein. Wobei ich bei der Einführung eines Passwortmanagers jetzt kein wirkliches Problem sehe, bei der verpflichtenden Nutzung schon eher.

"Für den Zugriff auf Konten von Mitarbeitern in dringenden Ausnahmefällen gibt es bei uns Regelungen. Wofür gibt es denn Administratoren in der IT?"

Nicht einmal die haben bei uns Zugriff auf Daten die über ein persönliches Passwort geschützt sind.

"Das auch ein kleines Tool, erst recht wenn es ev. einer Verbesserung der Systemsicherheit oder der Benutzerfreundlichkeit dient und keine Kontrollmöglichkeit in sich trägt, der Entscheidung eines AG entzogen sein soll, ist nicht nur für mich nicht Nachvollziehbar."

Wie kommst Du auf "der Entscheidung eines AG entzogen sein soll"? MBR heißt ja nicht "kann der BR verbieten". Und ob es eine Kontrollmöglichkeit gibt oder nicht, steht der Software ja nicht auf die Stirn geschrieben.

"Weil das wohl nicht nur für mich gilt, hat sich das Arbeitsgericht HH (ArbG Hamburg 24 BVGa 1/24) damit befasst und sieht hier auch kein MBR.

https://diercks-digital-recht.de/2024/02/kein-mitbestimmungsrecht-des-betriebsrates-bei-der-gestattung-der-privaten-nutzung-von-chatgpt-am-arbeitsplatz-durch-den-arbeitgeber-arbg-hamburg-24-bvga-1-24/"

Dein Ernst? Der AG kann natürlich ohne MBR den Leuten die private Nutzung von was auch immer gestatten. Hier geht es aber um ein "Du MUSST das Nutzen" ... und da sind wir uns hoffentlich einig, dass das etwas völlig anderes ist.