Ein fiktives Beispiel: Das Unternehmen XY ist schon jetzt Betreiber einer Kritischen Infrastruktur. Es ist sich bewusst, dass es künftig dem Adressatenkreis der Betreiber einer kritischen Anlage (als Nachfolger der Kritischen Infrastruktur) angehören wird. Da das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eine verschärfte Haftung der Geschäftsleitung mit sich bringen wird, will die Geschäftsleitung die bislang getroffenen technischen und organisatorischen Vorkehrungen zur Umsetzung des BSI-Gesetzes (BSIG) nachschärfen. Hierzu zählt auch die Überarbeitung der IT-Richtlinie des Unternehmens. Dies bremst nun aber der Betriebsrat des Unternehmens mit Hinweis auf sein Mitbestimmungsrecht aus.
Die Umsetzung der NIS-2-Richtlinie wird in Fachkreisen seit einiger Zeit kontrovers diskutiert. Bei NIS-2 handelt es sich um eine EU-Richtlinie, die Einrichtungen, die für Gesellschaft, Staat und Wirtschaft besonders wichtige Dienste erbringen, zu besonderen Schutzmaßnahmen vor Cyberrisiken verpflichtet. Sie muss bis Oktober 2024 in nationales Recht umgesetzt werden, wobei die pünktliche Umsetzung zumindest in Deutschland zurzeit mehr als fraglich ist. Die Umsetzung wird hierzulande durch das NIS-2-UmsuCG erfolgen.
Keine Umsetzungsfrist bedingt akute betriebliche Handlungsbedarfe
Da NIS-2 keine Übergangsfrist vorsieht, sind in Zukunft betroffene europäische Unternehmen schon jetzt zum Handeln aufgefordert. Einige Einrichtungen haben daher bereits jetzt mit der Überarbeitung bisheriger Maßnahmen zur Cybersicherheit sowie der Neuimplementierung nach NIS-2 begonnen.
Allerdings ist zurzeit vermehrt zu beobachten, dass die Vorbereitung und Umsetzung von NIS-2 nicht nur vor den zu erwartenden technischen und personellen, sondern auch vor juristischen Herausforderungen steht. Dazu gehören auch potenzielle Konflikte mit den Mitarbeitendenvertretungen, da neue und erweiterte Maßnahmen zur Cybersicherheit denknotwendigerweise auch hier erhebliche Änderungen im alltäglichen Umgang mit der IT-Infrastruktur bewirken können.
Auf den Umfang des betrieblichen Mitbestimmungsrechts kommt es an!
Es stellt sich daher nun die Frage, in welcher Form dem Betriebsrat beim Erlass solcher IT-Richtlinien ein Mitbestimmungsrecht zusteht. Das Mitbestimmungsrecht ist in § 87 Abs. 1 Betriebsverfassungsgesetz (BetrVG) geregelt. Im IT-Bereich ist nun § 87 Abs 1 Nr. 6 BetrVG von Bedeutung. Danach kann der Betriebsrat mitbestimmen bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Hintergrund dieser Regelung ist der Schutz der Persönlichkeit der Betriebsangehörigen, der gerade bei technischen Maßnahmen, die für den Betroffenen also in der Regel unbemerkt ablaufen, mit dem kollektiven Schutz durch den Betriebsrat erfolgsversprechender ist.
Allerdings gilt nun eine erste Einschränkung: Das Mitbestimmungsrecht betrifft nur technische Einrichtungen, nicht auch organisatorische Maßnahmen. Eine IT-Richtlinie wird immer auch technische Bestandteile haben, sie besteht aber auch aus organisatorischen Maßnahmen, weshalb sich das Mitbestimmungsrecht nicht auf die gesamte IT-Richtlinie bezieht.
Die technische Überwachung der Mitarbeitenden kann auch im IT-Sicherheitskontext Bedeutung haben: Wenn etwa im Nachgang an einen Sicherheitsvorfall eine forensische Aufarbeitung des Vorfalls durch die Untersuchung von Zugriffen von Mitarbeitenden auf Anhänge von Mails oder das Öffnen von Links erfolgen muss. Damit kann eine IT-Richtlinie zur Umsetzung des NIS-2-UmsuCG auch das Mitbestimmungsrecht des Betriebsrats grundsätzlich berühren.
Entscheidung für mehr betriebliche Cybersicherheit vorweggenommen
Nun greift aber eine weitere Einschränkung: Das Mitbestimmungsrecht gilt dann nicht, wenn der Arbeitgeber zu den Maßnahmen aufgrund eines Gesetzes gezwungen ist. Vereinfacht kann man hier sagen, dass dann bereits der Gesetzgeber ausreichende Schutzmaßnahmen für die Individualrechte der Beschäftigten getroffen hat.
Will nun der Arbeitgeber als Betreiber einer kritischen Anlage etwa seine gesetzliche Pflicht zur Implementierung von Angriffserkennungssystemen aufgrund des BSIG umsetzen und nimmt hierzu einen Passus in die IT-Richtlinie auf, ist der Arbeitgeber hier gebunden und das Mitbestimmungsrecht des Betriebsrats nicht eröffnet. Lediglich in der Ausgestaltung solcher Angriffserkennungssysteme ist der Arbeitgeber frei, weshalb man hier ein Mitbestimmungsrecht annehmen könnte. Daher sollten Arbeitgeber zwingend die Orientierungshilfe des Bundesamtes für Sicherheit in der Informationstechnik für Angriffserkennungssysteme berücksichtigen, die gerade auch auf die Einhaltung des Datenschutzes hinweist.
Wieder ein Grund mehr, sich rechtzeitig vorzubereiten
Denn dann müsste der Arbeitgeber den Gang zur Einigungsstelle nicht fürchten, da dann nicht anzunehmen ist, dass die IT-Richtlinie – selbst wenn man den Anwendungsbereich des Mitbestimmungsrechts eröffnet sehen sollte – ernsthaft zu Fall gebracht wird. Denn letztlich fußen die technischen und organisatorischen Maßnahmen auf gesetzlichen Vorgaben, bei deren Umsetzung dem Arbeitgeber keine Wahl zusteht.
Somit bedarf es auch nicht der Überwachung durch den Betriebsrat, da der Gesetzgeber bereits die Schutzfunktion auch für die Beschäftigten übernommen hat (oder übernommen haben sollte). Dennoch zeigen einige Fälle, die sich zurzeit vermehrt in deutschen Unternehmen ereignen, die Bedeutung einer frühzeitigen Vorbereitung auf die Zeitenwende im Cybersicherheitsrecht durch die Umsetzung der NIS-2-Richtlinie auf.
Die Bewältigung des neuen Pflichtenprogramms innerhalb des Unternehmens steht vor großen Herausforderungen, bei der es aufgrund der faktischen und rechtlichen Komplexität immer wieder zu Verzögerungen kommen kann. Hier hilft insbesondere auch eine gute Moderation und Abstimmung innerhalb des Unternehmens zu den gesetzlichen Verpflichtungen, bei denen eben kein betrieblicher Handlungsspielraum besteht, weil effektive Cybersicherheit eine gesamtbetriebliche Aufgabe ist.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht, Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und des Advisory Boards des Anbieters für verschlüsselte Kommunikation NordVPN. Kipker ist zudem wissenschaftlicher Direktor des Cyberintelligence Institute in Frankfurt am Main. Tilmann Dittrich ist Rechtsreferendar im OLG-Bezirk Düsseldorf und Doktorand.
In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Dennis-Kenji Kipker erschienen: Cyberangriff auf SPD-Zentrale: Politische Konsequenzen allein reichen nicht