| Lesedauer: 10 Minuten

Mitbestimmung von „Software as a Service“ (SaaS)

Skalierbare Kosten mit abgestuften Produktpaletten, schnelles Rollout, automatische Updates und Wartungen durch den Dienstleister und kaum notwendige Investitionen in eigene IT-Infrastruktur – die Vorzüge von „Software as a Service“ (SaaS) liegen auf der Hand. Vor allem kleine und mittlere Unternehmen erhalten so Zugriff auf mächtige IT-Systeme z. B. zur Kommunikation und digitalen Zusammenarbeit oder zur Analyse von Unternehmensdaten.

Dabei bestehen neben den offensichtlichen Chancen auch Risiken. So können zwar manche Marktführer den Datenschutz vielleicht besser gewährleisten als kleine Unternehmen mit ihren begrenzten Ressourcen, doch geben die Datenbanken der großen IT-Konzerne auch besonders wertvolle und interessante Ziele aus der Sicht von Hackern ab. Hinter den flexiblen Verträgen der Plattform-Anbieter lauern eventuell versteckte Abhängigkeiten durch proprietäre Systeme und erschwerte Migrationen zur Konkurrenz. Zudem kann der mit den Systemen häufig verbundene Transfer von Daten in Drittstaaten Konflikte mit dem Datenschutz nach sich ziehen. Und nicht zuletzt verbleiben die Pflichten zur Erfüllung von Anforderungen an die IT-Systeme durch Gesetze und Kunden beim Unternehmen. Hierfür müssen auch beim Einsatz von SaaS-Systemen personelle Kapazitäten in der IT vorgehalten werden.

All diese Risiken und Anforderungen sollten die Betriebsparteien gemeinsam berücksichtigen, bevor sie den Schritt zur Nutzung von SaaS gehen. Zwei besondere Herausforderung erfordern jedoch vor allem aus der Sicht von Interessenvertretungen besondere Aufmerksamkeit.

Verhaltenskontrollen zu Sicherheitszwecken

Mit dem Schritt in die große Datenwolke mit ihren günstigen Rechenleistungen ist in der Regel nicht nur das Potenzial zu umfassender Analyse von Unternehmenskennzahlen, sondern auch zu ausufernder Kontrolle des Verhaltens und der Leistungen von Beschäftigten gegeben. Entsprechende Funktionen können in den Systemen häufig nicht kundenindividuell angepasst werden.

Eine Betriebs- oder Dienstvereinbarung, die pauschal eine Kontrolle von Verhalten und Leistung der Beschäftigten ausschließt, ist kein geeigneter Lösungsansatz zum Schutz der Persönlichkeitsrechte der Beschäftigten. Schließlich bieten die IT-Systeme und Services vielfältige Möglichkeiten zur Leistungs- und Verhaltenskontrolle. Grenzen für die Bereitstellung und Nutzung von Kontrollmöglichkeiten werden sinnvollerweise anhand zulässiger Nutzungszwecke definiert. Allerdings ist auch in diesem Fall Sorgfalt geboten. So greift z.B. eine Erlaubnis für Verhaltenskontrollen zum Zweck der „IT-Sicherheit“ oft zu kurz. 

Sinnvolle Einsatzszenarien von IT-Sicherheitskontrollen ermöglichen Administratoren verdächtige Anmeldevorgänge festzustellen. So kann ein weiträumiger Ortswechsel eines Endgeräts innerhalb weniger Sekunden einen Verdachtsmoment für die IT begründen. Kritisch zu hinterfragen ist jedoch, inwieweit Informationen über den baldigen Austritt eines Beschäftigten aus dem Unternehmen oder eine schlechte Leistungsbeurteilung Grundlage für eine IT-Sicherheitsbewertung von Beschäftigten bilden soll. Allzu leicht können hierdurch Beschäftigte ohne jeden konkreten Anlass Gegenstand einer besonderen Überwachung werden. Der Zweck „Sicherheit“ heiligt insofern nicht alle Mittel. Vielmehr ist gut abzuwägen, welche Informationen über Beschäftigte in die IT-gestützte Bewertung von Sicherheitsrisiken einbezogen werden sollen.

Prozessuale Mitbestimmung

Wo Anbieter von „Software as a Service“ ihre digitalen Dienstleistungen ständig weiterentwickeln, werden detaillierte Beschreibungen aller Datenverarbeitungsvorgänge zu einer Herausforderung. Das betrifft nicht nur die Einführung neuer, sondern auch funktionsrelevante Änderungen bereits eingeführter Anwendungen und Services. Dabei ist das Verstehen und Beschreiben der Datenverarbeitungen nicht nur eine Voraussetzung dafür, dass Interessenvertretungen sinnvoll von ihrer Mitbestimmung Gebrauch machen können. Als Verantwortlicher aller Datenverarbeitungen im Unternehmen muss der Arbeitgeber schließlich ohnehin mit den Entwicklungen Schritt halten.

Erfolgsfaktoren der Prozessbeteiligung

Um sowohl einer Übergehung der Mitbestimmungsrechte als auch einer Überlastung der Interessenvertretung vorzubeugen, regelt eine prozessorientierte Vereinbarung zu SaaS-IT genau, wann die Interessenvertretung in welcher Weise zu informieren und zu beteiligen ist. Dabei werden informationspflichtige von nicht-informationspflichtigen Vorgängen unterschieden. Das schafft Vereinfachungen für alle an der Mitbestimmung Beteiligten. Fehlerbehebungen im IT-System lösen in diesem Fall keine Informationspflicht für den Arbeitgeber aus. Demgegenüber ist klar definiert, bei welchen Änderungen an Funktionen, Berechtigungen oder genutzten Kategorien an Beschäftigtendaten die Mitbestimmung der Interessenvertretung greift.

Ein mit der Betriebsvereinbarung definierter Informationsbogen macht es für die IT bzw. den Arbeitgeber handhabbar die Interessenvertretung über relevante Änderungen mitsamt der Zwecke und Auswirkungen zu informieren. Ein weiterer Baustein für die gleichermaßen konstruktive wie sachgerechte Mitbestimmung ist die Kultur der Zusammenarbeit: regelmäßige Austauschtermine verbessern die Kommunikation zwischen Projektverantwortlichen, Administratoren, Key-Usern und den Interessenvertretungen. Mit den Terminen werden Klärungsbedarfe frühzeitig identifiziert und können Chancen und Risiken nicht nur von SaaS-IT frühzeitig bewertet und Lösungen entwickelt werden.

Gerne unterstützen wir als TBS NRW bei der Suche und Erarbeitung von individuellen, passgenauen Lösungen! Hierzu gehört natürlich auch die Erarbeitung und Verhandlung einer beschäftigtenorientierten Betriebsvereinbarung. 

Zum Kontaktformular