Beratung - Weiterbildung - Information für Interessenvertretungen

Mehr IT-Sicherheit - mehr IT-Überwachung der Beschäftigten?

Bei Branchen mit kritischen Infrastrukturen – z.B. Energie, Wasser, oder Informationstechnik – greift das IT-Sicher­heitsgesetz. Die Interessenvertretung sollte prüfen, ob es auch für das eigene Unternehmen gilt. Denn es geht um die Datenschutz-Interessen der Beschäftigten.

Seit Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Sys­teme, kurz „IT-Sicher­heits­ge­setz“ ge­nannt, in Kraft. Im Kern regelt es, dass die Branchen und Be­treiber sogenannter kritischer Infrastrukturen angemessene or­ga­nisatorische und technische Maßnahmen treffen müssen, um u.a. die Verfügbarkeit, Inte­grität und Vertraulichkeit ihrer IT-Systeme zu gewährleisten. Hierzu gehört auch der Einsatz von Sicherheitssoftware. Die Sek­to­ren und Branchen mit kritischen Infrastrukturen sind in der ergänzenden BSI-Kritis-Verord­nung festgelegt worden. Hierzu gehören die Sektoren Energie, Wasser, Ernährung, Informa­tions­technik und Telekom­mu­nikation sowie Teile der Finanz- und Internetdienst­leistungen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI)  ist die zentrale Behörde, um die IT-Sicherheit zu koordinieren und zu überprüfen. Die Be­trei­ber kritischer Infrastruk­turen müssen regelmäßig – erstmalig Mitte 2019 – nachweisen, dass sie solch umfassende IT-Sicher­heitssysteme installiert ha­ben und praktizieren, z.B. durch Si­cher­heitsaudits oder Zerti­fizie­rungen. Weiterhin müssen die Betreiber Störungen der Sicher­heit an das BSI melden.

Nicht jedes Unternehmen unterliegt dem IT-Sicherheitsgesetz

Die Spannbreite des An­wen­dungs­bereiches sei am Sek­tor Energie verdeutlicht. Hierzu ge­hören alle Betreiber zur Ver­sor­gung mit Strom, Gas, Kraftstoff und Heizöl sowie Fernwärme. Es geht um die Erzeugung, Über­tragung und die Verteilung einschließlich dem Transport der Energie­trä­ger. Es gibt noch er­heb­liche Unsicherheit, welche Unter­neh­men unter den Gel­tungs­bereich des IT-Sicher­heits­gesetzes fallen. Teilweise müssen auch Bundes­behörden die Vorgaben des Ge­setzes erfüllen. Der Betriebs- oder Personalrat sollte bei seiner Geschäfts­füh­rung nachfragen, ob das Unter­nehmen die An­forderungen des Gesetzes um­setzen muss.

Nun ist IT-Sicherheit in den Be­trieben kein neues Thema. Eini­ge Betriebe sind bezüglich IT-Sicherheit zertifiziert, z.B. nach der ISO-Norm 27001, 27005, nach dem BSI-Grundschutz oder nach branchenspezifischen Vor­gaben, z.B. MaRisk für den Ban­ken­­bereich. Vor dem Hinter­grund des IT-Sicherheitsgesetzes verstärken viele Unternehmen ihre Anstrengungen und Be­triebs­­­räte, und TBS-Berater erleben, dass aufwendige IT-Si­cher­heits­software installiert wird. Bei­spiele sind QRadar von IBM oder ETD Enterprise Threat Detection von SAP. In anderen Betrieben werden diese IT-Si­cher­heits­programme eingeführt, um Anforderungen der „Com­pliance“ zu genügen. Je nach Kon­figuration und Festlegung dokumentieren und analysieren diese Systeme den gesamten Datenverkehr, innerhalb der IT-Un­ternehmens-Infrastruktur oder natürlich nach außen wie z.B. die Kommunikation per E-Mail, Internet, mobiler IT-Geräte, usw.

Wachsende IT-Sicherheit, wachsende Möglichkeiten der Überwachung

Dabei ist häufig nicht klar, ob es sich eindeutig um rechtliche Ver­pflichtungen oder um unternehmensinterne Anforderungen handelt. In allen Fällen werden sehr umfassend auch die Akti­vitäten der Beschäftigten protokolliert und systematisch ausgewertet, von „Normal-Be­schäf-tigten“, aber auch von IT-Ad­ministratoren. Häufig werden Daten aus unterschiedlichen, bisher getrennten Anwen­dungs­­­bereichen in einer zentralen Datenbank zusammengefasst, mit einer neuen Qualität der Überwa­chungsmög­lichkei­ten. Dies kommt häufig einer Vorratsdatenspeicherung nahe und ist nach Daten­schutz­ge­set­zen und Rechtsprechung unzulässig. Der Betriebs- oder Personalrat sollte sich die Planungen der Ge­­schäfts­führung genau erläutern lassen und kritisch prüfen. Der Schutz der betrieblichen IT-Systeme und kritischer Infra­strukturen ist sicherlich wichtig, jedoch nicht um jeden Preis.

Sie wünschen mehr Informationen zum Thema? Melden sie sich einfach in der nächsten TBS-Regionalstelle oder nutzen sie unser Kontaktformular.

Regelmäßig Informationen zu unseren Angeboten erhalten: Newsletter abonnieren

Ansprechpartner/in

Jürgen Fickert

Jürgen Fickert

Regionalstelle Dortmund
Tel.:0231 / 249698-0
Mobil:0173 / 209 77 67
E-Mail senden
Zum Profil

Seminare

Das neue Datenschutzrecht - Was müssen Personalräte wissen?
09. - 10.10.2019

Das neue Datenschutzrecht für Betriebsräte
29. - 30.10.2019

Update Datenschutz
28.11.2019