Vereinbarung zur Durchführung von Online-Schulungen zur IT-Sicherheit und Phishing-Tests
Gegenstand und Zweck
Gegenstand dieser Betriebsvereinbarung ist der Einsatz der Software [Name des Systems] (im Folgenden "Software" genannt) mit dem Ziel, Aufmerksamkeit für IT- und Datenschutz-Themen zu erreichen, durch die das Bewusstsein zum sicheren Umgang mit IT-Systemen gestärkt werden soll.
Die durch die Software unterstützten Themen umfassen allgemeine Gesichtpunkte zur Computersicherheit, Phishing, Passwörter, Trojaner und Videos zu diesen Themen.
Zusätzlich zu Online-Schulungen sollen in Form soll mit simulierten Phishing-Mails und -Chats die bewusste Wahrnehmung von Gefahren im Umgang mit dienstlichen und privaten E-Mails gefördert werden.
Zweck dieser Betriebsvereinbarung ist der Schutz der Persönlichkeitsrechte der Arbeitnehmerinnen und Arbeitnehmer sowie der Schutz vor einer technischen Überwachung des Verhaltens oder der Leistung durch die Verwendung der vorgenannten Software.
Online-Schulungen
Es werden wiederholt durch die Software abgewickelte Online-Schulungen zum Thema IT-Security angeboten, die einen Test enthalten. Die Tests werden anonym ausgewertet und gelten als erfolgreich beendet, wenn ein festgelegter Prozentsatz von Fragen richtig beantwortet wurde. Wird dieses Quorum von der Testperson nicht erreicht, erhält sie automatisch durch das System einen Zugriff auf einen erneuten Fragenkatalog.
Die Teilnahme an diesem Test ist verpflichtend und wird elektronisch überwacht. Die jeweilige Führungskraft erhält einen Hinweis, wenn die betroffene Person nach einer Frist von .... die Teilnahme nicht erfolgreich durchgeführt hat.
Kampagnen
Im Rahmen der Phishing-Kampagnen erhalten die Mitarbeitenden Mails oder Chats mit simulierten unterschiedlichen Angriffsszenarien auf die Computersicherheit, auf die sie reagieren können.
Sie erhalten dann vom System eine elektronische Rückantwort über ihr sicherheitsrelevantes Verhalten inklusive einer Erläuterung möglicher von ihnen vorgenommener Unachtsamkeiten oder Fehler. Dieser Vorgang wird vollautomatisiert uvon der Software abgewickelt. Die Software registriert nur die summierte Anzahl der Rückantworten mit und ohne Beanstandungen des sicherheitsrelevanten Verhaltens der teilnehmenden Personen.
Anmerkung: Diese Regelung bedeutet, dass keine Person, auch kein Administrator, Einsicht in die versendeten Mails erhält. Die Software darf auch nicht einzelpersonenbezogen speichern, wer sich sicherheitskonform verhalten hat und wer auf Betrugsmanöver „hereingefallen“ wäre. Es dürfen nur zwei Summenzähler hochgezählt werden. Durch diese Regelung ist maximale Anonymität gewährleistet. Es liegt im Ermessen der betroffenen Führungskraft, welche Maßnahmen sie ergreifen will, wenn ihr die Fehlerrate zu hoch erscheint. In der Regel enthalten IT-Rahmenvereinbarungen besondere Initiativrechte der Betriebsräte mit der Möglichkeit, zusätzlichen Regelungsbedarf geltend zu machen.
Auswertungen
Im Rahmen der gesetzlichen Vorschriften (EU-DSGVO, AI-Act) werden Nachweisdokumente über die Durchführung der Schulungen erzeugt. Auf Wunsch erhält der Betriebsrat die dafür verwendeten Formulare
Die Ergebnisse der Phishing-Kampagnen werden nur anonym abteilungsweise ausgewertet und für jede Abteilung mit den betroffenen Mitarbeitenden in geeigneter Form kommuniziert.
Weitere Auswerungen werden nicht erstellt.
Änderungen und Erweiterungen
Das Unternehmen wird den Betriebsrat über Veränderungen und Erweiterungen des Funktionsumfangs der Software rechtzeitig informieren, damit der Betriebsrat die Möglichkeit hat, seine betriebsverfassungsrechtlichen Rechte wahrzunehmen.
Rein technische Updates und Patches ohne Änderung der Funktionalität können ohne Zustimmung des Betriebsrats durchgeführt werden.
Schlussbestimmungen
Im Übrigen gelten die Bestimmungen der IT-Rahmenbetriebsvereinbarung vom ....
Die Vereinbarung tritt mit Unterzeichnung in Kraft und kann mit der gesetzlich geregelten Frist gekündigt werden.
