Gegenstand dieser Betriebsvereinbarung ist der Einsatz einer Trainingssoftware zum Thema Cybersicherheit. Ziel des Systems ist es, Schulungen zu IT- und Datenschutz-Themen anzubieten, durch die das Bewusstsein zum sicheren Umgang mit IT-Systemen gestärkt werden soll. Mit simulierten Phishing-Mails soll die bewusste Wahrnehmung von Gefahren im Umgang mit dienstlichen und privaten E-Mails gefördert werden. Dabei soll der Schutz der Persönlichkeitsrechte sowie der Schutz vor einer technischen Überwachung des Verhaltens oder der Leistung gewährleistet werden.
Diese Betriebsvereinbarung gilt für alle Mitarbeitenden.
Die eingesetzte Software ... [Name der Software] stellt webbasierte, interaktive Schulungen zur Verfügung und erlaubt die Durchführung von und Phishing-Kampagnen zu Trainingszwecken. Die Themen umfassen
Im Rahmen der Phishing-Kampagnen erhalten die Mitarbeitenden Mails mit simulierten unterschiedlichen Angriffsszenarien auf die Computersicherheit, auf die sie reagieren können. Sie erhalten dann vom System eine elektronische Rückantwort über ihr sicherheitsrelevantes Verhalten inklusive einer Erläuterung möglicher von ihnen begangener Unachtsamkeiten oder Fehler.
Die eingesetzte Software ist ein cloud-basiertes SaaS-System (Software as a Service). Der Name des Cloud-Anbieters und der Standort der Server werden dem Betriebsrat jederzeit auf Anfrage mitgeteilt. Das Unternehmen verpflichtet den Cloud-Anbieter, nur Standorte innerhalb der Europäischen Union zu benutzen.
Es werden Vorname, Nachname, E-Mail-Adresse, Unternehmenszuordnung, die jeweilige IP-Adresse des Nutzers und ein Merker über den Fortschritt des Benutzers innerhalb einer Schulung gespeichert.
Es werden Listen über durchgeführte Schulungen erstellt. Sie enthalten Vor-und Nachname, E-Mail-Adresse und ein Merkmal, ob eine Schulung (Video, Test, interaktive Schulung) vom Empfänger durchgeführt wurde oder nicht. Der individuelle Schulungsfortschritt einzelner Personen ist in den Auswertungen nicht sichtbar.
Alle weiteren Berichte (z.B. Häufigkeit, Standorte durchgeführter Schulungen) enthalten keinerlei Informationen mit mitarbeiteridentifizierenden Daten.
Zu klären: Soll es Auswertung von Rückmeldungen des Systems an die Benutzer über unvorsichtiges/unachtsames Verhalten geben?
Der Zugang zur Schulungssoftware steht allen Beschäftigten jederzeit offen. Die Kampagnen-Mails werden an zufallsgesteuert ausgewählte Benutzerinnen und Benutzer zu unregelmäßigen Zeitpunkten versendet.
Die Administratoren sind für die Erstellung der Reports gemäß dieser Vereinbarung zuständig.
Die von der Software verarbeiteten personenbezogenen oder beziehbaren Daten werden nicht zur Verhaltens- und Leistungskontrolle herangezogen und werden somit auch nicht zur Begründung personalrechtlicher oder arbeitsrechtlicher Konsequenzen verwendet .
Sollten Daten, die die Leistung und/oder das Verhalten der Mitarbeitenden beschreiben, unter Verstoß gegen diese Betriebsvereinbarung verarbeitet werden, sind hierauf gestützte arbeitsrechtliche Maßnahmen unzulässig und zurückzunehmen. Gleichfalls gilt ein Beweisverwertungsverbot.
Die Haftung der Mitarbeiterinnen und Mitarbeiter für die durch Schadsoftware verursachten Schäden ist auf Vorsatz und grobe Fahrlässigkeit beschränkt.
Das Unternehmen wird den Betriebsrat über Veränderungen und Erweiterungen des Funktionsumfangs der Software, die sich auf die Möglichkeit zur Leistungs- und/oder Verhaltenskontrolle auswirken, rechtzeitig informieren, damit der Betriebsrat die Möglichkeit hat, seine betriebsverfassungsrechtlichen Rechte wahrzunehmen.
Rein technische Updates und Patches ohne Änderung von Funktionen oder Funktionalitäten gelten nicht als Änderungen und Erweiterungen im Sinne dieser Vereinbarung.
Diese Vereinbarung tritt mit Unterzeichnung in Kraft. Sie ist mit einer Frist von drei Monaten kündbar, frühestens zum ..... Im Falle einer Kündigung wirkt sie nach bis zum Abschluss einer neuen Vereinbarung.
 |
Karl Schmitz | März 2022 |
 tse Hamburg | 350 / 230 |