IT-Rahmenvereinbarung

Betriebsräte lieben Mustervereinbarungen. Dies gestaltet sich allerdings bei einer Rahmenregelung, die für die gesamte Informationstechnik eines Unternehmens gelten soll, sehr schwierig, denn allen Standardisierungsbemühungen zum Trotz sind Unternehmen und die IT als ihr angebliches Herzstück sehr verschieden. Deshalb im Folgenden nur eine Art Stoffsammlung von Dingen, über die man nachdenken sollte, bevor man sich an die konkrete Formulierung eines Vertragstextes macht.

Der Zweck einer Rahmenvereinbarung besteht darin,

Soweit beide Seiten der Meinung sind, dass ein Softwaresystem diesen Guidelines entspricht, soll es dann keiner weiteren Regelung mehr bedürfen. Ist dies aber nach Meinung einer Seite nicht der Fall, bedarf es einer speziellen (ergänzenden) Regelung zu dem betroffenen System.

Allgemeine Leistungsmerkmale von Softwaresystemen
 

In diesem Abschnitt geht es um Leistungsmerkmale, die vielen Softwaresystemen gemeinsam sind. Sie müssen dann nicht mehr in Betriebsvereinbarungen für einzelne Anwendungen behandelt werden, es sei denn, dort sollen sie abweichend von den folgenden Regelungen gehandhabt werden.

Systemnahe Software
 

Betriebssysteme, systemnahe Software wie Datenbanken und die meisten Anwendungssysteme speichern Benutzeraktivitäten wie Login oder den Aufruf von Transaktionen mit einer Benutzerkennung und einem Zeitstempel.

Für alle diese Systeme soll gelten:

In Systeme gespeicherte Informationen über Benutzeraktivitäten werden nur zu den Zwecken

  • Analyse und Korrektur technischer Fehler und
  • Gewährleistung der Systemsicherheit

verwendet. Der Zugriff auf diese Daten ist auf die mit der technischen Administration betrauten Personen begrenzt. Diese dürfen Informationen aus den Systemen nur im Rahmen der genannten Zweckbindung an verantwortliche andere Personen weitergeben.

Besondere Beachtung spielt wegen der stark anwachsenden Cyber-Kriminalität die IT-Securuty. Es ist zu überlegen, ob eine Rahmenvereinbarung zu diesem Thema wenigstens einige Leitsätze enthalten sollte oder ob man die Angelegenheit wegen ihrer hohen Komplexität in einer separaten Security- Vereinbarung behandelt.
Bearbeitungskennzeichen in Anwendungsprogrammen
 

Soweit in den Transaktionsdaten von Anwendungssystemen Bearbeiterkennzeichen (z.B. in Buchungsvorgängen) gespeichert werden, werden diese nur

  • zur Kenntlichmachung der bearbeitenden Person als Ansprechpartner für Rückfragen zu dem betroffenen Vorgang
  • sowie als Auswahlkriterium für die betroffene Person zur Weiterbearbeitung der von ihr selber bisher bearbeiteten Vorgänge

benutzt. Insbesondere werden keine Listen oder Statistiken erstellt, in denen diese Kennzeichen erscheinen.
Personaldatenverarbeitende Systeme
 

Systeme, deren Hauptnutzungszweck in der Erbringung von mitarbeiterbezogenen Egebnissen besteht (z.B. Zeiterfassungs-, Entgeltabrechnungs- oder Beurteilungssysteme) bedürfen auf Verlangen einer Seite einer eigenständigen Betriebsvereinbarung.

Es soll nicht in jedem Fall eines mitarbeiterbezogene Daten verarbeitenden Systems verpflichtend sein, eine eigenständige Vereinbarung abzuschließen, z.B. ein System zur Verwaltung von Schutzkleidung oder Mitarbeiterparkplätzen. Personalabrechnungssysteme, Systeme zum Performance Mannagemeent oder zur Karriereplanung z.B. sind so spezifisch, dass ihre Regelung in der Rahmenvereinbarung zu viel Raum einnehmen würde.

Für alle mitarbeiterdatenverarbeitenden Systeme gelten die Grundsätze der Verhältnismäßigkeit, Zweckbindung und Normenklarheit.

  • Der Grundsatz der Verhältnismäßigkeit bedeutet einen sparsamen Umgang mit mitarbeiterbezogenen Daten - nur die unbedingt für die jeweilige Zwecksetzung nötigen Daten werden erfasst und verarbeitet.
  • Der Grundsatz der Zweckbindung bedeutet, dass nur solche persönlichen Mitarbeiterdaten gespeichert werden, für deren Verarbeitung ein konkreter Verwendungszweck vereinbart ist oder auf Grund von Gesetzen, Verordnungen, Tarifverträgen oder Betriebsvereinbarungen besteht.
  • Der Grundsatz der Normenklarheit gebietet es, dass für alle Betroffenen die Regeln der Verarbeitung einsichtig und bekannt sind.
Lokalisierunsfunktionen
 

Soweit die Software mobiler Geräte Zugriff auf die Lokalisierungsfunktion (Geodaten) der Geräte hat, stehen die Ergebnisse aus der Verwendung der Geo-Daten nur den Benutzern für sich selbst zur Verfügung.

Persönliche Nutzung
 

Die IT-Infrastruktur (einschließlich E-Mail und Internetzugang) wird den Mitarbeiterinnen und Mitarbeitern zur Unterstützung ihrer Arbeit zur Verfügung gestellt.

Eine gelegentliche persönliche Nutzung darf die Arbeitsabläufe nicht beeinträchtigen und keine zusätzlichen Kosten verursachen. Insbesondere ist jede Nutzung unzulässig, die geeignet ist, die Sicherheit des Firmennetzes zu beeinträchtigen oder die gegen geltende Rechtsvorschriften verstößt.

In vielen Vereinbarungen wird die persönliche Nutzung des Internetzugangs oder des Mailsystems katagorisch ausgeschlossen. Eine solche Regelung setzt die betroffenen Personen der permanenten Gefahr einer Verletzung ihrer Arbeitspflichten aus. Darüber hinaus ist die Trennung persönlich/dienstlich nur schwer möglich und verträgt sich überhaupt nicht mit den neuen Arbeitsformen.

Den Mitarbeitenden wird ein privater Speicherbereich zur Verfügung gestellt, auf den allein sie Zugriff haben.
Workflows
 

Softwaresysteme werden zunehmend mit Workflows durchzogen. Dahinter verbirgt sich die technisch kontrollierte Festlegung von Arbeitsfolgen und ihrer Reihenfolge. Ihr flächendeckender Einsatz hat weitreichende Folgen für die Arbeitsqualität: Je mehr Workflows, desto weniger Entscheidungsspielräume und zeitliche Autonomie in der Arbeit. Deshalb empfehlen sich folgende Regelungen:

  • Für die durch das System unterstützen Prozesse gilt der Grundsatz, dass Workflows im Sinne festgelegter und vom System erzwungener Arbeitsfolgen nur dort eingesetzt werden, wo sie nachweislich Routineabläufe vereinfachen.
  • Für alle dispositiven und mit Entscheidungen verbundenen Arbeitsschritte hat die durch Menschen zu erbringende Arbeit Vorrang vor der Technisierung.

Workflows registrieren in der Regel bei jedem Arbeitsschritt den Status der Arbeit, die Benutzerkennung und den Zeitpunkt der Bearbeitung, ermöglichen also eine minutiöse Überwachung der Arbeit. Deshalb:

  • Auf die Erstellung von Reports, bei denen in mitarbeiterbezogener Form Workflowschritte ausgewertet werden, wird verzichtet.

 
Reporting
 

Das Reporting orientiert sich in der Regel an der Beobachtung von Kennziffern. Es sollte der Grundsatz gelten, dass nur solche Kennzahlen verwendet werden, die auch einem kommunizierten Unternehmensziel entsprechen, über das alle Beteiligten informiert sind.

  • Kennzahlen werden zunächst auf einer zusammengefassten Ebene dargestellt und können von den Benutzenden bis zur Ebene einzelner Vorgänge bei Bedarf aufgelöst werden (Drill down-Verfahren). Dabei gilt der Grundsatz, dass auf der ersten Ebene der Auswertungen ein direkter Personenbezug der Auswertungen vermieden wird. Ergibt sich dennoch oder auf einer späteren Auflösungsebene (Drill Down) ein Mitarbeitendenbezug, so dient er dem alleinigen Zwecg, eine Ansprechperson für die weitere Erörterung kenntlich zu machen.
  • Der Umfang der Kennzahlen wird auf einer überschaubaren Anzahl gehalten und bemisst sich am Bedarf zur Steuerung des Geschäftes (Sparsamkeitsgrundsatz).
  • Die grafisch aufbereitete Darstellung (z.B. als Dashboards) mit der Möglichkeit stufenweiser Konkretisierung hat Vorrang vor tabellen- und listenförmigen Darstellungen. Sie soll den Benutzenden einen schnellen Überblick verschaffen, so dass eine Detaillierung in der Regel nicht erforderlich ist.

 
Berechtigungen
 

Über Berechtigungen wird neben der Hauptaufgabe, den berechtigten Zugriff auf Programme und Daten zu steuern, auch die Arbeitsteilung festgelegt. Deshalb sollte der Grundsatz gelten, Berechtigungen nicht kleinteilig zu vergeben, sondern darauf zu achten, dass die Arbeit als sinnvoller Zusammenhang erfahrbar ist. Niemand sollte sich beschweren können, seine oder ihre Arbeit nicht machen zu können, weil sie oder er nicht genug Berechtigungen hat.

Eine Ausnahme von diesem Grundsatz gilt für die Personaldatenverarbeitung. Hier ist das strikte need-to-know-Prinzip anzuwenden, d.h. jede Person erhält nur Berechtigungen für ihre Aufgaben in ihrem direkten Verantwortungsbereich. Detailregeln kann man in gesonderte Vereinbarungen zu personaldatenverarbeitenden Systemen treffen. Wenn man will, kann man an dieser Stelle bereits einige Grundsätze für die Vergabe der Benutzerrechte festlegen, z.B.:

  • Jede Mitarbeiterin und jeder Mitarbeiter hat Zugriff auf alle über sie bzw. ihn gespeicherte Daten.
  • Führungskräfte haben Zugriff auf die Personaldaten ihres direkten Verantwortungsbereichs.
  • Führingskräfte der nächsthöheren Ebene erhalten nur Lesezugriff auf die direkt Personen identifizierenden Daten und sind gehalten, dieses Recht nur im Sinne einer Supervision zu gebrauchen.
  • Höhere Führungskräfte erhalten keinen Zugriff auf auf Daten, in denen Mitarbeitende direkt identifiziert sind.

Damit wären nicht personalisierte Übersichten und Statistiken regelungsfrei erlaubt. Ausnahmen von den oben genannten Regelungen wären vereinbarungspflichtig.

 
Allgemeine Grundsätze
 

In diesem Abschnitt sollen die heute, Stand 2023, erkennbaren Trends der IT-Entwicklung behandelt werden. Dies betrifft vor allem

  • das zunehmende Cloud Computing,
  • die Trends zur Nutzung von Big-Data-Anwendungen,
  • die Integration von Künstlicher Intelligenz in Softaresysteme und vor allem
  • die grundlegende Änderung der Arbeitsformen durch virtuelles und hybrides Arbeiten.

Die Entwicklungen in diesen Bereichen werden die Arbeitswelt von morgen und übermorgen grundlegend verändern. Mit Ausnahme des mobilen Arbeitens erfolgen sie nicht in großen spektakulären Schüben, sondern eher schleichend. Eine Rahmenvereinbarung, die den Anspruch hat, gestaltend auf die IT-Technik einzuwirken, muss sich diesen Herausforderungen stellen.

Cloud Computing
 

Cloud-Anwendungen entziehen den Betriebsräten einen großen Teil ihrer Mitbestimmungsmöglichkeiten, da die Unternehmen nur geringfügigen Einfluss auf die Konfiguration der Systeme haben. Dieser Effekt verstärkt sich noch bei multinationalen und zentral geführten Unternehmen, die ihren Betriebsstätten eine (oft weltweit) einheitliche Installation aufzwingen. Dennoch ergeben sich auf lokaler Ebene z.B. im Rahmen des Customizing Einflussmöglichkeiten, auf deren Ausnutzung die Betriebsräte bestehen sollten.

Cloud-Anwendungen sind für viele Unternehmen zumindest in der Anfangsphase attraktiv, weil sie sowohl auf der Hardware- als auch auf der Softwareseite Administratortätigkeiten einsparen. Die entsprechenden Arbeitsplätze bleiben in der bisher gewohnten Form nicht bestehen. Eine Handlungsmöglichkeit für Betriebsräte bestünde darin, in einem jährlich wiederholten Meeting sich üder den aktuellen Stand des Cloud-Einsatzes und die Planungen für die kommende Periode zu informieren und zu beraten, welche Auswirkungen dies auf betroffene Arbeitsplätze hat. In diesem Zusammenhang sei an eine norwegische Gesetzesregelung erinnert, die Unternehmen verpflichtet, neue Beschäftigungsmöglichkeiten für vom technikbedingten Verlust ihres Arbeitsplatzes bedrohte Beschäftigte zu entwickeln. Man kann versuchen, ähnliche betriebliche Regelungen zu treffen und zumindest das Unternehmen zu geeigneten Qualifizierungen verpflichten.

Die Voreinstellungen fast aller Cloud-Anwendungen sind unter Datenschutz-Gesichtspunkten unzureichend. Hier könnte die Rahmenvereinbarung dafür sorgen, dass das Prinzip privacy by default (also maximaler Datenschutz) bei der Inbetriebnahme praktiziert wird und Abweichungen einer ergänzenden Regelung bedürfen.

Dem Cloud-Computing liegt das Geschäftsmodell zugrunde, dass nicht mehr Lizenz und Wartung sondern die Menge der übertragenen Daten bezahlt werden muss. Deshalb bemühen sich die Anbieter, ihre Anwendungen so zu gestalten, dass immer mehr geklickt werden muss. Dies hat zur Folge, dass die Benutzerinnen und Benutzer immer stärker an Computer als Arbeismittel gebunden werden, mit vielen negativen Folgen, vor allem für ihre Aufmerksamkeits- und Konzentrationsfähigkeit (vgl.. M. Spitzer Cyberkrank). Deshalb wäre es wünschenswert, Regelunen zu finden, die das allgegenwärtige Klicken auf ein Midestmaß herunterfahren.

 
Big Data-Anwendungen
 

Viele vor allem Cloud-Anwendungen sind verbunden mit Big-Data-Hintergrundsystemen ihrer Anbieter (Beispiel Microsoft 365 und dessen Hintergrundsystem Microsoft Graph). Dabei werden oft in beträchtlicher Menge Daten an das Anbieter-Unternehmen transferiert. Wenn es sich dabei - wie z.B. bei Microsoft - um Daten über die Aktivitäten von Mitarbeiterinnen und Mitarbeitern handelt, ist Vorsicht geboten. Zumindest eine Informationspflicht des Unternehmens gegenüber dem Betriebsrat über Art und Umfang der an Hintergrundsysteme der Anbieter übermittelten Daten sollte vereinbart werden.

 
Künstliche Intelligenz
 

Immer mehr Anwendungssysteme werden mit Elementen künstlicher Intelligenz durchzogen. Vieles wird von den Herstellern versprochen, oft erweist sich darunter nur wenige Nützliches. Aber die Situation ändert sich dauernd. Deshalb ist es erforderlich, sich sowohl über für das Unternehmen in Betracht kommende Einsatzmöglichkeiten als auch über den tatsächlich erfolgenden Einsatz in regelmäßigen Abständen auszutauschen.

Einige Grundätze lassen sich jedoch heute (Stand 2023) formulieren:

  • Auf die Nutzung von Systemen der automatisierten Gesichts- und Spracherkennung im internen Betrieb sollte verzichtet werden (Damit sind nicht Telefonie und Videoconferencing gemeint; hier allerdings bedarf es Absprachen über die Umstände erlaubter Speicherung von Bildern, Videos und Sprache der Mitarbeitenden).
  • Auf Systeme mit KI-gestützter Stimmanalyse oder Analyse der Körpersprache (Sentimentanalyse, andere Formen Spracherkennung, insbesondere des affective Computing, Emotionsscanner in Chatfunktionen) sollte ebenfalls verzichtet werden.
  • Mustererkennung bezogen auf das Verhalten der Mitarbeitenden ist ein schwieriges Thema (siehe Microsoft Graph). Um abweichendes Verhalten diagnostizieren zu können, benötigen die Systeme ein Modell für die Normalität. Diese verborgenen Normen sind nicht bekannt und hochgradig fehleranfällig.Urteilsfehler. Anwendungen dieser Art sollten ausgeschlossen werden, zumindest so lange, bis es Systeme gibt, die ihre Algorithmen erklären können und denen man zustimmen kann.
  • KI-Anwendungen mit Mustererkennungsfunktionen, die auf das Benutzerverhalten bezogen sind, neigen zu Übergriffigkeit, indem sie meinen, den Benutzerinnen und Benutzern vorschreiben zu können, was sie als Nächstes tun sollen. Folgt man dieser Entwicklung in Richtung eines Leitbildes des betreuten Arbeitens, so darf man sich nicht wundern, wenn das Unternehmen an Computern klebende Beschäftigte hat, denen Eigenständigkeit, Kreativität und Initiative langsam abhanden kommen. Manfred Spitzer hat diese Schäden in seinem Buch Cyberkrank anschaulich beschrieben. Man sollte alle in diese Richtung gehenden Funktionen so weit wie möglich deaktivieren.
  • Für den Umgang mit KI-unterstützten Chatbots werden Trainings angeboten, in denen die Beschätigten das sinnvolle Formulieren von Fragen lernen können, über die Grenzen der Leistungsfähigkeit solcher Systeme (sog. Halluzinieren)  informiert werden und Hinweise auf Probleme für die Computersicherheit erhalten.
  • Besondere Aufmerksamkeit verdienen Systeme, die automatisierte Hilfen bei der Beurteilung von Beschäftigten liefern. Dies geschieht oft in Scoring-Listen für Auswahlentscheidungen. Hier verschwindet die Trennlinie zwischen nützlicher Arbeitserleichterung für die Personaler und Verletzung der Persönlichkeitsrechte in einer breiten Grauzone.
Mobiles und hybrides Arbeiten
 

Es wird nach Corona nur eine teilweise Rückkehr zu den Arbeitsformen mit Präsenzpflicht geben. Viele Unternehmen experimentieren mit sehr unterschiedlichen Formen des hybriden Arbeitens, ohne dass klare Konzepte erkennbar sind. Man sollte dieses Experimentieren nicht dem Zufall überlassen, sondern kontrolliert begleiten. Im Folgenden einige wichtige Grundsätze:

  • Teams und Arbeitsbereichen wird die Möglichkeit eingeräumt, in einer (zeitlich befristeten) Experimentierphase selber über die Art ihres Arbeitens zu entscheiden. Erst nach einer gemeinsamen Bewertung der Erfahrungen wird eine vorläufige Festlegung auf erarbeitete Modelle getroffen.
  • Das Unternehmen stellt die erforderlichen Hilfsmittel zur Verfügung: Präsentation von Modellen, Ausstattung der Mitarbeitenden mit zeitgemäßer Technik (Hardware und Software) , Einrichtung und Verfügbarkeit geeigneter Räumlichkeiten für hybrides Arbeiten, Unterstützung des Erfahrungsaustauschs unterschiedlicher Gruppen untereinander und bei Analysemethoden über die Erfordernisse der Arbeit usw.
  • Betriebsrat und Unternehmen sollten eine geeignete Begleitform für den Erfahrungsaustausch und vor allem für die Maßnahmen während der Experimentierphase vereinbaren. Besonders Augenmerk gilt dabei auch der sozialen Komponente der neuen Arbeitsformen.

Einen Leitfaden für eine Vereinbarung Hybrides Arbeiten finden Sie hier.
Verfahrensregelungen
 

In den meisten Unternehmen befinden sich einige hunderte wenn nicht tausende verschiedener Systeme im Einsatz. Insbesondere bei den Cloud-Anwendungen handelt es sich um Konglomerate verschiedener Anwendungen, die von den Marketingabteilungen der Anbieter schon kurzzeitig umbenannt oder neu geordnet werden. Umfangreiche Kataloge über die eingesetzte Software sind daher oft so schnell veraltet wie sie erstellt werden.

Information
 

Bessere Erfahrungen gibt es mit regelmäßigen (mindestens jährlichen) Veranstaltungen, bei denen die Arbeitgeberseite den Betriebsräten die komplette IT-Landschaft vorstellt, eine gemeinsame Erfahrungsbewertung der vergangenen Periode und eine Vorschau auf die Planung der kommenden Periode vornimmt. Dabei richtet sich das Interesse der Betriebsräte hauptsächlich auf solche Systeme, in denen Daten verarbeitet werden, die sich auf die Personen der Beschäftigten direkt beziehen oder indirekt die von ihnen durchgeführten Arbeiten oder nähere Umstände dieser Arbeit beschreiben.
Initiativrecht
 

Beide Seiten sollten sich verpflichten, für die einzelnen Systeme oder Systemgruppen eine Bewertung vorzunehmen, ob die Grundsätze der Rahmenvereinbarung eingehalten sind und ob es ergänzender Vereinbarungen bedarf.

Verbindlich sollte vereinbart werden, dass immer dann eine ergänzende Regelung zu vereinbaren ist, wenn eine Seite entweder Abweichungen von den Grundsätzen der Rahmenvereinbarung oder ergänzenden Regelungsbedarf geltend macht. Wegen der enormen Veränderungsgeschwindigkeit der Technik muss dieses Verfahren sozusagen auf Dauer gestellt werden, mit anderen Worten: Die Mitbestimmung sollte nicht durch eine einmal getroffene Regelung verbraucht sein.
Schlussbestimmungen
 

Es empfiehlt sich auch, eine Art Beweisverwertungsregelung aufzunehmen, etwa dergestalt, dass Informationen, die unter Missachtung von Regelungen der Rahmenvereinbarung oder der sie ergänzenden Einzelvereinbarungen gewonnen wurden, als Beweismittel für personelle Maßnahmen unzulässig sind, und dass eventuell auf der Grundlage solcher Beweismittel durchgeführte Maßnahmen zurückgenommen werden.

Empfehlenswert ist auch, eine Nachwirkung der Vereinbarung ausdrücklich zu vereinbaren.

 

 

 
Karl Schmitz, Juli 2023