{ "@context": "https://schema.org", "@graph": [ { "@type": "Organization", "@id": "https://www.tapausconsulting.de/#organization", "name": "Tapaus Technology Consulting GmbH", "alternateName": "Tapaus Consulting", "url": "https://www.tapausconsulting.de", "logo": { "@type": "ImageObject", "url": "https://static.wixstatic.com/media/6b8e7f_186853597a78426693841284d98bd3b7~mv2.png", "width": 198, "height": 42 }, "description": "Zertifizierte Sachverständige und Berater für Betriebsräte und Unternehmen. Spezialisiert auf KI-Gutachten nach §80 BetrVG, IT-Mitbestimmung, EU AI Act und Betriebsvereinbarungen.", "contactPoint": { "@type": "ContactPoint", "telephone": "+49-89-38169228", "email": "hello@tapaus.eu", "contactType": "customer service", "availableLanguage": ["German", "English"] }, "sameAs": [ "https://www.tapaus.eu" ] }, { "@type": "LocalBusiness", "@id": "https://www.tapausconsulting.de/#localbusiness", "name": "Tapaus Technology Consulting GmbH", "description": "KI-Sachverständige und IT-Berater für Betriebsräte – §80 BetrVG Gutachten, Betriebsvereinbarungen, EU AI Act Beratung. Kosten trägt der Arbeitgeber.", "url": "https://www.tapausconsulting.de", "telephone": "+49-89-38169228", "email": "hello@tapaus.eu", "address": { "@type": "PostalAddress", "addressLocality": "München", "postalCode": "80798", "addressCountry": "DE" }, "geo": { "@type": "GeoCoordinates", "latitude": 48.1551, "longitude": 11.5418 }, "areaServed": { "@type": "Country", "name": "Deutschland" }, "priceRange": "Kosten trägt der Arbeitgeber nach §40 BetrVG", "knowsAbout": [ "§80 BetrVG Sachverständigenrecht", "KI-Gutachten Betriebsrat", "EU AI Act Compliance", "Betriebsvereinbarung Künstliche Intelligenz", "Microsoft 365 Copilot Mitbestimmung", "Workforce Analytics Betriebsrat", "DSGVO Betriebsrat §79a" ], "parentOrganization": { "@id": "https://www.tapausconsulting.de/#organization" } } ] }
top of page

Aktuelle Informationen

für Betriebsräte

Suche

Cybersecurity geht nur mit Mitarbeiterüberwachung

Aktualisiert: 4. Mai

Was Betriebsräte jetzt wissen müssen — und welche Rechte sie haben


Stellen Sie sich vor, ein System protokolliert rund um die Uhr, welche Dateien Ihre Kolleginnen und Kollegen öffnen, welche E-Mails sie versenden, welche Webseiten sie aufrufen und von welchem Gerät aus sie sich wann einloggen. All diese Daten landen in einem zentralen System, werden miteinander verknüpft und in Echtzeit analysiert.


Klingt nach Überwachung? Das ist es auch. Und dennoch ist es heute in vielen Unternehmen betriebliche Realität - aus gutem Grund.


Moderne Cyberangriffe sind raffiniert, gezielt und oft monatelang unentdeckt. Wer ein Unternehmensnetzwerk ernsthaft schützen will, kommt an einem Security Operations Center (SOC) und den dazugehörigen Überwachungstechnologien kaum noch vorbei. Die Frage ist nicht mehr, ob Mitarbeiterdaten erfasst werden.


Die Frage ist: Wer kontrolliert, was mit diesen Daten geschieht?



Was ein modernes SOC wirklich sieht

Ein Security Operations Center ist kein einfaches Antivirenprogramm. Es ist eine Echtzeit-Überwachungsinfrastruktur, die Daten aus dem gesamten Unternehmensnetzwerk zusammenführt, korreliert und auswertet. Die eingesetzten Technologien haben dabei sehr unterschiedliche Profile — gemeinsam ist ihnen, dass sie in ihrer Gesamtheit ein äußerst detailliertes Bild des Verhaltens einzelner Mitarbeiterinnen und Mitarbeiter erzeugen können.


SIEM — Das Nervenzentrum der Überwachung

SIEM steht für Security Information and Event Management. Systeme wie Microsoft Sentinel oder Splunk sammeln Log-Daten aus nahezu allen digitalen Quellen im Unternehmen: Server, Firewalls, Anwendungen, Cloud-Dienste, Netzwerkkomponenten. Diese Datenmassen werden in Echtzeit zusammengeführt und auf Anomalien untersucht.


Was dabei entsteht, ist technisch betrachtet eine lückenlose digitale Biographie jedes Nutzers im Netzwerk: Wann hat wer was geöffnet? Auf welche Systeme wurde zugegriffen? Welche Daten wurden transferiert?


EDR — Kontrolle bis auf den Endpunkt

Endpoint Detection and Response geht noch einen Schritt weiter. EDR-Lösungen sind auf jedem einzelnen Gerät — Laptop, PC, Mobilgerät — installiert und überwachen das Verhalten auf Betriebssystemebene. Prozessaufrufe, Dateizugriffe, ausgeführte Programme, angeschlossene USB-Geräte: Alles wird protokolliert und an eine zentrale Analyseplattform übertragen.


EDR ist im Ernstfall das wichtigste Werkzeug zur Eindämmung eines Angriffs. Es ist gleichzeitig das System mit dem größten Eingriffspotenzial in die Privatsphäre einzelner Beschäftigter.


UEBA — Die KI, die Verhalten lernt

User and Entity Behavior Analytics sind KI-gestützte Systeme, die das Verhalten von Nutzerinnen und Nutzern über Wochen und Monate hinweg erlernen und statistisch modellieren. Weicht jemand von seinem gewohnten Muster ab — ungewöhnliche Zugriffszeiten, untypische Dateimengen, Login aus einem anderen Land — schlägt das System Alarm.


UEBA-Systeme fallen in aller Regel unter Anhang III des EU AI Acts und sind als Hochrisiko-KI einzustufen. Das bedeutet: Der Betreiber muss Konformitätsnachweise erbringen. Der Betriebsrat hat das Recht, diese Nachweise einzufordern.


E-Mail und Kommunikationsanalyse

Viele SOC-Setups analysieren auch den E-Mail-Verkehr — nicht zwingend den Inhalt, aber Metadaten wie Absender, Empfänger, Anhänge, Zeitpunkte und Volumina. Manche Systeme scannen zusätzlich ausgehende Kommunikation auf sensible Schlagworte oder Dateianhänge, um Datenlecks (Data Loss Prevention, DLP) zu verhindern.


Gerade dieser Baustein ist mitbestimmungsrechtlich hochsensibel, weil er unmittelbar in das Fernmeldegeheimnis und die informationelle Selbstbestimmung der Beschäftigten eingreift.


Die Schutznotwendigkeit ist real — und sie wächst

Es wäre falsch, diese Systeme als bloße Überwachungswerkzeuge zu betrachten. Ransomware-Angriffe kosten deutsche Unternehmen nach Angaben des Bitkom-Verbands jährlich Milliardenschäden. Insider-Threats — also Angriffe oder Datenverluste durch eigene Mitarbeiterinnen und Mitarbeiter — sind für einen erheblichen Teil der Sicherheitsvorfälle verantwortlich.


Ein Unternehmen, das sensible Kundendaten, Patente oder kritische Infrastruktur betreibt, handelt fahrlässig, wenn es auf diese Schutzmechanismen verzichtet. Die Frage für Betriebsräte ist daher nicht, ob diese Systeme eingesetzt werden. Die Frage ist, unter welchen Bedingungen und mit welchen Schutzmechanismen sie eingesetzt werden.


Das Mitbestimmungsrecht des Betriebsrats — stärker als viele denken

§87 Abs. 1 Nr. 6 BetrVG: Der Hebel

Technische Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen, unterliegen der zwingenden Mitbestimmung des Betriebsrats. Diese Formulierung erfasst alle oben beschriebenen SOC-Technologien vollständig.


Das bedeutet: Ohne eine Betriebsvereinbarung, die Zweck, Umfang, Zugriffsrechte, Speicherdauern und Löschpflichten verbindlich regelt, darf kein SIEM, kein EDR und kein UEBA-System in Betrieb genommen werden. Der Arbeitgeber kann das Mitbestimmungsrecht nicht umgehen — auch nicht mit dem Argument der Cybersecurity.


§80 Abs. 3 BetrVG: Das Recht auf Sachverstand

Viele Betriebsräte stehen vor einem strukturellen Problem: Die beschriebenen Systeme sind technisch komplex. Wer kein IT-Fachmann ist, kann kaum beurteilen, ob eine Betriebsvereinbarung die tatsächliche Systemkonfiguration korrekt abbildet.


Hier greift §80 Abs. 3 S. 1 und S. 2 BetrVG. Bei der Prüfung von KI-Systemen und technischen Überwachungseinrichtungen gilt die Erforderlichkeit eines Sachverständigen als gesetzlich fingiert. Der Arbeitgeber kann die Hinzuziehung nicht mehr verweigern. Und nach §40 BetrVG trägt er die Kosten.


DSGVO Art. 5 und Art. 35: Die Datenschutzdimension

Parallel zum BetrVG greift die Datenschutz-Grundverordnung. SOC-Systeme verarbeiten personenbezogene Daten in großem Umfang. Für besonders risikoreiche Verarbeitungen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend vorgeschrieben und der Betriebsrat ist einzubeziehen.


Das BAG-Urteil vom 8. Mai 2025 hat klargestellt: Eine Betriebsvereinbarung ersetzt keine DSGVO-konforme Rechtsgrundlage. Betriebsvereinbarungen, die Datenverarbeitungen genehmigen, die gegen Art. 5 DSGVO verstoßen, sind unwirksam, auch wenn Betriebsrat und Arbeitgeber sie gemeinsam unterzeichnet haben.


Was eine rechtskonforme Betriebsvereinbarung leisten muss

Betriebsvereinbarungen zu Cybersecurity-Systemen sind oft unzureichend. Sie regeln, was vereinbart wurde, aber selten, was die Systeme tatsächlich technisch können. Genau diese Lücke ist das Problem.


Eine rechtskonforme Betriebsvereinbarung zu einem SOC sollte mindestens folgende Punkte verbindlich regeln:


  • Den exakten Verarbeitungszweck Ausschließlich zur Abwehr von Cyberbedrohungen und nicht zur Leistungskontrolle.


  • Die Kategorien der erfassten Daten Welche Daten werden erfasst, welche explizit nicht.


  • Zugriffsrechte Wer darf auf welche Daten zugreifen, unter welchen Bedingungen und mit welcher Dokumentationspflicht.


  • Speicher- und Löschfristen Maximale Aufbewahrungsdauern für personenbeziehbare Logs, typischerweise 7 bis 30 Tage.


  • Eskalationsverfahren Unter welchen Voraussetzungen darf auf Daten eines konkreten Mitarbeiters zugegriffen werden und wer muss zustimmen.


  • Technische Kontrollmechanismen Wie wird sichergestellt, dass die Systemkonfiguration der Vereinbarung entspricht.


  • Transparenzpflicht Information der Beschäftigten über Art und Umfang der Datenverarbeitung, aber auch die regelmäßige Information des Betriebsrates über durchgeführte Untersuchungen.


Wie Tapaus den Betriebsrat unterstützt

Tapaus Technology Consulting ist das einzige Unternehmen in Deutschland, das zertifizierten IT- und KI-Sachverstand mit arbeitsrechtlicher Kompetenz im Betriebsverfassungsrecht unter einem Dach vereint. Für Betriebsräte bedeutet das: eine Beauftragung, eine Rechnung, kein Koordinationsaufwand zwischen Anwalt und IT-Gutachter.


Im Kontext von Cybersecurity-Systemen und SOC-Infrastrukturen unterstützen wir Betriebsräte in vier konkreten Bereichen:


  • Technische Systemanalyse Wir analysieren die tatsächliche Konfiguration des eingesetzten SOC-Setups: Welche Daten werden wirklich erfasst? Welche Auswertungsfunktionen sind aktiviert? Entspricht die Konfiguration dem, was die Betriebsvereinbarung erlaubt? Oft gibt es hier erhebliche Abweichungen.


  • Rechtliche Einordnung nach §87 Abs. 1 Nr. 6 BetrVG und DSGVO Wir prüfen, ob das System der zwingenden Mitbestimmung unterliegt, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorliegt und ob UEBA-Komponenten als Hochrisiko-KI nach EU AI Act Anhang III einzustufen sind.


  • Verhandlungsbegleitung und Betriebsvereinbarung Wir begleiten den Betriebsrat durch den gesamten Verhandlungsprozess und erstellen eine rechtskonforme, technisch präzise Betriebsvereinbarung, die nicht nur auf dem Papier funktioniert, sondern auch in der Systemkonfiguration abgebildet wird.


  • BV-Compliance-Audit für bestehende Vereinbarungen Haben Sie bereits eine Betriebsvereinbarung zu Cybersecurity-Systemen abgeschlossen? Wir prüfen, ob die tatsächliche Systemkonfiguration mit dem übereinstimmt, was Sie vereinbart haben und dokumentieren Abweichungen rechtssicher.


Die Kosten für diese Leistungen trägt in vollem Umfang der Arbeitgeber nach §40 BetrVG in Verbindung mit §80 Abs. 3 S. 2 BetrVG.

Für den Betriebsrat entstehen keine eigenen Kosten.


Fazit: Cybersecurity und Mitbestimmung schließen sich nicht aus

Moderne Cybersecurity braucht leistungsfähige Überwachungssysteme. Das ist betriebliche Notwendigkeit. Aber betriebliche Notwendigkeit schafft keinen rechtsfreien Raum.


Betriebsräte, die ihre Mitbestimmungsrechte bei der Einführung und dem Betrieb von SIEM, EDR, UEBA und Kommunikationsanalysesystemen konsequent wahrnehmen, schützen nicht nur die Persönlichkeitsrechte der Beschäftigten. Sie schaffen die Grundlage für eine Cybersecurity-Infrastruktur, die auch rechtlich tragfähig ist.


Das ist kein Widerspruch. Das ist gute Unternehmensführung — mit einem starken Betriebsrat als Partner.

IHR NÄCHSTER SCHRITT

Kostenloses Erstgespräch buchen

 

30 Minuten · Online · Unverbindlich · www.tapaus.eu

bottom of page