Nutzerpasswort zurücksetzen

  • Hallo in die Runde, als neuer Betriebsrat überarbeiten wir derzeit die BVen.

    In der BV IT ist unter anderem geregelt, dass der AG das Passwort in Abstimmung mit dem Teamleiter eines AN zurücksetzen kann für den ungewöhnlichen Fall, dass der AG auf die IT-Systeme des AN Zugriff braucht, bspw. bei längerer Krankheit.

    Um hier Mißbrauch zu verhindern, soll das nun auch in Abstimmung mit dem BR passieren. Dies wird jedoch noch abgelehnt, aber da es sich um personenbezogene Daten handelt, bin ich schon der Meinung, dass der BR ein MBR hat. Ich tue mich jedoch schwer, vernünftig zu argumentieren.

    Könnt Ihr helfen?

    Vielen Dank und Grüße

  • Was ist denn grundsätzlich bei euch zur Nutzung der Email geregelt? Private Nutzung?

    Grundsätzlich darf der AG nicht auf den Account zugreifen, wenn die private Nutzung erlaubt ist. Es sei denn er hat eine entsprechen BV bzw. Erlaubnis des AN.

    Was verstehst du unter personenbezogene Daten? Das Passwort nicht. Die Emails siehe oben...

  • Die rechtliche Grundlage der BV IT wird wohl der § 87 Abs. 1 Nr. 6 sein. Wenn nun der AG die Möglichkeit hat, völlig ohne Beteiligung des BR, auf die IT-Systeme der AN zuzugreifen, widerspricht das ja komplett dem Sinn und Zweck dieses §.

    Es geht hier um die Anwendung einer technischen Einrichtung, die zur Überwachung der AN geeignet ist. Also volle Mitbestimmung.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • Vielen Dank für die schnellen Antworten.

    Eine private Nutzung der Computerarbeitsplätze ist erlaubt, jedoch nicht während der Arbeitszeit, aber das sollte sicher keine Rolle spielen.

    Das Emailsystem darf jedoch nicht für private Zwecke verwendet werden.

    Ich muss mich noch daran gewöhnen, dass ich § 87 (1) Nr. 6 soweit fassen kann.

  • Zitat von <a style="font-weight: bold;" href="https://www.betriebsrat.de/portal/communityprofile.html?user_id=25000">8kktd1k6</a>

    Ich muss mich noch daran gewöhnen, dass ich § 87 (1) Nr. 6 soweit fassen kann.

    Tu das! ;) das geht sogar noch weiter! Es muss nicht mal Euer AG sein, sogar nicht mal Eure technische Einrichtung! :lol:

    Bundesarbeitsgericht
    Beschl. v. 27.01.2004, Az.: 1 ABR 7/03

    Der Arbeitgeber wendet ein technisches Überwachungssystem im Sinne von § 87 Abs. 1 Nr. 6 BetrVG auch an, wenn er im Einvernehmen mit einem Dritten seine Arbeitnehmer anweist, sich der Überwachung durch dessen technische Einrichtung zu unterwerfen. Diese Anweisung ist nicht deshalb mitbestimmungsfrei, weil die Überwachung in erster Linie oder gar ausschließlich im Interesse des Dritten erfolgt. Ebenso kommt es nicht darauf an, ob der Arbeitgeber selbst Zugriff auf die erfassten Daten nehmen kann. Vielmehr ist es für das Mitbestimmungsrecht des Betriebsrats ausreichend, wenn der Arbeitgeber die Entscheidung trifft, Informationen über das Verhalten der seiner Direktionsbefugnis unterliegenden Arbeitnehmer durch eine zur Überwachung bestimmte technische Einrichtung erfassen zu lassen.

    „Schreibe nicht der Böswilligkeit zu, was durch Dummheit hinreichend erklärbar ist“

    Hanlons Rasiermesser

  • Zitat von 8kktd1k6:

    In der BV IT ist unter anderem geregelt, dass der AG das Passwort in Abstimmung mit dem Teamleiter eines AN zurücksetzen kann für den ungewöhnlichen Fall, dass der AG auf die IT-Systeme des AN Zugriff braucht, bspw. bei längerer Krankheit.

    Um hier Mißbrauch zu verhindern, soll das nun auch in Abstimmung mit dem BR passieren. Dies wird jedoch noch abgelehnt, aber da es sich um personenbezogene Daten handelt, bin ich schon der Meinung, dass der BR ein MBR hat. Ich tue mich jedoch schwer, vernünftig zu argumentieren.

    Da ihr gerade am Überarbeiten seid, könnt ihr euch unabhängig von eurem gegebenen MBR, die Frage stellen, ob eine solche Regelung in der heutigen Zeit noch sinnvoll ist. Folgende Punkte könnten dabei von Interesse sein:

    • Liegt der Verdacht einer strafbaren Handlung vor, hat der AG auch ohne eine BV, Möglichkeiten, auf die IT-Systeme zuzugreifen, er braucht diese Klausel in dem Fall nicht.
    • Angenommen eure IT-Systeme sind an ein zentrales Unternehmensnetzwerk angeschlossen. Das ist der aktuelle Stand der Technik und wird anzunehmen sein (von Ausnahmen abgesehen, auf die ich noch komme). Dann kann sich ein Administrator relativ einfach Zugriff auf jeden spezifischen Rechner verschaffen, solange dieser eingeschaltet ist. Ein Reset des Passworts ist dazu nicht erforderlich. In dem Fall finde ich es wichtig zu regulieren, wann, unter welchen Voraussetzungen und wer diese Zugriffe vornehmen darf. Macht dann eure MBR auf diese Art und Weise geltend. Ein Resetting des Passworts wirkt hier eher wie der Versuch eines unbefugten und unbegründeten Zugriffs auf etwaige persönliche Daten des MA (wie etwa Cookies, Browser-Historie oder private Notizen), die höchst fragwürdig, und nicht in jedem Fall rechtlich abgedeckt sind. Eine Dokumentation der Zugriffe durch die Administratoren anhand von Protokolldateien und die Möglichkeit der Einsichtnahme derselben durch den BR, würde ich mir dabei nicht nehmen lassen.
    • Falls ihr in einem hochsensiblen Bereich arbeitet, in welchem einzelne Rechner nicht vernetzt sein dürfen und nur isoliert betrieben werden dürfen (aus Sicherheitsgründen), kann solch eine Regelung Sinn machen. Aber nur mit eurer Zustimmung bzw. vorheriger Information, aus welchen Gründen der Zugriff erfolgen muss und der Darstellung, dass es keine alternativen, weniger dramatischen Maßnahmen gibt, die zum gleichen Ergebnis führen. Dies entspricht etwa dem Sinn der DS-GVO. Der AG muss nachweisen, dass dies die am wenigsten die Persönlichkeitsrechte einschränkende Maßnahme ist, die zum gewollten Ergebnis führt. Ob das gewollte Ergebnis legitim und erlaubt ist, muss individuell entschieden werden, ggf. mit eurer Zustimmung. Hier könnt ihr euch auch überlegen, ob das Passwort im Anschluß an die vom AG durchzuführende Maßnahmen nicht erneut zurückgesetzt werden muss auf einen Wert, den der AG nicht kennt, und/oder alle Zugriffe auf das System die bis zum nächsten Login des AN erfolgen dem BR zur Kontrolle vorgelegt werden müssen um weitere, dann unerlaubte Zugriffe identifizieren zu können. Auch eine Dokumentation der notwendigen und dann auch durchgeführten Maßnahmen finde ich obligatorisch.
    • In allen anderen Fällen würde ich vermuten, dass eure Systeme nicht dem aktuellen Stand der Technik entsprechen. Euer AG dürfte mit solchen Systemen nicht in der Lage sein, grundlegende Vorschriften der DS-GVO (u.a. Privacy by default und Privacy by design) einzuhalten. Es ist also fraglich, ob er sie überhaupt noch betreiben dürfte.
  • Zitat von waebbl:

    Macht dann eure MBR auf diese Art und Weise geltend. Ein Resetting des Passworts wirkt hier eher wie der Versuch eines unbefugten und unbegründeten Zugriffs auf etwaige persönliche Daten des MA (wie etwa Cookies, Browser-Historie oder private Notizen), die höchst fragwürdig, und nicht in jedem Fall rechtlich abgedeckt sind. Eine Dokumentation der Zugriffe durch die Administratoren anhand von Protokolldateien und die Möglichkeit der Einsichtnahme derselben durch den BR, würde ich mir dabei nicht nehmen lassen.

    Hallo waebbl,

    danke für Deine Hinweise.

    Da muss ich nochmal nachhaken. So wie Du es schreibst, wäre der BR ja nur zu informieren, er hätte aber keine Mitbestimmung, ob überhaupt in die Protokolldateien geschaut werden darf?!

  • Ich muss hier nochmal einhaken: Mitbestimmung ist klar, aber wie könnte diese konkret umgesetzt werden in einer BV?

    Ziel kann nur sein, das willkürliche Zurücksetzen des Nutzerpassworts zu verhindern, richtig? Dementsprechend sollte also geregelt sein, dass dies entweder gar nicht möglich ist oder nur mit Zustiimung des BR.

    Gibt es noch andere Möglichkeiten, die Mitbestimmung zu verwirklichen?

    Ein ähnliches Thema ist ja auch die Auswertung von Logdaten, die personenbezogen sind. Einfach zu vereinbaren, dass diese nicht zu Verhaltens- und Leistungskontrollen zu verwenden sind, ist ja nicht mehr als eine Goodwill-Erklärung?! Mitbestimmung bedeutet doch auch hier, dass die Logdaten nur nach Zustimmung des BRs ausgewertet werden dürfen?

    Ist das realistisch, so durchzusetzen?

  • Hallo,

    ich würde das zurücksetzen eines Passwortes nur mit Zustimmung des betroffenen MA gestatten.

    Wir gehen da ganz pragmatisch ran: AG hast du etwas entsprechnedes mit dem AN vereinbart, wenn nein, dann kein Zugriff. Dieses gilt bei Ausscheiden eines AN, wenn nun ein AN länger krank ist, schadet eine Kontaktaufnahme seitens des BR auch nichts um entsprechendes zu klären.

    Auch eine entsprechende Klausel in einem AV, dass z.B. bei Ausscheiden oder längerer Krankheit das Passwort zurückgesetzt wird, kann hilfreich sein.

    Die private Nutzung von betrieblichen IT- und Kommunikations-Systemen ist aber immer problematisch und bedarf der Regelung.

    Das Leben ist Veränderung

    Starte dort, wo du stehst!

    Aber versuche jeden Tag einen neuen Startpunkt zu finden!
    Benutze das, was du hast!

    Aber versuche jeden Tag etwas neues zu benutzen!
    Tu das, was du kannst!

    Aber versuche jeden Tag etwas mehr zu tun!