Implementierung eines Managementsystems

Historie

Die Geschichte der Betriebsräte geht bis in das Jahr 1850 zurück. Damals war es noch ein kleiner Vorstoß von vier Fabrikarbeitern, mehr Mitbestimmung der Arbeitnehmer in den Fabriken durchzusetzen. Es hat bis 1952 gedauert, um in Deutschland das erste Betriebsverfassungsgesetz auf den Weg zu bringen. Die betriebsverfassungsrechtlichen Mitbestimmungsorgane, wie wir Sie heute nahezu kennen, wurden gestärkt und die Rechte der Arbeitnehmer hatten nun auch per Gesetz eine Stimme.

Mitbestimmungsorgane, wie der Betriebsrat, haben einige Rechte und Pflichten in Unternehmen, welche per Gesetz geregelt sind. Wo fangen diese an und wo hören diese auf? Dies wird in diesem Beitrag anhand der Implementierung eines Managementsystems dargestellt.

 

Implementierung eines Managementsystems: Ist der Betriebsrat eine interessierte Partei?

Eins der ersten Themen, welches man bei der Implementierung eines Managementsystems behandelt, ist die Festlegung der interessierten Parteien. Als interessierte Parteien bezeichnet man Personen, Institutionen oder Organe, die ein Interesse an oder sogar Einfluss auf das Managementsystem haben. Hierzu gehören klassischer Weise Geschäftsführungen, Mitarbeiter und Kunden, aber auch Behörden. Was oftmals bei dieser Festlegung vergessen wird, ist der Betriebsrat.

Diesen sollten man bei der Implementierung eines Managementsystems, wie zum Beispiel eines Informationssicherheitsmanagementsystems (ISMS) nach der ISO27001 oder des BSI Grundschutzes, aber ganz genau betrachten. Hat der Betriebsrat Interesse oder sogar Einfluss auf das Managementsystem? Und wenn ja, welchen Einfluss hat er denn genau?

 

Relevante Regelungen für den Betriebsrat in einem Managementsystem

Bei der Implementierung eines ISMS nach der internationalen Norm ISO/IEC 27001 gibt es festgelegte Themen, die man in Richtlinien genau regeln muss. Diese fangen bei der Leitlinie und der ISMS-Politik an, in welcher man seine strategischen Ziele, die man mit dem Betrieb eines Managementsystems verfolgt, festlegt. Bei diesen Themen wird der Betriebsrat keinen Einfluss nehmen, solange diese nicht die betriebliche Ordnung betreffen.

Interessant wird es dann aber bei Richtlinien, die ein konkretes Verhalten von Mitarbeitern einfordern.

Dies kann zum Beispiel beim Umgang mit Mobilgeräten oder dem mobilen Arbeiten der Fall sein. Hierfür eine Richtlinie zu erstellen ist eine Anforderung der Controls A.6.2.1 und A.6.2.2 aus der ISO27001. In diesen Fällen kann es passieren, dass der Betriebsrat eine Beteiligung einfordert, da die Regelungen in die betriebliche Ordnung eingreifen oder aber das Verhalten von Mitarbeitern reguliert wird. Dies trifft in den meisten Fällen auch bei Regelungen zur Mail- oder Internetnutzung der Mitarbeiter zu. Der Betriebsrat wird vermutlich auch dann eine Beteiligung einfordern.

Im Regelfall wird man sich mit dem Betriebsrat darauf einigen, eine Betriebsvereinbarung zu verhandeln und abzuschließen.

Immer wieder kommt es in der Praxis vor, dass es bei Implementierungen eines Managementsystems zu langen und schwierigen Verhandlungen mit dem Betriebsrat kommt. Dies ist vor allem dann der Fall, wenn es aufgrund anderer Themen bereits ein angespanntes Verhältnis zwischen Unternehmensführung und Betriebsrat gibt. Dies kann sogar so weit führen, dass der Betriebsrat seine Zustimmung bei einzelnen Regelungspunkten verweigert und die Erstellung und finale Freigabe von Richtlinien verzögert. Zeit, die man als Unternehmen bei der Einführung eines Managementsystems oft nicht hat.

 

Tipp: Den Betriebsrat frühzeitig mit einbinden

Bei der Implementierung eines Managementsystems spielt ein Faktor meistens eine wichtige Rolle. Die Zeit! Ein Managementsystem wird häufig auf Anforderung eines Kunden implementiert. Zunehmend häufiger sind bestehende Zertifizierungen in den Bereichen Informationssicherheit und Qualitätsmanagement Voraussetzung, um eine Ausschreibung oder ein Projekt für sich zu gewinnen. Daher gilt es, bei der Implementierung keine Zeit zu verlieren und den weiteren wirtschaftlichen Erfolg des Unternehmens auf Dauer sicherzustellen.

Daher empfehlen wir, bereits frühzeitig, am besten bereits vor Beginn der Implementierung eines Managementsystems, wie zum Beispiel eines ISMS, den Betriebsrat einzubinden und ihn bei den einzelnen Maßnahmen und Regelungen rechtzeitig ins Boot zu holen. So können spätere Diskussionen oder sogar Verzögerungen bei der Umsetzung eines Managementsystems oft vermieden werden.

Ist das Verhältnis bereits angespannt, kann externe Unterstützung zur Vermittlung der Notwendigkeit von gemeinsamen Lösungen durchaus konfliktlösend wirken. Denn auch Betriebsräte haben ein valides Interesse an einem gesunden Unternehmen und verstehen, dass das ohne neue Aufträge gefährdet ist.

 

Zum Autor:

Stephan Auge ist Berater für Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.