2017 Mannheim – Tagungsprotokoll

KONFERENZINFOS

TAGUNGSPROTOKOLL

1. Tag – 28. November 2017

Die Konferenz wird durch Andreas Schöniger eröffnet, der alle Teilnehmer herzlich zur 30. NT-Konferenz begrüßt. Er weist auf die Besichtigung am Mittwoch „Wasser – das kostbare Gut“ hin. Werner Faschingbauer wird dazu bei einer Führung am Mittwoch durch den historischen Wasserturm mehr erklären.

Im Anschluss gibt er an Ralph Kühnl ab, der die weitere Moderation übernimmt. Von Haus aus ist er Fernsehjournalist und. Das, was auf der Konferenz thematisiert wird, bezeichnet er selbst als sein „Steckenpferd“. Von früher her hat er sich mit der Technik beschäftigt und hat es bis heute beibehalten.

Für den Start kündigt er Gerd Müller von der MVV an. Herr Müller begrüßt die Teilnehmer und macht einen kurzen Durchgang durch die MVV. Er erklärt, was die MVV macht und womit sie sich beschäftigt.
Im Geschäftsjahr 2016 hat die MVV einen Umsatz von 4,1 Mrd. Euro gemacht und 236 Mio. investiert. Rund 6.200 Beschäftigte sind bei der MVV tätig. Die wichtigen Standorte der MVV werden von ihm anhand einer Kartendarstellung vorgestellt.
Die Unternehmensstrategie von MVV heißt: „Wir stellen unsere Kunden in den Mittelpunkt.“
60 % der Kunden in Mannheim sind an die Fernwärme angeschlossen. Die Portfolie wird zur erneuerbaren Energie ausgebaut, was zu weiteren 3 Mrd. Euro Investitionen führt. Das wiederum führt dazu, dass sie sich als Vorreiter der Energiewende verstehen. Auch Nachhaltigkeit ist ein Thema der strategischen Unternehmensziele.
Die MVV Energie auf dem Weg zum digitalen Wertschöpfungsnetz ist ein weiterer Ausblick von Herrn Müller. Die Mitarbeiter werden in der digitalen Transformation nicht entbehrlich – sie werden andere Aufgaben übernehmen.

Herr Kühnl dankt Herrn Müller für den Vortrag. Peter Lindner begrüßt danach alle ganz herzlich und gibt einen Überblick über den Arbeitskreis. Die Kollegen Günter Schneider und Karl Geigenberger werden den Arbeitskreis verlassen. Thorsten Leixenring aus Schwerin wird den Arbeitskreis zukünftig unterstützen.

Günter Schneider gibt einen Überblick über die Gründung und die Themen, die in den Konferenzen behandelt wurden. Dazu gehören unter anderem IT im BR-Büro (1991), Gestaltungsprojekt (1993), Wechsel SAP R2 auf R3 (1994/1995), Bildschirmarbeit, Datenschutz/Datensicherheit, 2001 Ausgliederung der IT und eCommerce, Balance Score Card (2003). Weiter ging es 2005 mit Mobilen Geräten, 2007 mit Internet und E-Mail. Arbeitnehmerdatenschutz und Google wurde 2009, Datenschutz bei Smart Meter 2010 und Cloud 2012 thematisiert. Die Themen 2013 bzw. 2015 waren Remotezugänge und Ortungsmöglichkeit bzw. die Datenverarbeitung außer Haus.

Nach diesem Rückblick übernimmt Jens Mösinger (mainisIT) mit dem Thema „Office 365“.Vor dem Vortrag stellt er sich und sein Unternehmen mit den Unternehmensschwerpunkten vor. An den Themen Cloud und speziell Office 365 wird er verdeutlichen, dass alles, was wir bisher zur Datenverarbeitung kennen von Microsoft auf den Kopf gestellt wird.
Er erklärt, dass Cloud einzelne Dienste und Funktionen sind, die den Betrieb verlassen und extern bereitgestellt werden. Mit Hilfe einer Grafik wird der Aufbau einer Cloud verdeutlicht. Zunehmend werden Server in die Cloud verlagert, Anwendungen darüber angeboten und die Daten entsprechend verarbeitet. Die Leistungen lassen sich so dynamisch an den Bedarf anpassen, ohne dass Unternehme in Hardware investieren müssen. Neue Verfahren können ohne große Installation und Beschaffungsaufwand eingeführt bzw. hinzugebucht werden. Es werden keine Backups etc. benötigt – so werden natürlich auch Administratorenstellen eingespart.
Office 365 ist die Verbindung aus klassischen Desktop-Anwendungen und cloudbasierten Diensten. Wird Office 365 eingesetzt, gibt es eine plattformübergreifende Bereitstellung von Funktionen – egal wo und auf bis zu 15 Endgeräten zur Verfügung gestellt bei einem Preis von ca. 11 Euro pro Nutzer. Die Lizenzen werden nicht mehr pro Geräte sondern auf die Anzahl der User bezogen bezahlt.
Microsoft stellt dem Kunden einen Server zur Verfügung. Die Administration erfolgt 2stufig: Einmal die Administration durch den Kunde und die globale Administration durch Microsoft. Eine Verschlüsselung lässt sich nachrüsten bzw. in höheren Tarifen nachbuchen. Microsoft ist nicht in der Lage auf Kundendaten zuzugreifen. Nach eigenen Aussagen dürfen Microsoft-Administratoren selbst bei Kundenunterstützung per Fernzugriff nur „Anweisungen“ geben und nicht selbst eingreifen.
Microsoft sagt, dass die Daten im Besitz des Kunden bleiben; es kein Scan für Werbezwecke stattfindet und es Verpflichtung zu verschiedenen Datenschutzstandards (ISO 27001, Safe Harbor etc.) gibt. Sie „verwenden Kundendaten nur für die Bereitstellung des Dienstes“ und „sie greifen ohne Erlaubnis nicht zu anderen Zwecken auf das Postfach zu“.
Eine Grafik verdeutlicht, wo die Daten weltweit gespeichert werden. Die Grafik der Funktionsübersicht „Das Periodensystem von Office 365“ ist sehr unübersichtlich. Im Einzelnen gibt es unter anderem den Outlook-Client mit Kalenderfunktion etc., die SharePoint-Umgebung, eine persönliche Dateiablage, Teams (chatbasiertes Programm, mit neuen Kanälen pro Thema), Newsfeed, Videoportal und dazu noch die klassischen Office-Produkte, welche online zur Verfügung gestellt werden. Alle Funktionen laufen über eine Website, an der sich Herr Mösinger live als Administrator anmeldet.
Ihm werden Dokumente angezeigt, die er zuletzt verwendet hat – unabhängig von welcher Hardware aus. Die Daten liegen direkt zugänglich in der Cloud. Auch die gängigsten Anwendungen werden in dem Hauptschirm angezeigt und können von dort direkt aufgerufen werden. Beispielhaft ruft Herr Mösinger seinen Outlook-Client auf. Dort gibt es weitere Reiter „Relevant“ und „Sonstiges“, die aufgrund des bisherigen Mail-/Kommunikationsverhaltens automatisch gefüllt werden. Ein Blick auf die Kontakte zeigt auch eine neue Funktion: „Personen, die Sie häufig kontaktieren“.
Spannender ist die Verwendung von Word Online. Die dort angezeigten Dokumente werden bei Aufruf als Website angezeigt und können im Browser bearbeitet werden, ohne dass das Programm lokal aufgerufen werden muss. Dasselbe gilt für Excel und OneNote. Bei PowerPoint kann die Präsentation auch über das Internet publiziert werden.
Die Verzahnung funktioniert, weil im Hintergrund OneDrive als Speicher im Netz liegt. Größer gedacht, gibt es dann noch SharePoint, was sich an Teams oder größere Gruppen richtet. Es ist möglich, dass zwei oder mehrere Personen gleichzeitig an einem Dokument arbeiten.
Im Weiteren geht Herr Mösinger auf Skype for Business ein und erklärt die Funktionsweise. Dazu gehört auch eine Statusanzeige (XY ist online, …in Besprechung etc.) die aktuell angezeigt wird. Diese Anzeige kann manuell umgestellt (z. B. nicht stören oder ähnliches); aber diese Umstellmöglichkeit kann über die Administratoren auch verhindert werden. Der Präsenzstatus kann durch Administratoren auch externen Geschäftspartnern geöffnet werden. Ein Programm, welches die Kommunikation an vielen Stellen erleichtert, aber auch Gefahren birgt. Hier kommen Betriebsräte ins Spiel, um diese Gefahren auszuschalten oder aber zumindest zu regeln. Hinter der Microsoft-Systematik liegt Microsoft Graph als Datenbank im Hintergrund. Es ist ein cloudbasiertes Tool für Suchfunktionen, welches alle Arten von Inhalten durchsucht. Des Weiteren spielt MS Delve eine große Rolle, welches alle als relevant erachtete Informationen und Beziehungen aus Office 365, in Abhängigkeit vom Nutzer darstellt.
In dem Moment, in dem Skype for Business genutzt wird, gibt es in Outlook einen zusätzlichen Ordner „Aufgezeichnet“, in dem aufgezeichnete Unterhaltungen abgelegt werden. Auch hier greift die Datenbank Graph, da eine Suche möglich ist.
Die Technik wird für Unternehmen über den Preis interessant: Die Box-Preise von Microsoft steigen – im Gegensatz zu Office 365 mit ca. 11 Euro/Nutzer.
Zum Abschluss zeigt Herr Mösinger noch verschiedene Auswertungs- und Zugriffsmöglichkeiten, die für Administratoren offen sind.

Herr Kühnl möchte im Anschluss an den Vortrag wissen, wie Nutzer auf die neue Technikwelt reagieren und ob sie damit umgehen können. Herr Mösinger macht deutlich, dass die Nutzer im ersten Moment weiter in der „alten“ Welt weiter arbeiten und erst nach und nach die neue Technik nutzen und auf ihre Arbeitsprozesse anpassen. Es stellt sich ein, ist aber sehr erklärungsbedürftig. Betriebsräte fordern Schulungen ein, die von der Unternehmensleitung nicht immer umgesetzt werden. Ein Kollege aus Offenbach berichtet in diesem Zusammenhang von seinen Erfahrungen.
Ein weiterer Teilnehmer fragt nach dem Datenzugriff von weiteren Rollen – außer dem Nutzer und dem Administrator. Es besteht durchaus die Möglichkeit weitere Rollen mit entsprechenden Rechten anzulegen. Von der Rechtevergabe her ändert die Cloud nichts; was der Administrator vorher mit mehreren Tools umgesetzt hat, setzt er nun nicht mehr lokal sondern in der Cloud um.

Der nächste Referent ist Michael Strametz (in Vertretung für Herrn Wannenmacher) der Firma SySS GmbH, der sich dem „Live Hacking“ widmet. Zu Beginn stellt er das Unternehmen und dessen Wirkungsbereich vor. Neben den Live Hacks beschäftigt sich die Firma mit der Digitalen Forensik und bietet auch Schulungen an.
Als erstes beginnt Herr Strametz damit, auf der Seite eines Warenanbieters ein Produkt auszuwählen, den dort angezeigten Link zu kopieren und im Edit-Fenster einzufügen.
Die im Link enthaltenen Daten werden von ihm erläutert. Durch verschiedene Manipulationen der URL zeigt er die Möglichkeit Warenkorbeinträge zu verändern.
Beim Google-Hacking zeigt Herr Strametz wie Schwachstellen von Unternehmen ausfindig gemacht werden können. Neben bestimmten Warenkorbeinträgen können auch Passwörter, Drucker oder auch Telefonanlagen gefunden werden. Unternehmen sollten darauf achten, wie Geräte zu konfigurieren sind, um solche Schwachstellen einzuschränken.
Weiter geht es mit einem Angriff auf eine Windows-Oberfläche; hier über Outlook. Scheinbar erhält das Opfer eine E-Mail mit einem Link. Wenn dieser angeklickt wird, wird ein Schadcode (Windows-Trojaner) installiert. Danach kann ein Angreifer den kompletten Zugriff auf den „Opfer“-PC bekommen und so die vollständige Kontrolle erhalten. Mit einem Virenscanner ist es schwierig, alle Viren zu überwachen. Wenn es neue Viren sind, werden diese nicht erkannt. Trotzdem rät er dazu, Virenscanner einzusetzen.
Für den nächsten Versuch, verwendet Herr Strametz einen USB-Stick, welcher einen Schadcode ausführt und so auch einen Angriff möglich macht. Als Beispiel aktiviert er damit die Webcam und macht einen Snapshot. Aus dem Grund empfiehlt er, wenn USB-Sticks gefunden werden, diese lieber wegzuwerfen.
Nicht nur PCs können trojanisiert werden sondern auch Smartphones. Als Beispiel hat er ein Google-Smartphone mitgebracht, auf dem eine App installiert wird. Obwohl diese App nach Zugriffen auf Inhalte (Kontakte etc.) verlangt, wird sie trotzdem installiert. Die Folge ist, dass auf dem Smartphone ein Trojaner installiert wird, mit dem die Kontrolle über das Smartphone erlangt wird. Dazu gehört auch, dass z. B. SMS gelesen werden können oder auch der Standort ausgelesen und verfolgt werden kann.
Auf dem Tisch der Teilnehmer liegen Flyer aus, auf dem ein Gewinnspiel 2 iPhone X verspricht. Um an dem Gewinnspeil teilzunehmen, soll man sich auf einer Website registrieren. Um auf die Website zu kommen, ist ein QR-Code abgebildet. Scheinbar gelangt man auf die Seite der NT-Konferenz, es ist allerdings ein von Herrn Strametz erstellte Webseite. Durch die Anmeldung an dem vermeintlichen Gewinnspiel werden die eingegebenen Daten gespeichert. Er empfiehlt QR-Code-Scanner zu verwenden, die anzeigen auf welche Seite man geleitet wird. Idealerweise leuchtet bei einer Dateneingabe die URL grün, so dass erkennbar ist, dass das Zertifikat korrekt ist.
Für den nächsten Versuch lässt sich Herr Strametz von 2 Teilnehmern ihre Handynummer geben und schickt scheinbar von dem einen Handy eine SMS an das andere.
Als nächstes zeigt Herr Strametz, dass genutzte WLAN-Adressen ausgelesen werden können. So ist es möglich sich mit einem Handy zu verbinden und den Datenverkehr mitzulesen und zu analysieren. Als Schutz sollte die Einstellung so gewählt werden, dass sich das Handy nicht automatisch mit bekannten WLAN-Adressen verbindet sondern nur manuell. E-Mails sollten so eingestellt werden, dass sie verschlüsselt werden.

Zum Abschluss des ersten Konferenztages wird noch auf den Treffpunkt für die Abendveranstaltung im Casino der MVV hingewiesen.

2. Tag – 29. November 2017

Andreas Schöniger eröffnet den 2. Konferenztag mit organisatorischen Themen für den Tag bzw. für den Abend. Der Moderator übernimmt und geht zunächst auf den gestrigen Abend ein.

Da der vorgesehene Referent Reinhardt Aichele kurzfristig nicht teilnehmen kann, übernehmen Günter Schneider und Jörg Kehrmann das Thema „ISMS – Informationssicherheitsmanagementsystem“.

Den Vortrag beginnt Günter Schneider mit der Erklärung, dass Informationssicherheit den Schutz von Informationen als Ziel hat – unabhängig davon, ob sich die Informationen auf Papier, in Rechnern oder auch in Köpfen gespeichert sind. Die gesetzliche Grundlage für ein ISMS ist das IT-Sicherheitsgesetz. Die Grundforderungen des IT-Sicherheitskataloges ist die die Sicherstellung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Der Aufbau und die Zertifizierung sollen bis zum 31.01.2018 abgeschlossen sein.
Zur näheren Erklärung führt er die Normen für Netzbetreiber (Strom/Gas) an. Da werden Anforderungen genannt, Empfehlungen abgegeben bzw. einen Leitfaden der Spezifikationen für die Anwendung eines ISMS bereitgestellt. Dazu gehören z. B. die Umsetzung spezifischer Branchenkataloge und die Erfüllung der Prüfgrundlage des BSI. Jörg Kehrmann ergänzt dazu die Umsetzung innerhalb der Wuppertaler Wasserwerke.
Der Start des Projektes bei der MVV Netze begann 2016 – u. a. mit der Erstellung von Richtlinien. Auch die Prüfung des Managementrahmen nach DIN EN IST / IEC 27001 gehört zur Umsetzung. In der 2. Stufe ging es in die Fachabteilungen. Auch bei der WSW wurden die Schutzmechanismen geprüft. Die Probleme waren den Mannheimern ähnlich.
Zum Abschluss gibt Günter Schneider einen Ausblick auf den Wasserbereich. Geplanter Projektstart der Wasserbereiche ist Dezember 2017 mit dem Aufbau einer Projektorganisation und Ausweitung der bestehenden ISMS (Strom/Gas) auf den Wasserbereich. Die Umsetzung bis zum 04.05.2018 soll durch einen externen Prüfer überprüft werden.
Ein weiteres Problem besteht in einem Mangel der Auditoren, da diese aufgrund der „Zertifizierungswelle“ ausgebucht sind.
Thomas Dorstewitz ergänzt, dass bei enercity zum Thema ISMS 5 Projekte initiiert wurden. Mit einer eng bedachten Zeitspanne wurde eine Fülle von Gesetzen erlassen, die es einzuhalten und umzusetzen gilt. 2015/2016 wurde bei enercity das Gespräch dazu mit den Kollegen gesucht. Was es für die Mitarbeiter bedeutet, erklärt Herr Dorstewitz anhand eines Beispiels mit Kollegen aus der Prozessleittechnik. Das Beispiel macht deutlich, wie wichtig es ist, die Kollegen in die Lage zu versetzen, die Gesetzeslage zu verstehen und wie sie sich mit der Thematik auseinandersetzen können. Das müssen die Kollegen allerdings quasi „nebenbei“ machen. Neben der qualitativen elektrischen Ausbildung müssen sie sich jetzt mit der Gesetzeslage befassen und darin ausgebildet werden.
Im Patchmanagent (= Korrekturauslieferung für Software oder Daten z. B. um Sicherheitslücken zu schließen oder Fehler zu beheben) müssen jetzt Verantwortliche ausgebildet und benannt werden. Auch eine ständige fachliche Überprüfung muss sichergestellt werden.
Die nächste Schwierigkeit ist, dass Schulungen stattfinden müssen. Dazu gehört unter anderem, dass die Unternehmensorganisation geschult wird. Ein weiteres Problem besteht in der Frage der Verantwortungsübernahme. Kollegen müssen jetzt neue Aufgaben und damit Verantwortung übernehmen, für die noch keine oder zu wenige Qualifikationsschulungen angeboten werden. Da ist das Unternehmen gefragt. Die fehlende / mangelhafte Qualifikation schürt Ängste bei den Kollegen.
Um die Verwirrung komplett zu machen, kommt oben drauf noch die EU-DSGVO, die eine Vielzahl von technischen und organisatorischen Maßnahmen fordert (früher Anlage zu § 9 BDSG; jetzt Art. 32 DSGVO), die auch in das Sicherheitsmanagement eingreifen und zusätzlich den Schutz personenbezogener Daten in den Vordergrund stellt.
Selbst wenn die Zertifizierung erfolgt ist, ist die Arbeit nicht zu Ende. Dann folgen u. a. die Nachhaltigkeit und die Re-Zertifizierung.
Auf Nachfrage von Ralph Kühnl, ob die Normen etwas bringen, gibt Günter Schneider an, dass durch die Normen und Gesetze die Arbeitgeber gezwungen wurden etwas zu tun: Aufbau neuer Firewalls, Abschottung der Leittechnik etc.
Thomas Dorstewitz macht deutlich, dass nur ein Vorstand, der sich nachweislich um die Thematik kümmert, erwarten kann, dass im Fall der Fälle eine mögliche Haftpflichtversicherung eingreift. Sonst könnte es als grobe Fahrlässigkeit gewertet werden.
Aus dem Plenum gibt es den Hinweis auf das Buch „Black Out“, welches sich mit dem Lahmlegen von Energieversorgungsunternehmen beschäftigt.
Auf Nachfrage eines Kollegen aus Gütersloh erklärt Günter Schneider, dass es Schwellwerte gibt, die festlegen, wann Werke dabei ist und wann nicht.
Das Thema Risikomanagement ist für die Kollegen völlig neu. enercity schreibt jetzt fest, welche Schritte dafür notwendig sind, ordnet Methoden zu und legt Eckpunkt fest (Schutzziele, Integrität, Verfügbarkeit etc.). Die Kollegen können solche Fragen nicht beantworten – dafür gibt es Prozessverantwortliche, die die Anforderungen formulieren. Diese Anforderungen geben den Handlungsrahmen für die Kollegen.

Nach der Kaffeepause geht es mit dem Thema “Generation Y” und Claudia Schmitz weier.
Aktuell gibt es 4 Generationen: Babyboomer, Generation X, Generation Y und Generation Z. Eine Abfrage zeigt, dass die meisten Teilnehmer der Generation Babyboomer (Geburtsspanne 1950 – 1964) bzw. Generation X (1965 – 1979) angehören.
Wenn man Generation Y googelt, stößt man u. a. auf die Bezeichnung „Sharing Community“ (man braucht nichts eigenes, man kann es mieten bzw. sich mit anderen teilen), „Digital Natives“, „Gewinner des Arbeitsmarktes“ (decken Fachkräftemangel ab).
Um sich der Generation Y besser nähern zu können, zeigt Frau Schmitz ein Video mit dem Titel „Typisches Bewerbungsgespräch?!“ vom Axel-Springer-Verlag. In dem Film wird der Wechsel des Arbeitnehmer-/Arbeitgeberverhältnisses überspitzt dargestellt.
Die Jugend ist dafür zuständig, wie sie die Welt sehen. Zwischen 11 und 17 Jahre wird das Weltbild geprägt, da entwickeln sich die Werte.
Die Werte Generation Babyboomer ist die Technik und dass der Vater der Entscheider der Familie ist. Diese Generation kommt mit Anweisungen gut klar.
Die Generation X (auch MTV-Generation) hatte in ihrer Zeit eine der höchsten Arbeitslosenquote, so dass für diese Generation möglichst gute Qualifikation für den Arbeitsmarkt wichtig ist.
In der Generation Y gibt es eher die Kleinfamilie, Trennungen finden aus Selbstverwirklichungsgründen oder aus Egoismus statt. Sie erlebt neben dem Terror auch unbegrenzte
Freizeitmöglichkeiten und für sie verschwinden Grenzen durch den Euro. Man nennt diese Generation auch die „zerrissene Generation“: Terror auf der einen, das schöne lockere Leben auf der anderen Seite.
Die Eltern der Generation Y sind die sogenannten. Helikopter-Eltern. Die Generation hatte alles, die Eltern haben alles für sie gemacht und die Wege geebnet.
Die verschiedenen Thesen zu der Generation bedeuten zusammengefasst, dass sie Internet und Medien intuitiv nutzt, individuell und optimistisch sind, ein ausgeprägtes Selbstbewusstsein haben. Führungskräfte werden eher als Coach gesehen. Sie verstehen den Sinn von strikten Arbeitszeiten nicht (Work-Life-Blending) und haben den Trumpf der Demografie im Zuge des Fachkräftemangels. Außerdem hinterfragen alles und suchen nach dem Sinn.
Die Generation Z wird mit einem anderen Technikverständnis (Alexa, gemeinsames Zocken, Netflix), mehr Interesse an fester Bindung und an Politik groß. Sie sind lokal und wenig mobil, untätig und realistisch, flatterhaft und harmoniebedürftig. Sie haben eine geringe Aufmerksamkeitsspanne – Studien haben belegt, dass deren Gehirn nach 90 Sekunden „abschaltet“. Die Führungskraft wird als Versorger angesehen. Diese Generation trennt Arbeit und Freizeit und betrachtet das Internet kritisch. Wenn mehr Details dazu gewünscht werden, empiehlt Frau Schmitz die Shell Jugendstudie oder das Buch „Generation Z“.
Die Angebote müssen individueller, den Generationen angepasster werden. Es muss eine Kommunikation auf Augenhöhe erfolgen und Entscheidungen / Aufgaben müssen transparenter werden. Wichtig ist auch, dass ihnen deutlich gemacht wird „die Arbeitswelt ist kein Ponyhof“. Das Harmoniebedürfnis der Generation sollte anerkannt werden, aber die Umwelt muss sich nicht danach ausrichten. Außerdem muss man für digitale Revolution offen sein – das Thema Digitalisierung stößt auf Unverständnis, denn diese Generation macht es einfach.
Der Moderator glaubt, dass die Kluft zwischen den Generationen größer ist als jemals zuvor. Er findet, dass es im Berufsleben auch schwieriger werden wird, da die Grundqualifikation der Generation von den Ansprüchen der Arbeitswelt abweicht.
Frau Schmitz ergänzt, dass ihrer Meinung nach die Überlegungen dahin gehen werden, welche Berufe/Tätigkeiten zukünftig durch Roboter übernommen bzw. durch Maschinen ersetzt werden.
Im Plenum wird hinterfragt, was denn mit den Leuten gemacht wird, die „niedrig qualifiziert“ sind. Das Thema ist durchaus zu diskutieren, was aber den Rahmen der Konferenz sprengt. Das wird aber auch eine Verantwortung und Hauptaufgabe der Betriebsräte sein.

Dr. Robert Selk übernimmt nun mit dem Thema „EU-DSGVO“.
Die Frage, die sich stellt ist, ob es eine Schnittmenge zwischen Datenschutz und Mitbestimmung gibt.
Beim Datenschutz werden nicht die Daten geschützt, sondern die Menschen davor über Gebühr „verdatet“ zu werden. Dieser Schutz ist ein rechtliches Thema. Das Grundprinzip ist das Verbotsprinzip – ausschließlich durch Erlaubnis oder Einwilligung ist eine „Verdatung“ möglich.
Die Daten werden durch die Datensicherheit geschützt und das ist ein technisches und organisatorisches Thema.
Beim Datenschutz geht es (nur) um Daten, die auf Menschen bezogen sind – egal ob öffentliche Daten oder private.
Im Beschäftigungsverhältnis sind typische Datenarten, die Stammdaten (Name, Alter, Anschrift), die Betriebsdaten (Zugehörigkeit, Eingliederung) und die während der Tätigkeit anfallenden Daten (Kommt-/Geht, Urlaubsdaten).
Die Antwort auf die Frage, was das BetrVG zum Datenschutz regelt, lautet „Nichts!“. Aber § 75 BetrVG regelt immerhin, dass „Arbeitgeber und Betriebsrat […] die freie Entfaltung der Persönlichkeit […] zu schützten und zu fördern haben“. Somit beinhaltet das BetrVG nur einen Schutzauftrag gibt aber keine Vorgaben. Für den Schutzauftrag bedarf es aber des gesetzlichen Mitbestimmungsrechts.
Die maßgebliche Norm zur Mitbestimmung ist § 87 I Nr. 6 BetrVG. Bei der Leistungs- und Verhaltenskontrolle geht es zwangsläufig „nur“ um personenbezogene Daten, die zugleich Leistung und/oder Verhalten beschreibt. Stamm, und Betriebsdaten sind damit nicht erfasst, da diese weder etwas mit (Arbeits-)Verhalten noch mit Leistung zu tun haben. Sehr wohl fallen Daten, die während der Tätigkeit anfallen unter Leistung und Verhalten. Denn zum Beispiel ist die Zeit des Kommens und Gehens jeweils ein Verhalten. Das hat zur Folge, dass nur der Umgang mit leistungs- und verhaltensrelevanten Daten mitbestimmt ist. In dem großen Topf der personenbezogenen Daten gibt es einmal die Beschäftigtendaten und die Verhaltens-/Leistungsdaten. Und nur der geringe Teil der Leistungs- und Verhaltensdaten unterliegt der Mitbestimmung. Als Ergebnis und Merkformel gibt Herr Dr. Selk mit auf den Weg: Mitbestimmungsrecht des BR bei technischen Einrichtungen umfasst zwar alle Daten-Verarbeitungsschritte, aber nur von (personenbezogenen) Leistungs- oder Verhaltensdaten und nur, soweit nicht per Gesetz oder TV geregelt.
Also liegt die Schnittmenge zwischen Datenschutz und Mitbestimmung ausschließlich in den Leistungs- und Verhaltensdaten.
Diese Aussage wird von einem Teilnehmer im Plenum in Frage gestellt. Daraus ergibt sich eine Diskussion zwischen Mitbestimmungs- und Mitwirkungsrecht.
Das nächste Thema von Herrn Dr. Selk ist die Frage, welche Änderungen sich für Betriebsvereinbarungen sich aus der DSGVO ergeben.
Die EU-DSGVO ist nach Aussage von Herrn Dr. Selk „ein datenschutzrechtlicher Paukenschlag“ und löst in allen 28 EU-Ländern die dortigen Datenschutzgesetze ab. Sie ist bereits seit dem 25.05.2016 in Kraft, gilt aber erst ab dem 25.05.2018.
Da die EU-Verordnung über nationalem Recht steht, ist sie „höher“ als eine nationale Verfassung. Sie muss und darf nur europäisch gelesen und ausgelegt werden. Die deutsche Lesart und Auslegung ist nicht zulässig. Wobei Deutschland bereits von der Öffnungsklausel Gebrauch gemacht und ein neues Datenschutzgesetz (BDSG-neu) geschaffen hat, welches aber auch erst zum Stichtag 25.05.2018 gültig wird. Alle Bundesländer müssen ihre Landesdatenschutzgesetze entsprechend anpassen. Sollte das nicht passieren, gilt ausschließlich die DSGVO.
Zum Beschäftigtendatenschutz gibt es als rechtlichen Ausgangspunkt Art 88 DSGVO, den Deutschland in § 26 BDSG-neu umgesetzt hat. Wichtig dabei ist zu wissen, dass die DSGVO über allen steht und vorgeht.
Herr Dr. Selk stellt die Frage: „Wie müssen denn in diesem Zusammenhang spezifische Regelungen in Betriebsvereinbarungen aussehen?“ Seine Folie gibt die Antwort: „Die Vorschriften umfassen angemessene“ (also tatsächliche) „und besondere“ (auf die Situation zugeschnittene) „Maßnahmen“ […] „insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe […] und die Überwachung am Arbeitsplatz.
Zum besseren Verständnis für „angemessene und besondere Maßnahmen“ nennt er ein Beispiel für eine Maßnahme im Sinne Art. 88 DSGVO.
Für eine praktische Vorgehensweise, die Betriebsvereinbarungen anzupassen, sind für Herr Dr. Selk verschiedene Wege denkbar. Eine praktikable Idee wären z. B. Einzel-Nachträge, die über „Rahmen-Sammel-Vereinbarungen“ freigegeben werden.
Eine Folge bei Nicht-Anpassung bzw., fehlerhafter Anpassung von Klauseln würde dazu führen, dass diese nicht angewendet werden dürfen.
Zum Abschluss geht Herr Dr. Selk auf den Datenschutz im BR-Büro ein und führt die geltenden Vorgaben auf. Dazu gehört z. B. die Benennung einer internen Datenschutz-Verantwortlichkeit und Zuständigkeit (Art 24 DSGVO), eine Datenschutz-Dokumentation (Art. 5 Abs. 2 DSGVO) und die Erstellung eines Verfahrensverzeichnisses für die BR-Prozesse gem. Art. 30 DSGVO. Die Frist zur Umsetzung ist ebenfalls der 25.05.2018.

Nach dem WorldCafé geht der zweite Konferenztag zu Ende und es besteht für die Teilnehmer noch die Möglichkeit, den historischen Wasserturm zu besichtigen bzw. sich bei der BV-Börse mit anderen Teilnehmern zu Betriebsvereinbarungen auszutauschen.

3. Tag – 30. November 2017

Andreas Schöniger gibt einen Überblick über das Organisatorische für heute. Sonja Detmer übernimmt und gibt das Datum für die Konferenz 2018 in Schwerin bekannt:

– 15. November 2018.

Nach einem Gruppenfoto gibt Ralph Kühnl direkt an den ersten Referenten des Tages Karl-Heinz (Charly) Brandl zum Thema „Digitalisierung gestalten“ ab. Herr Brandl gibt zu Beginn einen Überblick über seine bisherigen Tätigkeiten.
Um zu verdeutlichen wie dynamisch die Welt ist, zeigt er ein Foto von 2005 und 2013 zu einem gleich gelagerten Anlass: Auf dem Foto 2013 haben fast alle abgebildeten Menschen ein Handy in der Hand.
Es gibt eine neue Qualität in der Digitalisierung. Die IT & Software wird leistungsfähiger, mobiler und intelligenter (Watson, Siri…). Die Größe und Kosten von Robotik und Sensorik sinken; gleichzeitig steigen die Anwendungsmöglichkeiten und die Bedienbarkeit bei neuer Fertigungstechniken und verbesserter Steuerung. Hinzu kommt, dass die Vernetzung/Kommunikation zwischen den einzelnen Techniken immer besser wird und dadurch die selbständige Steuerung Mensch-Maschine möglich wird.
Damit verändert sich auch die Arbeitswelt: Fließbandarbeiten und Maschinentätigkeiten gehen zurück und digitale Arbeit nimmt in gleichem Maß zu. Auch der Personalbedarf wird sich durch den Rückgang der Automatisierung bei gleichzeitigem Entstehen neuer Tätigkeiten verändern. Das wird auch die Arbeitsqualität verändern, die qualifikatorischen Anforderungen wandeln sich und die es folgt ein Wechsel von körperlich schwerer und monotoner Arbeit.
Um diese Thesen zu verdeutlichen gibt Herr Brandl Beispiele aus der Praxis: „Energiewirtschaft im digitalen Zeitalter“; „Selbst der Abfall wird nun digital“; „Der Vodafone Service Friend…: Freelancer statt Festangestellte im technischen Kundenservice“; „Digitale Patientenakte“…
Da, wo die Digitalisierung vermehrt stattfindet, steigen die psychischen Belastungen. Herr Brandl verliest aus der „Initiative Gute Arbeit“ die ver.di Grundsatzerklärung 2010. In der Arbeitswelt im Wandel reagiert ver.di auf die Digitalisierung mit Leitlinien, die Herr Brandl vorstellt.
Amerikanische Forscher haben Arbeitsplätze untersucht und festgestellt, dass ca. 47 % im Bereich Verwaltung/Büro, Dienstleistung und Verkauf wegfallen werden. In der Beschäftigungsprognose ist davon die Rede, dass 51 % der deutschen Jobs in Gefahr sind. Das alles führt dazu, dass neue Qualifikationen verlangt werden und sich die gesamte Arbeitswelt im Wandel befindet. Die Herausforderung bestehen unter anderem in einer lebensphasenorientierte Arbeits- und Sozialpolitik und eine gute Unternehmenskultur und demokratische Teilhabe, wobei die Herausforderungen sehr vielfältig sind. Als ein Beispiel nennt er den Zukunftstarifvertrag 2.0 – ING-DiBa.
Hier ist der Betriebsrat gefragt, der aufgrund seiner Aufgaben schon heute gestalten kann. Seine Möglichkeiten liegen z. B. bei der Gestaltung von Arbeitsplätzen, dem Datenschutz. Ein Anfang wäre es, die Fragen zu stellen, die Herr Brandl beispielhaft in dem „Leitfaden Digitalisierung“ aufführt.

Im Anschluss geht es weiter mit der Vorstellung der Ergebnisse aus dem World Café durch die Arbeitskreismitglieder. Die Ergebnisse im Detail können auf den Fotos nachvollzogen werden.

Angela Scholz/Andreas Born – Homeoffice / mobiles Arbeiten
Sonja Detmer/Günter Schneider – ISMS
Petr Lindner/Peter Goor – Terror-Screening
Stefanie Erdelbrauk/Sebastian Zillmer – BR 4.0

In der Schlussrunde weist Sonja Detmer noch auf die Fragebögen hin und bittet alle TN darum, diese auszufüllen. Auch der Moderator bedankt und verabschiedet sich.