Notfall-Betriebsvereinbarungen: Wie Deutschlands Betriebsräte auf Cyberangriffe vorbereiten

BERLIN – Eine Doppelkrise aus gravierenden Sicherheitslücken und neuen EU-Meldepflichten zwingt deutsche Betriebsräte zum Handeln. Sie schließen derzeit flächendeckend Notfall-Vereinbarungen ab, um im Cyber-Ernstfall handlungsfähig zu bleiben – ohne die Rechte der Beschäftigten zu opfern.

Zimbra-Warnung und NIS-2 setzen Betriebsräte unter Druck

Der Auslöser liegt in den ersten Januartagen 2026. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte am 8. Januar vor Sicherheitslücken in etwa 40 Prozent der deutschen Zimbra-Server. Diese populäre Alternative zu Microsoft Exchange ist ein Einfallstor für Datenklau und Mitarbeiterüberwachung. Parallel verunsicherte eine Welle von Instagram-Passwort-Reset-E-Mails Beschäftigte und Sicherheitsteams.

Betriebsräte verhandeln derzeit Notfallklauseln für Cyber‑Ernstfälle – doch wirklich wirksame Vereinbarungen brauchen präzise, rechtssichere Formulierungen. Das kostenlose E‑Book „Muster‑Betriebsvereinbarung“ liefert praxiserprobte Vorlagen, Checklisten und Formulierungsbeispiele, mit denen Sie automatische Einwilligungen, Nicht‑Verwertbarkeits‑Regeln und Amnestie‑Klauseln souverän absichern. Sparen Sie Verhandlungszeit und schützen Sie Beschäftigte vor Überwachung und späterer Verwertung persönlicher Daten. Muster‑Betriebsvereinbarung kostenlos herunterladen

Diese akuten Bedrohungen treffen auf eine neue regulatorische Realität: Das Meldeportal des BSI für die NIS-2-Richtlinie der EU ist seit Anfang Januar online. Sie zwingt Unternehmen, „erhebliche Sicherheitsvorfälle“ binnen Stunden zu melden. Für den traditionellen, oft langwierigen Mitbestimmungsprozess bleibt da kaum Raum. „Die Zeitschere zwischen Angriff und Reaktion wird immer enger“, erklärt eine auf Arbeitsrecht spezialisierte Anwältin. „Ohne vorgefertigte Notfallregeln steht das Unternehmen rechtlich im Regen.“

Die Lücke im Normalbetrieb

Normale IT-Betriebsvereinbarungen regeln die Einführung und den Regelbetrieb von Systemen. Sie schweigen jedoch zum Ausnahmezustand während eines Cyberangriffs. Dann müssen Sicherheitsteams oft sofort forensische Tools einsetzen, Netzwerke isolieren oder Geräte fernlöschen. Ohne vorab vereinbarte Notfallklauseln kann dies als unzulässige Mitarbeiterüberwachung gewertet werden.

Die jetzt verhandelten Notfallvereinbarungen schließen diese Lücke. Kern sind meist automatische Einwilligungsklauseln. Sie erlauben der IT im bestätigten Krisenfall defensive Gegenmaßnahmen ohne vorherige Rücksprache. Im Gegenzug sichern sich Betriebsräte starke „Nicht-Verwertbarkeits“-Klauseln. Persönliche Daten, die während der Forensik gesammelt werden – wie private E-Mails, die auf Malware gescannt werden –, dürfen später nicht für Verhaltenskontrolle oder disziplinarische Maßnahmen genutzt werden.

Lehren aus IT-Blackouts in Essen und Swisttal

Die Dringlichkeit zeigt der Blick in die Praxis. Anfang Januar legten IT-Ausfälle die Stadtverwaltung Essen und die Gemeinde Swisttal lahm. Obwohl technische Defekte und keine Angriffe die Ursache waren, wurde die operative Lähmung deutlich: Als die Bildschirme schwarz werden, verschwimmen die Regeln der Arbeit.

Aktuelle Verhandlungen konzentrieren sich daher auf praktische Resilienz-Protokolle. Sie definieren „analoge Arbeitsmodi“, regeln die Zeiterfassung bei ausgefallenen Systemen und sehen Amnestieregeln für Beschäftigte vor, die unbeabsichtigt einen Vorfall auslösen. „Es geht darum, handlungsfähig zu bleiben, ohne in rechtliche Grauzonen abzudriften“, so ein IG-Metall-Berater.

Vorsorge wird zum Standard

Die Ereignisse des Januars markieren eine Zeitenwende. Der Fokus verschiebt sich von reiner Prävention hin zu rechtlich abgesicherten Resilienz-Rahmen. Branchenbeobachter erwarten, dass „IT-Notfallklauseln“ bis Ende des ersten Quartals 2026 Standard in allgemeinen IT-Betriebsvereinbarungen sein werden.

Das BSI-Meldeportal für NIS-2 setzt die Uhr auf Ticktack. Unternehmen, die ihre Krisenentscheidungsprozesse nicht straffen, riskieren nicht nur Bußgelder, sondern auch handfeste interne Rechtsstreits mitten im Angriff. Die Botschaft der ersten beiden Januarwochen ist klar: Im Zeitalter automatisierter Cyberangriffe muss auch die rechtliche Antwort automatisiert vorbereitet sein.

PS: Viele Betriebsräte unterschätzen, wie schnell NIS‑2‑Meldepflichten Entscheidungen erzwingen und so unklare Vereinbarungen riskieren. Dieser kostenlose Leitfaden erklärt Schritt für Schritt, wie Sie Betriebsvereinbarungen für IT‑Notfälle rechtssicher aufsetzen, Zuständigkeiten klar regeln und Haftungsrisiken minimieren. Enthalten sind Musterformulierungen, Verhandlungsargumente und eine Checkliste für den Krisenfall. Jetzt gratis E‑Book zur Betriebsvereinbarung sichern