Datensicherheit vs. Arbeitnehmerschutz

Neuartige Sicherheitslösungen ermöglichen es, Nutzer anhand ihres Verhaltens zu erkennen. Doch unter welchen Voraussetzungen ist das rechtlich zulässig?

» Von Urs Freytag *, 26.06.2017 07:00.

weitere Artikel

Eine relativ neue Möglichkeit, Unternehmensdaten zu schützen, ist User Behaviour Analytics (UBA): Das Verhalten der Nutzer wird in Echtzeit untersucht, um Missbrauch zu erkennen und abzuwehren. Solche Systeme erstellen eine Art digitaler Finger­abdruck eines Mitarbeiters (z. B. Art und Dauer der genutzten Appli­kationen, Anzahl und Zeit der Login-Vorgänge, Anzahl Tastaturanschläge, Analyse der Mausbewegungen etc.). Das Ziel ist es, Abweichungen von dessen bekanntem Verhalten festzustellen. Der Grund für eine Abweichung könnte sein, dass es sich bei der eingeloggten Person nicht um die berechtigte Person, sondern um einen Eindringling handelt, der sich unrechtmässig die Zugangsdaten beschafft hat. Verhält sich der Eindringling signifikant anders, schlägt das System Alarm. Da eine solche Lösung die User in gewisser Weise überwacht, stellt sich die Frage, ob und inwiefern UBA überhaupt mit geltendem Schweizer Recht vereinbar ist.

Verhaltensüberwachung

Grundsätzlich ist es verboten, das Verhalten von Arbeitnehmern zu überwachen (Art. 26 Verordnung 3 zum Arbeits­gesetz, vgl. Kasten). Erlaubt ist die Überwachung nur, wenn Gründe vorliegen, unter denen die Massnahme als notwendig erscheint und wenn Gesundheit sowie Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigt werden.

UBA darf also nicht die Überwachung eines Mitarbeiters als solche bezwecken, sondern den Schutz des Unternehmens durch statistische Analyse der Daten. Um die rechtliche Zu­lässigkeit von Überwachungsmassnahmen am Arbeitsplatz zu beurteilen, sind im Wesentlichen der Schutz der Persönlichkeit bzw. der Privatsphäre des einzelnen Arbeitnehmers den In­teressen des Arbeitgebers gegenüberzustellen.

Die Überwachungsvorgänge bei UBA sind grundsätzlich als Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz («DSG») einzustufen. Solange die Datenbearbeitung nur in anonymisierter Form erfolgt, werden die Persönlichkeitsrechte nicht tangiert. Im Normalfall arbeiten die Analysesysteme mit anonymisierten Profilen. Wenn allerdings ein Hinweis auf eine konkrete Bedrohung vorliegt, muss das betreffende Profil einer natürlichen Person zu­geordnet werden. Das ist grundsätzlich möglich, solange das Unternehmen einige Punkte beachtet.

Nächste Seite: Korrektes Vorgehen der Firma

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.