Neuartige Sicherheitslösungen ermöglichen es, Nutzer anhand ihres Verhaltens zu erkennen. Doch unter welchen Voraussetzungen ist das rechtlich zulässig?
Eine relativ neue Möglichkeit, Unternehmensdaten zu schützen, ist User Behaviour Analytics (UBA): Das Verhalten der Nutzer wird in Echtzeit untersucht, um Missbrauch zu erkennen und abzuwehren. Solche Systeme erstellen eine Art digitaler Fingerabdruck eines Mitarbeiters (z. B. Art und Dauer der genutzten Applikationen, Anzahl und Zeit der Login-Vorgänge, Anzahl Tastaturanschläge, Analyse der Mausbewegungen etc.). Das Ziel ist es, Abweichungen von dessen bekanntem Verhalten festzustellen. Der Grund für eine Abweichung könnte sein, dass es sich bei der eingeloggten Person nicht um die berechtigte Person, sondern um einen Eindringling handelt, der sich unrechtmässig die Zugangsdaten beschafft hat. Verhält sich der Eindringling signifikant anders, schlägt das System Alarm. Da eine solche Lösung die User in gewisser Weise überwacht, stellt sich die Frage, ob und inwiefern UBA überhaupt mit geltendem Schweizer Recht vereinbar ist.
Verhaltensüberwachung
Grundsätzlich ist es verboten, das Verhalten von Arbeitnehmern zu überwachen (Art. 26 Verordnung 3 zum Arbeitsgesetz, vgl. Kasten). Erlaubt ist die Überwachung nur, wenn Gründe vorliegen, unter denen die Massnahme als notwendig erscheint und wenn Gesundheit sowie Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigt werden.
UBA darf also nicht die Überwachung eines Mitarbeiters als solche bezwecken, sondern den Schutz des Unternehmens durch statistische Analyse der Daten. Um die rechtliche Zulässigkeit von Überwachungsmassnahmen am Arbeitsplatz zu beurteilen, sind im Wesentlichen der Schutz der Persönlichkeit bzw. der Privatsphäre des einzelnen Arbeitnehmers den Interessen des Arbeitgebers gegenüberzustellen. Die Überwachungsvorgänge bei UBA sind grundsätzlich als Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz («DSG») einzustufen. Solange die Datenbearbeitung nur in anonymisierter Form erfolgt, werden die Persönlichkeitsrechte nicht tangiert. Im Normalfall arbeiten die Analysesysteme mit anonymisierten Profilen. Wenn allerdings ein Hinweis auf eine konkrete Bedrohung vorliegt, muss das betreffende Profil einer natürlichen Person zugeordnet werden. Das ist grundsätzlich möglich, solange das Unternehmen einige Punkte beachtet.
