26.06.2017, 07:00 Uhr

Datensicherheit vs. Arbeitnehmerschutz

Neuartige Sicherheitslösungen ermöglichen es, Nutzer anhand ihres Verhaltens zu erkennen. Doch unter welchen Voraussetzungen ist das rechtlich zulässig?
Eine relativ neue Möglichkeit, Unternehmensdaten zu schützen, ist User Behaviour Analytics (UBA): Das Verhalten der Nutzer wird in Echtzeit untersucht, um Missbrauch zu erkennen und abzuwehren. Solche Systeme erstellen eine Art digitaler Finger­abdruck eines Mitarbeiters (z. B. Art und Dauer der genutzten Appli­kationen, Anzahl und Zeit der Login-Vorgänge, Anzahl Tastaturanschläge, Analyse der Mausbewegungen etc.). Das Ziel ist es, Abweichungen von dessen bekanntem Verhalten festzustellen. Der Grund für eine Abweichung könnte sein, dass es sich bei der eingeloggten Person nicht um die berechtigte Person, sondern um einen Eindringling handelt, der sich unrechtmässig die Zugangsdaten beschafft hat. Verhält sich der Eindringling signifikant anders, schlägt das System Alarm. Da eine solche Lösung die User in gewisser Weise überwacht, stellt sich die Frage, ob und inwiefern UBA überhaupt mit geltendem Schweizer Recht vereinbar ist.

Verhaltensüberwachung

Grundsätzlich ist es verboten, das Verhalten von Arbeitnehmern zu überwachen (Art. 26 Verordnung 3 zum Arbeits­gesetz, vgl. Kasten). Erlaubt ist die Überwachung nur, wenn Gründe vorliegen, unter denen die Massnahme als notwendig erscheint und wenn Gesundheit sowie Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigt werden.
UBA darf also nicht die Überwachung eines Mitarbeiters als solche bezwecken, sondern den Schutz des Unternehmens durch statistische Analyse der Daten. Um die rechtliche Zu­lässigkeit von Überwachungsmassnahmen am Arbeitsplatz zu beurteilen, sind im Wesentlichen der Schutz der Persönlichkeit bzw. der Privatsphäre des einzelnen Arbeitnehmers den In­teressen des Arbeitgebers gegenüberzustellen. Die Überwachungsvorgänge bei UBA sind grundsätzlich als Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz («DSG») einzustufen. Solange die Datenbearbeitung nur in anonymisierter Form erfolgt, werden die Persönlichkeitsrechte nicht tangiert. Im Normalfall arbeiten die Analysesysteme mit anonymisierten Profilen. Wenn allerdings ein Hinweis auf eine konkrete Bedrohung vorliegt, muss das betreffende Profil einer natürlichen Person zu­geordnet werden. Das ist grundsätzlich möglich, solange das Unternehmen einige Punkte beachtet.

Das könnte Sie auch interessieren