26.06.2017, 07:00 Uhr

Datensicherheit vs. Arbeitnehmerschutz

Neuartige Sicherheitslösungen ermöglichen es, Nutzer anhand ihres Verhaltens zu erkennen. Doch unter welchen Voraussetzungen ist das rechtlich zulässig?
Eine relativ neue Möglichkeit, Unternehmensdaten zu schützen, ist User Behaviour Analytics (UBA): Das Verhalten der Nutzer wird in Echtzeit untersucht, um Missbrauch zu erkennen und abzuwehren. Solche Systeme erstellen eine Art digitaler Finger­abdruck eines Mitarbeiters (z. B. Art und Dauer der genutzten Appli­kationen, Anzahl und Zeit der Login-Vorgänge, Anzahl Tastaturanschläge, Analyse der Mausbewegungen etc.). Das Ziel ist es, Abweichungen von dessen bekanntem Verhalten festzustellen. Der Grund für eine Abweichung könnte sein, dass es sich bei der eingeloggten Person nicht um die berechtigte Person, sondern um einen Eindringling handelt, der sich unrechtmässig die Zugangsdaten beschafft hat. Verhält sich der Eindringling signifikant anders, schlägt das System Alarm. Da eine solche Lösung die User in gewisser Weise überwacht, stellt sich die Frage, ob und inwiefern UBA überhaupt mit geltendem Schweizer Recht vereinbar ist.

Verhaltensüberwachung

Grundsätzlich ist es verboten, das Verhalten von Arbeitnehmern zu überwachen (Art. 26 Verordnung 3 zum Arbeits­gesetz, vgl. Kasten). Erlaubt ist die Überwachung nur, wenn Gründe vorliegen, unter denen die Massnahme als notwendig erscheint und wenn Gesundheit sowie Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigt werden.
UBA darf also nicht die Überwachung eines Mitarbeiters als solche bezwecken, sondern den Schutz des Unternehmens durch statistische Analyse der Daten. Um die rechtliche Zu­lässigkeit von Überwachungsmassnahmen am Arbeitsplatz zu beurteilen, sind im Wesentlichen der Schutz der Persönlichkeit bzw. der Privatsphäre des einzelnen Arbeitnehmers den In­teressen des Arbeitgebers gegenüberzustellen. Die Überwachungsvorgänge bei UBA sind grundsätzlich als Datenbearbeitung im Sinne des Bundesgesetzes über den Datenschutz («DSG») einzustufen. Solange die Datenbearbeitung nur in anonymisierter Form erfolgt, werden die Persönlichkeitsrechte nicht tangiert. Im Normalfall arbeiten die Analysesysteme mit anonymisierten Profilen. Wenn allerdings ein Hinweis auf eine konkrete Bedrohung vorliegt, muss das betreffende Profil einer natürlichen Person zu­geordnet werden. Das ist grundsätzlich möglich, solange das Unternehmen einige Punkte beachtet.

Korrektes Vorgehen der Firma

Korrektes Vorgehen der Firma

Die Zuweisung eines anonymisierten Nutzerprofils zu einer natürlichen Person darf nur durch eigens hierfür autorisierte Personen unter ganz bestimmten Umständen erfolgen. Um die heutzutage erwartete Transparenz gegenüber den Mit­arbeitenden zu schaffen, ist die Herausgabe eines unternehmensinternen schriftlichen Reglements mit den wichtigsten Grundsätzen und Verfahrensschritten zwingend. Im Weiteren muss die Zuweisung folgende Kriterien erfüllen:
  • Notwendigkeit: Es braucht die Zuweisung, um gegen eine Bedrohung vorgehen zu können.
  • Verhältnismässigkeit: Die eingesetzten Mittel müssen im Verhältnis zum Zweck stehen. Wenn es ein milderes Mittel gibt, um das Überwachungsziel ebenfalls zu erreichen, ist das nicht der Fall.
  • Geschäftsinteresse überwiegt: Die Zuweisung muss einem Geschäftsinteresse dienen, das dem privaten Interesse übergeordnet ist. Das kann nur bei Vorliegen eines konkreten Missbrauchsverdachts («Threat») der Fall sein.
  • Mitarbeiterinformation: Die Mitarbeiter müssen im Voraus wissen, dass beispielsweise bei Vorliegen eines Verdachts auf Datenklau ihr anonymisiertes Profil zwecks Abwehr des Angriffs der eigenen Person zugeordnet werden könnte.
  • Keine Zweckentfremdung: Die Massnahme darf ausschliesslich dem Abwehrinteresse dienen und nicht der Leistungs­beurteilung bzw. Verhaltensüberwachung einer Person.

Zufällig entdeckte Vergehen

Bei einer rechtmässigen Datenbearbeitung durch den Arbeitgeber können rein zufällig Dinge über den betroffenen Mitarbeiter ans Licht kommen, die nicht in Ordnung sind. Wenn der Mitarbeiter sich selbst widerrechtlich verhielt, z. B., indem er stundenlang nicht arbeitete oder Webseiten mit widerrechtlichem Inhalt besuchte, darf dann gegen ihn arbeitsrechtlich vorgegangen werden (Kündigung, Verweis)? Sofern in einem internen, dem Mitarbeiter ausgehändigten Reglement festgelegt ist, was am Arbeitsplatz erlaubt ist und was nicht, und dass Kontrollmassnahmen wie Stichproben durch den Arbeitgeber vorgenommen werden dürfen, ist die Verwendung solcher Daten zu dem Zweck zulässig.
* Urs Freytag, lic. iur HSG, ist selbstständiger Rechtsanwalt bei factum advocatur in St. Gallen. Er befasst sich mit Fragen des technischen Rechts und IT-Rechts im Industrieumfeld.


Das könnte Sie auch interessieren