Datensicherheit vs. Arbeitnehmerschutz
Korrektes Vorgehen der Firma
Korrektes Vorgehen der Firma
Die Zuweisung eines anonymisierten Nutzerprofils zu einer natürlichen Person darf nur durch eigens hierfür autorisierte Personen unter ganz bestimmten Umständen erfolgen. Um die heutzutage erwartete Transparenz gegenüber den Mitarbeitenden zu schaffen, ist die Herausgabe eines unternehmensinternen schriftlichen Reglements mit den wichtigsten Grundsätzen und Verfahrensschritten zwingend. Im Weiteren muss die Zuweisung folgende Kriterien erfüllen:
- Notwendigkeit: Es braucht die Zuweisung, um gegen eine Bedrohung vorgehen zu können.
- Verhältnismässigkeit: Die eingesetzten Mittel müssen im Verhältnis zum Zweck stehen. Wenn es ein milderes Mittel gibt, um das Überwachungsziel ebenfalls zu erreichen, ist das nicht der Fall.
- Geschäftsinteresse überwiegt: Die Zuweisung muss einem Geschäftsinteresse dienen, das dem privaten Interesse übergeordnet ist. Das kann nur bei Vorliegen eines konkreten Missbrauchsverdachts («Threat») der Fall sein.
- Mitarbeiterinformation: Die Mitarbeiter müssen im Voraus wissen, dass beispielsweise bei Vorliegen eines Verdachts auf Datenklau ihr anonymisiertes Profil zwecks Abwehr des Angriffs der eigenen Person zugeordnet werden könnte.
- Keine Zweckentfremdung: Die Massnahme darf ausschliesslich dem Abwehrinteresse dienen und nicht der Leistungsbeurteilung bzw. Verhaltensüberwachung einer Person.
Zufällig entdeckte Vergehen
Bei einer rechtmässigen Datenbearbeitung durch den Arbeitgeber können rein zufällig Dinge über den betroffenen Mitarbeiter ans Licht kommen, die nicht in Ordnung sind. Wenn der Mitarbeiter sich selbst widerrechtlich verhielt, z. B., indem er stundenlang nicht arbeitete oder Webseiten mit widerrechtlichem Inhalt besuchte, darf dann gegen ihn arbeitsrechtlich vorgegangen werden (Kündigung, Verweis)? Sofern in einem internen, dem Mitarbeiter ausgehändigten Reglement festgelegt ist, was am Arbeitsplatz erlaubt ist und was nicht, und dass Kontrollmassnahmen wie Stichproben durch den Arbeitgeber vorgenommen werden dürfen, ist die Verwendung solcher Daten zu dem Zweck zulässig.
* Urs Freytag, lic. iur HSG, ist selbstständiger Rechtsanwalt bei factum advocatur in St. Gallen. Er befasst sich mit Fragen des technischen Rechts und IT-Rechts im Industrieumfeld.