infoguard-cyber-security-blog-home-office-ueberwachung-datenschutz

Vertrauen ist gut, Kontrolle ist besser? Überwachung und Datenschutz im Home Office

Lange taten sich Unternehmen im privaten und öffentlichen Sektor schwer, Home Office zu ermöglichen. Einerseits war (und ist) aus betrieblicher Sicht oft die Möglichkeit zum Home Office nicht gegeben, andererseits wurde oft mangelndes Pflichtbewusstsein der Mitarbeitenden befürchtet – wenn auch mehr oder weniger hinter vorgehaltener Hand. Seit dem 18. Januar 2021 gilt für Schweizer Unternehmen auf Anordnung des Bundesrates nun eine Home Office-Pflicht, sofern dies die Arbeitsabläufe zulassen. Was für die einen bereits seit langem normal ist, ist für die anderen (und zwar nicht gerade wenigen) Neuland.

Home Office: Segen für die einen, Fluch für die anderen. Die Kontrolle ist eingeschränkt und das Vertrauen in die Mitarbeitenden nicht selbstverständlich. Die Versuchung, die Mitarbeitenden zu überwachen bzw. zu kontrollieren, liegt auf der Hand. Fördert die Home Office-Pflicht also die Überwachung und Kontrolle durch die Vorgesetzten? Und was meint das Gesetz dazu? Auf diese und andere Fragen werden wir in diesem Blogartikel eingehen.

Hand aufs Herz: Die meisten unter uns kennen die Versuchung, kurz die Spülmaschine auszuräumen, die Post zu holen oder privat im Internet zu surfen. Während letzteres auch im Büro möglich ist, sind es die ersteren nur im Home Office. Ein netter Benefit – aber wohl kaum aus Sicht der Vorgesetzten.

Der Arbeitgeber hat legitimes Interesse daran sicherzustellen, dass die Mitarbeitenden während der bezahlten Arbeitszeit auch tatsächlich arbeiten. Erschwerend kommt hinzu, dass sich der Arbeitnehmer im Home Office dem Blick des Vorgesetzten weitgehend entziehen kann. Weitere Interessen des Arbeitgebers, welche durch Fehlverhalten der Mitarbeitenden im Home Office wie auch im Büro beeinträchtigt werden könnten, sind die Sicherheit der technischen Infrastruktur. Diese kann durch den Einfall von Malware, beispielsweise in E-Mails oder auf unsicheren Webseiten, kompromittiert werden. Auch sind rufschädigende Vorfälle wie der Verlust von Geschäftsgeheimnissen oder die Verletzung des Datenschutzes penibel zu vermeiden. Die Frage stellt sich somit, wie der Arbeitgeber seine Mitarbeitenden überwachen kann und vor allem darf, sowohl in den Büroräumlichkeiten als auch zu Hause.

Überwachungssoftwares boomen in Zeiten von Home Office

Die modernen technischen Möglichkeiten machen eine Überwachung einfach, beispielsweise durch die Auswertung von Protokolldateien. Damit kann genau eruiert werden kann, wann Mitarbeitende auf welche Datei zugegriffen und was damit gemacht haben. Die Überwachung des E-Mailverkehrs, inklusive Empfängeradresse, Betreff und Inhalt, sind genauso unkompliziert wie die Kontrolle über das Surfverhalten im Internet. 

Um sicherzustellen, dass die Produktivität im Home Office nicht leidet, greifen immer mehr Unternehmen auf sogenannte «Employee Productivity Tracking Software» zurück, also Überwachungssoftware wie beispielsweise Hubstaff, Time Doctor oder FlexiSPY. Die ersten zwei zeichnen beispielsweise alle paar Minuten den Bildschirm oder die Umgebung auf und stellen (unter anderem) fest, ob die Mitarbeitenden tatsächlich arbeiten. Gemäss dem Internetportal top10vpn.com hat die Nachfrage nach Überwachungssoftwares im letzten Jahr um rund 51 % zugenommen. Hubstaff, der letztjährige Marktführer, verzeichnete 2020 eine Nachfragesteigerung von 41 %.

Auch verbreitete Tools zur Durchführung von Online Meetings bieten resp. boten Überwachungs-Funktionen. Bis April letzten Jahres konnte der Präsentator beispielsweise bei Zoom die Funktion «Attendee attention tracking» verwenden. Damit konnte dieser den privaten Chat-Verlauf der Teilnehmenden einsehen oder kontrollieren, ob sie das Software-Fenster tatsächlich geöffnet hatten. Diese Funktion wurde glücklicherweise mittlerweile entfernt.

Nun wird zu Recht die Frage laut: Inwiefern wird solch eine Überwachung vom Gesetzgeber mitgetragen? Und was ist mit Sicherheit (in der Schweiz) ordnungswidrig?

Verbot der Verhaltensüberwachung

Gemäss der Verordnung 3 zum Arbeitsgesetz (ArGV 3 822.113) sind der Überwachung der Mitarbeitenden durchaus Grenzen gesetzt. Laut Art. 26 Abs. 1 dürfen keine Überwachungs- und Kontrollsysteme eingesetzt werden, die das Verhalten der Mitarbeitenden am Arbeitsplatz überwachen. Ziel dieser Bestimmung ist insbesondere der Gesundheitsschutz der Mitarbeitenden. Wenn die Mitarbeitenden auf Grund einer ständigen Videoüberwachung beispielsweise den Arbeitsplatz nicht mehr verlassen dürfen oder wenn die Leistung anhand von ausgewerteten E-Mails gemessen wird, sind Auswirkungen auf die Bewegungsfreiheit oder Gesundheit nicht auszuschliessen. Demnach sind Überwachungs- und Kontrollsysteme nur dann zulässig, wenn sie die Gesundheit und Bewegungsfreiheit der Mitarbeitenden nicht beeinträchtigen.

Daraus kann geschlossen werden, dass ständiges, personenbezogenes Auswerten der Protokolldateien, den sogenannten Randdaten, für die Überwachung des Nutzungsverhaltens nicht zulässig ist. Natürlich sind Ausnahmen möglich wie beispielsweise im Bankensektor, wo aus regulatorischen oder Compliance-Gründen die systematische Aufzeichnung des E-Mailverkehrs vor möglichen Klagen schützen soll.

Zusammengefasst: Überwachungssoftwares, seien es die erwähnten oder auch Key Logger, welche die Tätigkeit systematisch überwachen bzw. aufzeichnen, sind grundsätzlich verboten.

Auswertungen von anonymisierten Daten

Auswertungen von anonymisierten Daten sind hingegen erlaubt. Finden sich Hinweise auf Missbräuche bei der Auswertung von anonymisierten Daten, darf der Arbeitgeber auch personenbezogene Auswertungen durchführen. Diese müssen jedoch den Grundsätzen des Datenschutzes entsprechen. Ausserdem müssen die Mitarbeitenden darüber informiert werden.

Weiter sind Auswertungen so zu gestalten, dass diese den mildesten Eingriff in die Persönlichkeitsrechte darstellt. Laut dem Eidgenössischen Datenschutzbeauftragten ist die personenbezogene Überwachung die «Ultima Ratio» und sollte nur durchgeführt werden, wenn andere Mittel ausgeschöpft sind. Dazu gehören technische und organisatorische Massnahmen, welche den Missbrauch verhindern, beispielsweise gesperrte Internetseiten.

Und was meint der Datenschutz?

Aus Sicht des Datenschutzes sind die Grundsätze der Verhältnismässigkeit, der Zweckbindung und der Transparenz gemäss Art. 4-11 des Datenschutzgesetzes bei der Bearbeitung zu berücksichtigen.

Weiter darf, wer personenbezogene Daten verarbeitet, die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen. Widerrechtlich bedeutet, dass eine Datenbearbeitung weder durch die Einwilligung der betroffenen Person noch durch ein überwiegendes privates oder öffentliches Interesse oder durch ein Gesetz gerechtfertigt ist.

Die Auswertung von Protokolldateien entspricht einer Datenbearbeitung nach Art. 3, Bst.e des schweizerischen Datenschutzgesetzes, wenn diese Randdaten vor einer allfälligen Auswertung nicht anonymisiert werden.

Rechtmässigkeit

Die Auswertung dieser Protokolldateien bedarf eines Rechtfertigungsgrundes, beispielsweise um im Bankensektor Korruption, Geldwäsche oder Insider-Handel zu bekämpfen. In einem weniger stark regulierten Umfeld kann der Arbeitgeber sich natürlich auf ein überwiegendes privates Interesse berufen.

Verhältnismässigkeit und Zweckbindung

Die Erhebung der Protokolldaten muss im Verhältnis zum angegebenen Zweck sein. Für die Erhebung und Auswertung der Protokolldateien bedeutet dies, dass nur jene Daten aufgezeichnet werden dürfen, welche für die Verhinderung und/oder frühzeitige Aufdeckung von Missbrauch geeignet sind.

Transparenz und Rechtsicherheit

Das Weisungsrechts gemäss Obligationenrecht Art. 321d besagt, dass der Arbeitgeber über die Ausführung und das Verhalten der Mitarbeitenden Weisungen erlassen kann. Darin geregelt sind beispielsweise die Nutzung der Firmeninfrastruktur, von E-Mail und Internet. Einerseits schafft solch ein Nutzungsreglement Transparenz, in dem die Art der erlaubten bzw. der missbräuchlichen Nutzung festgelegt wird, andererseits werden damit auch unnötige Diskussionen zwischen Arbeitgeber und Mitarbeitenden verhindert. Diese Weisung soll auch den Umfang der Überwachung und allfällige Sanktionen regeln. Selbstverständlich müssen die Mitarbeitenden das Reglement kennen und einsehen können. Ohne dieses Reglement ist eine Auswertung der Protokolldateien unzulässig.

Kurzfassung: Darf nun überwacht werden oder nicht?

Wir können festhalten, dass der Arbeitgeber keine systematische, nicht anonymisierte Überwachung der Mitarbeitenden durchführen darf. Auch der Einsatz von Überwachungssoftware ist in der Schweiz untersagt. Bei Verdacht auf Missbrauch darf der Arbeitgeber zwar spezifischer überwachen, dies jedoch nur als letzte Möglichkeit, nachdem alle anderen Mittel ausgeschöpft sind.

Gehen Sie keine Risiken ein mit unserem DPO-as-a-Service

Datenschutz ist ein komplexes Thema – und das nicht erst seit dem letzten Jahr. Die Digitalisierung, fortschreitende Technologien und rasant zunehmende Cyberattacken machen es schwierig, umfassenden Datenschutz zu gewährleisten. Viele Unternehmen sind daher gut beraten, projektbezogen oder als Mandat externe Datenschutz-Experten beizuziehen. Besonders deren umfassendes Know-how und die vielseitige Erfahrung sind beim Thema Datenschutz unerlässlich.

Ich und meine Kolleg-/innen unterstützen Sie im Rahmen unseres DPO-as-a-Service bei allen anliegenden Fragen rund um Datenschutz in Ihrem Unternehmen – von der Analyse und Definition einer Datenschutzstrategie bis zur Implementierung und Kontrolle der Massnahmen. Bei welchen Themen können wir Sie unterstützen? Mehr zu unserem DPO-as-a-Service erfahren Sie hier:

DPO-as-a-Service

<< >>

Data Governance

Daniel Däppen
Über den Autor / Daniel Däppen

InfoGuard AG - Daniel Däppen, Senior Cyber Security Consultant

Weitere Artikel von Daniel Däppen


Ähnliche Artikel
«Wer nicht mit der Zeit geht, geht mit der Zeit» – oder die Ablösung des Bundesgesetzes über den Datenschutz (DSG)
«Wer nicht mit der Zeit geht, geht mit der Zeit» – oder die Ablösung des Bundesgesetzes über den Datenschutz (DSG)

Datenschutz ist Persönlichkeitsschutz. Unsere Persönlichkeits- und Grundrechte im digitalen Raum wurden bis [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-checkliste-sicheres-home-office-download