Überwachung am Arbeitsplatz

Information and Communication Technology (ICT) | Überwachung am Arbeitsplatz | Technische und organisatorische Massnahmen

Die Nutzung von Informations- und Kommunikationstechnologien (Information and Communication Technology; ICT) durch das Personal eines Unternehmens kann für dieses mit Risiken verbunden sein, rechtliche und finanzielle Folgen haben und allenfalls das Image des Unternehmens schädigen. Zu denken ist hier beispielsweise an übermässigen Internetkonsum durch das Personal während der Arbeitszeit oder an die Installation und Nutzung von privaten Applikationen auf der IT-Infrastruktur des Unternehmens. Denkbar ist aber auch die Bekanntgabe von geheim zu haltenden Tatsachen oder reputationsschädigendes Verhalten bei der Nutzung von Social Media Plattformen.

Nach Schweizer Recht ist es Sache des Unternehmens, über die Nutzung seiner betrieblichen Ressourcen zu verfügen und dem Personal entsprechende Weisungen zu erteilen. In gewissen Grenzen und unter Berücksichtigung der Verhältnismässigkeit kann das Unternehmen die Nutzung auch kontrollieren. Dies insbesondere dann, wenn das Unternehmen eine bestimmte Nutzung verboten oder beschränkt hat. Das Unternehmen hat dabei aber zu berücksichtigen, dass die Kontrolle eine persönlichkeitsverletzende und mithin gesundheitsschädliche Überwachung am Arbeitsplatz darstellen kann. Nämlich dann, wenn Überwachungs- und Kontrollsysteme, wie etwa Key-Logger, Content Scanner oder Spyware eingesetzt werden, die eine detaillierte Kontrolle des Personals ermöglichen und einer unzulässigen Verhaltensüberwachung dienen. Die Zulässigkeit und Umsetzung von Überwachungs- und Kontrollsystemen ist daher jeweils im Einzelfall zu prüfen.

Aus Transparenzgründen sollten sowohl die Nutzung als auch eine allfällig mögliche Kontrolle in Reglementen festgeschrieben werden. Ferner sollte das Personal im richtigen Umgang mit den betrieblichen Ressourcen geschult werden. Flankierend hierzu sind, technische Schutzmassnahmen zu ergreifen, welche die Risiken einer Nutzung der betrieblichen Ressourcen durch das Personal minimieren sollen. Zu denken ist hier etwa an Passwortschutz, Zugriffskontrolle, Virenschutz, regelmässige Aktualisierungen, Backups, Recovery-Massnahmen, Limitierung der Schnittstellen und Sperrung von Angeboten. Solche Massnahmen sind entsprechend auch als Teil der technischen und organisatorischen Massnahmen (TOMs) zu verstehen, welche ein Unternehmen gestützt auf Art. 7 des Bundesgesetzes über den Datenschutz (DSG) bzw. Art. 8-12 der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) zur Gewährung eines angemessenen Schutzes von Personendaten realisieren muss. Diese sind auf den Einzelfall und die bei der Nutzung bestimmter Geräte, Applikationen und Technologien zu erwartenden Risiken anzupassen.