Das Dokument behandelt die rechtlichen Aspekte der Mitarbeitendenüberwachung im Kontext des Datenschutzes und der Protokollierung in IT-Systemen. Es beschreibt die Anforderungen, die Arbeitgeber erfüllen müssen, um die Privatsphäre der Mitarbeiter zu schützen und gleichzeitig ihre Interessen an der Überwachung und Sicherheit der Unternehmensressourcen zu wahren. Der Text betont die Notwendigkeit von Transparenz, Einwilligung und angemessener Handhabung personenbezogener Daten, um rechtliche Konsequenzen zu vermeiden.

1. Mitarbeiterkontrolle versus Datenschutz: Legal oder illegal? Egal? Nein!
Digicomp Hacking Day 2012
Zürich, 14. Juni 2012
Reto C. Zbinden, Rechtsanwalt, CEO

2. Einführung und Begriffe
Protokollierung
Unter Protokollierung beim Betrieb von IT-Systemen ist im
datenschutzrechtlichen Sinn die Erstellung von manuellen oder
automatisierten Aufzeichnungen zu verstehen, aus denen sich die
Fragen beantworten lassen:
"Wer hat wann mit welchen Mitteln was veranlasst bzw. worauf
zugegriffen?" Ausserdem müssen sich Systemzustände ableiten lassen:
"Wer hatte von wann bis wann welche Zugriffsrechte?"
Logging
Logging bezeichnet ganz allgemein das Protokollieren d.h. das
Protokollieren,
Führen eines Logbuches betreffend Vorgängen in IT-Systemen (Server,
IT-
Datenbanken oder Drucker) bzw. das Schreiben und Sichern von
Daten und Ablaufinformationen.
14.06.2012 Digicomp Hacking Day 2012 2

3. Protokollierung, Logging und Monitoring
behandeln:
Folgende Ausführungen behandeln:
Protokollierungen und Monitoring Aktivitäten
bei denen Personendaten,
also Angaben zu bestimmten oder bestimmbaren Personen
(natürliche oder juristische Personen)
bearbeitet werden.
14.06.2012 Digicomp Hacking Day 2012 3

4. Einleitung
Beispiele personenbezogener Protokolldaten
Stempeluhr
Telefonverkehr
Arbeitsleistung (bspw. Call Center)
Zutritte, Zugänge, Zugriffe
Intranet-/Internetzugriffe
E-Mail-Verkehr
Daten der Haustechnik
Überwachungskameras
14.06.2012 Digicomp Hacking Day 2012 4

5. Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer
Arbeitgeber Arbeitnehmer
Zugriff auf Private Nutzung von E-Mail und
geschäftliche Informationen im Mail- Internet
System
Schutz der Privatsphäre
in persönlichen Laufwerken
Schutz der Ressourcen vor übermassiger Keine Verhaltensüberwachung
Belastung durch private Tätigkeiten
Transparenz
Kontrolle / Auditing / Durchsetzung
Archivierung Admins: Schutz vor unberechtigten
Forderungen und Vorwürfen
Transparenz
Reputation
Beweiszweck
14.06.2012 Digicomp Hacking Day 2012 5

6. Protokollierung am Arbeitsplatz
Betroffene Rechtsbereiche
Persönliche Freiheit (BV)
Vertragsrecht, Arbeitsvertrag (OR + V 3 ARG), Persönlichkeitsschutz
der Arbeitnehmer nach Art. 328/328b OR sowie die mit Strafe
bedrohten Art. 6.1/59 ArG und Art. 26 ArgV 3
Schutz der Persönlichkeit, Datenschutz und Zivilgesetzbuch
Archivierung (OR, GeBüV)
Strafrecht (StGB, Art. 179bis ff, 179novies StGB)
Verfahrensordnungen Zivilrecht und Strafrecht
Teilweise Fernmeldegeheimnis nach Art. 13.1 BV und Art. 43/50
FMG (SR 784.10) und Überwachungsgesetzgebung
14.06.2012 Digicomp Hacking Day 2012 6

7. Datenschutz = Recht auf informelle Selbstbestimmung
Was heisst das?
Freie Entfaltung der Persönlichkeit setzt
unter den modernen Bedingungen der
Datenverarbeitung den Schutz des
Einzelnen gegen unbegrenzte
Erhebung, Speicherung, Verwendung
und Weitergabe seiner persönlichen
Daten voraus.
14.06.2012 Digicomp Hacking Day 2012 7

8. Schutz der Persönlichkeit
» Persönlichkeit «
Alle
physischen
psychischen
moralischen
sozialen
Werte, die einer Person kraft
ihrer Existenz zukommen.
14.06.2012 Digicomp Hacking Day 2012 8

9. Datenschutz Anforderungen
Bundesverfassung, Art. 13: Schutz der Privatsphäre
Jede Person hat Anspruch auf Achtung ihres Privat- und
Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und
Fernmeldeverkehrs.
Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer
persönlichen Daten.
14.06.2012 Digicomp Hacking Day 2012 9

10. Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992
Zweck
Schutz der Persönlichkeit von Personen und der Grundrechte, über die Daten
bearbeitet werden
Daten juristischer und natürlicher Personen
Geltungsbereich
Daten juristischer und natürlicher Personen bearbeitet durch juristische, natürliche
Personen und öffentliche Stellen des Bundes
Gültigkeit
Seit 1. Juli 1993 mit Fristen 30. 6.1994 und 30. 6. 1998
14.06.2012 Digicomp Hacking Day 2012 10

11. DSG Begriffe (1/2)
Personendaten:
Alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen
Besonders schützenswerte Personendaten:
die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten
oder Tätigkeiten
die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit
Massnahmen der sozialen Hilfe
administrative oder strafrechtliche Verfolgungen und Sanktionen
Persönlichkeitsprofil:
Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der
Persönlichkeit einer natürlichen Person erlaubt
14.06.2012 Digicomp Hacking Day 2012 11

12. DSG Begriffe (2/2)
Bearbeiten
Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und
Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten,
Bekanntgeben, Archivieren oder Vernichten von Daten.
Datensammlung
Jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach
betroffenen Personen erschliessbar sind.
14.06.2012 Digicomp Hacking Day 2012 12

13. Stossrichtungen des Datenschutzgesetzes
Zwei Säulen
Forderungen an Transparenz für
den Bearbeiter den Betroffenen
Informationspflicht, Auskunftsrecht
Registrierung oder Beauftragter
Verminderung des Risikos Persönlichkeit
resultierend aus Datenbearbeitung
14.06.2012 Digicomp Hacking Day 2012 13

14. Persönlichkeitsverletzungen nach DSG
Derjenige, der Personendaten bearbeitet, darf dabei die Persönlichkeit der
betroffenen Person nicht widerrechtlich verletzen.
Er darf insbesondere nicht
ohne Rechtfertigungsgrund Personendaten entgegen den Grundsätzen des
DSG (rechtmässiges Beschaffen der Daten, verhältnismässiges Bearbeiten der
Daten nach Treu und Glauben, Vergewissern über deren Richtigkeit, Schutz
der Daten gegen unbefugtes Bearbeiten) bearbeiten
ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen
Willen bearbeiten
ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder
Persönlichkeitsprofile Dritten bekanntgeben
14.06.2012 Digicomp Hacking Day 2012 14

15. DSG-Bestimmungen
Sofern kein Rechtfertigungsgrund
Beschaffen nach Treu und Glauben
Richtigkeit
Keine Zweckänderung
Schutz vor Zugriff Unberechtigter
Nicht bearbeiten gegen ausdrücklichen Willen
Keine Bekanntgabe von besonders schützenswerten Personendaten
Keine Bekanntgabe von Persönlichkeitsprofilen
Meldung ins Ausland, nur wenn keine schwerwiegende
Gefährdung
14.06.2012 Digicomp Hacking Day 2012 15

16. Ansprüche aus Persönlichkeitsschutz
Persönlichkeitsschutz Strafrecht
Der Schadenersatzanspruch Art. 173 – Üble Nachrede – Auf Antrag
Der Genugtuungsanspruch Geldbusse bis 180 Tagessätze
Anspruch auf Gewinnherausgabe Art. 177 – Beschimpfung – Auf Antrag
Geldbusse bis 90 Tagessätze
Das Gegendarstellungsrecht (Art. 28 g
bis 28 l ZGB) Art. 179novies – Unbefugtes
Beschaffen von Personendaten – Auf
Der Gerichtsstand
Antrag Freiheitsstrafe bis 3 Jahre oder
Vorsorgliche Massnahmen Geldstrafe
14.06.2012 Digicomp Hacking Day 2012 16

17. Datenschutzrechtliche Anforderungen
Zweckbindung Auswertung
Erforderlichkeit Protokolle müssen auswertbar sein und
Prinzip der ausgewertet werden.
Datenvermeidung/Datensparsamkeit Vertraulichkeit
Pseudonymisierung oder Protokolldaten sind gegen unberechtigte
Anonymisierung Nutzung zu schützen.
Verhältnismässigkeit Integrität
Je sensitiver die Daten der zu Protokolldaten dürfen nachträglich nicht
protokollierenden Anwendung und je verändert werden
höher die Eintrittswahrscheinlichkeit Nur manipulationssichere Protokollierungen
einer abzuwendenden Gefährdung können ihren Schutzzweck in vollem Umfang
sind, desto grössere Ansprüche sollten erfüllen.
aus datenschutzrechtlicher und Aufbewahrungsdauer / Löschfristen
systemtechnischer Sicht an eine Protokolldaten sind nach ihrer Zweckerfüllung
ausreichende Kontrolle gestellt werden. zeitnah zu löschen
Umfang Transparenz
Der Kontrollzweck bestimmt den Existenz und Verwendungszweck von
Protokollumfang. Protokolldaten dürfen kein Geheimnis sein
14.06.2012 Digicomp Hacking Day 2012 17

18. Interessen
Arbeitnehmer
Strafverfolgungs- personenbezogene
Protokolle Arbeitgeber
behörden
14.06.2012 Digicomp Hacking Day 2012 18

19. Anforderungen seitens Arbeitgeber
Systemprotokollierung
Wer hat was wann wo gemacht?
Schutz der Systeme und der Reputation
Legalisierung bereits bestehender Überwachungsmechanismen und
Verdachtsmomente
Archivierung
Nachvollziehbarkeit
Zurechenbarkeit, Beweiskraft
Zugriff im Notfall
Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden
falls keine Stellvertreter-Regelung besteht
Private Laufwerk des Arbeitnehmenden
14.06.2012 Digicomp Hacking Day 2012 19

20. Anforderungen (ohne «Deal»)
Privatsphäre des Arbeitnehmers
Wahrung des Briefgeheimnisses
Achtung persönlicher Sachen
Keine systematische Leistungskontrolle
Kein Zugriff auf private E-Mails und keine
personenbezogene Auswertung des „Surfens“
Personenbezogene Protokollierung nur zulässig basierend auf
Überwachungsreglement und „Vorwarnung“
Schutz der Privatsphäre
Protokollierung der privaten Kommunikation ist i.d.R. unzulässig
Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines
Rechtfertigungsgrundes zulässig (Art. 13 DSG)
14.06.2012 Digicomp Hacking Day 2012 20

21. Zulässige Protokollierung durch Arbeitgeber
(ohne «Deal»)
Rechtfertigungsgründe
Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung
und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich
beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle.
Einblick in private Daten durch Arbeitgeber: unzulässig
Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden
wird, ist der höhere Schutzstandard zu beachten!
Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig
Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als
widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich
beurteilt werden
Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B.
OR)
missbräuchliche Kündigung nach Art. 336 OR)
14.06.2012 Digicomp Hacking Day 2012 21

22. Monitoring / Logging im Arbeitsverhältnis
Auswertung von Protokolldaten im Arbeitsverhältnis (1/3)
Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen
sowie stichprobenartige pseudonymisierte Auswertungen der Protokollierungen,
um zu überprüfen, ob das Nutzungsreglement eingehalten wird
Die Überwachung der Auswertungen der Internetprotokollierungen unterteilt sich
in zwei Phasen:
Nichtpersonenbezogene Überwachung;
Personenbezogene Überwachung.
14.06.2012 Digicomp Hacking Day 2012 22

23. Monitoring / Logging im Arbeitsverhältnis
Auswertung von Protokolldaten im Arbeitsverhältnis (2/3)
Grundsatz: Statt die Arbeitnehmer zu überwachen sollen technische
Schutzmassnahmen gesetzt, die unerwünschtes Surfen in Grenzen halten und das
Unternehmen vor technischem Schaden schützen. Nur wenn ein Missbrauch so
nicht verhindert werden kann, dürfen nach Erlass eines Nutzungsreglementes und
nach vorheriger Information im Einzelfall personenbezogene Auswertungen der
Protokollierungen vorgenommen werden.
Fehlt ein Missbrauch und eine vorherige Information,
dürfen die Internet- und E-Mail-Protokollierungen
nur in anonymer oder pseudonymer Weise
ausgewertet werden.
14.06.2012 Digicomp Hacking Day 2012 23

24. Monitoring / Logging im Arbeitsverhältnis
Auswertung von Protokolldaten im Arbeitsverhältnis (3/3)
Ob Protokollierungen eingesetzt werden dürfen, wer und wie lange darauf Zugriff
hat, muss nach den Kriterien der Zweck- und Verhältnismässigkeit entschieden
Zweck-
werden. Ein Hinweis auf jede eingesetzte Protokollierung, deren Zweck, Inhalt
und Aufbewahrungsdauer sollte aus Transparenzgründen im internen
Überwachungsreglement erwähnt werden.
Wenn präventive Massnahmen den Schutz sensibler
Personendaten nicht gewährleisten, können
Protokollierungen notwendig sein
(Art. 10 Verordnung zum Datenschutzgesetz,
VDSG, SR 235.11).
14.06.2012 Digicomp Hacking Day 2012 24

25. Persönlichkeitsschutz vs. Weisungskompetenz des Arbeitgebers
Weisungskompetenz
Privatsphäre
Mitarbeitende
14.06.2012 Digicomp Hacking Day 2012 25

26. Schaffen Sie eine Win-Win-Situation!
Schaffen Sie Transparenz und Sicherheit!
Benutzungsweisung IT Mittel,
E-
unter Einschluss Internet und E-Mail
Erfüllung der gesetzlichen Vorgaben
Wahrnehmung der Sorgfalt seitens Management
zum Schutz der unternehmenseigenen Informationen
Vereinbarung der Zugriffsrechte im Notfall und Verfahren
Schutz der Administratoren durch Festlegung der
Rechte und Pflichten der IT-Abteilung und Administratoren
Klare Festlegung der Verfahren: Wer entscheidet auf
wessen Antrag über welche Zugriffe und Datenempfänger
Darlegung sämtlicher Protokollierungen
Darlegung der Archivierungsregeln
Einverständniserklärung des Mitarbeitenden notwendig
‚Jeder weiss, was Sache ist.‘
14.06.2012 Digicomp Hacking Day 2012 26

27. Inhalt Acceptable Use Policy
AUP
Information, dass Auswertungen stattfinden.
Information, dass personenbezogene, teilweise automatisierte
Auswertungen stattfinden.
Somit werden auch intensivere Inhouse-Ermittlungen ermöglicht und
legalisiert
Einverständnis des Mitarbeitenden
14.06.2012 Digicomp Hacking Day 2012 27

28. Wichtige Anmerkungen
!!!
Mitarbeitende müssen schriftlich Ihr Einverständnis geben
Beweiszeck
Achtung: Einverständniserklärung könnte widerrufen werden
Mitarbeitende können Löschung privater Daten verlangen
Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt
E Mail Archivierung!
Sollten private oder als privat markierte E-Mails der Mitarbeitenden
archiviert worden sein, haben die MA das Recht, diese löschen zu lassen
(selbst einzelne E-Mails)
Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass
Management seinerseits hinter den definierten Regeln steht, diese
vorlebt und selber auch einhält
14.06.2012 Digicomp Hacking Day 2012 28

29. Resultat
Privatsphäre der Mitarbeiter ist geschützt
Unternehmensinteressen bleiben gewahrt
Handelnde Personen kennen ihre Rechte und Pflichten und
verstossen nicht gegen Gesetze oder die Rechte der Betroffenen
Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang
mit IT Mitteln sind klar definiert.
14.06.2012 Digicomp Hacking Day 2012 29

30. Datenschutz
Mögliche Handlungsfelder Apropos
Interne Vorgaben Datenschutz Wir wissen nicht, wohin die Reise geht;
überprüfen driving?
wir wissen nicht einmal: Who is driving?
Ausbildung / Sensibilisierung (Joseph Weizenbaum)
Inventar der Datensammlungen
Auskunftsbereitschaft erstellen
Registrierung von Datensammlungen
Weitergabe von Personendaten
Export von Personendaten ins Ausland
Outsourcing-Partner konkret
verpflichten und überprüfen
Interner oder externer DSV
Audit zur Standortbestimmung
14.06.2012 Digicomp Hacking Day 2012 30

31. VIELEN DANK
Ihre Lösung beginnt mit einem Kontakt bei uns:
+41 (0)41 984 12 12, infosec@infosec.ch
reto.zbinden@infosec.ch | +41 (0)79 446 83 00

32. Exkurs: Sicherheitsfragen BYOD
Welche Geräte haben überhaupt Zugang zu den
Geschäftsdaten?
Sind diese Geräte im Besitz der Mitarbeiter oder des
Unternehmens?
Verfügen die Geräte über angemessene Sicherheitsfeatures?
Kann das Unternehmen verlorene Geräte vor unbefugten
Zugriff auf Daten sperren?
Können die Daten auf den Geräten verschlüsselt werden?
Gibt es einen Mechanismus für das Management und die
Authentifizierung aller Geräte im Unternehmen?
Völliger Verzicht auf Support?
Support bis zur Virtualisierungsschicht?
Ersatzlösung für unbrauchbare oder verschwundene
Geräte?
14.06.2012 Digicomp Hacking Day 2012 32

33. Exkurs: Sicherheitsanforderungen BYOD
Schutz
Der angestrebte Grundschutz auf dem jeweiligen mobilen Endgerät
umfasst folgende Punkte:
Sicheren / Verschlüsselten Transfer der Geschäftsdaten
„Data in transit“
transit“
Verschlüsselung der Geschäftsdaten auf dem Endgerät
rest“
„Data in rest“
Löschen der Geschäftsdaten aus der Ferne
wipe“
„selective remote wipe“
Lokaler Zugriffsschutz auf die Geschäftsdaten
„Data separation“
separation“
Wie werden die Geräte in das Unternehmensnetzwerk eingebunden,
ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zu
reglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen
Daten angemessen zu gewährleisten? 33