Totale Kontrolle: Wenn der Arbeitgeber jeden Klick protokolliert
Arbeitgeber können Mitarbeiter umfassend überwachen – von Chat-Analysen bis zu Bewegungsprofilen. Datenschutzexperte Wolfie Christl warnt vor den Risiken.
(Bild: Elnur/Shutterstock.com / Bearbeitung: heise online)
Verhaltensanalyse, Risikoerkennung, Leistungskontrolle – die digitale Überwachung am Arbeitsplatz nimmt immer ausgeklügeltere Formen an. Eine bisher zu wenig beachtete Studie des Überwachungsforschers Wolfie Christl zeigt auf, wie Microsoft und andere ihren Unternehmenskunden weitreichende Möglichkeiten zur Mitarbeiterüberwachung anbieten. Die Systeme versprechen mehr IT-Sicherheit, werfen aber auch grundlegende Fragen zum Datenschutz und zur Privatsphäre am Arbeitsplatz auf. Im Interview spricht Wolfie Christl über die problematischen Entwicklungen bei der algorithmischen Verhaltensanalyse von Beschäftigten und erklärt, warum viele dieser Praktiken in Deutschland rechtlich bedenklich sein könnten.
heise online: Herr Christl, Sie unterscheiden in Ihrer Studie zwischen legitimer Cybersicherheit und problematischer Überwachung. Wo verläuft diese Grenze und wann wird es bedenklich?
Wolfie Christl: In Logdaten werden heute alle möglichen Verhaltensdaten über Beschäftigte gespeichert, unabhängig davon, ob sie Geräte, Maschinen oder Programme nutzen. Dies wirft in vielen Bereichen die Frage auf, wie Arbeitgeber mit diesen Daten umgehen. Softwarehersteller, häufig aus den USA, bieten zahlreiche Möglichkeiten an, wie diese Daten genutzt werden können. Meiner Meinung nach ist diese Entwicklung außer Kontrolle geraten.
(Bild: Wolfie Christl)
Ich habe in den letzten Jahren viele Software-Systeme untersucht, mit denen Arbeitgeber vielfältige Beschäftigtendaten auswerten können. Problematische Anwendungen gibt es einerseits im Bereich der Leistungskontrolle. Betriebe wollen Arbeitsprozesse optimieren und effizienter gestalten. Dabei wird digital vermessen, wie lange bestimmte Arbeitstätigkeiten dauern. Leistungsauswertungen können Mitarbeiter unter Druck setzen und werden daher im deutschen Beschäftigtendatenschutz als besonders kritisch berücksichtigt.
Ein anderer problematischer Bereich tut sich im Feld der IT-Sicherheit auf. Natürlich müssen sich Organisationen vor Viren und Cyberattacken schützen und dazu auch Daten auswerten. Aktuelle Software-Systeme für Cybersicherheit und "Compliance" gehen dabei sehr weit. Microsoft bietet mit Purview und Sentinel invasive Systeme an, die im Endeffekt alles überwachen können, was Beschäftigte schreiben, sagen und tun. Im Hintergrund werden durch laufendes KI-basiertes Profiling bestimmte Kommunikations- oder Verhaltensmuster als Risiken erkannt. Ranglisten verdächtiger Mitarbeiter sollen diejenigen identifizieren, die dem Unternehmen durch Unachtsamkeit, Fahrlässigkeit oder mit Absicht Schaden zufügen könnten.
Das ist eine Art von "Predictive Policing". Dabei werden Kommunikations- und Verhaltensdaten über lange Zeiträume analysiert, um künftige Vorfälle vorherzusagen und zu verhindern, bevor sie passieren. Ich halte viele der angebotenen Funktionen für unverhältnismäßig und rechtlich problematisch.
Ist es wirklich nötig, Daten langfristig zu speichern, wenn nur akute Risiken erkannt werden?
Ich würde sagen, manches kann Sinn ergeben, wenn es kontrolliert erfolgt. Doch grundsätzlich stellt sich bei vielen dieser neuen Cybersicherheitssysteme, die Verhaltens- und Logdaten aus verschiedenen Unternehmensbereichen zusammenführen und analysieren, die Frage: Ist das alles notwendig und verhältnismäßig? Es geht dabei nicht nur darum, welche Daten über welche Verhaltensweisen aus welchen Quellen im Unternehmen einbezogen werden, sondern auch darum, welche Art von Profiling durchgeführt wird und auf welche Beschäftigtengruppen es sich bezieht. Es gibt große Unterschiede. Ich verstehe beispielsweise, dass man einem Serveradministrator, der dafür zuständig ist, ein System zu sichern, über das täglich Millionen von Euro an Transaktionen abgewickelt werden, und der hoch bezahlt ist, möglicherweise eine viel weiterreichende Überwachung zumuten kann. Dabei geht es auch darum, ihn selbst zu schützen, etwa davor, dass sein Account übernommen wird.
In einzelnen Bereichen kann es legitim sein, eine sehr umfassende Verhaltensüberwachung durchzuführen. Was aus meiner Sicht aber auf keinen Fall geht, ist, eine derartige Komplettüberwachung pauschal auf die gesamte Belegschaft eines Unternehmens auszuweiten, ohne darüber nachzudenken, wo welche Risiken liegen und was genau der Zweck ist. Wenn wir uns diese Systeme anschauen, beispielsweise von Microsoft, dann sind das mächtige Überwachungstools, die immense Risiken bergen, etwa in Bezug auf den Missbrauch durch den Arbeitgeber. Der deutsche Beschäftigtendatenschutz bietet Möglichkeiten, diese Risiken einzudämmen und IT-Sicherheit zu gewährleisten, ohne die Rechte der Mitarbeiter mit Füßen zu treten.
Wie ist das, wenn Microsoft Teams verdächtige Aktivitäten meldet – etwa die Weitergabe eines Passworts – sollte eine Überprüfung nicht nur bei konkretem Verdacht erfolgen?
Da möchte ich etwas ausholen. Einerseits gibt es in Teams eingebaute Auswertungsfunktionen. Außerdem bietet Microsoft das mächtige System Purview an, das mehrere Module umfasst. Eines dieser Module ist "Communication Compliance". Dieses Tool kann sämtliche Kommunikationsinhalte von Beschäftigten analysieren, in Teams, in Transkripten von Meetings oder in Anrufen, E-Mails und mehr. Es kann KI-Profiling-Algorithmen nutzen, um angeblich zu erkennen, ob Firmengeheimnisse erwähnt werden oder gegen Unternehmensrichtlinien verstoßen wird. Es verspricht auch, zu erkennen, ob jemand das Unternehmen sabotieren oder schädigen will.
Um zu verhindern, dass ein Passwort in einem Teams-Chat geteilt wird, könnte ein Algorithmus ohne jeden Personenbezug ausreichen, der solche Aktionen erkennt und verhindert. Es gibt also verhältnismäßigere Mittel. Das "Communication Compliance"-Tool von Purview geht weit darüber hinaus und ermöglicht eine umfassende Überwachung jeglicher Kommunikation für verschiedene Zwecke. Arbeitgeber können Alarme für bestimmte Stichwörter oder Phrasen einrichten.
Weiter habe ich das "Insider Risk Management" von Purview untersucht. Dieses System betrachtet Beschäftigte als potenzielle Risiken, die das Unternehmen von innen bedrohen. Es bezieht eine Vielzahl von Daten ein, nicht nur Kommunikationsdaten, sondern auch Verhaltensdaten, wie Web-Browsing, welche Dateien wann geöffnet werden und sogar Badging-Daten aus der Zutrittskontrolle beim Betreten von Gebäuden oder Räumen.
Zusätzlich gibt es das System Sentinel von Microsoft, ein sogenanntes SIEM-System (Security Information and Event Management) mit nochmals erweiterten Funktionen. Dieses Cybersecurity-System integriert Daten aus allen Unternehmensbereichen, wertet Geräte- und Netzwerkaktivitäten aus und verspricht, "anormale" Verhaltensweisen zu erkennen. Während es primär für die Erkennung von Cyberangriffen gedacht ist, kann es auch Alarme über als verdächtig eingestufte Beschäftigte aus der Kommunikationsüberwachung und Insider Risk Management einbeziehen. In Kombination ergibt sich eine Art umfassende Überwachung, ähnlich der NSA-Massenüberwachung, innerhalb eines Unternehmens.
Haben Sie dann eher den Eindruck, dass die Überwachung ein Abfall- beziehungsweise Nebenprodukt ist? Oder ist das schon so gewollt?
Bei beiden Systemen – Purview und Sentinel – stellt sich die Frage, welche Daten einbezogen und welche Verhaltensweisen als verdächtig gemeldet werden. Arbeitgeber haben viele Einstellungsmöglichkeiten, aber die eingebauten Profiling-Mechanismen sind sehr umfassend. Microsoft schlägt etwa vor, Leistungsbeurteilungen aus dem HR-System einzubeziehen und Beschäftigte mit schlechten Bewertungen genauer zu überwachen. Die Softwarehersteller schlagen oft invasive Maßnahmen vor, ohne ausreichend darauf hinzuweisen, dass vorab genau geklärt werden muss, welche Daten einbezogen werden, welche Arten von Profiling stattfindet, für welche Zwecke und welche Maßnahmen es gibt, um Missbrauch zu verhindern.
Arbeitgeber können Systeme wie Sentinel sicher auch verhältnismäßig einsetzen, aber die Hersteller empfehlen oft den Datenexzess. Sentinel kann etwa viele Logdaten analysieren und Anomalien erkennen, muss das aber nicht zwingend mit den Identitäten der Beschäftigten verknüpfen. Microsoft empfiehlt jedoch genau diese Verknüpfung mit Identitätsdaten.
Es besteht der Verdacht, der auch in ihrem Podcast (siehe unten) diskutiert wurde, dass viele Arbeitgeber oder Administratoren nicht mal wirklich wissen, was die Systeme machen. Sie schalten sie ein und nutzen die Standardeinstellungen oder Empfehlungen, die Microsoft als "Best Practices" in der Dokumentation vorschlägt. Ob Beschäftigtendatenschutz ausreichend berücksichtigt wird und die Systeme überhaupt legal eingesetzt werden, ist fraglich. In meiner Studie zum Thema habe ich allerdings die Software untersucht, nicht den konkreten Einsatz in Unternehmen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Ein Beispiel für den konkreten Einsatz ist Securonix, ein ähnlicher Anbieter, über den 2021 im c't-Podcast und in einem Artikel von Eva Wolfangel in der Zeit berichtet wurde (auch bei Riff Reporter verfügbar). Es ging um den Einsatz bei der UniCredit Services in Deutschland, wo ein Beschäftigter die Probleme und Befürchtungen schilderte. Der Fall ging vor das Arbeitsgericht, aber es ist leider unklar, wie es weiterging.
Würden Sie sagen, dass Microsoft diese Systeme einfach aus den USA hierher gebracht hat, weil sie dort bereits existieren? Wurden die Systeme gar nicht für den europäischen Markt angepasst?
Microsoft passt die angebotenen Funktionen manchmal an verschiedene regulatorische Umfelder an, etwa für die EU oder für Deutschland. Ich habe ein anderes Microsoft-System für Außendienst und algorithmisches Management via Smartphone untersucht. Dabei stehen die eingebauten Auswertungen über die Leistung der Beschäftigten weltweit zur Verfügung, aber nicht in Deutschland. Das könnte am guten deutschen Beschäftigtendatenschutz liegen. Solche Anpassungen habe ich bei den Cybersicherheitssystemen nicht gefunden. Meines Wissens vermarktet und verkauft Microsoft diese Systeme ohne große Anpassungen auch im deutschsprachigen Raum.
Vielleicht kann meine Studie und die Debatte darüber dazu beitragen, dass Microsoft Deutschland die angebotenen Funktionen, Standardeinstellungen und Empfehlungen in der Dokumentation genauer überprüft.
Bekanntermaßen bindet Microsoft generative Sprachmodelle von OpenAI in viele Produkte ein. Wissen Sie zufällig, ob das auch bei der Auswertung der Gespräche der Fall sein könnte?
Das kann ich nicht sagen. Microsoft Purview und Sentinel bieten viele Funktionen, die man als KI bezeichnen kann. Dazu gehören probabilistische KI-Modelle, die bestimmte Arten von Kommunikation erkennen sollen. Microsoft verspricht etwa, zu erkennen, ob es in der Kommunikation um Bestechung, Korruption, Sabotage oder Belästigung geht. Spezifisch für diese Zwecke trainierte Machine-Learning-Modelle sind hier sicherlich besser geeignet als generative Sprachmodelle.
Die Cyber-Sicherheitssysteme und Insider-Risk-Systeme nutzen KI-basierte Anomalie-Erkennung, die es schon lange gibt. Auch hier braucht es keine generative KI. Microsoft hat Copilot aber mittlerweile auch in die Cybersicherheitssysteme eingebaut. In meiner Studie habe ich dieses Thema ausgeblendet, weil der Hype über generative KI aktuell so dominant ist, dass andere KI-Anwendungen, die schon länger existieren und potenziell größere Auswirkungen haben, oft übersehen werden.
Gab es etwas in Ihrer Studie, das Sie besonders überrascht hat, vielleicht Aspekte, die Ihnen in dieser Form nicht bewusst waren oder die Sie so nicht erwartet hätten?
Ich war überrascht, wie offensiv Microsoft die umfassende Kommunikationsüberwachung bewirbt, die weit über herkömmliche Cybersicherheitsmaßnahmen hinausgeht und für eine Vielzahl von Zwecken eingesetzt werden kann. Diese breite Anwendungsmöglichkeit ist ziemlich schockierend.
Neben der Totalüberwachung der Kommunikation bieten Microsoft’s SIEM- und UEBA-Systeme an, Verhaltensdaten zu analysieren und zu profilieren. Diese Verhaltensdaten sind oft personenbezogen und geben Auskunft über das Verhalten der Beschäftigten im Arbeitsalltag. Diese Technologien, die ursprünglich aus dem militärischen Bereich stammen und von Unternehmen wie Forcepoint, mittlerweile bekannt als Everfox, eingeführt wurden, sind nun in Sektoren wie Finanzen und kritischer Infrastruktur weitverbreitet.
Ein besonders beunruhigender Aspekt ist die Frage, ob derartige Systeme etwa flächendeckend auf alle Beschäftigten angewendet werden. Solch eine umfassende Überwachung birgt das Risiko, dass Arbeitgeber diese Tools missbrauchen, um ihre Mitarbeiter auszuspionieren. Dies stellt ein erhebliches Risiko dar und muss verhindert werden, um die Privatsphäre und Rechte der Beschäftigten zu schützen.
Sie erwähnten viele Unternehmen. Könnte Palantir, das oft wegen Datenschutz kritisiert wird, auch in diesem Bereich tätig sein, da es damit wirbt, umfassende Einblicke zu bieten, ähnlich wie Anduril?
Palantir, bekannt für seine Verbindungen zum US-Geheimdienst, bietet Datenzusammenführung und Prozessanalyse für Unternehmen an. Diese Tools werden auch in der Risiko- und Betrugserkennung eingesetzt. Ich habe kürzlich ein verwandtes Prozessanalyse-System der deutschen Firma Celonis untersucht.
Software von Palantir und ähnlichen Herstellern wird jedenfalls zunehmend auch in Europa und Deutschland eingesetzt, wo der Datenschutz eine große Rolle spielt. In Deutschland ist die betriebliche Mitbestimmung entscheidend. Die Einführung von invasiven Cybersecurity-Systemen wie Microsoft Purview und Sentinel muss vom Betriebsrat genehmigt werden, was bedeutet, dass es eine Betriebsvereinbarung braucht. Diese Vereinbarung sollte klar definieren, welche Daten genutzt werden, was notwendig und verhältnismäßig ist, und wie mit als "verdächtig" eingestuften Verhaltensweisen umgegangen wird.
Es gibt viele Möglichkeiten, um den Einsatz solcher Systeme verantwortungsvoll zu gestalten. Maßnahmen wie das Vier-Augen-Prinzip, also die Einsicht in vergangene Kommunikation nur im Beisein des Betriebsrats, können helfen, die Privatsphäre und Würde der Beschäftigten zu schützen. So wird sichergestellt, dass die Technologie zwar genutzt wird, aber nicht auf Kosten der Rechte und der Autonomie der Mitarbeiter.
Videos by heise
Haben Unternehmen mit diesen Technologien die Büchse der Pandora geöffnet?
Ja, ich würde tatsächlich sagen, dass mit der Einführung dieser Technologien die Büchse der Pandora geöffnet wird. Wenn wir diese Entwicklungen nicht unter Kontrolle bringen, könnte das zu einer dystopischen Entwicklung führen. Nicht nur im Alltag, sondern auch in der Arbeitswelt ist heute alles von Datenverarbeitung und Informationstechnologie durchdrungen. Der Worst Case wäre eine Art "Arbeitsplatz-Totalitarismus", in dem Unternehmen allein bestimmen, wie Technologien und Daten eingesetzt werden, ohne ausreichende Kontrolle oder Regulierung.
Es ist wichtig, dass wir diese Technologien sowohl durch rechtliche Rahmenbedingungen als auch durch unternehmensinterne Richtlinien in den Griff bekommen. In Deutschland spielt das Betriebsverfassungsrecht eine entscheidende Rolle. Die Mitbestimmung durch den Betriebsrat ist ein wirksames Mittel, um sicherzustellen, dass die Interessen und Rechte der Beschäftigten gewahrt werden. Der Betriebsrat sollte von Unternehmen frühzeitig informiert werden, wenn neue Überwachungstechnologien eingeführt werden, und eine detaillierte Betriebsvereinbarung ausarbeiten, die festlegt, wie diese Technologien eingesetzt werden dürfen. Diese Vereinbarungen sollten klare Richtlinien enthalten, welche Daten gesammelt werden, zu welchem Zweck, und wie der Missbrauch verhindert werden kann. Der Betriebsrat hat zudem das Recht, die Einhaltung dieser Vereinbarungen zu kontrollieren.
Opt-in-Lösungen, bei denen einzelne Beschäftigte zustimmen müssen, halte ich für ungeeignet, da am Arbeitsplatz ein Machtungleichgewicht herrscht. Beschäftigte könnten sich unter Druck gesetzt fühlen, zuzustimmen, ohne wirklich frei zu entscheiden. Hier bietet die kollektive Mitbestimmung durch den Betriebsrat einen besseren Schutz.
Es ist ebenso wichtig, dass Unternehmen selbst kritisch darüber nachdenken, wie sie diese Technologien einsetzen. Oft werden solche Systeme einfach aktiviert, weil sie interessante Funktionen bieten, ohne die potenziellen Risiken zu berücksichtigen.
Die Politik sollte Druck auf die Softwarehersteller ausüben, insbesondere auf große Anbieter wie Microsoft, um sicherzustellen, dass ihre Produkte nicht flächendeckend für problematische Zwecke eingesetzt werden. Die angebotenen Funktionen und die Dokumentation müssen den verantwortungsvollen Einsatz fördern und dürfen nicht zu invasiven Überwachungspraktiken verleiten.
In den USA ist es so, dass viele es als absurd empfinden, wenn man sagt, dass der Arbeitgeber nicht alles überwachen darf. In Deutschland und Österreich sind wir in dieser Hinsicht ganz anders aufgestellt. Ein Beschäftigtenverhältnis bedeutet hierzulande nicht, dass wir damit automatisch alle Rechte am Büroeingang abgeben.
Könnten Sie uns einen Einblick geben, was uns möglicherweise bevorstehen könnte, wenn wir diese Entwicklungen unkontrolliert lassen? Sie haben sicherlich Erfahrung mit den Praktiken in den USA.
In den USA wird momentan viel darüber diskutiert, und ich hatte sogar Kontakt mit der mächtigen US-Regulierungsbehörde FTC, die sich in letzter Zeit auch mit Beschäftigtenüberwachung befasst hat. Leider scheint es, als ob derartige Ansätze mit der Trump-Administration bald der Vergangenheit angehören werden.
Meiner Ansicht nach hat unsere Informationsgesellschaft keine Zukunft, wenn diejenigen, die Zugriff auf all diese Daten haben, damit tun können, was sie wollen. Das würde das Vertrauen in die Digitalisierung sowohl am Arbeitsplatz als auch in der breiteren Gesellschaft zerstören. Wenn Verbraucher ständig damit rechnen müssen, dass ihre Daten ohne Kontrolle weitergegeben und für fragwürdige Zwecke genutzt werden, kann unsere digitale Gesellschaft und Ökonomie nicht funktionieren.
Es ist im gesamtgesellschaftlichen Interesse, dass wir diese Entwicklungen sowohl im Alltag als auch am Arbeitsplatz in den Griff bekommen.
Was würden Sie Mitarbeitern empfehlen, die den Verdacht haben, sich auf dem Radar solcher Überwachungssysteme zu befinden? Also, was kann ich tun, wenn ich das merke?
Meine Forschung führe ich gemeinsam mit Gewerkschaften durch. Darum ist sie klar auf die Perspektive der Beschäftigten ausgerichtet. Ich glaube fest daran, dass die Stärkung von Betriebsräten und der betrieblichen Mitbestimmung entscheidend ist, um positive Veränderungen im Umgang mit Überwachungstechnologien am Arbeitsplatz zu erreichen. Ein Betriebsrat hat in Deutschland viele Möglichkeiten, die Digitalisierung im Unternehmen mitzugestalten. Wenn ich als Beschäftigter besorgt wäre, würde ich mich an den Betriebsrat wenden. Wenn der Betriebsrat nicht handelt, könnte es an der Zeit sein, einen neuen Betriebsrat zu wählen. Wenn es keinen gibt, ist es wohl Zeit, einen zu gründen.
Es gibt natürlich auch andere Möglichkeiten für Widerstand gegen Überwachungsmaßnahmen. Kürzlich habe ich eine Studie über Bewegungssensoren veröffentlicht, die unter Schreibtischen angebracht werden, um festzustellen, ob jemand anwesend ist. Ein bemerkenswertes Beispiel ist eine US-amerikanische Universität, die solche Sensoren für Angestellte installierte. Die Betroffenen hielten dies für unangemessen und entfernten die Sensoren eigenhändig. Sie formten aus den Sensoren ein großes "No" und machten eine Social-Media-Kampagne. Der Druck führte dazu, dass die Universität das Programm einstellte.
Ähnliches ist kürzlich bei Boeing passiert, wo Beschäftigte, die entsetzt über neue Überwachungsmaßnahmen waren, sich an die Medien wandten. Der öffentliche Druck führte dazu, dass Boeing das Programm ebenfalls beendete.
Physische Überwachungsmaßnahmen wie Bewegungssensoren sind greifbar. Bei subtileren Formen der Datenerfassung und -analyse, die weniger sichtbar sind, stößt Aktionismus jedoch schnell an seine Grenzen. Hier sind institutionalisierte Prozesse notwendig, um solche Themen auszuhandeln und Lösungen zu finden, die die Privatsphäre und Rechte der Beschäftigten wahren. Der Betriebsrat spielt dabei eine zentrale Rolle, um solche Verhandlungen zu führen und sicherzustellen, dass die Interessen der Beschäftigten gewahrt bleiben.
Haben Sie ein Gefühl dafür, welche rechtlichen Grauzonen betreten werden oder vielleicht auch, inwieweit die Projekte in die Illegalität abrutschen?
Bei der vollständigen Überwachung der Kommunikation ist es entscheidend, dass der Zweck klar und rechtlich einwandfrei begründet wird. Es muss eine Datenschutzfolgeabschätzung vorgenommen werden, um die Risiken für die Rechte der Beschäftigten zu bewerten. Ich befürchte jedoch, dass dies oft nicht geschieht, wie auch in dem Podcast diskutiert wurde. Cybersicherheits-Systeme wie die von Forcepoint, jetzt Everfox, analysieren etwa, ob Beschäftigte in finanziellen Schwierigkeiten sind, um diese dann als Risiko für den Betrieb einstufen. Solche massiven Eingriffe in das Privatleben der Beschäftigten wären in Deutschland und Österreich wohl illegal.
Manche Systeme versprechen, eine negative Stimmung in der Kommunikation zu erkennen und leiten daraus ab, dass Beschäftigte zu Betrug neigen könnten. Dabei kommen Machine-Learning-Modelle zum Einsatz, die von Mustertexten lernen und angeblich bestimmte Arten der Kommunikation erkennen. Ich zweifle stark an der Zuverlässigkeit solcher Modelle. Die Möglichkeit, E-Mails nach bestimmten Stichwörtern oder Phrasen zu durchsuchen, könnte ebenfalls rechtlich problematisch sein.
Es gibt Beispiele aus der Praxis, wo Unternehmen lästige Beschäftigte oder gar den Betriebsrat ausspioniert haben. Aktuelle Cybersicherheitssoftware bietet viele Möglichkeiten für unrechtmäßige Beschäftigtenüberwachung.
Wie hoch ist das Risiko, dass Unternehmen unverhältnismäßig viele Daten über Beschäftigte sammeln, weil Microsoft es ihnen sehr leicht macht?
Ich bezweifle nicht, dass Unternehmen sich gegen Cyberattacken schützen müssen. Diese Bedrohungen sind komplex und erfordern die Auswertung von Daten. Die Vorstellung, dass Beschäftigte selbst ein bedeutendes Risiko darstellen, stammt aus dem Geheimdienstbereich. Manche Cybersicherheitssysteme wurden wohl mit dem Ziel entwickelt, künftig Leaks wie die von Edward Snowden zu verhindern. Derartige Systeme zur Erkennung von Bedrohungen durch "Insider" werden aber heute von vielen Herstellern für viele Branchen angeboten.
Ich habe Microsoft genauer untersucht, weil es einer der wichtigsten Anbieter von betrieblicher Software ist und diese Systeme leicht von Unternehmen eingesetzt und mit vielen Datenquellen verbunden werden können. Oft genügt es, eine Lizenz zu erwerben, und schon stehen mit einem Klick mächtige Überwachungsfunktionen zur Verfügung.
Es gibt diese Tendenz, wonach Beschäftigte zunehmend als potenzielles Risiko betrachtet werden. Sie stehen damit praktisch unter Generalverdacht. Microsoft scheint wenig darüber nachzudenken, ob es wirklich notwendig ist, alle verfügbaren Daten auszuwerten. Sie empfehlen beispielsweise die vollständige Kommunikationsüberwachung als Mittel gegen Belästigung. Das ist einerseits unverhältnismäßig und birgt andererseits das Risiko, dass die Überwachung schnell auf andere Zwecke ausgedehnt wird.
Microsoft motiviert die Unternehmen mit Punktebewertungen und gamifizierten "Dashboards" dazu, möglichst umfassende Überwachungsfunktionen zu aktivieren. Jede weitere Maßnahme erhöht die Punktezahl. Das führt potenziell dazu, dass Betriebe viele Funktionen einfach mal blind aktivieren, ohne dabei Notwendigkeit und Verhältnismäßigkeit zu berücksichtigen.
Die Arbeitgeber sollten zuerst prüfen, welche Gefahren und Risiken real existieren und welche verhältnismäßigen Mittel zur Verfügung stehen, und erst dann eine Lösung implementieren. Stattdessen wird häufig der umgekehrte Weg eingeschlagen, was ich für problematisch halte.
Es heißt immer, dass der Angriffsvektor Nummer eins der Mensch ist. Aber genau, was sie eben gesagt haben, lässt jetzt etwas grübeln. Wie schätzen Sie das ein?
Die Aussage, dass Beschäftigte ein potenzielles Risiko darstellen, ist weitverbreitet und natürlich nicht ganz falsch. Es betrifft nicht nur böswillige, sondern auch unachtsame oder fahrlässige Handlungen, die etwa zu einer Übernahme von Nutzerkonten führen können. Systeme mit eingebauten Profiling-Mechanismen, wie das "Insider Risk"-System von Microsoft, gehen aber sehr viel weiter und stellen etwa "unzufriedene" Beschäftigte unter besondere Beobachtung. Hier stellt sich die Frage, ob dies der richtige Ansatz ist oder ob nicht vielmehr die Unternehmenskultur verbessert werden sollte.
Es ist entscheidend, vor dem Einsatz solcher Systeme genau zu überlegen, welche Daten und welches Profiling wirklich notwendig und verhältnismäßig sind. Für welche Zwecke werden sie verwendet und welche Beschäftigten sind betroffen? Was sind die Abläufe, wenn jemand als Risiko identifiziert wird? Diese Punkte müssen klar definiert sein und werden in einer Vereinbarung mit dem Betriebsrat festgehalten. Datenschutzfolgeabschätzungen sind unerlässlich. Nur dann kann der Einsatz solcher Technologien legitim und rechtmäßig sein.
(vza)
