Überwachung im Home Office: Was Mitarbeiter und ihre Chefs wissen müssen
Aufzeichnung von Mausbewegungen und Tastaturanschlägen, automatische Screenshots und Gesichtserkennung, GPS-Ortung, Berechnung von Produktivitäts-Scores: Die Corona-Krise hat dafür gesorgt, dass weltweit hunderte Millionen Menschen im Home Office arbeiten, und manche von ihnen werden von dort nicht mehr regulär ins Büro zurück kehren (Trending Topics berichtete). Der Trend zu Remote Work hat einige unbeabsichtigte Folgen, und eine davon ist der Aufstieg von Überwachungstechnologien für Heimarbeiter.
Startups und Software-Firmen wie Hubstaff, Enaible, Sneek oder Pragli bieten Unternehmen Technologien und Online-Tools an, um die Remote Worker zu überwachen (Trending Topics berichtete). Nun könnten auch in Österreich Chefs auf die Idee kommen, dass Kontrolle besser ist als Vertrauen und den Mitarbeitern im Home Office einen digitalen Watchdog zur Seite stellen. Doch geht das in Österreich überhaupt?
„Grundsätzlich gilt: Die ArbeitnehmerInnen und der Betriebsrat müssen darüber informiert werden. Nicht alles, was technisch möglich ist, ist auch rechtlich erlaubt. Es kommt auf die Kontrollintensität an“, sagt Martina Chlestil, Rechtsexpertin bei der Arbeiterkammer Wien. „Generell ist festzuhalten, dass bei der Beurteilung der Zulässigkeit von Kontrollmaßnahmen im Home Office dieselben Regelungen heranzuziehen sind, wie bei Kontrollmaßnahmen am Arbeitsplatz des Arbeitnehmers im Betrieb.“ Zu berücksichtigen sind Arbeits- wie Datenschutzgesetze, also
- das Arbeitsverfassungsrecht (ArbVG)
- das Arbeitsvertragsrechtsanpassungsgesetz AVRAG)
- das Europäische Datenschutz-Grundverordnung (DSGVO)
- das Datenschutzgesetz (DSG)
Doch was heißt das im Detail?
Eine Frage der Menschenwürde
Es ist unzählige Mal passiert und gehört zum Home-Office-Alltag: Die Webcam zeigt am anderen Ende, wie ein Familienmitglied des Gesprächspartners ins Zimmer kommt oder die Kinder ins Bild springen – tiefe, ungewollte Einblicke ins Privatleben. Muss das sein? Es kommt darauf an.
Generell ist bei Überwachung die Frage nach der Menschenwürde und des Datenschutzes zu stellen. Dinge wie die Zutrittskontrolle beim Betreten des Arbeitsorts mittels Stechuhr oder die Pflicht zum Tragen eines Firmenausweises auf dem Firmengelände berühren die Menschenwürde nicht, aber bei digitalen Tools kann es grenzwertig werden. „Berührt wird die Menschenwürde bei Kontrollmaßnahmen wie etwa in Arbeitsbereichen eingesetzten Videoüberwachungskameras, bei der GPS-Ortung von Mitarbeitern oder der Aufzeichnung der Leistung durch Maschinen, die einen Rückschluss auf die Arbeitsleistung des an der Maschine tätigen Arbeitnehmers zulassen“, sagt Chlestil – und genau das tut auch oft Software, die für das Organisieren von Remote Work gedacht ist.
Werden etwa durch eingesetzte Überwachungssoftware im Minutentakt Fotos der Mitarbeiter per Webcam gemacht, damit die anderen sehen, ob man vor dem Computer sitzt oder es wird erfasst, ob man am Rechner sitzt, indem die Aktivität von Tastatur und Maus überwacht wird, „dann bewirken diese Maßnahmen eine derart übersteigerte Kontrollintensität (noch dazu im Privatbereich des Arbeitnehmers), die zu einem angestrebten, legitimen Kontrollzweck in keinerlei Relation steht“, sagt Chlestil. „Das heißt sie ist unverhältnismäßig und daher unzulässig.“
Die Videokamera im Wohnzimmer
Die Videokamera, standardmäßig in Notebooks, Smartphones und Tablets eingebaut, ist eine besonders heikle Angelegenheit. Prinzipiell ist die Videoüberwachung zur Mitarbeiterkontrolle laut Datenschutzgesetz verboten. „Klar unzulässig ist es daher, wenn der Arbeitgeber die Arbeitsleistung von im internen (und noch dazu eindeutig privaten) Bereich tätigen ArbeitnehmerInnen durch Kameras beobachten will“, sagt Chlestil. „Und darunter könnte auch die Webcam einer Software fallen.“
Aber Achtung: Das bedeutet nicht, dass ein Skype- oder Zoom-Videocall unzulässig ist. „Ein berechtigtes Interesse des Arbeitgebers am Einsatz eines Systems mit Kameras kann etwa die Organisation von Teambesprechungen sein, aber es sollen nicht primär ArbeitnehmerInnen beobachtet werden“, sagt Chlestil. Wenn dabei aber „betriebsexterne Personen“ (also etwa Kinder, Familienmitglieder) ins Blickfeld geraten können, wird die Menschenwürde berührt – deswegen müsse man sich auch bei Videocalls überlegen, ob ein rein akustischer Call nicht auch ausreichend wäre.
Algorithmus, der bewertet
Die Daten, die Überwachungs-Software von Mitarbeitern aufzeichnen kann, kann auch dazu verwendet werden, berechnen zu wollen, wie fleißig ein Mitarbeiter ist. Das Startup Enaible aus Boston etwa will einen Produktivitäts-Score mittels Algorithmus erstellen, der dem Chef sagt, wie gut oder schlecht ein Mitarbeiter performt. Berühmt-berüchtigt ist auch der AMS-Algorithmus, der beim österreichischen Arbeitsmarktservice die zukünftigen Chancen von Arbeitssuchenden am Arbeitsmarkt berechnet und sie in Gruppen einteilt.
„Bis zu einem gewissen Grad kann der Arbeitgeber natürlich bestimmte „Überwachungsmethoden“ einsetzen: Zum Beispiel eine Zeitaufzeichnung, die läuft aber selten algorithmisch, sondern muss manuell erfolgen“, sagt Iwona Laub von der österreichischen Datenschutzorganisation epicenter.works. „Wenn es aber Unternehmen gibt, die die Performance der MitarbeiterInnen algorithmisch mit irgendwelchen Tools messen, dann gilt große Obacht. Was absolut nicht geht, ist, dass der Arbeitgeber zum Beispiel eine Bildschirmaufzeichnung macht, private Emails liest usw. Auch dann, wenn das eine „Maschine“ macht.“
Für den Einsatz sind vor allem zwei Dinge entscheidend: Datenverarbeitungen, die eine Bewertung von ArbeitnehmerInnen (einschließlich des Erstellens von Profilen und Prognosen) zum Ziel haben, brauchen zuallererst einmal eine Datenschutz-Folgenabschätzung (gemäß Art 35 DSGVO und DSFA-V). Darüber hinaus haben Arbeitnehmer bzw. die Betriebsräte Zustimmungs- bzw. Vetorechte – diese dienen als Schutz vor Datenverarbeitungen, die ihre Interessen gefährden.
Die Sache mit der Zustimmung
Ob und welche Überwachungstechnologien in einer Firma zum Einsatz kommen, ist auch eine Frage, ob die Mitarbeiter mitspielen. „Kontrollmaßnahmen, die die Menschenwürde berühren, d.h. die Persönlichkeitsrechte der ArbeitnehmerInnen entsprechend tangieren (z.B. Videoüberwachung am Arbeitsplatz, GPS-Ortung von AußendienstmitarbeiterInnen oder die systematische Aufzeichnung der Arbeitsleistung durch Maschinen), dürfen nur eingesetzt werden, wenn der Betriebsrat mit dem Betriebsinhaber darüber eine Betriebsvereinbarung getroffen hat“, sagt Chlestil von der Arbeiterkammer. „Ohne Abschluss einer entsprechenden Betriebsvereinbarung ist der Einsatz derartiger Systeme rechtswidrig und die Kontrolleinrichtungen müssen vom Arbeitgeber entfernt werden.“
Der Betriebsrat kann, wenn mindestens drei Arbeitnehmer von der Maßnahme betroffen sind, auf Unterlassung oder Beseitigung klagen. In vielen kleinen Unternehmen (Österreich ist ein KMU-Land) gibt es aber keinen Betriebsrat, der sich um solche Angelegenheiten kümmert. Dann muss der Chef die Zustimmung von jedem einzelnen Arbeitnehmer einholen. Die sollte schriftlich erfolgen und kann auch jederzeit widerrufen werden, auch eine Befristung kann vereinbart werden.
„Wie das in der Realität aber aussieht, wissen wir: In einem Unternehmen ohne Betriebsrat können sich die MitabeiterInnen de facto nicht dagegen wehren, denn oft werden einzelne „aufbegehrende“ MitarbeiterInnen einfach durch andere ausgetauscht“, sagt Laub von epicenter.works. Eine Möglichkeit: Man wendet sich an die Arbeiterkammer.
Recht auf Auskunft
Sollten Mitarbeiter einmal zugestimmt haben, dass bestimmte Überwachungs-Software eingesetzt wird, dann können sie vom Arbeitgeber auch verlangen, die Daten, die über sie gespeichert werden, herauszurücken. „Jeder einzelne Arbeitnehmer hat das persönliche Recht auf Geheimhaltung der ihn betreffenden personenbezogenen Daten und damit verbunden ein Auskunftsrecht, welche ihn betreffende Daten verarbeitet werden“, sagt Chlestil von der Arbeiterkammer. Man könne verlangen, die konkreten Daten, deren Herkunft, deren Verknüpfungen mit anderen Daten und allfällige Übermittlungen einzusehen.
Der Arbeitgeber hat nach der DSGVO auch die Verpflichtung, rechtswidrig verarbeitete oder unrichtige Beschäftigtendaten richtig zu stellen bzw. zu löschen.
US-Software ist kein Hindernis
Ein wichtiger Punkt ist auch, wo die Daten der Mitarbeiter ausgewertet werden. Da könnte man meinen, dass österreichische Firmen Abstand von internationalen Anbietern nehmen müssten. Dem ist aber nicht so. „Es gibt keine Verpflichtung, dass Daten zB. auf österreichischen Servern gespeichert werden oder ausländische Dienstleister hinzugezogen werden. Sogar der Staat setzt auf diese Mittel, man beachte zB. die Software für Gesichtserkennung etc. Das ist hochproblematisch, weshalb ArbeitgeberInnen sehr genau darüber aufgeklärt werden müssen, welche Nachteile die Nutzung ausländischer Unternehmen mit sich bringt“, sagt Laub von epicenter.works.
Erfolgen Datenübermittlungen ins EU-Ausland, ist jedenfalls sicherzustellen, dass das Schutzniveau der DSGVO nicht untergraben wird. „Auch das Drittland muss daher ein angemessenes Datenschutzniveau bieten. Bei Inanspruchnahme eines IT-Dienstleisters mit Sitz in den USA ist zu prüfen, ob sich das Unternehmen dem „EU-US Privacy Shield“ unterworfen hat“, sagt Chlestil von der Arbeiterkammer. „Wenn ja, ist „nur“ der übliche Auftragsverarbeitervertrag abzuschließen. Wenn nicht, ist für eine genehmigungsfreie Datenübermittlung die Vereinbarung der Standardvertragsklauseln der EU-Kommission erforderlich.“
Super, jetzt kommen die Startups mit Überwachungs-Tech fürs Home Office