Eine Grundsatzfrage vorab: Was gilt in Bezug auf die IT-Infrastruktur, die den Mitarbeitenden zur Verfügung gestellt wird?
Die Arbeitgeberin bestimmt, welche Hard-/Software und Tools benutzt werden dürfen. Diese können in ihrem Eigentum stehen oder sie werden von den Mitarbeitenden im Rahmen von «Bring Your Own Device» gestellt. In beiden Fällen muss die Arbeitgeberin Anweisungen zur Sicherheit und Nutzung erteilen. Sie kann insbesondere jegliche private Nutzung der in ihrem Eigentum stehenden Geräte und Anwendungen verbieten. Was private Geräte betrifft, kann die private Nutzung während der Arbeitszeit verboten werden.
Nun nutzen bei der Schatten-IT Angestellte KI-Tools, die nicht im IT-Universum der Firma vorgesehen sind. Wie ist das arbeitsrechtlich auszulegen?
Verwenden Mitarbeitende bei der Arbeitsleistung Geräte, Software oder Tools ausserhalb der IT-Infrastruktur der Arbeitgeberin, können dadurch die IT-Sicherheit gefährdet und die Geheimhaltungs-, Datenschutz- sowie Aufbewahrungspflichten verletzt werden. Selbst wenn die bearbeiteten Daten vom Tool nicht gespeichert werden, kann bereits die Bearbeitung im Tool eine Verletzung der Geheimhaltungspflicht und des Datenschutzes bedeuten.
Welche Risiken bestehen?
Die Risiken sind enorm. Entscheidend ist, wie der Umfang der unerlaubten Nutzung ausfällt und welche Inhalte über externe Kanäle bearbeitet werden. Es ist weit weniger problematisch, wenn ich Chat GPT frage, wie eine schöne Grussformel für das Geschäftsmail auf Französisch lautet, als wenn ich einen ganzen Vertrag oder ein Arbeitszeugnis mit Namen schreiben lasse. Hinzu kommt, dass allenfalls dann Daten nicht oder nicht vollständig im System der Arbeitgeberin abgelegt sind.
Inwiefern ist das Verfassen eines solchen Arbeitszeugnisses mithilfe von KI strafbar?
Bei einer unrechtmässigen Nutzung kann eine strafbare Handlung vorliegen. Dabei wird jene natürliche Person bestraft, welche hätte korrekt handeln müssen und verantwortlich war. In Einzelfällen wird das Unternehmen an sich strafrechtlich verfolgt. Ein schönes Beispiel sind die von der US-Börsenaufsicht SEC der UBS und Credit Suisse auferlegten Bussen in Millionenhöhe, da Bankangestellte via Whatsapp und Signal über geschäftliche Angelegenheiten geschrieben hatten, was nicht korrekt archiviert werden konnte.
Und wenn nun Mitarbeitende KI-Applikationen auf eigene Faust nutzen, weil sie unzufrieden sind mit dem Angebot ihrer Firma?
Das ist eine nicht zu unterschätzende Problematik. Die Nutzung externer IT-Infrastruktur stellt eine Fehlerquelle dar, die ein erhebliches Haftungsrisiko für die Arbeitgeberinnen und die Mitarbeitenden birgt. Dies kann nicht nur zu Vermögensschäden, sondern auch zu Personen- sowie Sachschäden führen, womit wiederum die Strafbarkeit ebenfalls Thema ist. Deshalb muss die Nutzung von KI geschult sein und sorgfältig erfolgen.
Wenn aber Angestellte die Tools ohne das Wissen ihrer Vorgesetzten nutzen, wie erfahren Firmen davon, respektive wie sollten sie sich verhalten?
Selbst wenn ich als Arbeitgeberin den Zugriff auf anderweitige Tools sperre, kann ich nicht verhindern, dass Mitarbeitende auf privaten Geräten KI nutzen und dort unrechtmässig Daten eingeben. Doch eine ständige Überwachung des Verhaltens der Mitarbeitenden mit technologischen Möglichkeiten ist grundsätzlich unzulässig. Deshalb folgt die Überwachung der Nutzung der IT-Infrastruktur in der Regel auf anonymisierter Basis zur Sicherung des Systems und die personenbezogene Auswertung erst bei konkretem Verdacht auf Missbrauch. Dies ist zulässig, wenn in arbeitsvertraglichen Dokumenten vorgesehen, und es ist nur möglich, sofern geschäftliche Geräte genutzt oder via VPN mit privaten Geräten auf die IT-Infrastruktur der Arbeitgeberinnen zugegriffen wird.
Auf welche Daten auf einem Computer einer Mitarbeiterin darf die Arbeitgeberin zugreifen?
Jegliche geschäftliche Nutzung und deren Produkte wie Dokumente, E-Mails oder Daten gehören der Arbeitgeberin. Diese darf und muss jederzeit darauf Zugriff haben. Insofern können Arbeitgeberinnen jederzeit auf die geschäftlichen Daten inklusive E-Mails von und auf die geschäftliche E-Mail-Adresse der Mitarbeitenden zugreifen. Sie haben jedoch Privates unbeachtet zu lassen.
Was empfehlen Sie den Firmen, die einer Schatten-IT vorbeugen möchten?
Aus meiner Sicht fehlt bei den meisten Arbeitgeberinnen und selbst in Betrieben mit einer hohen Regulierungsdichte das nötige Bewusstsein der Mitarbeitenden und der Vorgesetzten.
Aufgrund des erfolgten sowie anhaltenden technologischen Wandels und der vermehrt auftretenden Angriffe auf IT-Infrastrukturen müssten Arbeitgeberinnen dringend ihr Personal bis hoch zum obersten Leitungsgremium sensibilisieren und regelmässig schulen. Klare Regelungen der Nutzung sowie Verbote sind prominent aufzustellen, gleichzeitig jedoch zu erklären.
