Spyrix logo

Software

Telefon-Tracker

Mac

Kaufen

Herunterladen

Geschäft

Unterstützung

Unternehmen

Spyrix logo

Software

Telefon-Tracker

Telefon-Tracker

Kindersicherung

Kindersicherung

Mac

Preise

Registrieren

Mein Konto

Gesetze zur Online-Überwachung

Das Spyrix-Team trägt wichtige Gesetze und Dokumente zusammen, die beschreiben, wie Arbeitgeber die Online-Aktivitäten ihrer Angestellten rechtmäßig überwachen dürfen. Es bietet außerdem Richtlinien für die private Nutzung von Überwachungstools.

Globale internationale Akte

DSGVO (Datenschutz-Grundverordnung – Europäische Union)

Die DSGVO ist die zentrale Datenschutzverordnung der Europäischen Union und gilt für alle Organisationen, die personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeiten, unabhängig von ihrem Sitz. Online-Aktivitätsüberwachung, Mitarbeiterüberwachung und jede Form der digitalen Nachverfolgung fallen unter ihren Anwendungsbereich, sofern sie personenbezogene Daten betreffen.

Gemäß der DSGVO ist die Überwachung grundsätzlich nur dann rechtmäßig, wenn eine gültige Rechtsgrundlage vorliegt, wie beispielsweise ein berechtigtes Interesse, die Erfüllung eines Vertrags oder die Einholung einer ausdrücklichen Einwilligung. Vor dem Einsatz von Überwachungsinstrumenten sollten Organisationen sicherstellen, dass die Überwachung notwendig und verhältnismäßig ist und die Privatsphäre von Einzelpersonen nicht unangemessen beeinträchtigt.

Die DSGVO verpflichtet Unternehmen zur Durchführung einer Interessenabwägung (Legitimate Interest Assessment, LIA) oder, wenn die Überwachung voraussichtlich höhere Risiken birgt, einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DSIA). Diese Prüfungen helfen, die Rechtfertigung für die Überwachung zu ermitteln und Möglichkeiten zur Reduzierung der Risiken bei der Datenerhebung aufzuzeigen.

Transparenz ist unerlässlich. Einzelpersonen müssen im Voraus klar und deutlich über Art und Zweck der Überwachung, die erhobenen Daten, die Rechtsgrundlage, die Zugriffsberechtigten und die Speicherdauer der Daten informiert werden. Verdeckte Überwachung ist grundsätzlich eingeschränkt und nur unter sehr engen, in den nationalen Gesetzen festgelegten Bedingungen zulässig.

Die DSGVO betont zudem die Datenminimierung und verpflichtet Organisationen, nur die für einen festgelegten Zweck notwendigen Daten zu erheben. Kontinuierliche oder übermäßig aufdringliche Überwachung ohne klare Rechtfertigung kann gegen die Grundsätze der DSGVO verstoßen.

Für Online-Monitoring-Tools zählen zu den relevantesten DSGVO-Verpflichtungen:

  • Klare Hinweise zur Überwachung bereitstellen

  • Erhebung nur notwendiger Daten

  • Anwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen

  • Ermittlung und Dokumentation der rechtlichen Grundlage für die Verarbeitung

  • Ermöglichung der Ausübung von Rechten des Einzelnen (Zugriff, Löschung, Widerspruch usw.).

OECD-Datenschutzrichtlinien (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung)

Die OECD-Datenschutzleitlinien bieten international anerkannte Grundsätze für Datenschutz und Privatsphäre. Obwohl sie nicht rechtsverbindlich sind, beeinflussen sie die nationalen Datenschutzgesetze weltweit und dienen als Rahmen für einen verantwortungsvollen Umgang mit Daten.

Die Richtlinien betonen Fairness, Transparenz, Zweckbindung, Datenqualität, Sicherheitsvorkehrungen, Offenheit und Rechenschaftspflicht. Diese Grundsätze ermutigen Organisationen, personenbezogene Daten nur für klare, legitime Zwecke zu erheben und sicherzustellen, dass die Betroffenen verstehen, wie ihre Daten verwendet werden.

Für die Online- und Mitarbeiterüberwachung unterstützen die OECD-Leitlinien transparente, verhältnismäßige und datenschutzkonforme Verfahren. Obwohl sie keine detaillierten, spezifischen Überwachungsregeln enthalten, fördern sie eine verantwortungsvolle Datenverwaltung und fließen in nationale Gesetze ein, die die Überwachung direkt regeln.

In der Praxis raten die Richtlinien Organisationen dazu:

  • Die Überwachungspraktiken klar kommunizieren

  • Beschränken Sie die Datenerfassung auf das Notwendige

  • Schützen Sie überwachte Daten vor unbefugtem Zugriff

  • Überprüfen Sie die Überwachungspraktiken regelmäßig auf Fairness und Notwendigkeit.

Obwohl die OECD-Datenschutzleitlinien nicht wie die DSGVO rechtsverbindlich sind, tragen sie dazu bei, globale Standards und bewährte Verfahren für eine rechtmäßige und ethische Überwachung zu entwickeln.

Vereinigte Staaten

Akt

Wo es Anwendung findet

Umfang der Überwachung

Wichtigste Anforderungen

Hinweise für Spyrix-Benutzer

CCPA

Kalifornien

Überwachung, die personenbezogene Daten sammelt

Datenschutzhinweis, Recht auf Auskunft/Löschung, Widerspruch gegen die Datenweitergabe

Gilt, wenn die Überwachung Kennungen, Aktivitätsprotokolle oder Nutzungsdaten erfasst.

CPRA

Kalifornien

Monitoring involving "sensitive" data or detailed profiling

Zweckbindung, Datenminimierung, strengere Regeln für sensible Daten

Wichtig, wenn Tools Geodaten, Verhaltensmuster oder detaillierte digitale Aktivitäten protokollieren.

ECPA

Bundesebene (USA)

Abfangen oder Zugriff auf elektronische Kommunikation (E-Mail, Chat, Tastatureingaben)

Beschränkungen beim Abfangen von Inhalten; Ausnahmen für Arbeitgeber erfordern häufig eine Benachrichtigung.

Hochrelevant für Keylogging, E-Mail-Überwachung und Bildschirmaufzeichnung

Leitfaden zum FLSA

Bundesebene (USA)

Überwachung wird verwendet, um Arbeitszeiten oder Produktivität zu erfassen.

Die Zeiterfassung muss eine genaue Lohnabrechnung ermöglichen; unbezahlte Aktivitäten außerhalb der Arbeitszeit sind nicht zulässig.

Es handelt sich zwar nicht um ein Datenschutzgesetz, aber es beeinflusst die Art und Weise, wie Überwachungsdaten für Gehaltsabrechnungsentscheidungen verwendet werden.

Staatsspezifische Überwachungsgesetze

Variiert je nach Bundesstaat (NY, CT, DE, CO, VA, UT usw.)

Elektronische Überwachung von Mitarbeitern und Arbeitsplatzsystemen

Oft ist eine schriftliche Mitteilung oder eine ausdrückliche Bestätigung erforderlich.

Arbeitgeber mit Niederlassungen in mehreren Bundesstaaten profitieren von einer einheitlichen Überwachungsrichtlinie + Einbeziehung weiterer Bundesstaaten.

Kanada

PIPEDA (Personal Information Protection and Electronic Documents Act)

  • Gilt für private Organisationen in ganz Kanada (außer wenn es durch Provinzgesetze ersetzt wird).

  • Umfasst jegliche Erhebung, Nutzung oder Weitergabe personenbezogener Daten, einschließlich Online- und Mitarbeiterüberwachung.

  • Verlangt von den Organisationen, einen klaren Zweck für die Überwachung festzulegen und gegebenenfalls eine aussagekräftige Einwilligung einzuholen.

  • Die Überwachung muss verhältnismäßig sein, sich auf das Notwendige beschränken und transparent erfolgen.

  • Die Mitarbeiter sollten darüber informiert werden, was überwacht wird, warum es überwacht wird und wie die Informationen verwendet werden.

  • Persönliche Daten müssen durch angemessene Sicherheitsvorkehrungen geschützt werden.

Provinzielle Datenschutzgesetze (Alberta PIPA, British Columbia PIPA, Quebec Law 25)

  • Bewerben Sie sich bei Organisationen des privaten Sektors in den jeweiligen Provinzen.

  • Im Allgemeinen orientieren sie sich an den PIPEDA-Grundsätzen, jedoch können die Regeln in Bezug auf Einwilligung, Aufbewahrung und Datenschutz der Mitarbeiter strenger sein.

  • Die Überwachung muss für geschäftliche Zwecke angemessen sein und mit klaren, kommunizierten Richtlinien übereinstimmen.

  • Arbeitgeber müssen ihre Angestellten informieren, bevor sie mithilfe von Überwachungsinstrumenten personenbezogene Daten erfassen.

  • Einige Provinzen verlangen Richtlinien, die die Art der erhobenen Daten, deren Aufbewahrungsdauer und die Zugriffsberechtigten erläutern.

  • Organisationen müssen ihren Mitarbeitern auf Anfrage Zugang zu ihren persönlichen Daten gewähren.

Vereinigtes Königreich

UK GDPR

  • Gilt für die Verarbeitung personenbezogener Daten im Vereinigten Königreich, einschließlich der Überwachung von Mitarbeiter- und Online-Aktivitäten.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • Die Überwachung muss notwendig, verhältnismäßig und nicht übermäßig aufdringlich sein.

  • Arbeitgeber sollten bei Überwachungsmaßnahmen mit höherem Risiko (z. B. kontinuierliche Überwachung, Keylogging) eine Risikobewertung oder eine Datenschutz-Folgenabschätzung durchführen.

  • Starker Fokus auf Transparenz: Die Mitarbeiter sollen wissen, was überwacht wird, warum und wie die Daten verwendet und gespeichert werden.

Datenschutzgesetz 2018

  • Ergänzt die britische DSGVO und enthält zusätzliche Regeln und Ausnahmen.

  • Enthält spezifische Bestimmungen zum Beschäftigungskontext und zum Zugang für Strafverfolgungsbehörden.

  • Stärkt die Grundsätze der Datenminimierung, der Zweckbindung und der Sicherheit bei der Überwachung von Daten.

  • Gewährt Einzelpersonen das Recht auf Zugang zu ihren personenbezogenen Daten und in einigen Fällen das Recht, bestimmten Arten der Überwachung zu widersprechen.

RIPA (Regulation of Investigatory Powers Act)

  • Regelt das Abhören von Kommunikationen sowie den Einsatz von Überwachung und verdeckter Beobachtung.

  • Im Allgemeinen wird das Abfangen von Kommunikationen ohne Zustimmung oder entsprechende Befugnis eingeschränkt.

  • Die verdeckte Überwachung von Mitarbeitern (ohne deren Wissen) ist nur in sehr begrenzten Fällen zulässig, beispielsweise bei Ermittlungen wegen schwerwiegenden Fehlverhaltens und wenn dies verhältnismäßig ist.

ICO-Verhaltenskodex für Beschäftigungspraktiken (und zugehörige Leitlinien)

  • Unverbindliche Leitlinien des britischen Information Commissioner's Office zum Thema Überwachung am Arbeitsplatz.

  • Betont, dass die Überwachung gezielt und nicht übermäßig sein und durch ein klares geschäftliches Bedürfnis gerechtfertigt sein sollte.

  • Empfiehlt, vor der Einführung neuer Überwachungsinstrumente Folgenabschätzungen durchzuführen.

  • Empfiehlt Arbeitgebern, klare schriftliche Richtlinien zu erstellen, die erläutern, was, wie und zu welchem ​​Zweck überwacht wird.

  • Betont Konsultation, Transparenz und die Achtung der berechtigten Erwartungen der Arbeitnehmer auf Privatsphäre.

Australien und Neuseeland

Australiens Datenschutzgesetz 1988

Der australische Datenschutzgesetz von 1988 (Privacy Act 1988) bildet den übergeordneten Rahmen für den Umgang australischer Organisationen mit personenbezogenen Daten, einschließlich Daten, die durch Online- und Mitarbeiterüberwachung erhoben werden. Er verpflichtet Organisationen, nur die unbedingt notwendigen Informationen zu erheben, transparent über deren Verwendung zu informieren und sie sicher zu verwahren. Obwohl das Gesetz keine detaillierten Regelungen zur Überwachung am Arbeitsplatz enthält, unterliegt jede Überwachung, die eine Person identifiziert, grundsätzlich den australischen Datenschutzprinzipien, insbesondere hinsichtlich Benachrichtigung, Zweckbindung und Zugriffsrechten. In der Praxis bedeutet dies, dass Arbeitgeber und Dienstleister, die Überwachungstools einsetzen, klare Geschäftszwecke definieren, übermäßige Überwachung vermeiden und ihre Vorgehensweise in Datenschutzrichtlinien und internen Dokumenten erläutern sollten.

Arbeitsplatzüberwachungsgesetze (Bundesstaatenebene, Australien)

Mehrere australische Bundesstaaten und Territorien regeln die Überwachung am Arbeitsplatz direkter durch Gesetze wie den Workplace Surveillance Act 2005 (NSW) und den Workplace Privacy Act 2011 (ACT). Diese Gesetze legen in der Regel fest, wann und wie Arbeitgeber Kameras, Computer und Ortungsgeräte zur Überwachung einsetzen dürfen. Oftmals sind vor Beginn der Überwachung eine schriftliche Vorankündigung, gut sichtbare Hinweisschilder und klare Richtlinien erforderlich. Verdeckte Überwachung ist streng reglementiert und in der Regel nur mit besonderer Genehmigung und zur Aufklärung schwerwiegenden Fehlverhaltens oder rechtswidriger Handlungen zulässig, nicht jedoch zur routinemäßigen Leistungsbeurteilung. Für Online-Überwachungstools bedeutet dies, dass Arbeitgeber in den betroffenen Bundesstaaten ihre Beschäftigten rechtzeitig und deutlich darüber informieren müssen, dass deren Computer-, Internet- oder E-Mail-Nutzung überwacht werden kann, und sicherstellen müssen, dass die Überwachung den gesetzlichen Bestimmungen entspricht.

Datenschutzgesetz 2020 (Neuseeland)

Das neuseeländische Datenschutzgesetz von 2020 modernisiert den Datenschutzrahmen des Landes und gilt für Kunden- und Mitarbeiterdaten, einschließlich Informationen, die durch Überwachung am Arbeitsplatz oder online erhoben werden. Das Gesetz verpflichtet Unternehmen, Informationen nur für rechtmäßige und notwendige Zwecke zu erheben, ihre Praktiken transparent darzulegen und Einzelpersonen Zugang zu ihren personenbezogenen Daten zu gewähren. Die Leitlinien der Aufsichtsbehörden betonen, dass die Überwachung, Aufzeichnung oder das Filmen von Mitarbeitern verhältnismäßig sein und durch klare, mit dem Datenschutzgesetz und dem Arbeitsrecht übereinstimmende betriebliche Richtlinien gestützt werden muss. Arbeitgeber werden angehalten, ihre Mitarbeiter zu konsultieren, die Notwendigkeit der Überwachung zu erläutern und die Auswirkungen auf Vertrauen und Arbeitsmoral zu berücksichtigen, insbesondere bei der Verwendung von Tools, die eine kontinuierliche oder detaillierte Überwachung ermöglichen.

Asien-Pazifik-Raum

PDPA (Gesetz zum Schutz personenbezogener Daten) – Singapur

  • Beinhaltet personenbezogene Daten, die von Organisationen verarbeitet werden, einschließlich Mitarbeiter- und Überwachungsdaten.

  • Die Überwachung erfordert einen klaren und rechtmäßigen Zweck.

  • In der Regel ist eine Einwilligung oder eine andere gültige Rechtsgrundlage erforderlich.

  • Starker Fokus auf Transparenz, ordnungsgemäße Benachrichtigung und Datenschutzvorkehrungen.

  • Die Aufbewahrung muss auf das Notwendigste beschränkt werden.

PDPA – Malaysia

  • Gilt für personenbezogene Daten, die im geschäftlichen und beruflichen Kontext verarbeitet werden.

  • Die Einwilligung ist eine grundlegende Voraussetzung für die Erhebung von Überwachungsdaten.

  • Daten müssen fair und zu einem bestimmten, festgelegten Zweck verarbeitet werden.

  • Beinhaltet Regeln zu Aufbewahrungsfristen, Datensicherheit und externen Datenverarbeitern.

APPI (Gesetz zum Schutz personenbezogener Daten) – Japan

  • Regelt den Umgang mit personenbezogenen Daten von Kunden und Mitarbeitern.

  • Erfordert, dass Organisationen den Zweck der Überwachung definieren und kommunizieren.

  • Legt Wert auf Datensicherheit und ordnungsgemäße Überwachung des Personals im Umgang mit personenbezogenen Daten.

  • Die Überwachung muss verhältnismäßig sein und mit den internen Richtlinien übereinstimmen.

  • Je nach Kontext können Mitarbeiter ein Recht auf Auskunft und Berichtigung haben.

PIPL (Gesetz zum Schutz personenbezogener Daten) – China

  • Umfassendes Datenschutzgesetz, das Arbeitsplatz- und Verbraucherdaten abdeckt.

  • Erfordert einen klaren Zweck, Datenminimierung und Transparenz bei der Überwachung.

  • Eine Einwilligung kann erforderlich sein, insbesondere wenn die Überwachung sensible oder detaillierte Daten umfasst.

  • Setzt strenge Anforderungen an Aufbewahrung, Sicherheit und Dokumentation der Verarbeitung.

  • Gewährt Einzelpersonen das Recht auf Zugang, Berichtigung und Löschung überwachter Daten.

Lateinamerika

LGPD (Lei Geral de Proteção de Dados) – Brasilien

Das brasilianische Datenschutzgesetz (LGPD) regelt jegliche Nutzung personenbezogener Daten, einschließlich Informationen, die durch Online- oder Arbeitsplatzüberwachung erfasst werden. Organisationen benötigen eine klare Rechtsgrundlage für die Überwachung und müssen deren Zweck erläutern. Die Überwachung sollte auf das Notwendige beschränkt, transparent durchgeführt und durch angemessene Sicherheitsmaßnahmen abgesichert sein. Einzelpersonen haben das Recht auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten.

Nationale Datenschutzgesetze in Argentinien, Mexiko und Chile

Diese Länder verfügen über nationale Datenschutzgesetze, die für personenbezogene Daten gelten, die mithilfe von Überwachungsinstrumenten erhoben werden. Zu den allgemeinen Anforderungen gehören ein rechtmäßiger Zweck, die Information der Betroffenen über die Überwachung und die Gewährleistung der Datensicherheit. Die Überwachung muss angemessen und verhältnismäßig sein, und die Betroffenen haben grundsätzlich das Recht, auf ihre Daten zuzugreifen oder diese zu aktualisieren. Obwohl die konkreten Regelungen variieren, werden Transparenz und Zweckmäßigkeit in der gesamten Region einheitlich erwartet.

Naher Osten

VAE-Datenschutzgesetz (DPL / PDPL)

Das Bundesdatenschutzgesetz der VAE gilt für Organisationen, die personenbezogene Daten von Personen in den VAE verarbeiten, einschließlich der Daten von Mitarbeitern. Für die Überwachung ist ein klarer und rechtmäßiger Zweck erforderlich, die Datenerhebung beschränkt sich auf das Notwendigste, und Transparenz und Sicherheit werden großgeschrieben. Organisationen müssen ihre Mitarbeiter über jegliche Überwachung informieren, die Gründe dafür dokumentieren und interne Richtlinien und Sicherheitsvorkehrungen für den Umgang mit überwachten Daten implementieren.

Katarisches Datenschutzgesetz

Das Datenschutzgesetz von Katar umfasst personenbezogene Daten, die elektronisch verarbeitet werden oder für die elektronische Verarbeitung bestimmt sind. Es erkennt das Recht des Einzelnen auf Datenschutz an und verlangt grundsätzlich die Einwilligung oder eine andere legitime Rechtsgrundlage für die Verarbeitung personenbezogener Daten, einschließlich Daten, die durch Überwachungssysteme erfasst werden. Organisationen müssen angemessene Sicherheitsmaßnahmen implementieren, transparent darlegen, wie personenbezogene Daten verwendet werden, und das Recht des Einzelnen auf Auskunft und Berichtigung seiner Daten respektieren.

Saudi Personal Data Protection Law (PDPL)

Das saudische Datenschutzgesetz (PDPL) regelt die Verarbeitung personenbezogener Daten von Personen im Königreich durch Organisationen innerhalb und außerhalb des Landes. Für die Überwachung personenbezogener Daten verpflichtet es Organisationen, klare Zwecke festzulegen, schriftliche Datenschutzrichtlinien zu verabschieden und die Betroffenen darüber zu informieren, wie ihre Daten erhoben und verwendet werden. Die Einwilligung ist in vielen Fällen eine wichtige Grundlage für die Verarbeitung, das Gesetz erlaubt jedoch auch die Verarbeitung aus bestimmten geschäftlichen, rechtlichen oder öffentlichen Gründen. Arbeitgeber, die Überwachungsinstrumente einsetzen, sind verpflichtet, die überwachten Daten zu schützen, den Zugriff einzuschränken und Mitarbeiterinformationen gemäß den Transparenz-, Sicherheits- und Aufbewahrungsvorschriften des PDPL zu behandeln.