Gesetze zur Online-Überwachung und Überlegungen zur Datenschutz-Compliance
Zuletzt aktualisiert: Mai 2026
Online-Überwachungssoftware kann Organisationen dabei helfen, Unternehmensressourcen zu schützen, die Produktivität zu verbessern und zu verstehen, wie digitale Arbeit ausgeführt wird. Die Überwachung von Mitarbeitern, Geräten, Online-Aktivitäten oder Kommunikation kann jedoch personenbezogene Daten und Regeln zum Datenschutz am Arbeitsplatz betreffen.
Diese Seite bietet einen allgemeinen Überblick über Datenschutz- und Compliance-Überlegungen im Zusammenhang mit der autorisierten Nutzung von Überwachungssoftware. Sie hebt gemeinsame Themen hervor, die in wichtigen Datenschutz- und Arbeitsplatzüberwachungsrahmen vorkommen, wie Transparenz, rechtmäßiger Zweck, Datenminimierung, Sicherheit, Aufbewahrung und Benutzerhinweis.
Die spezifischen Anforderungen können je nach Land, Bundesstaat, Branche, Gerätebesitz, Art der erhobenen Daten und Konfiguration der Überwachung variieren.
Haftungsausschluss: Diese Seite dient ausschließlich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Datenschutz-, Arbeitsplatzüberwachungs-, Arbeits- und elektronische Kommunikationsgesetze unterscheiden sich je nach Rechtsordnung und können vom konkreten Anwendungsfall, Geräteeigentum, der Branche, dem Mitarbeiterhinweis, den Einwilligungsanforderungen und der Art der erhobenen Daten abhängen.
Spyrix bestimmt nicht, ob eine bestimmte Überwachungskonfiguration für Ihre Organisation rechtmäßig ist. Vor der Nutzung von Überwachungssoftware sollten Sie die anwendbaren Gesetze und internen Richtlinien prüfen, Benutzer informieren, sofern dies erforderlich ist, die Überwachung auf notwendige und legitime Zwecke beschränken und bei Bedarf qualifizierten Rechtsbeistand konsultieren.
Globale und regionale Datenschutzrahmen
DSGVO (Datenschutz-Grundverordnung - Europäische Union)
Die DSGVO ist die zentrale Datenschutzverordnung der Europäischen Union. Sie kann für Organisationen innerhalb oder außerhalb der EU gelten, wenn sie personenbezogene Daten auf eine Weise verarbeiten, die in den territorialen Anwendungsbereich der DSGVO fällt, einschließlich bestimmter Fälle, die Personen in der EU betreffen. Die Überwachung von Online-Aktivitäten, Mitarbeiterüberwachung und andere Formen des digitalen Trackings können in ihren Anwendungsbereich fallen, wenn sie personenbezogene Daten betreffen.
Nach der DSGVO erfordern Überwachungsaktivitäten im Allgemeinen eine gültige Rechtsgrundlage und sollten notwendig, verhältnismäßig und transparent sein. Je nach Kontext können sich Organisationen auf eine Rechtsgrundlage wie berechtigte Interessen, vertragliche Notwendigkeit, rechtliche Verpflichtung oder Einwilligung stützen. In Beschäftigungskontexten ist Einwilligung aufgrund des Verhältnisses zwischen Arbeitgeber und Arbeitnehmer möglicherweise nicht immer angemessen.
Wenn sich Organisationen auf berechtigte Interessen stützen, sollten sie bewerten und dokumentieren, ob der Überwachungszweck rechtmäßig und notwendig ist und gegen die Rechte und Freiheiten der betroffenen Personen abgewogen wurde. Wenn die Überwachung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt, kann eine Datenschutz-Folgenabschätzung (DPIA) erforderlich sein.
Transparenz ist wesentlich. Personen sollten im Allgemeinen im Voraus über die Art der Überwachung, den Zweck, die Kategorien der erhobenen Daten, die Rechtsgrundlage, die möglichen Zugriffsberechtigten und die Dauer der Datenspeicherung informiert werden. Verdeckte oder nicht offengelegte Überwachung ist äußerst sensibel, kann in vielen Fällen rechtswidrig sein und sollte gesondert nach den geltenden lokalen Gesetzen bewertet werden.
Die DSGVO betont außerdem die Datenminimierung und verlangt von Organisationen, nur die personenbezogenen Daten zu erheben, die für einen festgelegten Zweck erforderlich sind. Kontinuierliche oder übermäßig eingriffsintensive Überwachung ohne klare Rechtfertigung kann mit den Grundsätzen der DSGVO kollidieren.
Für Online-Überwachungstools gehören zu den relevantesten DSGVO-Aspekten üblicherweise:
Bereitstellung eines klaren Hinweises zur Überwachung, wo dies erforderlich ist
Erhebung nur notwendiger und relevanter Daten
Einsatz geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
Festlegung und Dokumentation der Rechtsgrundlage für die Verarbeitung
Bewertung berechtigter Interessen oder risikoreicherer Verarbeitung, wo dies anwendbar ist
Ermöglichung der Ausübung anwendbarer Datenschutzrechte durch Personen, wie Auskunft, Löschung, Widerspruch oder Einschränkung
Offizielle Quellen:
Verordnung (EU) 2016/679 - Datenschutz-Grundverordnung Offizieller DSGVO-Text, veröffentlicht auf EUR-Lex.
EDPB-Leitlinien 3/2018 zum räumlichen Anwendungsbereich der DSGVO Erläutert, wann die DSGVO auf Organisationen innerhalb und außerhalb der EU Anwendung finden kann.
EDPB-Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 Bieten Orientierung zur gültigen Einwilligung nach der DSGVO.
Europäische Kommission - Wann ist eine Datenschutz-Folgenabschätzung erforderlich? Erläutert, wann eine DPIA für risikoreichere Verarbeitung personenbezogener Daten erforderlich sein kann.
EDPS - Private Nutzung elektronischer Kommunikation am Arbeitsplatz Bietet Orientierung zu Arbeitsplatzkommunikation, Datenschutzerwartungen und verhältnismäßiger Überwachung.
OECD-Datenschutzleitlinien (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung)
Die OECD-Datenschutzleitlinien enthalten international anerkannte Grundsätze für Datenschutz und den Schutz personenbezogener Daten. Sie sind nicht in gleicher Weise rechtlich bindend wie nationale oder regionale Gesetze, haben jedoch Datenschutzrahmen und Datenschutzrichtlinien in vielen Ländern beeinflusst.
Die Leitlinien betonen zentrale Datenschutzgrundsätze wie Beschränkung der Datenerhebung, Datenqualität, Zweckbestimmung, Nutzungsbeschränkung, Sicherheitsvorkehrungen, Offenheit, Beteiligung der betroffenen Personen und Rechenschaftspflicht. Diese Grundsätze unterstützen einen verantwortungsvollen Umgang mit Daten und ermutigen Organisationen, personenbezogene Daten nur für klare, festgelegte und angemessene Zwecke zu erheben und zu verwenden.
Für Online- und Mitarbeiterüberwachung enthalten die OECD-Datenschutzleitlinien keine detaillierten überwachungsspezifischen Regeln. Sie bieten jedoch einen nützlichen Datenschutzrahmen, um zu bewerten, ob Überwachungspraktiken transparent, auf einen legitimen Zweck beschränkt, durch geeignete Schutzmaßnahmen abgesichert und rechenschaftspflichtig sind.
Obwohl die OECD-Datenschutzleitlinien nicht wie die DSGVO durchsetzbar sind, bleiben sie ein wichtiger internationaler Bezugspunkt für verantwortungsvolle und datenschutzbewusste Datenverarbeitung.
In der Praxis können diese Grundsätze Organisationen dabei helfen zu prüfen, ob sie:
Überwachungspraktiken klar zu kommunizieren
Beschränkung der Datenerhebung auf das, was für einen festgelegten Zweck erforderlich ist
Überwachte Daten vor unbefugtem Zugriff zu schützen
Bereitstellung angemessener Informationen für Personen darüber, wie ihre Daten verwendet werden
Regelmäßige Überprüfung der Überwachungspraktiken auf Fairness, Erforderlichkeit und Verhältnismäßigkeit
Offizielle Quellen:
OECD-Leitlinien zum Schutz der Privatsphäre und zum grenzüberschreitenden Verkehr personenbezogener Daten Offizielle OECD-Veröffentlichung mit den Datenschutzgrundsätzen und dem zugehörigen Rahmen.
OECD - Privatsphäre und Datenschutz OECD-Übersichtsseite, die die Rolle der Datenschutzleitlinien in globalen Datenschutz- und Datensicherheitsrahmen erklärt.
Vereinigte Staaten
In den Vereinigten Staaten wird Arbeitsplatz- und Online-Überwachung durch eine Kombination aus Bundesgesetzen, Datenschutzgesetzen der Bundesstaaten, Regeln für elektronische Kommunikation, Lohn- und Arbeitszeitvorschriften sowie branchenspezifischen Regelungen geregelt. Es gibt kein einheitliches landesweites Gesetz zur Mitarbeiterüberwachung, das jede Situation abdeckt. Die Anforderungen können je nach Bundesstaat, Art der erhobenen Daten, ob Kommunikation abgefangen oder darauf zugegriffen wird, ob das Gerät dem Unternehmen gehört oder privat ist, und wie die Überwachungsdaten verwendet werden, variieren.
Rahmen | Geltungsbereich | Umfang der Überwachung | Häufige Compliance-Überlegungen | Warum dies für Überwachungssoftware relevant sein kann |
|---|---|---|---|---|
CCPA / CPRA | Kalifornien; erfasste Unternehmen | Erhebung und Nutzung personenbezogener Informationen, einschließlich bestimmter Informationen über Mitarbeiter, Bewerber, Auftragnehmer, Geräte, Online-Aktivitäten und sensibler personenbezogener Informationen | Hinweis bei der Erhebung, Offenlegungen in der Datenschutzrichtlinie, Rechte auf Auskunft/Löschung/Berichtigung, Opt-out-Rechte, soweit anwendbar, Beschränkungen bestimmter Nutzungen sensibler personenbezogener Informationen | Relevant, wenn die Überwachung Kennungen, Gerätedaten, Internet- oder Anwendungsaktivitäten, Geolokalisierung, Verhaltensdaten oder andere personenbezogene Informationen von Einwohnern Kaliforniens erhebt |
ECPA und zugehörige bundesrechtliche Regeln für elektronische Kommunikation | US-Bundesrecht; bundesstaatliche Abhör- und Kommunikationsgesetze können ebenfalls gelten | Abfangen oder Zugriff auf elektronische Kommunikation, wie E-Mail, Chat, Anrufe, Nachrichten oder bestimmte Online-Kommunikation | Unbefugtes Abfangen oder unbefugten Zugriff vermeiden; prüfen, ob Einwilligung, Autorisierung, Provider-Ausnahmen oder Ausnahmen für Geschäftszwecke anwendbar sein können; bundesstaatsspezifische Einwilligungs- und Abhörregeln prüfen | Besonders relevant für Kommunikationsüberwachung, E-Mail-/Chat-Überprüfung, Erfassung von Bildschirminhalten, Protokollierung von Tastenanschlägen und Tools, die Nachrichteninhalte erfassen können |
FLSA-bezogene Lohn- und Arbeitszeitregeln | US-Bundesrecht; bundesstaatliche Lohngesetze können ebenfalls gelten | Nutzung von Überwachungs-, Anwesenheits-, Aktivitäts- oder Zeiterfassungsdaten für Arbeitszeiten, Lohnabrechnung, Überstunden oder Produktivitätsentscheidungen | Zeit- und Aktivitätsaufzeichnungen sollten genaue Lohnberechnungen unterstützen; nicht befreite Mitarbeiter müssen für alle geleisteten Arbeitsstunden bezahlt werden; Arbeitgeber sollten vermeiden, eine genaue Zeiterfassung zu erschweren oder zu entmutigen | Relevant, wenn Überwachungsdaten zur Berechnung der Arbeitszeit, zur Überprüfung der Anwesenheit, zur Prüfung von Überstunden oder zur Unterstützung von Lohnabrechnungs- und lohnbezogenen Entscheidungen verwendet werden |
Bundesstaatsspezifische Gesetze zur elektronischen Überwachung und zum Datenschutz | Variiert je nach Bundesstaat; Beispiele sind New York, Connecticut und Delaware für Hinweisregeln zur Mitarbeiterüberwachung | Elektronische Überwachung der Mitarbeiterkommunikation, Internetnutzung, Computersysteme, Arbeitsplatzgeräte oder anderer personenbezogener Daten | Einige Bundesstaaten verlangen schriftliche oder elektronische Hinweise, Bestätigungen durch Mitarbeiter, Aushänge am Arbeitsplatz oder bestimmte Formulierungen in Richtlinien; andere bundesstaatliche Datenschutzgesetze können zusätzliche Pflichten für sensible Daten, biometrische Daten oder Verbraucherrechte vorsehen | Arbeitgeber mit mehreren Standorten in verschiedenen Bundesstaaten sollten sich nicht nur auf eine allgemeine US-Richtlinie verlassen; sie benötigen möglicherweise bundesstaatsspezifische Hinweise, Einwilligungsformulierungen, Aufbewahrungsregeln und interne Zugriffskontrollen |
Offizielle Quellen:
California Department of Justice - California Consumer Privacy Act (CCPA) Offizielle Übersicht des kalifornischen Justizministeriums über CCPA-Rechte, erforderliche Hinweise, Opt-out-Rechte, Berichtigungsrechte, Löschrechte und Rechte in Bezug auf sensible personenbezogene Informationen.
California Privacy Protection Agency - Law & Regulations Offizielle Seite der California Privacy Protection Agency zu CCPA/CPRA-Vorschriften und Regelsetzung.
U.S. Code - 18 U.S.C. Section 2511: Verbot des Abfangens und der Offenlegung drahtgebundener, mündlicher oder elektronischer Kommunikation Offizieller Text des U.S. Code zum Abfangen elektronischer Kommunikation.
U.S. Department of Justice - Electronic Communications Privacy Act of 1986 DOJ-Überblick über den ECPA und seine Beziehung zu elektronischer und digitaler Kommunikation.
U.S. Department of Labor - Field Assistance Bulletin No. 2020-5 Offizielle DOL-Leitlinien zur Erfassung und Vergütung geleisteter Arbeitsstunden, einschließlich Situationen mit Remote-Arbeit.
New York Civil Rights Law Section 52-c - Arbeitgeber, die elektronische Überwachung durchführen; vorherige Benachrichtigung erforderlich Offizielles New Yorker Gesetz, das eine vorherige Benachrichtigung für bestimmte elektronische Mitarbeiterüberwachung verlangt.
Connecticut General Statutes Section 31-48d - Hinweis auf elektronische Überwachung Offizielle Vorschrift von Connecticut zu Hinweisanforderungen für Arbeitgeber, die elektronische Überwachung durchführen.
Delaware Code Title 19 Section 705 - Hinweis auf Überwachung von Telefonübertragungen, E-Mail und Internetnutzung Offizielles Gesetz von Delaware zu Hinweisanforderungen für die Überwachung von Telefon, E-Mail und Internetnutzung.
Kanada
PIPEDA (Personal Information Protection and Electronic Documents Act)
PIPEDA gilt für viele privatwirtschaftliche Organisationen in Kanada, die personenbezogene Informationen im Rahmen kommerzieller Tätigkeiten erheben, verwenden oder offenlegen. Für personenbezogene Informationen von Mitarbeitern gilt PIPEDA im Allgemeinen für bundesrechtlich regulierte Arbeitsplätze, während einige Provinzen eigene Datenschutzgesetze für den privaten Sektor haben.
PIPEDA kann personenbezogene Informationen erfassen, die durch Online- oder Mitarbeiterüberwachung erhoben werden, einschließlich Kennungen, Gerätedaten, Online-Aktivitäten, Anwendungsnutzung, kommunikationsbezogener Daten und Produktivitätsaufzeichnungen.
Organisationen sollten einen klaren Zweck für die Überwachung festlegen, die Erhebung auf das Notwendige beschränken und personenbezogene Informationen transparent behandeln.
Wenn eine Einwilligung erforderlich ist, sollte sie aussagekräftig sein und auf klaren Informationen darüber beruhen, welche Daten erhoben werden, warum sie erhoben werden, wie sie verwendet werden und wer darauf zugreifen darf.
Mitarbeiter sollten im Allgemeinen darüber informiert werden, was überwacht wird, warum Überwachung eingesetzt wird, wie die Informationen verwendet werden und wie lange sie aufbewahrt werden dürfen.
Personenbezogene Informationen, die durch Überwachung erhoben werden, sollten durch geeignete Sicherheitsvorkehrungen geschützt werden.
Provinzielle Datenschutzgesetze (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
Alberta, British Columbia und Quebec haben Datenschutzgesetze für den privaten Sektor, die innerhalb ihrer jeweiligen Provinzen gelten können.
Diese Gesetze folgen im Allgemeinen ähnlichen Datenschutzgrundsätzen, wie angemessenem Zweck, begrenzter Erhebung, Transparenz, Zugangsrechten, Aufbewahrungsgrenzen und geeigneten Schutzmaßnahmen.
Bei der Mitarbeiterüberwachung können die Anforderungen von der Provinz, der Art des Arbeitsplatzes, dem Zweck der Überwachung, der Sensibilität der Daten und davon abhängen, ob die Überwachung zur Verwaltung des Beschäftigungsverhältnisses angemessen ist.
Arbeitgeber sollten Mitarbeiter informieren, bevor sie personenbezogene Informationen durch Überwachungstools erheben, sofern dies erforderlich ist.
Einige Provinzen können Richtlinien oder Hinweise verlangen, die erklären, welche personenbezogenen Informationen erhoben werden, warum sie erhoben werden, wie lange sie aufbewahrt werden und wer darauf zugreifen darf.
Organisationen, die in mehreren kanadischen Provinzen tätig sind, sollten sowohl bundesrechtliche als auch provinzielle Anforderungen prüfen, bevor sie Überwachungssoftware implementieren.
Offizielle Quellen:
Office of the Privacy Commissioner of Canada - PIPEDA Offizielle Übersicht über Kanadas bundesrechtliches Datenschutzgesetz für den privaten Sektor.
Office of the Privacy Commissioner of Canada - Privacy in the Workplace Leitlinien zu Datenschutz am Arbeitsplatz, personenbezogenen Mitarbeiterinformationen und Arbeitgeberpflichten.
Office of the Privacy Commissioner of Canada - Guidelines for Obtaining Meaningful Consent Leitlinien zur aussagekräftigen Einwilligung nach kanadischem Datenschutzrecht für den privaten Sektor.
Government of Alberta - Personal Information Protection Act Offizielle Regierungsseite von Alberta zum Datenschutzgesetz für den privaten Sektor in Alberta.
Government of Alberta - Personal Employee Information Leitlinien dazu, wie Alberta PIPA auf personenbezogene Mitarbeiterinformationen Anwendung findet.
BC Laws - Personal Information Protection Act Offizieller Text des Personal Information Protection Act von British Columbia.
Legis Quebec - Act respecting the protection of personal information in the private sector Offizieller Text des Datenschutzgesetzes für den privaten Sektor in Quebec.
Vereinigtes Königreich
UK GDPR
Gilt für die Verarbeitung personenbezogener Daten im Vereinigten Königreich, einschließlich Mitarbeiter- und Online-Aktivitätsüberwachung.
Erfordert eine klare Rechtsgrundlage für die Überwachung, wie berechtigte Interessen, rechtliche Verpflichtung, vertragliche Notwendigkeit oder Einwilligung, sofern angemessen.
Überwachung sollte notwendig, verhältnismäßig, transparent und nicht übermäßig eingriffsintensiv sein.
Arbeitgeber sollten eine Risikobewertung durchführen und müssen möglicherweise eine Datenschutz-Folgenabschätzung (DPIA) abschließen, wenn die Überwachung voraussichtlich ein hohes Risiko für Personen schafft, etwa kontinuierliches Tracking, Keylogging oder andere eingriffsintensive Überwachung.
Mitarbeiter sollten im Allgemeinen wissen, was überwacht wird, warum es überwacht wird, welche Daten erhoben werden, wie sie verwendet werden, wer darauf zugreifen darf und wie lange sie gespeichert werden.
Data Protection Act 2018
Ergänzt die UK GDPR und enthält zusätzliche Regeln, Bedingungen und Ausnahmen für die Verarbeitung personenbezogener Daten.
Enthält Bestimmungen, die für Daten besonderer Kategorien, Daten zu Straftaten, beschäftigungsbezogene Verarbeitung und Verarbeitung durch Strafverfolgungsbehörden relevant sind.
Stärkt Grundsätze wie Datenminimierung, Zweckbindung, Sicherheit, Rechenschaftspflicht und individuelle Rechte.
Personen haben im Allgemeinen das Recht, auf ihre personenbezogenen Daten zuzugreifen und in einigen Fällen bestimmten Arten der Verarbeitung zu widersprechen.
RIPA und zugehörige Abhörregeln
Der Regulation of Investigatory Powers Act 2000 und zugehörige britische Abhörregeln regulieren bestimmte Arten des Abfangens und des Zugriffs auf Kommunikation.
Das Abfangen von Kommunikation kann eingeschränkt sein, sofern keine rechtmäßige Befugnis, Einwilligung oder eine andere anwendbare Rechtsgrundlage oder Ausnahme vorliegt.
Bei der Arbeitsplatzüberwachung sollte Kommunikationsüberwachung sorgfältig bewertet werden, insbesondere wenn sie E-Mail, Chat, Anrufe, Nachrichten oder andere Kommunikationsinhalte betreffen kann.
Verdeckte oder nicht offengelegte Überwachung ist äußerst sensibel, kann in vielen Fällen rechtswidrig sein und sollte nur unter außergewöhnlichen Umständen mit klarer Rechtfertigung und angemessener rechtlicher Prüfung in Betracht gezogen werden.
ICO-Leitlinien zu Beschäftigungspraktiken
Das britische Information Commissioner's Office bietet Leitlinien zur Überwachung von Arbeitnehmern und zum Umgang mit personenbezogenen Mitarbeiterdaten.
Das ICO betont, dass Überwachung zielgerichtet, verhältnismäßig, durch einen klaren Zweck gerechtfertigt und nicht übermäßig sein sollte.
Arbeitgeber sollten die Auswirkungen auf Arbeitnehmer berücksichtigen, bevor sie Überwachungstools einführen, insbesondere wenn die Überwachung eingriffsintensiv oder kontinuierlich ist.
Arbeitgeber sollten klare schriftliche Richtlinien erstellen, die erklären, was überwacht wird, warum es überwacht wird, wie die Daten verwendet werden, wer darauf zugreifen kann und wie lange sie aufbewahrt werden.
Die Leitlinien betonen Transparenz, Rechenschaftspflicht, Konsultation, wo angemessen, und Respekt vor den berechtigten Erwartungen der Arbeitnehmer an Privatsphäre.
Offizielle Quellen:
ICO - Employment practices and data protection: monitoring workers Offizieller ICO-Leitlinienbereich zu Beschäftigungspraktiken, einschließlich Arbeitnehmerüberwachung und damit verbundenen Datenschutzpflichten.
ICO - A guide to lawful basis ICO-Leitlinien zu Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach der UK GDPR.
ICO - When do we need to do a DPIA? ICO-Leitlinien, die erklären, wann eine Datenschutz-Folgenabschätzung erforderlich sein kann.
legislation.gov.uk - Data Protection Act 2018 Offizieller Text des Data Protection Act 2018.
legislation.gov.uk - Regulation of Investigatory Powers Act 2000 Offizieller Text des Regulation of Investigatory Powers Act 2000.
GOV.UK - Interception of communications: code of practice Verhaltenskodex der britischen Regierung zum Abfangen von Kommunikation.
Australien & Neuseeland
Privacy Act 1988 (Australien)
Der Privacy Act 1988 legt den übergeordneten Rahmen dafür fest, wie australische Organisationen mit personenbezogenen Informationen umgehen, einschließlich bestimmter Daten, die durch Online-Überwachung oder arbeitsplatzbezogene Systeme erhoben werden können.
Er verlangt von erfassten Organisationen, nur Informationen zu erheben, die vernünftigerweise erforderlich sind, transparent darüber zu sein, wie personenbezogene Informationen verwendet werden, und sie sicher aufzubewahren.
Das Gesetz enthält keine detaillierten Regeln zur Arbeitsplatzüberwachung, und Mitarbeiterakten, die von privaten Arbeitgebern verwaltet werden, können unter bestimmten Umständen von den Australian Privacy Principles ausgenommen sein. Überwachung, die personenbezogene Informationen betrifft, kann jedoch in bestimmten Kontexten weiterhin dem Privacy Act unterliegen, etwa wenn die Ausnahme für Mitarbeiterakten nicht gilt, wenn Dienstleister Mitarbeiterdaten verarbeiten oder wenn andere Datenschutzpflichten ausgelöst werden.
In der Praxis sollten Arbeitgeber und Dienstleister, die Überwachungstools einsetzen, klare geschäftliche Zwecke definieren, übermäßiges Tracking vermeiden, ihre Praktiken in Datenschutzrichtlinien und interner Dokumentation erklären und relevante Gesetze zur Arbeitsplatzüberwachung auf Ebene der Bundesstaaten oder Territorien berücksichtigen.
Workplace Surveillance Acts (bundesstaatliche Ebene, Australien)
Einige australische Bundesstaaten und Territorien regulieren Arbeitsplatzüberwachung direkter durch Gesetze zur Arbeitsplatzüberwachung, wie den Workplace Surveillance Act 2005 (NSW) und den Workplace Privacy Act 2011 (ACT).
Diese Gesetze können regeln, wann und wie Arbeitgeber Kamera-, Computer- und Tracking-Überwachung einsetzen dürfen, und verlangen häufig vorherige schriftliche Hinweise, klare Richtlinien und bestimmte Bedingungen, bevor die Überwachung beginnt.
Verdeckte oder geheime Überwachung ist stark eingeschränkt und kann eine spezifische Befugnis oder rechtliche Genehmigung erfordern. Sie sollte nicht als routinemäßige Methode zur Leistungsüberwachung behandelt werden.
Für Online-Überwachungstools bedeutet dies, dass Arbeitgeber in betroffenen Bundesstaaten und Territorien klare und rechtzeitige Hinweise bereitstellen sollten, sofern dies erforderlich ist, und sicherstellen müssen, dass jede Computer-, Internet-, E-Mail- oder Tracking-Überwachung den anwendbaren gesetzlichen Bedingungen entspricht.
Privacy Act 2020 (Neuseeland)
Der Privacy Act 2020 Neuseelands bildet den Datenschutzrahmen des Landes und gilt für personenbezogene Informationen, die von Stellen verarbeitet werden, einschließlich Informationen, die durch Arbeitsplatz- oder Online-Überwachung erhoben werden.
Das Gesetz verlangt von Organisationen, Informationen nur für rechtmäßige und notwendige Zwecke zu erheben, offen über ihre Praktiken zu sein und Personen Zugang zu ihren personenbezogenen Informationen zu gewähren, soweit anwendbar.
Leitlinien von Aufsichtsbehörden betonen, dass das Überwachen, Aufzeichnen oder Filmen von Mitarbeitern im Einklang mit dem Privacy Act und den Datenschutzgrundsätzen erfolgen muss. Arbeitgeber sollten außerdem berücksichtigen, wie sich Überwachung auf das Vertrauen, die Arbeitsmoral und die Beziehungen am Arbeitsplatz auswirken kann.
Arbeitgeber werden ermutigt, Mitarbeiter zu konsultieren, zu erklären, warum Überwachung erforderlich ist, klare Arbeitsplatzrichtlinien zu verwenden und die Auswirkungen kontinuierlichen oder detaillierten Trackings zu berücksichtigen.
Offizielle Quellen:
OAIC - The Privacy Act Offizielle Übersicht über Australiens Privacy Act 1988 und die Australian Privacy Principles.
OAIC - Employee records exemption Erklärt, wann der Umgang privater Arbeitgeber mit Mitarbeiterakten von den Australian Privacy Principles ausgenommen sein kann.
OAIC - Workplace monitoring and surveillance Leitlinien, die erklären, dass Arbeitsplatzüberwachung Gesetze der Bundesstaaten, Territorien und andere relevante australische Gesetze betreffen kann.
ACT Legislation - Workplace Privacy Act 2011 Offizielle ACT-Gesetzgebungsseite zum Workplace Privacy Act 2011.
New Zealand Legislation - Privacy Act 2020 Offizieller Text des neuseeländischen Privacy Act 2020.
New Zealand Privacy Commissioner - Privacy Act 2020 Offizielle Übersicht über die Datenschutzgrundsätze Neuseelands.
Employment New Zealand - Employee privacy Leitlinien zu Mitarbeiterdatenschutz, Arbeitsplatzüberwachung, Aufzeichnung und Filmen von Mitarbeitern.
Asien-Pazifik-Raum
PDPA (Personal Data Protection Act) - Singapur
Deckt personenbezogene Daten ab, die von Organisationen erhoben, verwendet oder offengelegt werden, einschließlich Daten, die durch Mitarbeiter- oder Online-Überwachung erhoben werden können.
Verlangt von Organisationen, personenbezogene Daten für angemessene Zwecke und mit Einwilligung, mutmaßlicher Einwilligung oder einer anderen anwendbaren Ausnahme zu erheben, zu verwenden oder offenzulegen, sofern dies erlaubt ist.
Starker Fokus auf Transparenz, ordnungsgemäße Benachrichtigung, Zweckbindung und Datenschutzvorkehrungen.
Organisationen sollten Personen über die Zwecke informieren, zu denen ihre personenbezogenen Daten erhoben, verwendet oder offengelegt werden.
Die Aufbewahrung sollte auf das beschränkt sein, was für rechtliche oder geschäftliche Zwecke erforderlich ist.
PDPA - Malaysia
Gilt für personenbezogene Daten, die in kommerziellen Transaktionen verarbeitet werden, einschließlich beschäftigungsbezogener Kontexte, in denen personenbezogene Daten erhoben oder verwendet werden.
Verlangt von Organisationen die Einhaltung zentraler Grundsätze zum Schutz personenbezogener Daten, einschließlich allgemeiner Grundsätze sowie Hinweis und Wahlmöglichkeit, Offenlegung, Sicherheit, Aufbewahrung, Datenintegrität und Zugang.
Organisationen sollten einen klaren Hinweis zum Zweck der Erhebung personenbezogener Daten und dazu bereitstellen, wie die Daten verwendet werden.
Daten müssen für einen bestimmten und angegebenen Zweck verarbeitet, mit geeigneten Sicherheitsmaßnahmen geschützt und nicht länger als notwendig aufbewahrt werden.
Enthält Regeln zu Aufbewahrung, Datensicherheit, Zugangsrechten, Berichtigungsrechten und Verarbeitung durch Dritte.
APPI (Act on the Protection of Personal Information) - Japan
Regelt den Umgang mit personenbezogenen Informationen durch Unternehmen und andere erfasste Stellen, einschließlich personenbezogener Kunden- und Mitarbeiterdaten.
Verlangt von Organisationen, den Verwendungszweck festzulegen und personenbezogene Informationen innerhalb dieses angegebenen Zwecks zu behandeln.
Betont Datensicherheit, Richtigkeit, Kontrolle der Aufbewahrung und angemessene Aufsicht über Mitarbeiter und Dienstleister, die personenbezogene Daten verarbeiten.
Überwachungspraktiken, die personenbezogene Informationen betreffen, sollten mit internen Richtlinien und dem angegebenen Verwendungszweck übereinstimmen.
Personen können je nach Kontext Rechte auf Offenlegung, Berichtigung, Aussetzung der Nutzung oder Löschung haben.
PIPL (Personal Information Protection Law) - China
Umfassendes Gesetz zum Schutz personenbezogener Informationen, das die Verarbeitung personenbezogener Informationen in China sowie bestimmte Verarbeitungstätigkeiten außerhalb Chinas betrifft, die Personen in China betreffen.
Erfordert einen klaren und angemessenen Zweck, Datenminimierung, Transparenz und geeignete Sicherheitsmaßnahmen.
Einwilligung kann in vielen Fällen erforderlich sein, während je nach Kontext andere rechtmäßige Verarbeitungsgrundlagen gelten können.
Eine separate Einwilligung kann für sensible personenbezogene Informationen, bestimmte Offenlegungen, grenzüberschreitende Übermittlungen oder andere Verarbeitungstätigkeiten mit höherem Risiko erforderlich sein.
Gewährt Personen Rechte wie Zugang, Berichtigung, Löschung, Widerruf der Einwilligung und Erläuterung der Verarbeitungsregeln.
Offizielle Quellen:
Singapore PDPC - Personal Data Protection Act Offizielle Übersicht über Singapurs Personal Data Protection Act.
Singapore PDPC - Data Protection Obligations Offizielle PDPC-Seite, die zentrale Pflichten wie Einwilligung, Benachrichtigung, Zweckbindung, Schutz und Aufbewahrung erklärt.
Singapore PDPC - Advisory Guidelines on Key Concepts in the PDPA Offizielle Leitlinien, die zentrale PDPA-Konzepte erklären, einschließlich Einwilligung und Ausnahmen.
Malaysia Department of Personal Data Protection - Personal Data Protection Act 2010 Offizielle Regierungsseite Malaysias zum Personal Data Protection Act 2010.
Malaysia Department of Personal Data Protection - Principles of Personal Data Protection Offizielle Übersicht über Malaysias sieben Grundsätze zum Schutz personenbezogener Daten.
Malaysia Department of Personal Data Protection - Guidance on Personal Data Protection Notices Offizielle Leitlinien zur Erstellung von Datenschutzhinweisen für personenbezogene Daten.
Japan Personal Information Protection Commission - Act on the Protection of Personal Information Offizielle englische Übersetzung des japanischen Act on the Protection of Personal Information.
Japan Personal Information Protection Commission Offizielle Website der japanischen Datenschutzaufsichtsbehörde.
China National Laws and Regulations Database - Personal Information Protection Law Offizieller chinesischer Text des chinesischen Personal Information Protection Law.
Cyberspace Administration of China - Personal Information Protection Law Offizielle CAC-Veröffentlichung des chinesischen Personal Information Protection Law.
Lateinamerika
LGPD (Lei Geral de Protecao de Dados) - Brasilien
Brasiliens LGPD reguliert die Verarbeitung personenbezogener Daten, einschließlich digital verarbeiteter Daten. Es kann für Informationen gelten, die durch Online- oder Arbeitsplatzüberwachung erhoben werden, wenn sich die Daten auf eine identifizierte oder identifizierbare Person beziehen.
Organisationen sollten eine geeignete Rechtsgrundlage für die Überwachung festlegen und den Zweck der Datenerhebung erklären. Überwachung sollte auf das Notwendige beschränkt, transparent durchgeführt und durch geeignete Sicherheitsmaßnahmen unterstützt werden.
Personen haben Rechte, die Zugang, Berichtigung, Löschung, Übertragbarkeit, Informationen über Datenweitergabe und Widerruf der Einwilligung umfassen können, soweit anwendbar.
Nationale Datenschutzgesetze in Argentinien, Mexiko und Chile
Argentinien, Mexiko und Chile verfügen über nationale Datenschutzrahmen, die je nach Kontext und Art der betroffenen Daten auf personenbezogene Daten anwendbar sein können, die durch Überwachungstools erhoben werden.
Zu den gemeinsamen Datenschutzerwartungen in der Region gehören ein klarer und angemessener Zweck, die Information von Personen über die Datenerhebung, die Beschränkung der Datennutzung auf das Notwendige und der Schutz personenbezogener Daten durch geeignete Schutzmaßnahmen.
Personen können je nach anwendbarem Recht Rechte auf Zugang, Berichtigung, Aktualisierung, Löschung oder Widerspruch gegen bestimmte Verwendungen ihrer personenbezogenen Daten haben.
Da sich spezifische Anforderungen je nach Land unterscheiden und sich im Laufe der Zeit ändern können, sollten Organisationen die aktuellen lokalen Regeln prüfen, bevor sie Online- oder Arbeitsplatzüberwachung in diesen Märkten implementieren.
Offizielle Quellen:
Brasilien - Gesetz Nr. 13.709/2018, Allgemeines Gesetz zum Schutz personenbezogener Daten (LGPD) Offizieller konsolidierter Text der brasilianischen LGPD.
Argentinien - Agencia de Acceso a la Informacion Publica: Schutz personenbezogener Daten Offizielle Seite der argentinischen Behörde zum Schutz personenbezogener Daten.
Chile - Gesetz Nr. 19.628 über den Schutz des Privatlebens Offizieller Text des chilenischen Gesetzes zum Schutz personenbezogener Daten.
Chile - Gesetz Nr. 21.719, Schutz und Verarbeitung personenbezogener Daten Offizieller Text des modernisierten chilenischen Datenschutzrahmens.
Naher Osten
Datenschutzgesetz der VAE (Bundesdekret-Gesetz Nr. 45 von 2021)
Das föderale Datenschutzgesetz der VAE bietet einen allgemeinen Rahmen für die Verarbeitung personenbezogener Daten. Es kann für Organisationen gelten, die personenbezogene Daten in den VAE verarbeiten oder personenbezogene Daten von Personen in den VAE verarbeiten, abhängig vom Geltungsbereich des Gesetzes und etwaigen anwendbaren sektor- oder freizonenspezifischen Regeln.
Für die Überwachung sollten Organisationen einen klaren und rechtmäßigen Zweck festlegen, die Datenerhebung auf das Notwendige beschränken und starken Wert auf Transparenz und Sicherheit legen.
Organisationen sollten Mitarbeiter über die Überwachung informieren, sofern dies erforderlich ist, ihre Gründe für die Erhebung personenbezogener Daten dokumentieren und interne Richtlinien sowie Schutzmaßnahmen für den Umgang mit überwachten Daten einführen.
Qatar Data Privacy Protection Law
Katars Datenschutzgesetz für personenbezogene Daten gilt für personenbezogene Daten, die elektronisch verarbeitet werden oder für die elektronische Verarbeitung bestimmt sind.
Es erkennt das Recht des Einzelnen auf Datenschutz an und verlangt, dass die Verarbeitung personenbezogener Daten Grundsätzen wie Transparenz, Fairness und Respekt vor der Privatsphäre folgt.
Für Überwachungssysteme sollten Organisationen einen klaren und rechtmäßigen Zweck haben, Personen informieren, sofern dies erforderlich ist, und personenbezogene Daten durch geeignete Sicherheitsmaßnahmen schützen.
Organisationen sollten außerdem anwendbare Rechte respektieren, einschließlich Zugangs- und Berichtigungsrechten, sofern verfügbar.
Saudi Personal Data Protection Law (PDPL)
Saudi-Arabiens PDPL reguliert die Verarbeitung personenbezogener Daten im Königreich und kann auch für bestimmte Verarbeitungstätigkeiten außerhalb des Königreichs gelten, wenn sie personenbezogene Daten von Personen in Saudi-Arabien betreffen.
Für die Überwachung sollten Organisationen klare Zwecke definieren, Datenschutzrichtlinien einführen und Personen darüber informieren, wie ihre personenbezogenen Daten erhoben und verwendet werden.
Einwilligung kann in vielen Fällen erforderlich sein, während je nach Kontext andere rechtmäßige Grundlagen gelten können.
Arbeitgeber, die Überwachungstools einsetzen, sollten überwachte Daten schützen, den internen Zugriff beschränken, unnötige Erhebung vermeiden und Mitarbeiterinformationen im Einklang mit den Transparenz-, Sicherheits- und Aufbewahrungsanforderungen des PDPL behandeln.
Offizielle Quellen:
VAE-Gesetzgebung - Bundesdekret-Gesetz Nr. 45 von 2021 zum Schutz personenbezogener Daten Offizieller Text des föderalen Datenschutzgesetzes der VAE.
Qatar Al Meezan - Gesetz Nr. 13 von 2016 zum Schutz der Privatsphäre personenbezogener Daten Offizieller englischer PDF-Text des katarischen Datenschutzgesetzes für personenbezogene Daten.
SDAIA - Datenschutzgesetz Offizielle Seite der saudischen Daten- und KI-Behörde zum Personal Data Protection Law Saudi-Arabiens.
SDAIA - Personal Data Protection Law Offizielle englische Fassung des Personal Data Protection Law Saudi-Arabiens.
Abschließende Überlegungen für verantwortungsvolle Überwachung
Gesetze zur Online- und Mitarbeiterüberwachung unterscheiden sich erheblich zwischen Ländern, Bundesstaaten, Branchen und Arbeitsplatzumgebungen. Dasselbe Überwachungstool kann in einem Kontext akzeptabel und in einem anderen unangemessen oder rechtswidrig sein, abhängig davon, wie es konfiguriert ist, welche Daten erhoben werden, ob Benutzer informiert werden und wie die Informationen verwendet werden.
Ein verantwortungsvolles Überwachungsprogramm sollte im Allgemeinen Folgendes umfassen:
Ein klarer und legitimer Zweck für die Überwachung
Schriftliche interne Richtlinien, die erklären, was überwacht wird und warum
Hinweis an Benutzer oder Mitarbeiter, sofern erforderlich
Begrenzte und verhältnismäßige Datenerhebung
Starke Zugriffskontrollen und Sicherheitsvorkehrungen
Festgelegte Aufbewahrungsfristen für erhobene Daten
Regelmäßige Überprüfung der Überwachungspraktiken
Rechtliche Prüfung für risikoreiche, sensible, verdeckte oder grenzüberschreitende Überwachungsszenarien
Spyrix stellt Überwachungssoftware für autorisierte Nutzung bereit. Jede Organisation ist jedoch selbst dafür verantwortlich festzustellen, ob ihre konkrete Nutzung von Überwachungstools den anwendbaren Gesetzen, internen Richtlinien und Hinweisvorgaben entspricht. Im Zweifel sollten Organisationen qualifizierten Rechtsbeistand konsultieren, bevor sie Überwachungssoftware einsetzen oder eingriffsintensivere Überwachungsfunktionen aktivieren.