Orwell lässt grüßen: Mitarbeiter im Homeoffice ausspionieren

Wir bekommen immer mehr Anfragen von Mitarbeitern in Unternehmen, die wissen wollen, was die neuen Tools eigentlich alles für Auswertungs-Möglichkeiten haben. Oftmals passiert das, nachdem sie eine E-Mail mit der persönlichen Aktivitäts-Auswertung von Microsoft MyAnalytics erhalten haben. 

Hier siehst du mal, was in so einer Auswertung drin steht (in diesem Fall meine eigene):

Mich persönlich überraschen diese Zahlen nicht, da sie absolut nichts über meine Produktivität aussagen können. Alleine deshalb nicht, da meine Arbeit nicht zu 100% aus Microsoft-Produkten besteht. In meinem Fall ist es sogar nur ein sehr kleiner Anteil.

Wenn du aber in einem Unternehmen arbeitest, in dem es permanent um “Auslastung”, “Produktivität” und “Marge” geht, ist es verständlich, dass du angesichts eines solchen Status Reports nervös wirst. Und auch verständlich, dass sich dir, wenn du weiterdenkst, irgendwann die Frage stellt, “Kann mein Chef mich eigentlich ausspionieren?”. Und spätestens seit die Arbeit im Homeoffice zur täglichen Routine geworden ist und der Chef einem nicht mehr auf die Finger schaut, stellen sich viele die Frage: “Kann man Leute über Softwaretools im Homeoffice ausspionieren?

Die Antwort lautet: Ja. Man kann. Und wie.

Auf welcher Seite steht Ihr eigentlich?

Wir sind durch unsere Erfahrung im Projektgeschäft tief drin in diesen Themen. Wir erstellen Gutachten für Datenschutzbeauftragte oder Betriebsräte; werden aber auch von der Chefetage angefragt, die Sicherheit haben will, dass nicht etwa aus Versehen spioniert wird – weil ein Häkchen in der Software falsch gesetzt ist.

Wir werden aber auch persönlich, hinter vorgehaltener Hand, darauf angesprochen – von Leuten, die ein komisches Bauchgefühl gegenüber ihrer eigenen Firma haben. Eines wurden wir jedoch noch nie gefragt: zu spionieren. Unsere Position ist klar: Wir bauen Absicherungsmaßnahmen, Beratung zum Ausspionieren gibt’s bei uns nicht. Nur, falls du es in Erwägung gezogen hast: Wir arbeiten nicht für die dunkle Seite. Wir unterliegen unserer eigenen Compliance – immer im Sinne des Datenschutzes und der Persönlichkeitsrechte. 

Einblick in die dunkle Seite

Wie eingangs schon erwähnt, tracken auch Teams oder Slack in gewissem Maße, wer wann wie online war – wobei dies immer im grünen Bereich liegt und wie gesagt zu hinterfragen ist, wie viel diese Zahlen über Produktivität aussagen.

Zoom hat mittlerweile die Funktionen seines “Attention Tracking” gestrichen; darin war ersichtlich, ob Teilnehmer einer Konferenz das Fenster geöffnet haben, sowie private Nachrichten der Teilnehmer, die während der Konferenz ausgetauscht wurden.

Aber es gibt eben auch Tools, die eigens für die Überwachung entwickelt wurden. Wenn also eines dieser Tools im Unternehmen im Einsatz ist, könnte dein komisches Bauchgefühl begründet sein. Nur um das klarzustellen: die folgenden Angaben sollen keinen Überblick über Spionagetools für PCs und Handys liefern. Sie sollen dir einen Überblick geben über das, was möglich ist. Und das ist ziemlich erschreckend. 

Die einschlägigen Tools tragen aufschlussreiche und sympathische Assoziationen im Namen wie “Orwell”, “Spy” oder “Sneak”, und werben ganz unverhohlen mit ihrem Daseinszweck: dass sie eigens dazu entworfen wurden, PC Aktivitäten unbemerkt aufzuzeichnen und zu speichern – ohne dass der User es merkt. Yeah, Orwell lässt grüßen. 

Die Features solcher Tools umfassen Bildschirmkontrolle, Aufnahmen aller E-Mails und Chats, von besuchten Websites, jedem Tastenanschlag, jedem/r verwendeten Programm/App, Monitoring der Nutzeraktivität, Internetaktivität, Standortbestimmung, Bewegungsprofile, des gesamten Systems (Welche Dateien oder Verzeichnisse wurden erstellt, gelöscht, verändert oder umbenannt). Die so erfassten Daten können per Aufnahmen lokal, übers Netzwerk, FTP, Cloud und E-Mail verschickt werden; es kann ein E-Mail-Alarm, zB nach bestimmten Suchbegriffen oder auch nach Verwendung eines USB-Sticks eingestellt werden; es gibt Echtzeitüberwachung und “Spy Webcam”, die auf Wunsch ein Foto vom Nutzer schießt und auch direkt als jpg per E-Mail Anhang verschickt.

Nachfragen lohnt sich

Nur um das klarzustellen: Mitarbeiter auszuspionieren, zu überwachen oder ihr Profil zu tracken ist kriminell, dagegen muss vorgegangen werden. 

Es kommt aber tatsächlich auch vor, dass aus Versehen spioniert wird! Das passiert schneller als man denkt. Wir kennen mehrere Fälle, in dem das Unternehmen ein MDM – Mobile Device Management – installiert hat, das auch die Mitarbeiter-Handys umfasste. In den Einstellungen war der Ortungsbutton aller Geräte versehentlich auf “Ja” eingestellt. 

Oder kleinere Unternehmen, die aus Kostengründen einen iCloud-Account für alle Mitarbeiter-Handys verwenden. Dabei ist eine einfache Ortung aller Geräte über die Funktion “Wo ist?” möglich – und das ist illegal! Die iCloud ist nur für Privatnutzung!

Bestenfalls bemerkt ein Mitarbeiter dies und meldete es; eine Riesenpeinlichkeit für die Geschäftsführung. Schlimmstenfalls endet so ein Fall aber auch vor dem Arbeitsgericht oder einer höheren Instanz.

Die einfache Lösung für dieses Thema lautet für alle Beteiligten – Mitarbeiter genauso wie Geschäftsführung – nachfragen. 

Wer wissen möchte, wer die Zahlen aus seiner Aktivitäts-Auswertung von Microsoft MyAnalytics eigentlich sonst noch einsieht und wie sie genutzt werden, sollte beim DSB (Datenschutzbeauftragten) nachfragen – und auch hinterfragen ob diese Auswertung nicht gar abgestellt werden kann. Wer generell ein komisches Gefühl hat, wie das eigene Unternehmen diese Themen handhabt, sollte ebenfalls beim DSB nachfragen und sich bestätigen lassen, dass keine Überwachung stattfindet. 

Der DSB ist verpflichtet, Auskunft zu erteilen. Wenn er das nicht kann, ist es seine Aufgabe, es herauszufinden, und ggf. etwas gegen unerlaubtes Tracking zu unternehmen.

Auch kann es für die Geschäftsführung nicht schaden, in der IT-Abteilung nachzufragen, ob die relevanten Einstellungen der Kollaborationstools, des Mobile Device Management oder der Cloud Lösung wirklich korrekt sind.

And you’ll see why 1984 won’t be like “1984”.