Überwachung von Angestellten: „Jeder ist potenziell verdächtig“

Sie versprechen Sicherheit für Unternehmen und stellen deren Angestellte unter Generalverdacht: Die Anbieter von Spionagesoftware sind häufig eng mit Geheimdiensten verbandelt – und sie verstehen ihr Geschäft. Auch in deutschen Unternehmen wird Software entwickelt und eingesetzt, mit deren Hilfe Arbeitgeber:innen im Detail nachvollziehen können, was ihre Mitarbeiter:innen den Tag über tun. Selbst E-Mails werden ausgewertet, regelmäßige Screenshots ihrer Aktivitäten verraten, was sie „zwischendrin“ tun. Die Daten werden unter anderem mittels künstlicher Intelligenz ausgewertet, um „unerwünschte Verhaltensweisen“ zu identifizieren und Angestellte mit einem Risiko-Score zu versehen.

Kevin Milton muss zum Chef. Kaum betritt er das Zimmer, erkennt ihn das Computersystem auf mysteriöse Weise und vermerkt seinen Namen, Mitarbeiternummer und -abteilung und den Hinweis: „Last performance review: poor“: Der Beschäftigte im Bereich „Data Services“ bringt offenbar nicht genügend Leistung. Das alles erfährt sein Vorgesetzter vom Computersystem, als Milton den Raum betritt.

„Wie beim letzten Mal“, sagt sein Manager und überreicht Milton ein Dokument. In diesem Moment fügt das Computersystem Milton einer Liste hinzu: „Watchlist: Possible Disgruntled Employee“ – „Beobachtungsliste potentiell verärgerter Mitarbeiter.“ Als er kurz darauf an seinem Arbeitsplatz den Begriff „Kündigungsschreiben“ googelt und einige Jobwebsites ansurft, wird auch das vom System erfasst. Miltons digitale Akte wird durch die Begriffe „Exiting behavoiur, Flight risk“ – Aussteigerverhalten – ergänzt. Und als er dann einige Dateien öffnet, erscheint „Abnormally high volume of files accessed“ – er habe auf “auffällig viele Daten zugegriffen". Jetzt ist Milton endgültig verdächtig.

Was wirkt wie eine Dystopie ist in Wirklichkeit Werbung des Unternehmens Securonix für eine Software, die Mitarbeiter:innen überwacht. Die Szene aus dem Youtube-Film „The Insider Thread“ ist sogar nicht einmal untypisch, wie Berichte von Mitarbeiter:innen deutscher Unternehmen sowie eine aktuelle Studie zeigen: Engmaschige Überwachung am Arbeitsplatz ist bereits Realität.

Überwacht werden präventiv alle

Es gibt eine ganze Reihe an Software auf dem Markt, die alle erdenklichen Daten erhebt, sammelt und auswertet, um zu berechnen, ob Beschäftigte eventuell Schlechtes im Schilde führen. Dabei werden nicht nur jene überwacht, die besonders weitgehende Zugriffsrechte haben, sondern meist präventiv der ganze Betrieb. Der eineinhalbminütige Youtube-Film von Securonix behauptet, dass sich Unternehmen vor Risiken durch Mitarbeiter:innen schützen können, wenn sie die Dienste des Anbieters nutzen.

Securonix führt dabei Daten aus vielen Programmen zusammen und analysiert sie auf eine dynamische Art und Weise: Während Kevin Milton im Film einige Dateien auf einen USB-Stick lädt, erscheint ein roter Schriftzug neben ihm: „Outlier“. Outlier zu finden, ungewöhnliche Vorkommnisse also, das ist eine der Stärken von maschinellem Lernen. Securonix setzt es offenbar ein, um ungewöhnliches Verhalten zu erkennen.

Drohend liegt die Stimme des Chief Technical Officer von Securonix, Tanuj Gulati, über der Szene. „Einer von drei Cybersecurity-Vorfällen kann direkt auf Insider zurückgeführt werden.“ Insidern werde vertraut, warnt er, sie haben Zugang zu Systemen, wissen, wo sie die sensitiven Daten finden und wie man physische und IT-Kontrollen umgeht. Kevin Miller verlässt derweil das Großraumbüro, seine Schritte verfolgt von einer Überwachungskamera – und um seinen Kopf erscheint ein roter Kreis: „High Risk User“.

Dystopische Verhältnisse bei der Hypovereinsbank?

Bei der UnicreditServices in München schweben freilich keine roten Kreise über verdächtigen Mitarbeitern in der Luft. Die Überwachung ist unsichtbar, aber dafür umfassend, berichtet ein Insider. „Wir waren nicht geschockt, als wir von der Überwachungssoftware erfahren haben, weil wir als ITler ahnen können, was es auf dem Markt gibt“, sagt Klaus Müller. In Wirklichkeit heißt er anders, aber er möchte sich nicht verdächtig machen, weil er mit der Presse spricht.

Welche Websites Klaus Müller besucht, welche E-Mails er schreibt, welche Programme er nutzt – all das erfassen verschiedene Systeme bei der Unicredit Services, berichtet er. Securonix berechnet daraus unter anderem für jeden Mitarbeiter einen Risikoscore, wie aus einem Beschluss des Münchener Arbeitsgerichts vom Dezember 2018 hervorgeht, das damals auf die Rechtswidrigkeit des Vorgehens hingewiesen hatte. Der Beschluss ist nicht öffentlich, die Autorin konnte aber Einblick erhalten. Das Unternehmen ist eine Servicegesellschaft der Unicredit Gruppe, ein großer europäischer Bankenkonzern, dem in Deutschland die Hypovereinsbank angehört.

Müller ist weit davon entfernt, seinem Arbeitgeber Schaden zufügen zu wollen, er ist sicherlich kein Kevin Miller wie im Werbefilm – aber unzufrieden ist Müller schon: er möchte nämlich nicht unter Generalverdacht stehen. Denn offenbar herrscht hier von Seiten des Arbeitgebers ein generelles Misstrauen gegenüber allen Beschäftigten.

Welches Verhalten erhöht den Risk-Score und führt zu mehr Überwachung?

Es werden laut Müller nicht nur alle erdenklichen Daten gesammelt, über mehrere Jahre gespeichert und teils ausgewertet. Für die Mitarbeiter ist zudem unklar, welches Verhalten den Risk-Score in welcher Form beeinflusst. „Wenn künstliche Intelligenz nach Muster suchen, ist das unberechenbar“, sagt Müller, „jeder ist potentiell verdächtig.“ Berechnet das System einen besonders hohen Risk-Score, erfahre der Mitarbeiter erstmal nichts, wohl aber Security-Spezialisten im Konzern, die dann überprüfen, wie groß die Gefahr tatsächlich ist.

Dabei habe man sich schon daran gewöhnt, überwacht zu werden, berichtet Müller. „Unicredit hat eine Armada an Überwachungssoftware ausgerollt.“ So würden die so genannten Logfiles aller Programme – also automatische Protokolle darüber, wie, wann und von wem sie genutzt wurden – zusammengeführt und ausgewertet. „Mittlerweile haben wir Logfiles von allen Mitarbeitern, die es ermöglichen, ein Tätigkeitsprofil über den gesamten Tag zu erstellen“, berichtet Müller.

Auch das Interview wurde nicht per E-Mail vereinbart, denn jede ausgehende E-Mail werde inhaltlich gescannt. Nach Müllers Informationen werden diese zwar nur in Verdachtsfällen vom Arbeitgeber gelesen und ausgewertet. Aber wo fängt ein Verdachtsfall an? Und welche Begehrlichkeiten wecken Daten, die auf Verdacht mehrere Jahre lang gespeichert werden? „Wenn Daten da sind, werden sie auch genutzt“, ist Müller überzeugt.

„Wenn Daten da sind, werden sie auch genutzt.“ (Klaus Müller, Mitarbeiter von UnicreditServices)

Die Autorin hat der UniCredit Services eine Reihe von Fragen gestellt – etwa dazu, welche Programme das Unternehmen einsetzt, um Aktivitäten von Mitarbeitern zu erfassen, und wie lange die dabei gewonnen Daten gespeichert werden. Auch nach dem Risiko-Score und danach, ob E-Mails der Beschäftigten gescannt werden.

Die Bank Unicredit, die hierzulande unter der Marke HypoVereinsbank bekannt ist, hat die Fragen nicht im Detail beantwortet, sondern lediglich erklärt: „Der Einsatz der Software dient allein dem Ziel, Kund:innen und Mitarbeiter:innen der UniCredit Gruppe zu schützen.“ Banken seien verpflichtet, ihre Systeme vor Manipulation und anderen Bedrohungen zu bewahren, und mit der Einführung von Securonix erfülle man gesetzliche Verpflichtungen und Vorgaben der Aufsichtsbehörden. Die Geschäftsleitung und der Betriebsrat hätten zudem eine Betriebsvereinbarung zu der Nutzung der Software geschlossen.

Stehe ich unter Beobachtung? Habe ich etwas auffälliges getan?

Zudem sei es noch nicht nötig gewesen, einen Mitarbeiter aufgrund eines Securonix Alarms von der Security-Abteilung überprüfen zu lassen, so ein Sprecher der Hypovereinsbank. Auch Klaus Müller sagt, er habe noch nicht gehört, dass jemand Ärger bekommen habe auf der Basis der Überwachung. Womöglich sind die Mitarbeiter aber auch genau deshalb besonders angepasst, vermutet er. „Man fragt sich natürlich schon: stehe ich unter Beobachtung? Habe ich etwas auffälliges getan? Man weiß ja, dass alles protokolliert wird.“

Mit diesem Gefühl ist Müller nicht allein. Die Beschäftigten der Unicredit Sevices sind nicht die einzigen, die eine derart weitgehende Überwachung erleben – das zeigt eine neue Studie der Wiener NGO „Cracked Labs“. Der Forscher und Datenschutz-Aktivist Wolfie Christl legt darin eine umfassende Analyse vor, wie Angestellte aktuell Software basiert kontrolliert und überwacht werden – vom Versandhaus, über Kassiererinnen, Telefoncenter, Außendienstler bis zu Büroangestellten und ganzen IT-Abteilungen. Die Studie wurde vom Digitalisierungsfonds der österreichischen Arbeiterkammer finanziert.

Dass Müllers Schilderungen realistisch sind, zeigt unter anderem ein Screenshot des Arbeitgeber-Dashboards von Securonix in der Studie. „Top-Violators“ sind dort mit ihrem Risikoscore namentlich aufgelistet. Wer sie anklickt, kann sehen, welches Verhalten den Score beeinflusst hat: eine E-Mail mit einem Anhang von mehr als einem Megabyte beispielsweise, das Besuchen von Jobwebsites, eine anonyme Internet-Verbindung über den Tor-Browser und ein Download aus einem Ordner, den sonst niemand in der Arbeitsgruppe nutzt.

Gute Kontakte zu US-Geheimdiensten

Securonix ist bei weitem nicht die einzige Überwachungssoftware, die deutsche Unternehmen einsetzen. Ähnliche Funktionalitäten haben laut der Studie beispielsweise die Software des IT-Sicherheitsunternehmen Forcepoint zur Nutzeranalyse, die protokolliert, welche Programme Mitarbeiter wie nutzen und deren Kommunikation inhaltlich auswertet – inklusive Telefonate, die automatisch transkribiert werden und unter anderem zeigen sollen, ob Mitarbeiter in finanziellen Schwierigkeiten stecken, ob sie kündigen wollen und wie viel sie mit Kollegen sprechen.

Weitere Datenquellen sind die anderer Programme wie Microsoft Office 365, Skype und Slack sowie GPS-Standortdaten. Auch hier werden „auffällige“ Beschäftigte automatisch erkannt und namentlich entsprechend des berechneten Risikos in einem Dashboard dargestellt. Arbeitgeber können im Verdachtsfall E-Mails und Chatnachrichten lesen und, wie Forcepoint verspricht, einem Mitarbeiter in einem Video nachträglich „über die Schulter blicken“ als stünde er hinter ihm.

„Einige Anbieter haben enge Verbindungen zum militärischen Bereich und zu Geheimdiensten“, sagt Christl, der unter anderem entsprechende Verbindungen zwischen Forcepoint und der CIA sowie der NSA nachweisen konnte. In Deutschland nutzt laut Forcepoint unter anderem das Gemeinschaftskrankenhaus Herdecke das Programm „Data Loss Prevention“ des Herstellers, das „anormales“ Verhalten erkennen soll.

Deutsche Unternehmen nutzen Überwachungssoftware

Forcepoint stellt das Projekt der Klinik auf seiner Webseite im Detail vor und schreibt dort explizit, die Klinik setze „Data Loss Prevention“ ein, um sich vor dem „unkontrollierten Datenabfluss durch die eigenen Mitarbeiter“ zu schützen. Auf Anfrage der Autorin bestreitet das Krankenhaus den Einsatz dieser Software, betont aber, dass es wichtig sei, Krankenhaussysteme in Zeiten gesteigerter Hackerattacken zu schützen.

Aber es geht nicht nur um die Sicherheit vor Hackerangriffen, wenn Unternehmen Daten über ihre Mitarbeiter auswerten. Bosch, Philips, Vodafone und Conrad Electronic nutzen beispielsweise das Programm Genesys, das in Callcentern zur Leistungskontrolle eingesetzt wird. Es kann die Leistung von Beschäftigten bewerten und sie in Rankings einteilen, wie Christl in seiner Studie zeigt.

Zu den ausgewerteten Daten können unter anderem Protokolle all ihrer Telefonate gehören, die sich dann nach Stichworten durchsuchen lassen. Philips räumt den Einsatz der Software zwar gegenüber der Autorin ein, bestreitet aber, damit Mitarbeiter zu ranken oder ihre Telefongespräche nach Schlüsselwörtern zu durchsuchen. Conrad Electronic bestätigt den Einsatz der Software, bestreitet aber „mitarbeiterbezogene Auswertungen für Leistungsvergleiche“. Bosch und Vodafone verneinen solche Vergleiche ebenfalls.

Celonis: Überwachung Made in Germany

Auch das 2011 gegründete und von Medien unter anderem als „digitaler Hoffnungsträger“ gefeierte deutsche Unternehmen Celonis überschreitet offenbar ethische und möglicherweise auch rechtliche Grenzen mit seiner Software, die betriebliche Abläufe optimieren soll. Das in deutschen Unternehmen verbreitete Produkt „Process Mining“ wertet dafür jede Menge Daten akribisch aus.

Sie werden aus anderen Anwendungen extrahiert, beispielsweise Systemen von SAP, Oracle, Microsoft oder Salesforce, die Betriebsabläufe verwalten. Auch hier berechnet ein System des maschinellen Lernens, was „üblich“ ist und leitet daraus unter anderem „Verletzungen“ ab. In einem Dashboard wird gezeigt, welcher Nutzer „unerwünschtes Verhalten“ zeigt laut des Systems – in diesem Fall die erneute Bearbeitung eines Schadensfalls in einer Versicherung. „Auch wenn die meisten Auswertungen aggregiert erfolgen, bezieht Celonis unglaublich detaillierte Informationen über Arbeitstätigkeiten mit ein“, sagt Christl.

Und Celonis geht noch einen Schritt weiter. Das Unternehmen kennt die Grenzen der Daten über Prozesse, die wie beim System der UnicreditServices vorallem aus Logdaten von Computeranwendungen bestehen, Daten also, die zeigen, welches Programm wann, von wem, wie lange benutzt wurde. Aber was machen Mitarbeiter:innen zwischendrin? Und wie genau nutzen sie dieses Programme? Celonis bietet für solche Fragen eine Spionagesoftware an für Unternehmen, die wissen wollen, was ihre Mitarbeiter „dazwischen“ machen (wie Celonis selbst schreibt).

Das Produkt „Task Mining“ überwache alles, was Nutzer am Desktop machen, schreibt Celonis stolz auf seiner Webseite: Wo sie klicken und scrollen, es erfasst „Nutzeraktivitäten“ mit Zeitstempel und fertigt regelmäßig Screenshots an. Die Screenshots können dann mittels automatischer Texterkennung ausgewertet werden: Ein Unternehmen kann so also auch den Inhalt von E-Mails automatisch auslesen. In einem Video zeigt Celonis obendrein, wie Mitarbeiter:innen in einem Dashboard namentlich gerankt werden anhand der Pünktlichkeit ihrer Ablieferungen, und wie der Arbeitgeber nachvollziehen kann, was jede einzelne Person genau tut. Im Beispiel sieht er auch die Screenshots vom Computer einer Mitarbeiterin, die die Software alle paar Sekunden macht – darunter ein Gesprächsprotokoll von einem Kundengespräch.

Exzessive Verarbeitung personenbezogener Daten

Celonis ließ Fragen der Autorin im Detail unbeantwortet, weist aber darauf hin, dass man Funktionen in die Software integriert habe, „um sicherzustellen, dass nur relevante Geschäftsdaten und keine personenbezogenen Daten, die den gesetzlichen Regelungen widersprechen würden, erfasst werden.“ Zudem seien die Kunden verpflichtet, die Software entsprechend ihrer Datenschutzrichtlinien sowie der gesetzlichen Vorgaben anzuwenden, so eine Sprecherin. „Die Hoheit über die Daten und deren Verwendung liegt selbstverständlich bei den Anwendern.“

Auch wenn Celonis betone, dass überwachte Anwendungen und Metadaten eingeschränkt werden können, bleibt Christl skeptisch, ob das in der Praxis auch stets geschieht und ob das System DSGVO-konform ist. „In jedem Fall verarbeitet das System sehr exzessiv personenbezogene Daten.“

„Es gibt viele Möglichkeiten, IT sicherer zu machen als eine generelle und anlasslose Überwachung.“ (Peter Wedde, Arbeitsrechtler)

Christl ist kein Unbekannter in diesem Zusammenhang. Der Datenschutzexperte hat schon oft mit seinen Recherchen für Wirbel gesorgt. Kürzlich hat er zum Beispiel nachgewiesen, dass ein Programm zur „Produktivitätsbewertung“ der Softwarefirma Microsoft für Arbeitgeber auswertet, wie oft welche Mitarbeiter Anwendungen wie Word oder Excel nutzen, wie häufig sie E-Mails verschicken, wie oft sie den Bildschirm teilen bei Videomeetings und vieles mehr.

Christl hatte sich die Software und Dokumentation von Microsoft genau angesehen: Das Tool stellte Vorgesetzten Daten über Verhaltensweisen einzelner Mitarbeiter zur Verfügung – jedenfalls bis Christl das öffentlich thematisierte. Es gab einen Shitstorm im Netz und Microsoft kapitulierte: Das Produkt wurde global geändert und stellt nun keine Daten über einzelne Mitarbeiter mehr bereit, sondern nur mehr für Teams.

Und der zuständige Microsoft-Manager twitterte kleinlaut: „10.000 Dankeschöns an Wolfie Christl und andere für das Feedback, das zu dieser Veränderung geführt hat.“ Letztlich seien die Veränderungen ein Tropfen auf den heißen Stein, sagt Christl. Denn an vielen anderen Stellen bietet Microsoft 365 immer noch Funktionen, mit denen Arbeitgeber Verhaltensweisen von Einzelpersonen analysieren können.

IT-Sicherheit geht auch ohne Massenüberwachung

Dabei ist Christl natürlich nicht naiv. Vor allem im Bereich der IT-Sicherheit sei es sicherlich wichtig, Auffälligkeiten schnell zu erkennen: „Cyberangriffe sind ein riesiges Problem und natürlich müssen sich Unternehmen schützen.“ Bei Banken schreibt sogar die Bankenaufsicht Bafin vor, dass verdächtige Vorgänge automatisch überprüft werden müssen – aber eben gezielt und konkret. „Die automatische Erkennung von Phishing, Schadsoftware, verdächtigen Login-Aktivitäten oder ungewöhnliche Änderungen bei Systemdateien haben ihren Grund und sind legitim“, sagt Christl.

Doch bei Securonix und Co ginge vieles darüber hinaus, „und das stellt die Beschäftigten unter Pauschalverdacht und greift durch eine fast vollständige Überwachung des Arbeitsalltags tief in ihre Rechte und Freiheiten ein.“

Eine solche Praxis ist nach Ansicht des Arbeitsrechtlers Peter Wedde weder vom Gesetz noch von der bisherigen Rechtsprechung gedeckt. Sowohl das Bundesarbeitsgericht als auch das Bundesverfassungsgericht haben in bisherigen Urteilen zum Thema Arbeitnehmerüberwachung stets das „mildeste Mittel“ eingefordert, erklärt der Professor für Arbeitsrecht an der Frankfurt University.

„Man könnte also beispielsweise Admins überwachen, die tatsächlich Geldströme verändern können, aber man darf nicht ohne konkreten Verdacht alle Mitarbeiter jederzeit überwachen.“ Ein noch milderes Mittel könnte das Vier-Augen-Prinzip sein beim Zugriff auf heikle Systeme oder auch technische Einschränkungen, wer auf sensible Dateien zugreifen darf. „Es gibt viele Möglichkeiten, IT sicherer zu machen als eine generelle und anlasslose Überwachung.“

Anlasslose Überwachung am Arbeitsplatz ist widerrechtlich

Die Datenschutzgrundverordnung schreibe zudem Datenminimierung vor, „aber Securonix macht genau das Gegenteil.“ Wedde kennt sich mit diesem Fall besonders gut aus, da er ein Urteil des Landesarbeitsgerichts München zu Securonix für die juristische Datenbank Juris.de kommentiert hat. Die Datenbank ist nicht öffentlich zugänglich, Weddes Analyse liegt der Autorin jedoch vor. Der Wissenschaftler war auch als Beisitzer des Betriebsrats im Schlichtungsverfahren um die Betriebsvereinbarung zu Securonix bei der Unicredit Services beteiligt. Über diese Arbeit darf er nicht sprechen.

Wedde beschäftigt sich seit vielen Jahren mit Arbeitnehmerdatenschutz und hat beruflich immer wieder mit ähnlichen Systemen wie Securonix zu tun gehabt. Sie alle setzten darauf, möglichst viele Daten zu sammeln und zu speichern. Aber das sei verboten: „Das ist anlasslose Vorratsdatenspeicherung, und die hat das Bundesverfassungsgericht 2012 als unzulässig erklärt.“ Die DSGVO fordert zudem Transparenz darüber, wie die Daten ausgewertet werden. Auch das sei hier nicht der Fall. „Eine heimliche, für die Betroffenen undurchsichtige Kontrolle ist nicht zulässig.“ Das sei den Strafverfolgungsbehörden vorbehalten – auf Basis einer richterlichen Verfügung.

Im Fall von Securonix wissen die Beschäftigten nicht, was genau analysiert wird und welches Verhalten richtig oder falsch ist, sagt Wedde. „Rechtlich gesehen muss für die Beschäftigten muss klar sein, was für ein Verhalten einen Alarm auslöst.“ Ähnlich hatte auch das Arbeitsgericht München im Dezember 2018 argumentiert, als es die Betriebsvereinbarung der UnicreditServices zu Securonix für ungültig erklärt hatte: Die Nutzung von Securonix führe zu einem „schwerwiegenden Eingriff in das Persönlichkeitsrecht der Arbeitnehmer“, so das Gericht. Auch „unschuldige" Arbeitnehmer würden in großem Umfang anlasslos überwacht.

„Dauerhafter psychischer Druck“

Securonix gehe „von einem generellen Verdacht gegen alle das Unternehmensnetzwerk nutzenden Mitarbeiter“ aus. Dies führe „dauerhaft zu einem psychischen Anpassungsdruck bei allen IT-nutzenden Arbeitnehmern während der gesamten Arbeitszeit.“ Die nächste Instanz, das Landesarbeitsgericht, hatte zwar dem Arbeitgeber recht gegeben, aber Rechtsbeschwerde vor dem Bundesarbeitsgericht zugelassen. „Das zeigt, dass die Richter dem Thema eine besondere Bedeutung zusprechen“, sagt Wedde. Auch er hätte gerne eine höchstrichterliche Klärung gesehen, aber aus undurchsichtigen Gründen hätten die Parteien ihre Beschwerde zurückgezogen.

Womöglich wurde der Betriebsrat unter Druck gesetzt. Klaus Müller erinnert sich an eine virtuelle Betriebsversammlung vom März, in der gefragt worden sei, wieso es für außertarifliche Mitarbeiter in diesem Jahr keine Gehaltserhöhung gebe wie in anderen Konzern-Unternehmen. „Weil dort der Betriebsrat die Konzernleitung nicht vor Gericht zerrt“, habe die Antwort von der Unternehmensleitung gelautet. Die UnicreditServices dementierte das auf Anfrage der Autorin.

Wolfie Christl beobachtet, dass die Möglichkeiten digitaler Überwachung große Begehrlichkeiten wecken. „Viele dieser technischen Systeme bieten einfach alles an, was technisch möglich ist. Und in den meisten Fällen nutzen die Arbeitgeber auch alles, was möglich ist.“ Das sei auch gefährlich, weil sich am Ende niemand verantwortlich fühle. „Solche Systeme normalisieren die massive Auswertung von Daten“, warnt er.

„Viele dieser technischen Systeme bieten einfach alles an, was technisch möglich ist. Und in den meisten Fällen nutzen die Arbeitgeber auch alles, was möglich ist.“ (Wolfie Christl, Forscher und Datenschutzaktivist)

Unabhängig davon, dass viele der Versprechen wohl kaum eingehalten werden können – beispielsweise mehr Effizienz bei mehr Überwachung oder eine bessere Qualität von Anrufen in Callcentern mit Systemen, die angeblich Emotionen erkennen – erhöhten die Systeme den Druck auf die Mitarbeiter und auch das gegenseitige Misstrauen. In einige Systeme wie Successfactors von SAP fließen zudem Bewertungen von Kollegen mit ein, „man kann eine Gesamtnote für Mitarbeiter erstellen“, sagt Christl, „das ist verwandt mit der Idee eines Social Credit Systems.“ Dabei werden an sich harmlose Verhaltensweisen auf einmal verdächtig.

Als Kevin Miller, der Protagonist im Securonix-Werbefilm, abends ins Unternehmen zurückkehrt, wird auch das als verdächtig eingestuft. Wie in einem guten Krimi weiß der Zuschauer natürlich schon was passiert: Milton lädt tatsächlich unzählige als vertraulich gekennzeichnete Dateien herunter, unter anderem Kundenlisten.

Und das ist wohl der unrealistischste Teil des Films: „99,9 Prozent aller Beschäftigten sind völlig solide, sie wollen ihren Arbeitgeber nicht betrügen“, sagt Wedde. Normalerweise kommen Arbeitnehmer abends ins Büro, weil sie pflichtbewusst sind und ihren Arbeitgeber vor Schaden beispielsweise wegen nicht eingehaltener Abgabefristen bewahren wollen. 99,9 Prozent der Arbeitnehmer sind eben keine Millers. Werden sie aber unter Pauschalverdacht gestellt, kann das Loyalität kosten.