In einem Schweizer Spitalverbund mit angegliederter klinischer Forschung verdichtet sich ein Verdachtsfall: Ein Mitarbeitender der klinischen Informatik kopiert in der Offboarding-Phase auffällig viele Studiendaten. Das SOC erkennt die Anomalie innerhalb weniger Stunden. Bevor jedoch eine personelle Massnahme überhaupt geprüft werden kann, stehen HR, General Counsel und Datenschutzbeauftragte vor der entscheidenden Frage: Sind die erhobenen Daten rechtmässig beschafft, verhältnismässig und für ein Disziplinarverfahren verwertbar? Genau hier entscheidet sich, ob das Insider-Threat-Programm im Rechtskorridor zwischen HR und Legal trägt oder im ersten Ernstfall scheitert. Teil 2 dieser Serie stellt diese Aushandlung in den Mittelpunkt.
📑 Inhaltsübersicht
Personalprozesse als Detection-Surface · ArGV3 Art. 26 und die Verhältnismässigkeits-Doktrin · nDSG-Pflichten: Verzeichnis, DSFA, Information · MitwG, Personalvertretung und EU-Spillover · Beweissicherungs-Tauglichkeit für Disziplinar- und Strafverfahren · Konfliktlinien: HR-Fürsorgepflicht trifft Detection-Logik · Häufig gestellte Fragen
Personalprozesse als Detection-Surface: Wo das Insider-Threat-Programm zwischen HR und Legal tatsächlich beginnt
In Teil 1 dieser Serie wurden Mandat, Programm-Charta und Stakeholder-Landkarte skizziert. Sobald diese Grundlage steht, verlagert sich die Arbeit dorthin, wo jedes Insider-Threat-Programm operativ wird: an die Schnittstelle zwischen Personalprozessen und technischer Erkennung. Viele der belastbarsten Signale entstehen nicht im SIEM, sondern im Lebenszyklus eines Arbeitsverhältnisses.
Der Common Sense Guide des CERT/SEI in seiner siebten Auflage identifiziert Personalphasen, in denen sich Risikosignale typischerweise verdichten und in denen HR Kontext liefern kann, den die Technik allein nicht kennt: Onboarding (Vertrauensaufbau, Schulung, initiale Rechtevergabe), Karriere-Übergänge (Rollenwechsel, interne Versetzungen, Reorganisationen, auch im Zuge von Akquisitionen), Leistungs- und Krisenphasen (Konflikte, Abmahnungen, Belastungssituationen) sowie Offboarding (Zugriffsabbau, Rückgabe von Geräten, Wissenstransfer und die heikle Frage, welche Daten mitgenommen werden dürfen).
Ohne diesen Kontext erzeugt Detection entweder eine hohe False-Positive-Last oder übersieht gerade jene Muster, die sich in HR-Prozessen früh ankündigen. Das ist der sachliche Grund, weshalb HR im Steering Committee nicht als nachgelagerter Eskalationskanal funktioniert, sondern Schwellenwerte, Ausnahmeprozesse und Kommunikationspflichten mitdefiniert.
ArGV3 Art. 26 und die Verhältnismässigkeits-Doktrin im Detail
Die rechtliche Grundachse jedes Schweizer Insider-Threat-Programms ist Artikel 26 der Verordnung 3 zum Arbeitsgesetz (ArGV3). Die Norm untersagt den Einsatz von Überwachungs- und Kontrollsystemen, die dazu bestimmt sind, das Verhalten der Arbeitnehmenden am Arbeitsplatz zu überwachen. Solche Systeme können zulässig sein, wenn sie aus anderen Gründen erforderlich sind, etwa zur Gewährleistung der Sicherheit, zur Arbeitsorganisation oder zum Schutz von Betriebsmitteln, und wenn sie so ausgestaltet sind, dass Gesundheit und Persönlichkeit der Mitarbeitenden gewahrt bleiben.
Die Konsequenz für das Insider-Threat-Programm ist praktisch: User-Activity-Monitoring (UAM) und User-and-Entity-Behavior-Analytics (UEBA) sind nicht per se unzulässig, sie unterliegen aber einer strengen Zweck- und Verhältnismässigkeitsprüfung. In der Praxis bedeutet das unter anderem, dass eine breite, dauerhafte Verhaltensüberwachung nicht zum Designziel werden darf. Der EDÖB hebt in seiner Praxis regelmässig hervor, dass Zweckbindung, Datensparsamkeit und die mildeste geeignete Form der Auswertung zentral sind. Wo möglich, sind anonymisierte oder pseudonymisierte Auswertungen vorzuziehen; eine Auflösung auf Personenebene ist eng an vorab definierte Schwellenwerte zu knüpfen.
Vier Prüfsteine für jede UAM-/UEBA-Architektur in der Schweiz
Zweckbindung: Detection-Use-Cases sind vorab dokumentiert (z. B. Schutz sensibler Forschungsdaten, Erkennung von Datenabflüssen in der Offboarding-Phase). Ein generisches Mitarbeitenden-Tracking ist ausgeschlossen.
Eingriffsminimierung: Pseudonymisierte Aggregation in der Baseline-Phase, namentliche Auflösung erst bei dokumentiertem Schwellwert, mit Vier-Augen-Prinzip und klarer Rollenverteilung.
Transparenz: Verständliche Information der Belegschaft über Art, Umfang und Zweck der Auswertungen, nicht nur als schwer auffindbare Policy im Intranet.
Aufbewahrungsfristen: Log-Retention ist am Zweck und an Eskalationsfristen ausgerichtet, nicht an der technischen Maximalkapazität einer Plattform.
Hinzu kommt die bundesgerichtliche Rechtsprechung zur Überwachung am Arbeitsplatz, die verdeckte Massnahmen nur unter engen Voraussetzungen zulässt und stets eine einzelfallbezogene Verhältnismässigkeitsprüfung verlangt. Für die Programm-Architektur folgt daraus: Eine «Detection zuerst, rechtliche Prüfung später»-Logik, die in internationalen Frameworks mitunter mitschwingt, ist im Schweizer Arbeits- und Datenschutzkontext in der Regel nicht tragfähig.
nDSG-Pflichten: Verzeichnis, DSFA und Informationspflichten als Programm-Pflicht
Das revidierte Datenschutzgesetz (nDSG) erhöht den Dokumentations- und Begründungsdruck auf Insider-Threat-Programme spürbar. Für die Initialisierung sind insbesondere drei Pflichten zentral:
Erstens das Verzeichnis der Bearbeitungstätigkeiten: Jede UAM-, UEBA-, ITDR- oder DLP-Komponente ist mit Bearbeitungszweck, Datenkategorien, Empfängern, Aufbewahrungsdauer sowie technischen und organisatorischen Massnahmen zu erfassen. Praktisch heisst das: Der Datenschutzbeauftragte gehört in die Architekturphase, nicht erst in die Abnahme.
Zweitens die Datenschutz-Folgenabschätzung (DSFA): Insider-Threat-Detection in einer KRITIS-Organisation, die über tausende Identitäten und Rollen hinweg Verhaltensdaten korreliert, erreicht häufig die Schwelle eines hohen Risikos für die Persönlichkeit der betroffenen Personen. Die DSFA erzwingt die saubere Herleitung, welche Detection-Logik welchen Eingriff rechtfertigt und welche Schutzmassnahmen (Pseudonymisierung, strikte Rollentrennung, Protokollierung der Analysten-Zugriffe) zwingend sind.
Drittens die Informationspflicht bei der Beschaffung von Personendaten: Mitarbeitende müssen über Bearbeitungszwecke, Datenkategorien und gegebenenfalls Empfänger informiert werden. Eine nachvollziehbare, adressatengerechte Information zur Insider-Risk-Detection ist damit nicht nur ein Kulturthema, sondern eine Compliance-Anforderung. Sie ist zugleich das wirksamste Gegenmittel gegen den Vorwurf des Generalverdachts, wenn ein Fall später arbeitsrechtlich oder regulatorisch aufgearbeitet wird.
MitwG, Personalvertretung und der EU-Hinweisgeberschutz-Spillover
Das Mitwirkungsgesetz (MitwG) verpflichtet Arbeitgeber, die Personalvertretung in bestimmten Themen anzuhören, darunter Fragen des Gesundheitsschutzes und der Einsatz von Systemen, die geeignet sind, das Verhalten der Mitarbeitenden zu überwachen. Für Konzerne mit Personalkommission oder Personalvertretung folgt daraus: Das Insider-Threat-Programm braucht vor der produktiven Inbetriebnahme wesentlicher Detection-Komponenten eine formalisierte Konsultation. Wo keine Personalvertretung besteht, ist die Mitwirkung anders zu organisieren, typischerweise über direkte Information und einen strukturierten Einbezug der Arbeitnehmenden.
Diese Mitwirkung ist kein lästiger Formalakt, sondern ein Stabilitätsanker. Sie erhöht die Akzeptanz, schärft den Zweck, reduziert Missverständnisse und senkt das Risiko, dass ein Programm später an arbeitsrechtlichen Konflikten scheitert. CISOs erleben diesen Schritt häufig als Zeitverlust, General Counsels bewerten ihn als Risikoreduktion, die sich im Ernstfall auszahlt.
Schnittstelle Whistleblowing: der EU-Spillover
Schweizer Konzerne mit Tochtergesellschaften in EU-Mitgliedstaaten müssen über diese Einheiten die Anforderungen der EU-Hinweisgeberschutzrichtlinie umsetzen. Für das Insider-Threat-Programm entstehen daraus zwei Berührungspunkte: Hinweise aus Meldestellen können konkrete Verdachtslagen auslösen. Gleichzeitig dürfen Hinweisgebende weder über technische Detection-Pfade identifiziert noch benachteiligt werden. Die organisatorische Trennung beider Pfade (vertrauliche Meldestelle versus Insider-Risk-Analyse) ist deshalb essenziell. Ebenso wichtig ist eine dokumentierte, kontrollierte Schnittstelle, damit aus Meldungen rechtskonforme Abklärungen werden, ohne den Schutz der Hinweisgebenden zu unterlaufen.
Beweissicherungs-Tauglichkeit für Disziplinarverfahren und Strafanzeige
Detection ohne Verwertbarkeit ist im Ernstfall kaum mehr als ein Hinweis. Wenn der Verwaltungsrat ein Insider-Threat-Programm beauftragt, erwartet er nicht nur Erkennung, sondern auch die Fähigkeit, Massnahmen arbeitsrechtlich sauber zu begründen. Dazu zählen Disziplinarmassnahmen, gegebenenfalls eine fristlose Entlassung und je nach Sachverhalt die Vorbereitung einer Strafanzeige (etwa bei Verdacht auf wirtschaftlichen Nachrichtendienst nach Art. 273 StGB oder bei qualifizierten Datenbeschaffungsdelikten).
Beweissicherungs-Tauglichkeit verlangt drei architektonische Eigenschaften, die idealerweise gemeinsam von General Counsel, CISO und HR definiert werden. Die CISA-Guidance zu multidisziplinären Insider-Threat-Teams betont die frühe Einbindung der Rechtsabteilung gerade aus diesem Grund: Übergabepunkte, Rollen und Dokumentationspflichten sollen nicht erst im Incident improvisiert werden.
Chain of Custody: Nachvollziehbare Dokumentation, wer wann auf welche Log-Daten zugegriffen, sie exportiert oder ausgewertet hat. Ohne diese Kette wird es schwierig, die Integrität der Beweise in arbeitsrechtlichen oder strafrechtlichen Verfahren zu untermauern.
Manipulationssicherheit: Schreibgeschützte Speicherung, Integritätsnachweise (etwa durch Hashing) sowie getrennte Berechtigungen für Detection-Analysten und Forensik-Verantwortliche.
Verhältnismässigkeit der Erhebung: Daten, die unter Verletzung von ArGV3 oder nDSG erhoben wurden, können rechtlich angreifbar sein und damit den Zweck der Beweissicherung unterlaufen. Gerade im akuten Verdachtsfall ist die Versuchung gross, «alles» zu erfassen. Der Schweizer Rechtsrahmen belohnt jedoch das Gegenteil: vorab definierte Zwecke, klare Schwellenwerte und kontrollierte Eskalation.
In regulierten Sektoren kommt ein zusätzlicher Anker hinzu: Das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» verlangt klare Zuständigkeiten, wirksame Governance sowie nachvollziehbare Eskalations- und Reportingwege. Wer diese Prinzipien im Programm-Design konsequent berücksichtigt, verbessert in der Regel auch die Nachvollziehbarkeit von Untersuchungen. Die Einordnung der Schweizerischen Bankiervereinigung hebt die Bedeutung von Rollen- und Verantwortlichkeitsklarheit im operationellen Risikomanagement hervor.
Bedenken und Chancen: Konflikte zwischen HR-Fürsorgepflicht und Detection-Logik
Die Leitthese der Serie lautet, dass Konflikte zwischen Stakeholdern nicht wegmoderiert, sondern bewusst gestaltet werden müssen. Im HR-Legal-Korridor werden diese Spannungen besonders sichtbar. Es handelt sich nicht um Randthemen, sondern um Bedingungen dafür, ob ein Insider-Threat-Programm im Alltag Bestand hat.
HR-Sicht: Bedenken und Chancen
Bedenken: Risiko eines Klimas des Generalverdachts, Spannungen zur Fürsorgepflicht gegenüber Mitarbeitenden in persönlichen Krisen, Sorge um die Arbeitgeberattraktivität, Reputationsrisiko bei Fehlalarmen und unklaren Eskalationspfaden.
Chancen: Frühzeitige Klärung, bevor Fälle zu gravierenden Vorfällen eskalieren, eine definierte Eskalationsmatrix statt informeller Ad-hoc-Entscheide, professioneller Umgang mit Hochrisiko-Offboardings, Aufwertung der HR-Rolle im strategischen Risiko- und Krisenmanagement.
Legal-Sicht: Bedenken und Chancen
Bedenken: Persönlichkeitsschutz und Angreifbarkeit der Beweise, Haftungs- und Reputationsrisiken bei unzureichender DSFA, Konflikte über Konzernstrukturen und grenzüberschreitende Datenflüsse hinweg, mögliche aufsichtsrechtliche Folgefragen bei unklaren Verantwortlichkeiten.
Chancen: Rechtssichere, konzernweit harmonisierte Untersuchungs- und Disziplinarprozesse, belastbare Grundlagen für arbeitsrechtliche Entscheide, Eindämmung informeller Untersuchungspraktiken in der Linie, frühzeitige Positionierung gegenüber Aufsicht und interner Revision.
Produktiv wird diese Aushandlung, wenn HR und General Counsel nicht als nachträgliche Prüfinstanzen des Security-Programms auftreten, sondern als Co-Architekten. Die CISA-Empfehlungen zum Management von Insider-Bedrohungen betonen, dass Schwellenwerte, Eskalationskriterien und Übergabepunkte an Investigations im interdisziplinären Team festgelegt werden sollen. Für die strategische Einordnung kann auch der Blick auf External Attack Surface Management nützlich sein: Auch dort entsteht Wirkung erst, wenn technische Sicht und organisatorisches Eigentum zusammengeführt sind.
Schlussfolgerung und Ausblick auf Teil 3
Ein Insider-Threat-Programm, das nicht beweissicher aufgesetzt ist, das Datenschutzpflichten nachgelagert behandelt und das die Mitwirkung nicht ernst nimmt, scheitert nicht im Workshop, sondern im ersten Fall, in dem Massnahmen begründet und Belege verteidigt werden müssen. ArGV3 Art. 26, nDSG und MitwG sind keine Randbedingungen am Schluss, sondern zentrale Designparameter.
Während HR und Legal den Rechtskorridor definieren, deckt Physical Security Signale ab, die Logfiles nicht liefern, und Compliance übersetzt die Erkenntnisse in Aufsichtsfähigkeit. Teil 3 dieser Serie nimmt diese beiden Achsen in den Lead.
Architektur-Workshop: ITP-Rechtskorridor
Sie planen die Detection-Architektur Ihres Insider-Threat-Programms und möchten die Aushandlung zwischen CISO, HR, General Counsel und Datenschutzbeauftragten strukturiert führen? Wir moderieren den Architektur-Workshop entlang ArGV3 Art. 26, nDSG und FINMA RS 2023/1, mit dem Ziel, Verhältnismässigkeit und Beweissicherungs-Tauglichkeit von Beginn an gemeinsam abzusichern.
Häufig gestellte Fragen: FAQ zum Rechtskorridor des Insider-Threat-Programms
Ist User-Activity-Monitoring in der Schweiz grundsätzlich zulässig?
Ja, aber nur unter strengen Voraussetzungen. ArGV3 Art. 26 verbietet Systeme, die primär das Verhalten der Mitarbeitenden überwachen. Zulässig sind Detection-Systeme, die aus Sicherheits- oder Organisationsgründen erforderlich sind, verhältnismässig ausgestaltet werden und die Persönlichkeit der Mitarbeitenden schonen. Pseudonymisierung, Zweckbindung und Transparenz sind zwingend.
Wann ist eine Datenschutz-Folgenabschätzung für ein Insider-Threat-Programm zwingend?
Sobald die Datenbearbeitung ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt. Bei UAM- oder UEBA-Plattformen, die in einer KRITIS-Organisation mehrere tausend Identitäten erfassen, ist diese Schwelle häufig erreicht. Eine DSFA gehört daher in die Architekturphase, nicht erst zur Abnahme.
Muss die Personalvertretung vor Einführung der Detection-Plattform konsultiert werden?
Ja. Das Mitwirkungsgesetz verpflichtet zur Anhörung der Personalvertretung bei Einführung von Überwachungssystemen. In Organisationen ohne Personalvertretung greift die direkte Mitwirkung der betroffenen Mitarbeitenden. Diese Konsultation ist nicht nur formal nötig, sondern sichert die Akzeptanz des Programms und reduziert das Risiko späterer arbeitsrechtlicher Streitigkeiten.
Wie wird verhindert, dass Detection-Beweise vor Gericht unverwertbar werden?
Durch drei architektonische Eigenschaften: lückenlose Chain of Custody, manipulationssichere Speicherung mit Integritätsnachweisen und konsequente Verhältnismässigkeit jeder einzelnen Erhebung. Beweise, die unter Verletzung der ArGV3 oder des nDSG gewonnen wurden, können im Disziplinar- oder Strafverfahren rechtlich angreifbar sein.
Wie verhält sich das Insider-Threat-Programm zu Whistleblowing-Kanälen?
Beide Pfade müssen organisatorisch getrennt geführt werden. Hinweisgebende dürfen weder über die Detection-Logik identifiziert noch sanktioniert werden. Gleichzeitig können Meldungen aus der vertraulichen Meldestelle Verdachtsfälle auslösen, die in das Insider-Threat-Programm einfliessen. Die Schnittstellen sind sauber zu dokumentieren, gerade bei Konzernen mit EU-Töchtern unter dem EU-Hinweisgeberschutz.
Wer sollte das Insider-Threat-Programm rechtlich verantworten: CISO, HR oder General Counsel?
Keine dieser Funktionen allein. Wirksame Programme werden multidisziplinär gesteuert: CISO als operativer Eigner, HR als Prozess-Owner für Personalsignale, General Counsel und Datenschutzbeauftragter als Hüter des Rechtskorridors. Detection-Threshold, Eskalationskriterien und Übergabepunkte werden gemeinsam definiert. Die Programm-Charta verankert diese Co-Verantwortung formell.
