Wenn Mitarbeitende im Internet Surfen oder E-Mails versenden, werden die entsprechenden Aktivitäten in der Regel vom System in sogenannten Logfiles protokolliert. Diese Protokollierung und vor allem eine allfällige personenbezogene Auswertung ist nur im Rahmen des Datenschutzes und dessen Prinzipien zulässig. Zudem dürfen gemäss Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3 zum Gesundheitsschutz) keine Überwachungs- und Kontrollsysteme, die das Verhalten von Mitarbeitenden überwachen sollen, eingesetzt werden.
Grundsätzlich dürfen sogenannte Randdaten, die Auskunft darüber geben, wer wann was getan hat, im genannten Sinne und vorab anonymisiert protokolliert werden. Der Arbeitgeber hat ein entsprechendes überwiegendes Interesse daran, insbesondere um die Sicherheit des Systems zu gewährleisten, sich vor Verantwortlichkeiten gegenüber Dritten sowie Reputationsschäden zu schützen. Zudem darf er im Rahmen des arbeitsrechtlichen Weisungsrechts gemäss Art. 321d OR Regeln betreffend die Nutzung der IT-Infrastruktur erlassen, die er in diesem Kontext ebenfalls vorab anonymisiert überwachen darf. Wegen des datenschutzrechtlichen Prinzips der Transparenz muss der Arbeitgeber jedoch über diese Protokollierung z.B. im Rahmen eines Mitarbeiterreglements informieren. Darin können dann auch gleich die Nutzungsvorschriften erwähnt werden. Wenn sich aus der anonymisierten Protokollierung ein konkreter Verdacht ergibt, darf der Arbeitgeber unter diesen Bedingungen die nämlichen Randdaten nunmehr personenbezogen auswerten.
In jedem Fall nicht erlaubt sind Überwachungsprogramme, die auf dem Computer des Mitarbeitenden selbst installiert sind und es z.B. erlauben, in E-Mails Einsicht zu nehmen oder Screenshots zu erstellen.
Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) publiziert unter folgendem Link einen umfassenden Leitfaden zur Internet- und E-Mail-Überwachung von Mitarbeitenden: www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich/ueberwachung-am-arbeitsplatz/internet–und-e-mail-ueberwachung.html.