Eine Grundsatzfrage vorab: Was gilt in Bezug auf die IT-Infrastruktur, die den Mitarbeitenden zur Verfügung gestellt wird?
Die Arbeitgeberin bestimmt, welche Hard-/Software und Tools benutzt werden dürfen. Diese können in ihrem Eigentum stehen oder sie werden von den Mitarbeitenden im Rahmen von «Bring Your Own Device» gestellt. In beiden Fällen muss die Arbeitgeberin Anweisungen zur Sicherheit und Nutzung erteilen. Sie kann insbesondere jegliche private Nutzung der in ihrem Eigentum stehenden Geräte und Anwendungen verbieten. Was private Geräte betrifft, kann die private Nutzung während der Arbeitszeit verboten werden.
Nun nutzen bei der Schatten-IT Angestellte KI-Tools, die nicht im IT-Universum der Firma vorgesehen sind. Wie ist das arbeitsrechtlich auszulegen?
Verwenden Mitarbeitende bei der Arbeitsleistung Geräte, Software oder Tools ausserhalb der IT-Infrastruktur der Arbeitgeberin, können dadurch die IT-Sicherheit gefährdet und die Geheimhaltungs-, Datenschutz- sowie Aufbewahrungspflichten verletzt werden. Selbst wenn die bearbeiteten Daten vom Tool nicht gespeichert werden, kann bereits die Bearbeitung im Tool eine Verletzung der Geheimhaltungspflicht und des Datenschutzes bedeuten.
