Wenn die Stechuhr deine Mitarbeiter an Facebook verkauft

Du wolltest nur wissen, wer um sieben auf der Baustelle steht. Nicht mehr. Keine Bildschirmfotos, keine Tastenanschläge, kein Bewegungsprofil über den ganzen Tag, sondern eine simple Antwort auf eine simple Frage: ist die Kolonne da, wo sie sein soll, oder steht der Transporter noch beim Bäcker. Also hast du eine Überwachungssoftware abonniert, die im Werbevideo lächelnde Teams und schöne Dashboards zeigte, das Häkchen gesetzt, die App auf die Diensthandys gespielt, und dich endlich um das Geschäft gekümmert statt um Stundenzettel.

Was du nicht wusstest: während du dachtest, du behältst den Überblick über deine Leute, gab dieselbe Software die Namen, Standorte und Aktivitäten dieser Leute an Dritte weiter, die mit deinem Betrieb nichts zu tun haben. Du hast keine Stechuhr gekauft. Du hast, ohne es zu merken, ein Datenleck unterschrieben und deine eigene Unterschrift daruntergesetzt.

Das ist kein Verdacht aus dem Bauch heraus. Ende Mai 2026 haben Forscherinnen und Forscher der Northeastern University, der Vanderbilt University, der UC Berkeley und der Columbia University neun verbreitete Plattformen zur Mitarbeiterüberwachung technisch auseinandergenommen. Das Ergebnis liest sich wie das Drehbuch, das niemand bestellt hat: 121 dokumentierte Fälle, in denen identifizierende Daten der Beschäftigten an Dritte wie Facebook, Google, Microsoft und AppLovin weitergegeben wurden, dazu Online-Aktivität, die an 145 verschiedene Drittanbieter-Domains abfloss. Nicht der Mitarbeiter hat seine Daten verschenkt. Das Werkzeug, das ihn kontrollieren sollte, hat es getan, und der Chef hat dafür bezahlt.

Der unangenehme Teil ist nicht nur, dass es passiert, sondern wer am Ende geradesteht. Wenn personenbezogene Daten deiner Beschäftigten über eine Software an Werbenetzwerke abfließen, bist nicht der Softwarehersteller in Kalifornien der Verantwortliche im Sinne der DSGVO, sondern dein Betrieb, der die Daten erhebt und das Tool einsetzt. Du bist der Verantwortliche, der Hersteller ist bestenfalls Auftragsverarbeiter, und der Auftragsverarbeitungsvertrag, den niemand gelesen hat, schützt dich nicht, wenn die Datenschutzbehörde nachfragt, warum der Standort eines Monteurs bei einem Adtech-Anbieter gelandet ist, von dem du noch nie gehört hast.

Überwachung ist ein schmutziges Wort geworden

Es gab eine Zeit, da klang “Mitarbeiterüberwachung” nach Verantwortung, nach einem Chef, der weiß, was läuft. Diese Zeit ist vorbei. Heute klingt das Wort nach Misstrauen, nach Keyloggern, nach Bildschirmfotos im Minutentakt, und inzwischen eben auch nach einem Datenleck mit Ansage. Die Kategorie hat ihren Kredit verspielt, und das spürt jeder, der morgens die App auf das Handy eines neuen Mitarbeiters einrichten muss und dabei in ein Gesicht schaut, das fragt, was dieses Ding den ganzen Tag eigentlich aufzeichnet.

Und die Belegschaft reagiert nicht nur mit einem schlechten Gefühl. Dieselbe Forschungslinie, getragen unter anderem vom National Employment Law Project, zeigt, was permanente Beobachtung mit Menschen macht: in den Erhebungen rund um den digitalen Dauerblick geben 56 Prozent der überwachten Beschäftigten an, dadurch gestresst zu sein, und 42 Prozent denken darüber nach, innerhalb eines Jahres zu kündigen. Das sind Zahlen aus der Studienlage, nicht aus unserem Haus, aber sie beschreiben eine Rechnung, die jeder Geschäftsführer kennt: wer gute Leute findet, will sie behalten, und niemand bleibt gern dort, wo er sich beobachtet fühlt wie ein Verdächtiger.

Dazu kommt in Deutschland eine Hürde, die viele unterschätzen, weil sie auf dem Papier so trocken klingt. Ein System, das geeignet ist, das Verhalten oder die Leistung der Beschäftigten zu überwachen, unterliegt der Mitbestimmung. Der Betriebsrat redet mit, und zwar erzwingbar, nach dem Betriebsverfassungsgesetz. Wer eine Bossware ohne diese Beteiligung einführt, baut sich nicht nur ein Datenschutzproblem, sondern auch einen handfesten Konflikt im eigenen Haus, der vor der Einigungsstelle landen kann, lange bevor die BfDI überhaupt anklopft.

---

Die saubere Frage heißt Arbeitsnachweis, nicht Überwachung

Der eigentliche Trick liegt darin, die Frage neu zu stellen. Du brauchst keine Software, die deinen Leuten über die Schulter schaut. Du brauchst einen Nachweis, dass die Arbeit stattgefunden hat, dort, wo sie stattfinden sollte, und in dem Moment, in dem sie behauptet wird. Das ist etwas grundsätzlich anderes als Überwachung. Überwachung sammelt alles, immer, für den Fall der Fälle. Ein Arbeitsnachweis, ein proof of work, sammelt genau einen Punkt: Ort und Zeitpunkt des Stempelns, sonst nichts. Kein Profil über den Tag, keine Fahrtwege zwischen den Aufträgen, keine Sekunde nach Feierabend.

Wer den Unterschied einmal verstanden hat, sieht ihn überall. Die Software, die kontinuierlich mitschneidet, produziert genau jene Datenberge, die irgendwann bei einem Werbenetzwerk landen, weil sie ohnehin da sind und jemand auf die Idee kommt, sie zu verwerten. Ein System, das nur den Moment der Stempelung festhält und sonst schweigt, hat schlicht nichts zu verschenken. Datensparsamkeit ist hier kein Compliance-Wort aus einer Schulung, sondern die einfachste Form von Sicherheit: Daten, die nie erhoben werden, können auch nicht abfließen.

Genau auf diese Linie ist GeoTapp gebaut. Die Anwendung ist das Gegenteil von Bossware: kein Keylogger, keine Bildschirmfotos, kein Dauer-Tracking im Hintergrund. Das Werkzeug erfasst die Arbeitszeit und hängt an jede Stempelung den Ort und den Moment, als unveränderlichen Nachweis, und danach ruht es. Der Mitarbeiter sieht, was aufgezeichnet wird, weil es nur das eine ist, und der Chef bekommt die Antwort auf seine ursprüngliche Frage, ohne dafür zum Datenhändler wider Willen zu werden.

Das macht auch die unangenehmen Gespräche leichter. Vor den Betriebsrat zu treten und ein System zu erklären, das nur Ort und Zeit der Stempelung kennt, ist eine andere Verhandlung als die Verteidigung einer Plattform, die mitschneidet, was am Bildschirm passiert. Und gegenüber der DSGVO ist ein klar umrissener Zweck, eine knappe Datenmenge und eine kurze Aufbewahrung kein Risiko, sondern genau das, was die Behörden sehen wollen.

Was würdest du deinen Leuten ins Gesicht sagen wollen

Am Ende läuft es auf eine Frage hinaus, die du dir beim nächsten Anruf eines Kunden ohnehin stellen wirst: Willst du wissen, dass dein Team da war, oder willst du wissen, was dein Team den ganzen Tag tut. Das Erste ist dein gutes Recht und die Grundlage jeder ehrlichen Rechnung. Das Zweite ist der Pfad, an dessen Ende 121 dokumentierte Datenabflüsse und ein Haufen gekündigter Mitarbeiter stehen. Wo ziehst du die Linie, und hast du sie deinen Leuten je so erklärt, dass sie zustimmen konnten? Schreib es gern in die Kommentare.

Wenn du den Beweis willst, dass gearbeitet wurde, und nicht das Protokoll, wie gelebt wurde, dann fängt das mit einer Zeiterfassung an, die nur Ort und Moment kennt und sonst den Mund hält.