11/2022

Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts

4 Relevante Rechtsbestimmungen

4.1 Übersicht

Um den in Kapitel 3 beschriebenen Rechtsproblemen zu begegnen, ist zu prüfen, welche Erlasse auf die entsprechenden Sachverhalte anwendbar sind. Vor dem Risiko der Persönlichkeitsverletzungen schützen der arbeitsrechtliche und der datenschutzrechtliche Persönlichkeitsschutz sowie der öffentlich-rechtliche Arbeitnehmer-Gesundheitsschutz (dazu sogleich, Unterkapitel 4.2–4.4). Zum Schutz vor Diskriminierungen bestehen spezifische Diskriminierungsverbote und ein allgemeines arbeitsrechtliches Diskriminierungsverbot (Unterkapitel 4.5). Das Mitwirkungsrecht ist zu betrachten (Unterkapitel 4.6). Ferner sind das Strafrecht, die EMRK und die verfassungsrechtlichen Grundrechte sowie weitere völkerrechtliche Erlasse zu berücksichtigen (Unterkapitel 4.7–4.9).

4.2 Arbeitsrechtlicher Persönlichkeitsschutz

Schutz vor unrechtmässigen Persönlichkeitsverletzungen durch People Analytics bietet der allgemeine zivilrechtliche Persönlichkeitsschutz gemäss Art. 27 und 28 ff. ZGB. Zudem sind die arbeitsvertraglichen Bestimmungen einzuhalten (Art. 319 ff. OR). Die Fürsorgepflicht auferlegt der Arbeitgeberin, die Persönlichkeit des Arbeitnehmers im Arbeitsverhältnis zu achten und zu schützen, auf dessen Gesundheit gebührend Rücksicht zu nehmen und für die Wahrung der Sittlichkeit zu sorgen (Art. 328 Abs. 1 Satz 1 OR).

Zu beachten sind gegebenenfalls spezifische arbeitsrechtliche Bestimmungen, die in einzelnen Betrieben relevant sind. Zu denken ist an zwingende (normative) Mindestarbeitsbedingungen gemäss Gesamtarbeitsverträgen (vgl. Art. 357 OR), an Betriebsordnungen (Art. 37–39 ArG), an Personalreglemente und an Vereinbarungen im Einzelarbeitsvertrag.

4.3 Datenschutzrechtlicher Persönlichkeitsschutz

4.3.1 Schweizerisches Datenschutzrecht

Im Informationszeitalter erlangt das Datenschutzrecht im arbeitsrechtlichen Kontext eine wichtige Stellung, weil es den Persönlichkeitsschutz im Bereich von Datenbearbeitungen konkretisiert. Trotz dieser zunehmenden Bedeutung existiert nur eine generalklauselartige privatrechtliche Bestimmung zum Datenschutz im Arbeitsverhältnis: Als Ausfluss der Fürsorgepflicht ist der Arbeitgeberin die Bearbeitung von Daten über den Arbeitnehmer, welche nicht seine Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind, verboten (Art. 328b Satz 1 OR). Die Schweiz kennt keinen spezifischen Erlass über den Arbeitnehmer-Datenschutz. Diese Rechtslage trifft auch auf Deutschland, das einen Entwurf für ein Gesetz zum Beschäftigtendatenschutz diskutiert und verworfen hat, und auf Österreich zu. EU-Vorarbeiten zu einer Arbeitnehmer-Datenschutz-Richtlinie kommen desgleichen nicht voran.

Im Arbeitsverhältnis gelten im Übrigen die (allgemeinen) Bestimmungen des DSG (Art. 328b Satz 2 OR). Sie ergänzen den allgemeinen zivilrechtlichen Persönlichkeitsschutz und lassen dieses System (Art. 28 ff. ZGB) dem Grundsatz nach unverändert. Für die vorliegend zu untersuchenden privatrechtlichen Arbeitsverhältnisse sind die bundesrechtlichen Bestimmungen massgeblich; die kantonalen Datenschutzerlasse treten in den Hintergrund, einerseits weil das Bundesrecht entgegenstehendem kantonalem Recht vorgeht (Art. 49 Abs. 1 BV), andererseits weil die kantonalen Datenschutzerlasse nur für die Bearbeitung von Personendaten durch kantonale öffentliche Organe gelten (vgl. etwa Art. 2 Abs. 1 DSG SG).

4.3.2 Europäisches Datenschutzrecht

a) Datenschutz-Grundverordnung der Europäischen Union

Die DSGVO verändert die digitale Welt spürbar, indem sie Betroffene verstärkt schützt und die Anforderungen an die Verantwortlichen der Datenbearbeitung erhöht. Die DSGVO hat als Verordnung allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat der Europäischen Union (Art. 288 Abs. 2 AEUV). Aus Sicht der Schweiz ist der im Vergleich zur DSRL substanziell erweiterte räumliche Anwendungsbereich der DSGVO (Art. 3 DSGVO) folgenreich. Die Fälle, in denen die DSGVO auf Sachverhalte mit Schweiz-Bezug anwendbar ist, sind nachfolgend darzulegen.

Das Marktortprinzip hat zur Folge, dass ausserhalb der EU domizilierte Unternehmen von der DSGVO erfasst werden können. Die aus Sicht einer in der Schweiz operierenden Arbeitgeberin wichtige Bestimmung zur territorialen Geltung ist Art. 3 Abs. 2 lit. b DSGVO: Die EU-Verordnung findet Anwendung auf die Bearbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsbearbeiter, wenn die Datenbearbeitung im Zusammenhang damit steht, das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Der Aufenthaltsort der betroffenen Person, nicht etwa ihre Staatsangehörigkeit oder ihr Wohnsitz, entscheidet somit über die Anwendbarkeit der DSGVO. Die DSGVO entfaltet extraterritoriale Wirkung für eine Schweizer Arbeitgeberin, die dienstlich zur Verfügung gestellte Mobiltelefone ihrer im EU-Ausland tätigen oder auf Dienstreise befindlichen Arbeitnehmenden überwacht. Unter die DSGVO fallen auch (Online)- Bewerbungsverfahren von Schweizer Arbeitgeberinnen, wenn Verhaltensdaten von Bewerbenden im EU-Raum bearbeitet werden. Dies dürfte beispielsweise zutreffen, wenn schweizerische Unternehmen Softwares verwenden, die ermitteln, ob jemand kreativ ist (z.B. die Software von Evolv), wie sich ein Internetnutzer aktuell verhält (z.B. die Lösungen von Talentwunder oder Joberate), oder wenn ein Chatbot Gespräche mit Bewerbern aus dem EU-Raum führt (z.B. Mya von L’Oréal).

Die DSGVO sieht drei weitere Fälle der extraterritorialen Wirkung vor: Ebenfalls eine Ausprägung des Marktortprinzips ist die Erfassung von Datenbearbeitungen bei Waren- oder Dienstleistungsangeboten in der EU (Art. 3 Abs. 2 lit. a DSGVO), worunter jedoch nicht die Datenbearbeitungen im Zusammenhang mit Arbeitsverträgen subsumiert werden können. Darüber hinaus gilt die DSGVO bei Tätigkeiten einer Niederlassung in der EU (Sitzprinzip, Art. 3 Abs. 1 DSGVO) und bei Verantwortlichen, die aufgrund des Völkerrechts dem Recht eines EU-Mitgliedstaats unterliegen (Art. 3 Abs. 3 DSGVO). Diese Tatbestände sind nicht Gegenstand der vorliegenden Untersuchung.

Der sachliche Anwendungsbereich der DSGVO erstreckt sich auf die ganz oder teilweise automatisierte Bearbeitung personenbezogener Daten sowie auf die nichtautomatisierte Bearbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden (Art. 2 Abs. 1 DSGVO). Persönlich erfasst werden insbesondere natürliche und juristische Personen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Bearbeitung von personenbezogenen Daten entscheiden (sog. Verantwortliche, Art. 4 Nr. 7 DSGVO). In zeitlicher Hinsicht gilt die DSGVO seit dem 25.05.2018 (Art. 99 Abs. 2, vgl. Art. 94 Abs. 1 DSGVO). Somit ist bei People Analytics-Projekten, die (extra-)territorial von der DSGVO erfasst werden, auch der sachliche, persönliche und zeitliche Geltungsbereich der DSGVO eröffnet.

Nicht nur bei People Analytics-Projekten zur Beobachtung des Verhaltens von Personen im EU-Raum entfaltet die DSGVO extraterritoriale Wirkung. Für viele andere Schweizer Arbeitgeber entfaltet die DSGVO eine starke mittelbare Wirkung in dem Sinne, dass sie ihre People Analytics-Praktiken – ob mehr oder weniger freiwillig – am Schutzniveau der DSGVO ausrichten. Hierfür gibt es eine Reihe von Gründen: Erstens, das Übereinkommen 108 des Europarats ist für die Schweiz bindend und gibt ein ähnliches Schutzniveau wie dasjenige der DSGVO vor. Die Schweiz hat vor, auch das überarbeitete Übereinkommen 108 zu ratifizieren, welches am 18.05.2018 verabschiedet worden ist. Die DSGVO stellt eine Staatenpraxis dar, die im Rahmen der völkerrechtlichen Auslegung des Übereinkommens 108 berücksichtigt werden muss, weil die Mehrheit der Vertragsstaaten des Übereinkommens 108, nämlich alle EU- und EWR-Staaten, sie anwendet. Zweitens, wenn die Kommission beschliesst, dass ein betreffendes Drittland ein angemessenes Schutzniveau bietet, ist unter der DSGVO eine Übermittlung personenbezogener Daten an dieses Drittland ohne besondere Genehmigung zulässig (Art. 45 Abs. 1 DSGVO). Um diesen Wettbewerbsvorteil zu erlangen, strebt die Schweiz eine Erneuerung des Angemessenheitsbeschlusses und somit ein gleichwertiges Datenschutzniveau wie in der EU an. Drittens, die Schweiz muss die der DSGVO sehr ähnliche Richtlinie 2016/680, die zum Schengen-Besitzstand gehört, im Bereich der Strafverfolgung umsetzen.

b) Nationale Bestimmungen der Mitgliedstaaten der Europäischen Union betreffend Beschäftigtendaten

Für den Bereich des Datenschutzes am Arbeitsplatz lässt die DSGVO Raum für konkretisierende nationale Bestimmungen (sog. Öffnungsklausel). Die EU-Mitgliedstaaten «können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Bearbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschliesslich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen» (Art. 88 Abs. 1 DSGVO). Diese konkretisierenden nationalen Bestimmungen der EU-Mitgliedstaaten müssen Schweizer Arbeitgebende zusätzlich einhalten, sofern sie Beschäftigtendaten aus dem jeweiligen EU-Land bearbeiten und dieses Land von seiner Ermächtigung Gebrauch gemacht hat.

Es ist umstritten, ob die konkretisierenden mitgliedstaatlichen Bestimmungen strenger ausfallen dürfen als die DSGVO. Solange der EuGH über diese Frage nicht entschieden hat, verbleibt eine gewisse Rechtsunsicherheit. Gewichtige Gründe sprechen für die Zulässigkeit strengerer nationaler Bestimmungen. Diesen Schluss legt das historische Auslegungselement nahe, das bei jungen Erlassen stärker als bei alten zu betonen ist: Der Vorschlag der Kommission, mit Art. 88 DSGVO lediglich Regelungen «in den Grenzen dieser Verordnung» zuzulassen, wurde im Gesetzgebungsverfahren verworfen. Auch aus systematischen Überlegungen kann die DSGVO für den Bereich des Arbeitnehmer-Datenschutzes nur Mindest-, nicht Höchststandard sein, weil die EU diesbzgl. eine Kompetenz zum Erlass von «Mindestvorschriften» hat (Art. 153 Abs. 1 lit. b AEUV). Der Umstand, dass die DSGVO von Öffnungsklauseln durchzogen ist, dämpft die Erwartung, der Wechsel von Richtlinie (95/46/EG) zu Verordnung (DSGVO) bedeute eine Vollharmonisierung. Ferner wird vertreten, die Kompetenz zum Erlass «spezifischerer Vorschriften» (Art. 88 DSGVO) belasse den Mitgliedstaaten mehr Raum als nur ein «näheres Bestimmen» (wie unmittelbar vorangehend vorgesehen in Art. 87 DSGVO). Schliesslich wird meistens die nationale Aufsichtsbehörde zuständig sein (vgl. Art. 55–56 DSGVO), womit der Arbeitnehmer-Datenschutz verfahrenstechnisch eine weitgehend nationale Angelegenheit bleiben wird.

Die gegenteilige Auffassung versteht den Wortlaut («spezifischere Vorschriften», Art. 88 Abs. 1 DSGVO) als Ermächtigung zu reinen Präzisierungen. Es sei den Mitgliedstaaten verwehrt, durch nationale Regelungen das Schutzniveau der DSGVO zu erhöhen oder abzusenken. Dies entspreche dem Harmonisierungsgedanken der DSGVO (E. 9–10 DSGVO).

Nach der hier vertretenen Auffassung bildet die DSGVO einen Mindeststandard, der durch strengere nationale Bestimmungen verstärkt werden kann. Das materielle Ziel der DSGVO, die natürlichen Personen bei der Bearbeitung personenbezogener Daten zu schützen, muss dem formellen Ziel der unionsweiten Harmonisierung des Datenschutzrechts vorgehen. Es ist somit denkbar, dass EU-Mitgliedstaaten solche Vorschriften mit extraterritorialer Wirkung erlassen. Beispielsweise könnte ein Mitgliedstaat die Einwilligung als Rechtfertigungsmöglichkeit für Datenbearbeitungen im Arbeitskontext ausschliessen. Existieren solche spezifischeren Vorschriften, sind sie kumulativ zur DSGVO auf die vorliegend interessierenden Sachverhalte anwendbar. Schweizerische Arbeitgeber sollten daher das nationale Recht der EU-Mitgliedstaaten, zu denen sie in Kontakt stehen, kennen und einhalten.

4.4 Öffentlich-rechtlicher Arbeitnehmer-Gesundheitsschutz

Im Kontext von People Analytics gilt das Verbot von Überwachungs- und Kontrollsystemen zur Verhaltensüberwachung am Arbeitsplatz (Art. 26 ArGV 3), welches die Rechtsprechung jedoch gelockert hat. Arbeitnehmer haben einen zivil rechtlichen Anspruch auf Erfüllung öffentlich-rechtlicher Verpflichtungen der Arbeitgeberin über die Arbeit, wenn die Verpflichtung Inhalt des Einzelarbeits-vertrages sein könnte (Art. 342 Abs. 2 OR). Das erwähnte Überwachungsverbot konkretisiert die Pflicht der Arbeitgeberin zum Schutz der Gesundheit der Arbeit-nehmer (Art. 6 Abs. 1 Satz 1, Art. 6 Abs. 4 ArG) und ist eine öffentlich-rechtliche Norm. Somit können Arbeitnehmer die Einhaltung des Überwachungsverbots auch zivilrechtlich einfordern. Die Parteien können nicht durch privatrechtliche Abrede vom Überwachungsverbot abweichen (vgl. Art. 19–20 OR). Das Überwachungsverbot gilt – als Teil der Vorschriften über den Gesundheitsschutz – grundsätzlich für alle privatrechtlichen Arbeitsverhältnisse, einschliesslich gegenüber Arbeitnehmern, die eine höhere leitende Tätigkeit oder eine wissenschaftliche oder selbstständige künstlerische Tätigkeit ausüben (Art. 3a lit. b ArG), ebenso gegenüber Lehrern an Privatschulen (Art. 3a lit. c ArG). Dadurch ist sein Anwendungsbereich wesentlich breiter als derjenige der übrigen Bestimmungen des ArG (vgl. Art. 1 Abs. 1 i.V.m. Art. 3 lit. d–e ArG).

4.5 Diskriminierungsschutz

4.5.1 Beschränkter Geltungsbereich der Diskriminierungsverbote

Die Analytik diskriminiert begriffsnotwendig zwischen Individuen, die statistisch ähnlich erscheinen, und solchen, die statistisch verschieden sind. In der Schweiz fehlt ein umfassender Spezial-Erlass zum arbeitsrechtlichen Verbot von Diskriminierungen, wie er etwa in Deutschland mit dem Allgemeinen Gleichbehandlungsgesetz (AGG) existiert. Stattdessen gilt der Grundsatz der privatrechtlichen Vertragsfreiheit (Art. 19 Abs. 1 OR), die Teil der verfassungsrechtlich geschützten Wirtschaftsfreiheit ist (Art. 27 BV). Im Privatrecht geht die Vertragsfreiheit grundsätzlich dem Gleichbehandlungsgebot vor.

Besondere gesetzliche Diskriminierungsverbote schränken jedoch die Vertragsfreiheit ein. Spezialgesetze schützen insbesondere die Persönlichkeitsmerkmale Geschlecht (Art. 3 GlG), Erbgut bzw. genetische Abstammung (Art. 4 GUMG) und Heimarbeit (Paritätslohn gemäss Art. 4 Abs. 1 HArG). Auch das Merkmal der Staatsangehörigkeit geniesst Rechtsschutz, wodurch sich der schweizerische und der europäische Diskriminierungsschutz vom Arbeitsvölkerrecht abheben, welches die Staatsangehörigkeit nicht unter den Diskriminierungskriterien aufführt oder sogar ausdrücklich davon ausnimmt: Der Status des Wanderarbeitnehmers steht in grenzüberschreitenden Sachverhalten unter Diskriminierungsschutz (Art. 2, Art. 7 lit. a FZA sowie Anhang I Art. 9 Abs. 1 und 4 FZA). Des Weiteren ist die Erteilung einer Bewilligung für die Beschäftigung ausländischer Arbeitskräfte an die Voraussetzung geknüpft, dass Arbeitgeberinnen den ausländischen Arbeitnehmenden bei gleicher Arbeit die gleichen Lohn- und Arbeitsbedingungen gewähren wie den schweizerischen Arbeitnehmenden (Art. 22 AIG).

Der verfassungsrechtliche Schutz der Rechtsgleichheit statuiert in einer nicht abschliessenden («namentlichen») Liste den Schutz von neun die Identität des Menschen prägenden Merkmalen (Art. 8 Abs. 2 BV). Diese sind die Herkunft und Rasse, das Geschlecht und Alter, die Sprache und soziale Stellung, die Lebensform, (religiöse, weltanschauliche oder politische) Überzeugung und eine allfällige (körperliche, geistige oder psychische) Behinderung. Die Rechtsgleichheit entfaltet auf privatrechtliche Arbeitsverträge bloss indirekt Drittwirkung (vgl. Art. 35 Abs. 3 BV), abgesehen von der direkten Drittwirkung des Gebots des gleichen Lohns für gleichwertige Arbeit von Mann und Frau (Art. 8 Abs. 3 Satz 3 BV). Das grundsätzliche Fehlen einer direkten Verpflichtung Privater durch die Rechtsgleichheit erhellt etwa aus dem Umstand, dass das Merkmal einer körperlichen, geistigen oder psychischen Beeinträchtigung ausdrücklich nur in öffentlich-rechtlichen Arbeitsverhältnissen des Bundes geschützt wird (vgl. Art. 3 lit. g, Art. 13 BehiG).

Insgesamt stellt sich der schweizerische arbeitsrechtliche Diskriminierungsschutz als Flickenteppich heraus, weil grundsätzlich die privatrechtliche Vertragsfreiheit vorherrscht und nur punktuelle Diskriminierungsverbote existieren. Persönlichkeitsmerkmale bleiben schutzlos, wenn sie nicht explizit auf Verfassungs- oder Gesetzesstufe als diskriminierungssensibel deklariert werden.

Der eingeschränkte Geltungsbereich des Diskriminierungsschutzrechts macht sich bei People Analytics bemerkbar, wenn die Belegschaft ad hoc in beliebige Gruppen eingeteilt wird, die sich nicht durch ein anerkanntes diskriminierungssensibles Merkmal auszeichnen. Für diese Form der Unterscheidung nach Persönlichkeitsmerkmalen, die nicht durch ein Spezialgesetz oder Art. 8 Abs. 2–4 BV geschützt sind, wird vorliegend die Bezeichnung «Lifestyle-Diskriminierung» verwendet. Besonders aus den USA sind Fälle der Lifestyle-Diskriminierung bekannt. In der Bewerbungsphase lehnen verschiedene Arbeitgeberinnen verteilt über alle US-Gliedstaaten Raucher generell ab. Ein texanisches Spital hat eine Richtlinie gegen die Einstellung von schwer übergewichtigen Personen erlassen. Für gewisse Arbeitgeberinnen ist massgebend, mit welchem Browser ein Bewerber seine Unterlagen hochlädt. Erhöhter Blutdruck und positive Nikotin-Testresultate haben zu Kündigungen geführt. Die Arbeitgeberin kann ihren Entscheidungen auch weitere Kriterien zugrunde legen: Bewegungsgewohnheiten von Arbeitnehmern können über deren Impulsivität und Ungeduld sowie über Alkohol- und Drogenmissbrauch, Essstörungen und Rauchgewohnheit Aufschluss geben. Verzeichnet ein Wearable einen unruhigen Schlaf, kann dies auf psychologische Probleme, verminderte kognitive Leistung, Wut, Depressionen oder Gesundheitsprobleme hinweisen. Für Arbeitgeberinnen, die den innerbetrieblichen sozialen Graphen messen, ist relevant, wo und wann Arbeitnehmer zu Mittag essen und welche Sympathien und Antipathien sowie welche Dynamiken zwischen Personen bestehen. Aus den Aufzeichnungen resultieren individuelle Risikoprognosen, gegebenenfalls in Kombination mit weiteren Kontextdaten wie der Kreditwürdigkeit oder der Tatsache, ob jemand allein lebt.

Den erwähnten Lifestyle-Kriterien ist gemeinsam, dass sie nicht durch die Rechtsordnung als diskriminierungssensibel eingestuft werden. Dies könnte darauf zurückzuführen sein, dass die Lifestyle-Kriterien tendenziell an ein Verhalten der betroffenen Person anknüpfen und nicht an ein Persönlichkeitsmerkmal. Der rechtliche Schutz lässt sich beispielhaft am Kriterium des Übergewichts nachzeichnen: Gemäss dem EuGH besteht im EU-Recht «kein allgemeines Verbot der Diskriminierung wegen Adipositas als solcher in Beschäftigung und Beruf».

Eine Ausnahme besteht aber dann, wenn die Unterscheidung nach einem Lifestyle-Kriterium mit der Diskriminierung aufgrund eines verpönten Diskriminierungsmerkmals gleichzusetzen ist: Der EuGH behandelt die Adipositas eines Arbeitnehmers als eine «Behinderung» im Sinne der Richtlinie 2000/78/EG betreffend die Gleichbehandlung in Beschäftigung und Beruf, wenn das Übergewicht eine Einschränkung mit sich bringt, die unter anderem auf physische, geistige oder psychische Beeinträchtigungen von Dauer zurückzuführen ist. Zudem ist vorausgesetzt, dass diese Beeinträchtigungen den Arbeitnehmer in Wechselwirkung mit verschiedenen Barrieren an der vollen und wirksamen Teilhabe am Berufsleben, gleichberechtigt mit den anderen Arbeitnehmern, hindern können. Die sozialversicherungsrechtliche Rechtsprechung des Bundesgerichts zielt in eine ähnliche Richtung: Adipositas begründet für sich allein keine (teilweise) Arbeitsunfähigkeit. Adipositas kann jedoch eine Invalidität bewirken, die zum Bezug von Rentenleistungen berechtigt, wenn sie körperliche oder geistige Schäden verursacht oder die Folge von solchen Schäden ist. Eine vergleichbare Rechtslage besteht in den USA.

Der mangelnde Schutz von Lifestyle-Kriterien kann sich als diskriminierungsrechtliches Problem erweisen. Dies ist am Beispiel der Browseranalyse zu schildern: Es wurde ermittelt, dass Arbeitnehmer, die selbst einen Browser auf dem Computer einrichten (z.B. Chrome auf einem Applegerät), leistungsfähiger sind und ihrer Stelle länger treu bleiben als solche, die den vorinstallierten Browser verwenden (z.B. Safari auf einem Applegerät). Dies kann eine Arbeitgeberin dazu veranlassen, Arbeitnehmer und Bewerber systematisch zu benachteiligen, die einen vorinstallierten Browser verwenden. Die betroffene Person kann spürbare Nachteile erfahren (z.B. Nichtbeförderung, Abweisung der Bewerbung), weil die Gesamtheit der Vergleichsgruppe, in die sie einsortiert wird (Personen mit vorinstalliertem Browser), sich mit einer gewissen Wahrscheinlichkeit in bestimmter Weise verhält (schwächere Arbeitsleistung und früherer Stellenwechsel). Dem Betroffenen wird somit kein individueller Vorwurf gemacht. Möglicherweise handelt es sich aber um eine sachlich nicht gerechtfertigte Gleichbehandlung von Ungleichem, wenn eine leistungsfähige Person, die ebenfalls den Standardbrowser verwendet, die gleichen Nachteile erleidet wie die leistungsschwächeren Personen, die den Standardbrowser nutzen. Die Lifestyle-Diskriminierung wird zum Problem, wenn die Transparenz fehlt, d.h., wenn die betroffene Person in einem Persönlichkeitsprofil «eingeschlossen» wird, wobei sie weder das Profil kennt noch den Algorithmus hinterfragen kann, der im Verborgenen die Einteilung vornimmt.

Das bestehende Antidiskriminierungsrecht ist nur begrenzt fähig, den Lifestyle-Diskriminierungen zu begegnen. Aufgrund der Gemeinsamkeiten mit den verpönten Merkmalen und weil Andersbehandlungen aufgrund von Lifestyle-Kriterien genauso wie gesetzlich verpönte Diskriminierungen zu ungerechten Behandlungen führen können, fragt sich, ob die partiellen Diskriminierungsverbote um weitere Tatbestände, die Lifestyle-Diskriminierungen einschliessen, ergänzt werden sollten. Es ist eine Wertungsentscheidung des Gesetzgebers, welche Persönlichkeitsmerkmale als verpönte Diskriminierungsmerkmale festgelegt werden und welche legitimen Arbeitgeberinteressen als Rechtfertigungsgründe anerkannt werden. Letztlich geht es um die Frage, welche Anpassung den Individuen zugemutet werden soll. Nach der vorliegend vertretenen Ansicht ist zunächst zu untersuchen, ob ein Lifestyle-Diskriminierungsschutz mithilfe des bestehenden Arbeits- und Datenschutzrechts erreicht werden kann (dazu sogleich), bevor die spezialgesetzlichen Diskriminierungstatbestände erweitert werden.

4.5.2 Arbeitsrechtlicher Diskriminierungsschutz

Gegen Ungleichbehandlungen am Arbeitsplatz kann grundsätzlich der allgemeine arbeitsrechtliche Persönlichkeitsschutz angerufen werden (Art. 328 und 328b OR sowie Art. 336 OR; vgl. auch Art. 2 und 28 ZGB). Aus diesem entspringt ein allgemeines arbeitsrechtliches Diskriminierungsverbot, das Angestellte während des ganzen Arbeitnehmer-Lebenszyklus vor direkter und indirekter Diskriminierung schützt. Gemäss WILDHABER müssen Algorithmen, die im Bewerbungsverfahren zum Einsatz kommen, so programmiert sein, dass sie Schutz vor direkter und indirekter Anstellungsdiskriminierung bieten. Konsequenterweise darf die Programmierung auch in laufenden Arbeitsverhältnissen nicht diskriminieren. Das arbeitsrechtliche Diskriminierungsverbot ist allgemeiner Natur, weil es an den Begriff der Persönlichkeit anknüpft, die jedem Menschen eigen ist, und somit nicht (nur) eine bestimmte gesellschaftliche Gruppe vor Diskriminierung schützt. Im Rahmen des allgemeinen arbeitsrechtlichen Diskriminierungsverbots gelten insbesondere Vorstrafen, Charaktereigenschaften, das Alter und der Raucherstatus als diskriminierungssensibel. Das allgemeine arbeitsrechtliche Diskriminierungsverbot kann somit vor Lifestyle-Diskriminierungen schützen, die die Persönlichkeit verletzen. Tendenziell unzulässig wäre eine nachteilige Behandlung gestützt auf Wearable-Daten, die auf einen unruhigen Schlaf und mögliche Gesundheitsprobleme hinweisen, solange sich dies nicht in der Arbeitsleistung niederschlägt. Nach hier vertretener Ansicht kann das allgemeine arbeitsrechtliche Diskriminierungsverbot jedoch keinen Schutz bieten, wenn sich eine nachteilige Behandlung auf die Browserwahl stützt; dies deshalb, weil der Browser keine Eigenschaft ist, die dem Arbeitnehmer kraft seiner Persönlichkeit zusteht.

Das allgemeine arbeitsrechtliche Diskriminierungsverbot ist vom arbeitsrechtlichen Gleichbehandlungsgrundsatz abzugrenzen. Dieser verbietet willkürliche Entscheidungen der Arbeitgeberin, in denen eine den Arbeitnehmer verletzende Geringschätzung seiner Persönlichkeit zum Ausdruck kommt. Gemäss WOLFER kann es etwa unzulässig sein, einen Arbeitnehmer als Einzigen oder Teil einer Minderheit willkürlich zu überwachen und dadurch schlechter als andere Arbeitnehmer zu stellen. Die Geringschätzung kann jedoch nur bestehen, wenn ein Arbeitnehmer gegenüber einer Vielzahl von anderen Arbeitnehmern deutlich ungünstiger gestellt wird, ohne dass hierfür sachliche Gründe vorliegen. Keine solche Geringschätzung ist gegeben, wenn die Arbeitgeberin bloss einzelne Arbeit-nehmer willkürlich besserstellt. Der Gleichbehandlungsgrundsatz kommt nur restriktiv und nur bei freiwilligen Leistungen der Arbeitgeberin zur Anwendung.

4.5.3 Datenschutzinstrumente gegen Diskriminierungen

Es hat sich gezeigt, dass der Geltungsbereich der spezialgesetzlichen Diskriminierungsverbote begrenzt ist und dass auch das allgemeine arbeitsrechtliche Diskriminierungsverbot nicht vor allen Lifestyle-Diskriminierungen schützen kann. Somit ist es ratsam, über den Tellerrand des Antidiskriminierungsrechts hinauszuschauen und zu fragen, ob der im Arbeitsrecht geltende Datenschutz helfen könnte, die Löcher im porösen Diskriminierungsschutz zu stopfen. Aus der Kombination von Daten- und Diskriminierungsschutz könnte ein höherer Schutzstandard resultieren.

Es ist aus der Warte des Diskriminierungsschutzes positiv, dass das DSG vor Persönlichkeitsverletzungen im Allgemeinen schützt (Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG) und nicht nur vor Ungleichbehandlungen wegen spezialgesetzlich bestimmter Merkmale. Das DSG findet auf alle Personendaten Anwendung (Art. 3 lit. a DSG, Art. 4 lit. a E-DSG, Art. 5 lit. a rev-DSG). D.h., das DSG reguliert beispielsweise auch die Bearbeitung von personenbezogenen Browserdaten, während die spezialgesetzlichen Diskriminierungsverbote und das allgemeine arbeitsrechtliche Diskriminierungsverbot hier mangelhaft schützen.

Für den Diskriminierungsschutz ist es auch förderlich, dass die Arbeitgeberin nur Daten über den Arbeitnehmer bearbeiten darf, welche einen sachlichen Bezug zur Arbeit aufweisen (Art. 328b Satz 1 OR). Diese Beschränkung verbietet der Arbeitgeberin, nach Daten über den Lifestyle zu fragen, wenn dieser die Arbeit nicht beeinflusst. Auf dieses sog. Frageverbot wird zu einem späteren Zeitpunkt näher eingegangen.

Zu den datenschutzrechtlichen Instrumenten, die sich für den Diskriminierungsschutz urbar machen lassen, zählt weiter das Prinzip von Treu und Glauben (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG). Es verbietet eine algorithmische Diskriminierung, die sich nicht sachlich begründen lässt. Sodann steht der Grundsatz der Datenrichtigkeit (Art. 5 DSG, Art. 5 Abs. 5 E-DSG, Art. 6 Abs. 5 rev-DSG) der Verwendung von Daten entgegen, die mit falschen Vorurteilen behaftet sind.

Dem Diskriminierungsschutz kommen auch datenschutzrechtliche Bestimmungen zugute, die auf den frühzeitigen Persönlichkeitsschutz (ex ante) zielen; sie sind im europäischen Recht bereits umgesetzt und werden auch in der Schweiz eingeführt werden. Hierzu zählen die Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO; Art. 20 E-DSG, Art. 22 rev-DSG) und die Pflicht, den Datenschutz von Anfang an in die Technik zu integrieren und die Voreinstellungen datenschutzfreundlich vorzunehmen (Art. 25 DSGVO; Art. 6 E-DSG, Art. 7 rev-DSG). Eine Erweiterung dieser Pflicht zum Datenschutz durch Technikgestaltung (data protection by design) könnte einen Diskriminierungsschutz durch Technikgestaltung (equal treatment by design) einschliessen.

Die genannten datenschutzrechtlichen Instrumente wirken de facto auf den Diskriminierungsschutz hin. Fraglich ist, ob auch de jure ein Diskriminierungsschutz beabsichtigt wird bzw. ob der Gesetzgeber den Diskriminierungsschutz als Zielnorm ins DSG aufnehmen wollte. Es fällt auf, dass das DSG bei der Bearbeitung von Daten zu diskriminierungsrelevanten Tatbeständen einen erhöhten Schutz bietet, der auch als «informationelles Diskriminierungsverbot» bezeichnet wird: Bei besonders schützenswerten Personendaten (Art. 3 lit. c DSG, Art. 4 lit. c E-DSG, Art. 5 lit. c rev-DSG) gelten im privatrechtlichen Arbeitsverhältnis die Erfordernisse einer ausdrücklichen Einwilligung (Art. 4 Abs. 5 Satz 2 DSG, Art. 5 Abs. 6 Satz 2 E-DSG, Art. 6 Abs. 7 lit. a rev-DSG), einer Anmeldepflicht (Art. 11a Abs. 3 lit. a DSG), einer Rechtfertigung vor der Bekanntgabe an Dritte (Art. 12 Abs. 2 lit. c DSG, Art. 26 Abs. 2 lit. c E-DSG, Art. 30 Abs. 2 lit. c rev-DSG), einer Informationspflicht (Art. 14 Abs. 1 DSG) und einer ausdrücklichen Strafbewehrung (Art. 35 DSG). Für Persönlichkeitsprofile (Art. 3 lit. d DSG) gelten die gleichen erhöhten Schutzbedingungen. Nach der hier vertretenen Ansicht sprechen diese Normen dafür, dass das DSG zu einem gewissen Grad auch den Diskriminierungsschutz bezweckt. Im Arbeitskontext muss dies umso mehr gelten, weil zusätzlich (Art. 328b Satz 2 OR) das allgemeine arbeitsrechtliche Diskriminierungsverbot gilt. Somit müsste beispielsweise für die Beurteilung, ob eine Datenbearbeitung verhältnismässig ist (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG), mitberücksichtigt werden, ob daraus diskriminierende Wirkungen für einzelne Arbeitnehmer resultieren.

Trotz der vielversprechenden Ansätze kann das Datenschutzrecht aber nicht überall dort zu Hilfe eilen, wo der Geltungsbereich des Diskriminierungsschutzrechts aufhört. Ein ausdrückliches generelles Diskriminierungsverbot enthält das DSG nicht. Das Datenschutzrecht orientiert sich mehr an den Bearbeitungsprozessen statt an den (diskriminierenden) Auswirkungen auf die Persönlichkeit der Betroffenen. Diskriminierungsrisiken können auch von anonymisierten Daten ausgehen, die nicht in den Anwendungsbereich des DSG fallen. Lifestyle-Merkmale gelten nicht als besonders schützenswert – das DSG beschränkt den besonderen Schutz auf Personendaten, die im Wesentlichen die verfassungsrechtlichen Diskriminierungsmerkmale betreffen (Art. 3 lit. c Ziff. 1–4 DSG, Art. 4 lit. c Ziff. 1–6 E-DSG, Art. 5 lit. c Ziff. 1–6 rev-DSG; vgl. Art. 8 Abs. 2 BV). Nicht höchstrichterlich geklärt ist die Anwendbarkeit des DSG, wenn nicht bestimmte Einzelpersonen (vgl. Art. 3 lit. a DSG, Art. 4 lit. a E-DSG, Art. 5 lit. a rev-DSG), sondern Gruppen betroffen sind; und gerade um den Schutz von Gruppen geht es bei Diskriminierungen. Ein potenzieller Kläger bräuchte Informationen zu den Ergebnissen der algorithmischen Auswertung verschiedener Gruppen, um einen Anschein einer Diskriminierung zu etablieren. Das datenschutzrechtliche Auskunftsrecht ist aber auf die betroffene Person selbst reduziert («Daten über sie», Art. 8 Abs. 1 DSG, Art. 23 Abs. 1 E-DSG, Art. 25 Abs. 1 rev-DSG). Es vermittelt keinen Anspruch auf Bekanntgabe von personenbezogenen Daten über Dritte. Immerhin aber sollte nach der vorliegend vertretenen Auffassung der Betroffene aggregierte Informationen zur Berechnung von Gruppenwahrscheinlichkeiten, die ihn betreffen, verlangen können.

Insgesamt kann das DSG nicht alle Lücken schliessen, die das Diskriminierungsschutzrecht offen lässt. Jedoch enthält das DSG gewisse Elemente, die zum Schutz vor Diskriminierungen beitragen können. Durch eine Kombination der drei Rechtsgebiete – Diskriminierungsverbote, Arbeitsrecht und Datenschutzrecht – kann der Diskriminierungsschutz weitgehend sichergestellt werden.

4.5.4 Zwischenfazit zum Geltungsbereich des Diskriminierungsschutzrechts

Zusammenfassend dominiert im privatrechtlichen Arbeitsrecht der Grundsatz der Vertragsfreiheit, während das Diskriminierungsschutzrecht ein Schattendasein fristet. Die punktuellen Diskriminierungsverbote bzgl. bestimmter, sog. verpönter Persönlichkeitsmerkmale schützen nicht vor Lifestyle-Diskriminierungen, etwa Diskriminierungen wegen des verwendeten Browsers. Unterstützend können das allgemeine arbeitsrechtliche Diskriminierungsverbot und gewisse Instrumente des Datenschutzrechts einige Lücken des Antidiskriminierungsrechts schliessen. Diskriminierungen können aber nicht gänzlich verhindert werden. Man muss lernen, mit den Diskriminierungsrisiken der Algorithmen am Arbeitsplatz umzugehen. Von der Arbeitgeberin ist ein Bewusstsein zu fordern, dass eine Verletzlichkeit der Arbeitnehmer-Persönlichkeit auch bei Lifestyle-Diskriminierungen bestehen kann.

4.6 Mitwirkungsrecht

Ein besonderes Merkmal des Arbeitsvertrags besteht darin, dass neben individuellen auch Interessen der Belegschaft als Kollektiv auf dem Spiel stehen. Das MitwG verleiht der Arbeitnehmervertretung ein Informations- und Mitspracherecht in Fragen des Arbeitnehmerschutzes. Der persönliche Geltungsbereich des MitwG erstreckt sich auf alle privaten Betriebe, die ständig Arbeitnehmer in der Schweiz beschäftigen (Art. 1 MitwG). In sachlicher Hinsicht erfasst das MitwG die gemeinsamen Interessen der Arbeitnehmer (vgl. Art. 8 MitwG). Damit ist bereits gesagt, dass die im MitwG niedergeschriebenen Rechte allgemeiner, kollektiver und nicht individueller Natur sind. Für (Informations- bzw. Auskunfts-) Ansprüche zum konkreten Arbeitsverhältnis muss sich der Arbeitnehmer auf den Einzelarbeitsvertrag stützen.

4.7 Strafrecht

Wenn People Analytics den Geheim- oder Privatbereich im strafrechtlichen Sinn betrifft, sind die entsprechenden Straftatbestände (Art. 179 ff. StGB) zu prüfen. Eine Strafbarkeit wegen Ungehorsams gegen amtliche Verfügungen ist zudem denkbar, wenn die Arbeitgeberin einer Verfügung des Arbeitsinspektorats (Art. 292 StGB i.V.m. Art. 51 Abs. 2 ArG) nicht Folge leistet.

Zu beachten sind auch die Tatbestände des Nebenstrafrechts (vgl. Art. 333 Abs. 1 StGB). Im Datenschutzrecht sind die Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten (Art. 34 DSG, Art. 54 E-DSG, Art. 60 rev-DSG) und die Verletzung der beruflichen Schweigepflicht (Art. 35 DSG, Art. 56 E-DSG, Art. 62 rev-DSG) unter Strafe gestellt. Die Arbeitgeberin ist strafbar, wenn sie den Vorschriften über den Gesundheitsschutz, beispielsweise dem Verbot der Verhaltensüberwachung (Art. 26 ArGV 3), vorsätzlich oder fahrlässig zuwiderhandelt (Art. 59 Abs. 1 lit. a ArG). Denkbar ist auch eine strafrechtliche Verantwortlichkeit des Arbeitnehmers, der ein People Analytics-System bedient (Art. 60 ArG). Sind genetische Daten Gegenstand von People Analytics, erlangen die Straftatbestände sowohl der genetischen Untersuchung ohne Zustimmung (Art. 36 GUMG) oder ohne Bewilligung (Art. 37 GUMG) als auch der Missbräuche im Arbeitsbereich (Art. 39 i.V.m. Art. 21 GUMG) Bedeutung. Dagegen scheidet eine strafbare unlautere Wettbewerbshandlung aus.

4.8 Europäische Menschenrechtskonvention und Verfassungsrecht

Das Völkerrecht ist (neben den Bundesgesetzen) für das Bundesgericht und die anderen rechtsanwendenden Behörden massgebend (Art. 190 BV, vgl. Art. 5 Abs. 4 BV). Die EMRK statuiert ein Menschenrecht auf Achtung des Privat- und Familienlebens (Art. 8 EMRK). Nach der Rechtsprechung des EGMR kann der Begriff «Privatleben» auch berufliche Tätigkeiten umfassen. Als Vertragspartei der EMRK ist die Schweiz verpflichtet, das Recht auf Achtung des Privatlebens auch im Verhältnis zwischen Arbeitnehmer und privater Arbeitgeberin zu schützen.

Auf Stufe der verfassungsrechtlichen Grundrechte gilt es, erstens, den Anspruch auf Schutz vor Missbrauch der persönlichen Daten umzusetzen (Art. 13 Abs. 2 BV). Nach verbreiteter Auffassung geht dieses Recht über die alleinige Abwehr von Missbräuchen hinaus und vermittelt einen umfassenden Anspruch auf Datenschutz bis hin zu einem Recht auf informationelle Selbstbestimmung. Diese verbreitete Meinung wird vorliegend später noch hinterfragt werden. Zweitens existiert der Anspruch auf Achtung des Privat- und Familienlebens, der Wohnung sowie des Brief-, Post- und Fernmeldeverkehrs (Art. 13 Abs. 1 BV). Die beiden Ansprüche werden unter der Bezeichnung «Schutz der Privatsphäre» zusammengefasst (Marginalie zu Art. 13 BV). Der verfassungsrechtliche Schutz der Privatsphäre entspricht inhaltlich Art. 8 Abs. 1 EMRK in bewusster Übereinstimmung, auch im Hinblick auf die Einschränkung des Grundrechts (Art. 8 Abs. 2 EMRK; Art. 13 i.V.m. Art. 36 BV). Parallel zum Grundrecht auf Schutz der Privatsphäre ist dasjenige auf persönliche Freiheit zu prüfen (Art. 10 Abs. 2 BV). Auch eine Prüfung der Grundrechte auf Rechtsgleichheit (Art. 8 BV, etwa bei Diskriminierungen) und Menschenwürde (Art. 7 BV) ist unumgänglich. Die Grundrechte müssen in der ganzen Rechtsordnung zur Geltung kommen (Art. 35 Abs. 1 BV), so auch im vorliegend interessierenden Bereich des Privatrechts. Die Behörden sorgen dafür, dass die Grundrechte, soweit sie sich dazu eignen, auch unter Privaten wirksam werden (Art. 35 Abs. 3 BV). Die Horizontalwirkung der Grundrechte entfaltet sich namentlich, wenn unter Privaten ein erhebliches Machtgefälle besteht. Dies trifft auf People Analytics zu. Somit sind die vorstehend genannten Rechtsquellen, insbesondere die offen formulierten Normen wie die Fürsorgepflicht (Art. 328 OR), im Sinne der verfassungsrechtlichen Grundrechte auszulegen und anzuwenden.

4.9 Weiteres Völkerrecht

Die Schweiz hat das Übereinkommen 108 des Europarats ratifiziert. Das Übereinkommen 108 ist der erste verbindliche, aber nicht unmittelbar anwendbare völkerrechtliche Vertrag zum Datenschutz: Die Vertragsparteien verpflichten sich, das Übereinkommen auf automatisierte Dateien und Datensammlungen sowie automatische Bearbeitungen von personenbezogenen Daten im öffentlichen und im privaten Bereich anzuwenden (Art. 3 Abs. 1 Übereinkommen 108). Das Übereinkommen 108 ist am 18.05.2018 modernisiert worden (CM/Inf(2018)15-final). Zur Ratifikation des modernisierten Übereinkommens 108 sind ein entsprechender Bundesbeschluss und die Revision des DSG erforderlich. Die Ratifikation ist ein wichtiges Signal an die EU im Hinblick auf den Entscheid über den Angemessenheitsbeschluss (vgl. Art. 45 DSGVO).

Gemäss dem Internationalen Pakt über bürgerliche und politische Rechte vom 16.12.1966 (SR 0.103.2), dem die Schweiz beigetreten ist, darf niemand willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder rechtswidrigen Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden (Art. 17 Abs. 1 IPBPR). Bemerkenswert ist, dass eine Begrenzungsklausel (wie Art. 36 BV und Art. 8 Abs. 2 EMRK) fehlt. Zudem erwähnt der IPBPR ausdrücklich eine positive Verpflichtung des Staats zum Schutz der datenschutzrechtlichen Positionen zwischen Privaten (in Art. 17 Abs. 2 IPBPR). Die Verbindlichkeit des IPBPR ist insoweit gewährleistet, als der UNO-Menschenrechtsausschuss über seine Einhaltung wacht (vgl. Art. 28 ff., Art. 40 ff. IPBPR). Individualbeschwerden gegen einen Vertragsstaat sind nach dem ersten Fakultativprotokoll zum IPBPR möglich; die Schweiz hat dieses jedoch nicht unterzeichnet.

Ferner ist auf die Dokumente der OECD und der IAO zu verweisen. Die OECD-Leitlinien 1980 zum Schutz der Privatsphäre und zum grenzüberschreitenden Datenverkehr sind völkerrechtlich nicht verbindlich. Sie gründen primär auf einem wirtschaftlichen Ansatz, während das Übereinkommen 108 und der IPBPR menschenrechtlich motiviert sind. Sie sind durch die OECD-Leitlinien 2013 revidiert worden. Die IAO hat das Übereinkommen 111 über die Diskriminierung in Beschäftigung und Beruf verabschiedet, welches die Schweiz ratifiziert hat. Es ist davon auszugehen, dass das Übereinkommen 111 keine unmittelbar anwendbaren Bestimmungen enthält, auf die sich Einzelpersonen berufen könnten. Zudem hat die IAO einen Verhaltenskodex zum Schutz der personenbezogenen Daten der Arbeitnehmer (Code of practice on the protection of workers’ personal data, Genf, 1997).

4.10 Zwischenfazit: Querschnittsmaterie People Analytics

In diesem Kapitel wurden nur die wichtigsten Erlasse, die bei People Analytics zu berücksichtigen sind, aufgezählt. Zusammenfassend sind auf People Analytics nationale und internationale, privat- und öffentlich-rechtliche Bestimmungen sowie Individual- und Kollektivrechte kumulativ anwendbar. Die erwähnten Erlasse können nicht isoliert voneinander betrachtet werden; erst durch ihre Wechselwirkung entsteht ein echter Schutz der arbeitnehmerseitigen Interessen. Beispielsweise werden bei internationalen Sachverhalten datenschutzfreie Bereiche verhindert, indem neben dem DSG auch die DSGVO und nationale Bestimmungen der Mitgliedstaaten der EU betreffend Beschäftigtendaten für anwendbar erklärt werden. Des Weiteren garantieren die gesetzlichen Diskriminierungsverbote allein noch keinen effektiven Schutz vor algorithmischen Diskriminierungen; aber in Kombination mit dem Arbeitsrecht und dem Datenschutzrecht können die Schutzlücken weitgehend geschlossen werden. Somit handelt es sich bei People Analytics um eine komplexe Querschnittsmaterie, deren Bewältigung ein hohes Mass an Fachwissen voraussetzt. Nur wer sich mit allen genannten Bestimmungen auskennt, kann People Analytics (als Arbeitgeberin) rechtskonform anwenden oder sich (als Arbeitnehmer) wirksam gegen unzulässige Praktiken wehren. Im Folgenden sind diese Bestimmungen näher zu betrachten. Zuerst werden die datenschutzrechtlichen Rahmenbedingungen geprüft, welche die Arbeitgeberin einhalten muss (dazu sogleich, Kapitel 5), bevor auf die Möglichkeiten der Arbeitnehmer zur Rechtsdurchsetzung eingegangen wird (dazu später, Kapitel 6).

Gabriel Kasper in: People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts; 2021; Dike Verlag, Zürich

https://creativecommons.org/licenses/by-nc-nd/3.0/ch/

DOI: https://doi.org/10.3256/978-3-03929-009-3

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.

10/2022

1 Einführung und Hintergrund

Die Anonymisierung von personenbezogenen Daten führt, abgesehen von den technischen Herausforderungen, auch zu einer Reihe von komplexen rechtlichen Fragen im Rahmen des Datenschutzes. Dazu gehören u. a. die im Rahmen eines Konsultationsverfahrens des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) betrachteten Fragen nach der Notwendigkeit einer Rechtsgrundlage sowie ggf. nach einer angemessenen solchen Rechtsgrundlage.

In diesem Beitrag soll dagegen die Frage betrachtet werden, inwiefern Datenschutz noch eine Rolle spielen sollte, nachdem Daten anonymisiert wurden. Die Betrachtung orientiert sich dabei an der DSGVO, aber die wesentlichen Aussagen lassen sich problemlos auch auf andere Regelwerke zum Datenschutz übertragen. Gemäß EG 26 DSGVO verstehen wir dabei unter anonymen Daten solche Daten, die nicht personenbezogen sind, sich also nicht auf eine identifizierte oder identifizierbare Person beziehen. Anonymisierte Daten sind Daten, die personenbezogen waren, bei denen dieser Personenbezug aber entfernt wurde, d. h. es handelt sich um einen speziellen Fall anonymer Daten.

Im Datenschutzrecht, insbesondere auch in der DSGVO, gibt es eine Reihe von Aussagen zum Umgang mit derartigen anonymisierten Daten, die jede für sich schlüssig sind, die in der Kombination aber Probleme verursachen. Einerseits wird bei der Beurteilung, ob bestimmte Daten anonym sind, keine absolute Anonymität gefordert, die also unter allen Umständen und Rahmenbedingungen gegeben wäre, sondern eine relative Anonymität, ausgehend von einer Bewertung der Wahrscheinlichkeit einer Re-Identifizierung auf Basis von Kosten, Zeitaufwand und verfügbarer Technologie (EG 26 Sätze 3, 4 DSGVO). Andererseits handelt es sich bei Daten, die als (relativ) anonym bewertet wurden, definitionsgemäß nicht mehr um personenbezogene Daten, und sie unterliegen damit auch nicht mehr den Vorgaben des Datenschutzes (EG 26 Satz 5 DSGVO).

In der Praxis hängt die Wahrscheinlichkeit einer Re-Identifikation aber stark davon ab, wer Zugang zu den Daten hat und welche Methoden und Hilfsmittel hierfür eingesetzt werden, und die anzuwendenden Kriterien Kosten, Zeitaufwand und Technologie ändern sich mit der Zeit. Es gibt viele Beispiele, dass anonymisierte Daten wieder re-identifiziert werden konnten; bekannte Beispiele sind der beschriebene Fall einer Krankenversicherung in Massachusetts, sowie der beschriebene Fall von Netflix-Daten. Mit den wachsenden Möglichkeiten von Disziplinen wie Data Science, Big Data und künstlicher Intelligenz wächst auch die Wahrscheinlichkeit, dass eine solche Re-Identifizierung möglich wird.

Das führt zur folgenden Hypothese:

Hypothese 1

Anonymität ist eine Eigenschaft nicht alleine der Daten, sondern der Kombination von Daten und Datenbesitzer.

Die gleichen Daten, die bei einem Besitzer anonym sind, sind bei einem anderen Besitzer möglicherweise personenbezogen. Wenn man keine Einschränkungen in Bezug auf den Besitzer der Daten macht, ist sogar zweifelhaft, inwieweit es anonymisierte Daten überhaupt geben kann.

Angedeutet ist diese Hypothese bereits in EG 26 Satz 3 DSGVO („Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, …“), aber danach wird die Abhängigkeit der Anonymität vom Datenbesitzer nicht weiter berücksichtigt.

Da anonymisierte Daten aber nicht dem Datenschutz unterliegen, gibt es nach einer Bewertung der Daten als anonym auch keine rechtlichen Einschränkungen mehr, die verhindern könnten, dass die Daten einem anderen Besitzer übermittelt werden, bei dem sie nicht anonym sind. Voraussetzung für diese Bewertung ist eine angemessene Risikoanalyse auf Basis von EG 26, die die Anonymität der Daten bestätigt, aber auch bei gründlicher Durchführung kann sich eine solche Analyse im Nachhinein als falsch erweisen.

Damit können anonymisierte Daten auch veröffentlicht werden und dadurch bei einem Unternehmen landen, das sie mit anderen Daten verketten kann und dadurch eine Re-Identifikation ermöglicht. Eventuell gilt das auch erst zu einem späteren Zeitpunkt mit den dann neuesten Methoden der Datenanalyse. Man kann daher davon ausgehen, dass eine Re-Identifizierung in vielen Fällen möglich sein wird, selbst wenn die ursprüngliche Bewertung der Daten als anonym unter den damaligen Rahmenbedingungen angemessen und damit rechtskonform war. Naturgemäß ist diese Wahrscheinlichkeit gerade bei den großen Datensammlern besonders hoch, bei denen sowieso schon sehr viele personenbezogene Daten vorliegen und bei denen der potentielle Schaden für die Betroffenen dadurch relativ hoch ist.

Gleichzeitig ist es aber für viele Zwecke wichtig, dass geeignete Daten für Auswertungen zur Verfügung stehen, wobei diese Daten häufig ursprünglich personenbezogen sind und teilweise sehr hohen Schutzbedarf haben, beispielsweise in der medizinischen Forschung. Eine wesentliche Beschränkung dieser Auswertungen würde die Forschung wie auch viele auf Open Data basierende Anwendungen unangemessen einschränken. Um aber die betroffenen Personen zu schützen, ist es wünschenswert und aus Sicht des Datenschutzrechtes auch gefordert, dass diese Daten vor der Nutzung anonymisiert werden, wann immer in der Auswertung auf den Personenbezug verzichtet werden kann.

Die beschriebenen Herausforderungen wurden bereits von Ohm 2010 diskutiert, sind aber auch heute in Regelwerken wie der DSGVO nicht berücksichtigt. Ziel dieses Beitrags ist es daher, den aktuellen Stand dieser Herausforderungen und möglicher Lösungsansätze zusammenzutragen, um eine neue Diskussion zum angemessenen Umgang mit anonymisierten Daten unterstützen.

Zum Aufbau dieses Beitrags: Abschn. 2 analysiert die genannten Herausforderungen ausführlicher. Die Konsequenzen und offenen Fragen, die sich daraus ergeben, werden in Abschn. 3 betrachtet. Mögliche Ansätze zur Lösung dieser Herausforderungen werden in Abschn. 4 vorgestellt, Abschn. 5 stellt die Definition von im erweiterten Sinn personenbezogenen Daten vor, und Abschn. 6 fasst schließlich die Ergebnisse zusammen.

2 Anonymisierung als Maßnahme zum Datenschutz

2.1 Gefahr der Re-Identifizierung

Aus den genannten Argumenten ergibt sich, dass ein vollständiger Verzicht auf Datenschutzanforderungen bei anonymisierten Daten zu kurz greift, da in diesem Fall kein Schutz gegen die Folgen einer Re-Identifizierung gegeben ist. Deutlich abweichend von der heute üblichen rechtlichen Bewertung folgt stattdessen:

Hypothese 2

Auch für anonymisierte Daten kann aus Datenschutzsicht ein Schutz erforderlich sein.

Auch wenn das selten so explizit formuliert wird, ist ein restriktiver Umgang mit anonymisierten Daten auch heute schon (gelegentlich) gelebte Praxis. So werden beispielsweise anonymisierte Gesundheitsdaten nur für Forschungsorganisationen unter Einschränkungen (über die evtl. vorhandenen kommerziellen Einschränkungen hinaus) zur Verfügung gestellt, aber nicht veröffentlicht, obwohl das für garantiert anonyme Daten unproblematisch wäre. Ähnliches ist beispielsweise für Daten zur Bildungsforschung zumindest als Empfehlung formuliert.

Um diese Forderung nach Schutz auch für anonymisierte Daten umzusetzen, sollte Anonymisierung als eine Maßnahme (von mehreren möglichen) zum Datenschutz verstanden werden. Diese Maßnahme trägt in vielen Fällen wesentlich zum Schutz der Daten und damit der Betroffenen bei, gewährleistet aber keinen vollständigen Schutz der Betroffenen. Allgemein hat Anonymisierung aus Datenschutzsicht zwei verschiedene Rollen, die beide parallel berücksichtigt werden müssen: Einerseits handelt es sich um eine Form der Verarbeitung personenbezogener Daten und muss entsprechende Anforderungen gemäß DSGVO berücksichtigen. Andererseits handelt es sich um eine Maßnahme zum Datenschutz, die gerade selbst dazu beitragen kann, Anforderungen der DSGVO zu erfüllen.

Eine andere Sichtweise auf die Notwendigkeit eines Schutzes anonymisierter Daten ist, dass die im Datenschutzrecht verankerte binäre Unterteilung in anonyme bzw. anonymisierte Daten einerseits und personenbezogene Daten andererseits zu einfach ist oder, wie beispielsweise schon 2012 von der FTC formuliert: „Overall, the comments reflect a general acknowledgment that the traditional distinction between PII and non-PII has blurred …“. Daten sind in vielen praktischen Fällen eben weder eindeutig personenbezogen noch eindeutig anonym, sondern liegen in einem Graubereich dazwischen, denn sie können mit einem mehr oder weniger großen Aufwand auf eine bestimmte Person bezogen werden. Die oben beschriebenen Aussagen aus EG 26 DSGVO zur relativen Anonymität zeigen, dass der Gesetzgeber sich dessen in gewissem Rahmen bewusst ist, eine strenge Trennung zwischen personenbezogenen und anonymen Daten im Gesetz aber trotzdem als in jedem Einzelfall gegeben postuliert.

Beim Risiko der Re-Identifizierung ist auch zu berücksichtigen, dass selbst eine fehlerhafte Re-Identifikation zu Schaden für die (tatsächlich oder scheinbar) Betroffenen führen kann, solange sie glaubwürdig erscheint.

2.2 Weitere Gefährdungen der Anonymität

Neben der angesprochenen Hauptgefährdung der Anonymität, der Re-Identifizierung, gibt es noch weitere Gefährdungen, insbesondere die Aufdeckung einer Gruppenzugehörigkeit sowie die Aufdeckung eines Attributs. Dabei werden die Daten nicht explizit einer Person zugeordnet und sind somit weiterhin im Sinne der DSGVO anonym. Dennoch können sich daraus erhebliche Gefährdungen für die Freiheiten und Rechte betroffener Personen ergeben. So kann schon das Wissen, dass eine bestimmte Person auf der Mitgliederliste der Anonymen Alkoholiker enthalten ist, problematisch sein, auch ohne die Person auf der Liste genau identifizieren zu können.

Eine eng verwandte Gefährdung, auch wenn sie sich genau genommen nicht direkt auf die Anonymität bezieht, wurde bereits beschrieben: Schon die Verarbeitung von gruppenbezogenen und damit anonymisierten, nicht personenbezogenen Daten kann aus Sicht des Persönlichkeitsschutzes problematisch sein. Als Beispiel hierfür kann ein Bankkunde dienen, der in einer Gegend wohnt, in der viele Bewohner ihre Kredite nicht bedienen können, und daher keinen Bankkredit bekommt, obwohl er selbst eigentlich kreditwürdig wäre.

2.3 Gefährdungen durch Anonymität

Während die Anonymisierung oft als Lösung vieler Probleme des Datenschutzes gesehen wird, gibt es andere Probleme, die durch die Anonymisierung gerade erst entstehen. Darunter fällt insbesondere die Erfüllung der Betroffenenrechte, die nach einer Anonymisierung weder rechtlich einforderbar noch technisch umsetzbar ist. Die Betroffenenrechte nach Art. 12–23 DSGVO entfallen bei einer Anonymisierung, da die Zuordnung zwischen Daten und Betroffenen nicht mehr möglich ist. Der Verantwortliche ist gemäß Art. 11 Abs. 2 DSGVO lediglich verpflichtet, die Betroffenen darüber zu informieren, dass eine Zuordnung nicht möglich ist.

3 Konsequenzen und offene Fragen

Wenn man auch anonyme Daten aus Datenschutzsicht als schutzbedürftig bewertet, ergeben sich daraus einige zu berücksichtigende Konsequenzen und offene Fragen, die im Folgenden betrachtet werden sollen.

3.1 Informationspflichten und Auskunftsrechte

Für personenbezogene Daten gelten die Informationspflichten und Auskunftsrechte nach Art. 12–15 DSGVO ebenso wie die sonstigen Rechte der Betroffenen nach Art. 16–21. Für anonymisierte Daten können diese Rechte aber nicht mehr erfüllt werden, da die Daten nicht korrekt zugeordnet werden können.

Die DSGVO berücksichtigt diesen Aspekt zwar bereits in Art. 11 mit der Festlegung, dass in diesem Fall die Identifizierungsdaten nicht alleine zur Erfüllung dieser Rechte aufbewahrt werden müssen. Dies ändert aber nichts an der grundsätzlichen Problematik, und einige Autoren, beispielsweise Zibuschka et al., sehen die resultierenden Einschränkungen der Betroffenenrechte als wesentlichen Kritikpunkt an Anonymisierung als Datenschutzmaßnahme.

3.2 Anonymisierung als Ersatz für die Löschung von personenbezogenen Daten

Es ist bereits umstritten, ob und inwieweit die Anonymisierung von Daten dem Recht auf Löschung (Art. 17 DSGVO) sowie der aus dem Grundsatz der Datenminimierung abgeleiteten Löschpflicht Genüge tut. Eine Festlegung, dass anonymisierte Daten dem Datenschutz unterliegen, würde eindeutig klären, dass das nicht der Fall ist.

3.3 Anonyme und anonymisierte Daten

Bisher betrachtete dieser Beitrag den Schutzbedarf anonymisierter Daten, also von Daten, die einen Personenbezug hatten, wobei dieser aber durch geeignete Maßnahmen entfernt wurde. Daneben gibt es aber auch Daten, die von vornherein keinen Personenbezug haben, eine Anonymisierung also nicht erforderlich war.

Hier stellt sich nun die Herausforderung zu unterscheiden, wann solche anonymen Daten einen Schutzbedarf haben und wann nicht. Einerseits gibt es Daten, bei denen Datenschutz eindeutig nicht relevant scheint, weil es nicht um Personen oder Personengruppen geht, beispielsweise „ein Pfund Butter kostet …“. Andererseits gibt es Daten, die zwar anonym und nicht anonymisiert sind, bei denen aber die gleichen potentiellen Probleme wie bei anonymisierten Daten vorliegen, beispielsweise weil sie von vornherein ohne identifizierende Attribute erfasst wurden. Natürlich wäre es unangemessen, diese Daten anders zu behandeln als Daten, bei denen die Identifizierer nachträglich entfernt wurden.

Einige Autoren, so z. B. Boehme-Neßler, gehen sogar noch einen Schritt weiter und argumentieren, das alle Daten letzten Endes einen Personenbezug haben. Am Beispiel eben: Wenn ich weiß, wie viel ein Pfund Butter kostet, kann ich ableiten, wie viel eine Person, die diese Butter gekauft hat, für derartige Produkte auszugeben bereit ist.

3.4 Auswirkung von Datenschutzverletzungen

Zusätzlich zu den bisher betrachteten Herausforderungen kann eine Datenschutzverletzung, beispielsweise eine unbeabsichtigte Veröffentlichung von Daten, dazu führen, dass andere, bereits vorhandene anonyme Daten durch Verknüpfung re-identifiziert werden können. Indirekt führt eine Veröffentlichung anonymer Daten also dazu, dass der potentiell entstehende Schaden bei einer Datenschutzverletzung deutlich größer wird.

4 Lösungsansätze

Verschiedene Autoren haben die genannten Probleme bereits diskutiert, mit unterschiedlichen Schlussfolgerungen. Die folgende Beschreibung gibt einen Überblick über einige Ansätze, um die beschriebenen Probleme zu lösen, wobei diese Ansätze sich zum Teil überschneiden, oder zumindest kombinieren lassen.

4.1 Risiko-orientierte Ansätze

Viele vorgeschlagene Lösungsansätze verzichten nicht ganz auf Anonymisierung, betrachten sie aber als nur einen Teil der Lösung und stellen daher eine Analyse der mit den Daten verbundenen Risiken für die Betroffenen in den Mittelpunkt. Anonymisierung ist in diesem Sinne eine Maßnahme, die den Schutz der Daten und damit der Betroffenen unterstützt, aber nicht den weiteren Datenschutz ersetzt oder überflüssig macht.

Im Folgenden werden einige Varianten dieser Sichtweise betrachtet.

4.1.1 Risikobetrachtung

In ihrem Bericht beschreibt die US-amerikanische Federal Trade Commission einen Ansatz zur Risikominderung bei anonymisierten Daten, der aus folgenden drei Schritten besteht:

1. Der Verantwortliche (im Bericht als Unternehmen („company“) bezeichnet) unternimmt angemessene („reasonable“) Anstrengungen, um sicherzustellen, dass die Daten anonymisiert sind.
2. Der Verantwortliche verpflichtet sich öffentlich, die Daten nur in anonymisierter Form zu verwenden und sie nicht zu re-identifizieren.
3. Wenn der Verantwortliche die Daten anderen Verantwortlichen zur Verfügung stellt, seien es Dienstleister oder andere Drittparteien, dann muss vertraglich festgelegt werden, dass auch diese anderen Verantwortlichen nicht versuchen, die Daten zu re-identifizieren. Der ursprüngliche Verantwortliche hat die Verpflichtung, diese vertragliche Festlegung in angemessenem Umfang zu überwachen.

Implizit ergibt sich daraus, dass die anonymisierten Daten nicht breit veröffentlicht werden dürfen, sondern noch schutzbedürftig sind und daher nur kontrolliert an ausgewählte Dritte auf Basis eines Vertrags weitergegeben dürfen.

Rubinstein und Hartzog gehenvon diesem Ansatz aus, kritisieren allerdings, dass er sich nur auf das Risiko der Re-Identifizierung bezieht und nicht die anderen relevanten Gefährdungen betrachtet. Sie empfehlen eine Risikobetrachtung vergleichbar mit dem Vorgehen in der Informationssicherheit, die u. a. von den potentiellen Angreifern und deren Zielen ausgeht.

4.1.2 Forderung nach einer Datenschutz-Folgenabschätzung für Anonymisierung

Einen ähnlichen Lösungsansatz beschreiben Pohle und Hölzel in ihrer Stellungnahme zum Konsultationsverfahren des BfDI. Auch hier betonen die Autoren, dass Anonymisierung zum Verlust der Betroffenenrechte führt, und folgern daraus, dass Anonymisierung als Form der Verarbeitung betrachtet werden muss, für die eine Risikobetrachtung in Form einer Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Diese DSFA sollte die verschiedenen oben beschriebenen Gefährdungen der Anonymität und der Verarbeitung anonymer Daten adressieren und die dabei entstehenden bzw. verbleibenden Risiken analysieren und bewerten.

In deutlich geringerem Umfang gilt diese Forderung bereits heute durch die allgemeine Forderung in Art. 35 DSGVO nach Durchführung einer DSFA bei einer Verarbeitung mit hohem Risiko. Es ist aber zu bezweifeln, dass in der Praxis wirklich in relevantem Umfang DSFA für Anonymisierungen durchgeführt werden, bzw. ob die tatsächlich durchgeführten DSFA ausreichend auf die nach einer Anonymisierung bestehenden Risiken eingehen.

4.1.3 Erweiterte Rechte der Aufsichtsbehörden

In [15] wird der Umgang mit anonymen Daten aus Sicht der Datenschutz-Aufsichtsbehörden betrachtet und angeregt, die Befugnisse der Aufsichtsbehörden so zu erweitern, dass diese bei einem hohem Risiko einer Re-Identifizierung die betroffenen Datenbestände prüfen und deren weitere Verarbeitung beschränken können.

4.2 Regulierung der großen „Entropie-Reduzierer“ nach Ohm

Unter „Entropie-Reduzierern“ im Bereich von Daten versteht Ohm solche Organisationen, die sehr große Datenmengen mit vielen Verlinkungen ansammeln und durch diese Verlinkungen die Entropie der Daten reduzieren, also beispielsweise Finanzdienstleister, kommerzielle Daten-Makler (data brokers) oder Internet-Suchmaschinenbetreiber. Durch die angesammelten Datenmengen und deren Verlinkung sind solche Organisationen häufig in der Lage, auch anonymisierte Daten zu re-identifizieren, vergleiche Hypothese 1 oben.

Ohm orientiert sich an dieser Stelle an der US-amerikanischen Sichtweise, die bei der Regulierung zum Datenschutz nicht in erster Linie von den Daten selbst ausgeht, sondern sich stark an den Branchen der Verantwortlichen orientiert und daher auf branchenspezifische Regelungen fokussiert. Da in den Branchen der großen Entropie-Reduzierer das Risiko für die Betroffenen relativ groß ist, fordert Ohm für sie eine entsprechende Regulierung durch den Gesetzgeber, ausgehend von einer Bewertung der Wahrscheinlichkeit einer Re-Identifizierung. Für diese Bewertung definiert Ohm fünf Faktoren, die bei der Regulierung berücksichtigt werden sollten:

• Verwendete Anonymisierungstechniken: Hier geht es insbesondere um eine (möglichst quantitative) Bewertung der Wahrscheinlichkeit, mit der Daten re-identifiziert werden können, wie sie beispielsweise mit dem Parameter k bei der k-Anonymität, oder dem Parameter εε im Fall der εε-differentiellen Privatheit verfügbar sind.
• Private vs. öffentliche Verfügbarkeit der Daten: Solange auch anonymisierte Daten nur einem eingeschränkten Kreis von Benutzern zur Verfügung gestellt werden, ist das Risiko eine Re-Identifizierung wesentlich geringer.
• Datenmenge: Mit der Datenmenge wächst auch das Risiko einer Re-Identifizierung oder eines anderen Datenmissbrauchs, und eine Regulierung sollte daher laut Ohm die Datenmenge begrenzen.
• Motivation: In der Regulierung sollte auch die Motivation der Datenbesitzer an einer Re-Identifizierung berücksichtigt werden.
• Vertrauen: Eng verbunden mit der Motivation ist das Vertrauen in die Datenbesitzer, was natürlich noch schwieriger allgemeingültig zu bewerten ist als die Motivation.

Allerdings beschreibt Ohm konkrete Maßnahmen, die bei einer hohen Wahrscheinlichkeit einer Re-Identifizierung bzw. bei sensitiven Daten zu treffen sind, nur an zwei Beispielanwendungen. Bei Gesundheitsdaten mit einem hohen Gefährdungspotential, gleichzeitig aber auch hohem potentiellen Nutzen für die Forschung, schlägt er die Einrichtung eines Entscheidungsgremiums vor, das über die Weitergabe derartiger Daten, auch in anonymisierter Form, entscheidet, bei hohem Risiko bis hin zu einem Verfahren mit Klassifizierung von Daten und Datenempfängern analog dem Umgang mit Verschlusssachen. Bei IP-Adressen argumentiert Ohm, dass nicht die Frage, ob es sich um personenbezogene oder anonyme Daten handelt, im Vordergrund stehen sollte, sondern der Schaden, der potentiell aus der Nutzung dieser Daten entstehen kann.

4.3 Verwaltung der Originaldaten durch eine vertrauenswürdige Partei

Ebenfalls von Ohm stammt die Beschreibung des üblichen Vorgehens als Release-and-Forget-Anonymisierung. Als Lösungsmöglichkeit für bestimmte Anwendungsfälle beschreibt Ohm ein Verfahren, das sich an (zentraler) differentieller Privatheit orientiert und darauf aufbaut, dass es eine vertrauenswürdige Partei gibt, die die Originaldaten verwaltet. Anonymität wird bei diesem Vorgehen in der Form erreicht, dass öffentlich verfügbare Auswertungen fast keine Informationen über einzelne Personen enthalten. Die personenbezogenen Daten selbst existieren aber weiterhin und müssen als solche geschützt werden.

4.4 Definition einer Beobachtungspflicht

Ein gelegentlich diskutierter Lösungsansatz ist die Definition einer Beobachtungspflicht, d. h. der Verantwortliche wird verpflichtet, die Entwicklung in Bezug auf neue Verfahren oder andere Daten, mit deren Hilfe eine Re-Identifikation möglich wäre, zu beobachten und bei Bedarf die bereitgestellten anonymen Daten zurückzuziehen.

Auch wenn dieser Ansatz sicher eine sinnvolle Ergänzung anderer Lösungen beschreibt, wird er nicht als eigenständige Lösung ausreichen, da eine Veröffentlichung von Daten, seien sie anonymisiert oder personenbezogen, nicht mehr rückgängig gemacht werden kann. Dieser Lösungsansatz deckt also nur den Fall ab, dass immer wieder neue, aktualisierte Fassungen der anonymisierten Daten veröffentlicht werden, was dann bei Bedarf gestoppt werden kann. Darüber hinaus sind Einzelfälle denkbar, in denen die Daten nur für begrenzte Zeit Schutz erfordern, so dass die Veröffentlichung zwar nicht rückgängig gemacht werden kann, später aber keinen Schaden mehr verursacht.

4.5 Formulierung konkreter Anforderungen an den Grad der Anonymität

Es gibt einige Ansätze, um den Grad der Anonymität von Daten bzw. den Grad der Anonymisierung durch entsprechende Anonymitätsmodelle zu bewerten. Die wohl bekanntesten dieser Modelle sind die k-Anonymität mit dem Parameter k, die l-Diversität mit dem Parameter l, und die εε-Differentielle Privatheit mit dem Parameter εε.

Statt nun allgemeingültig einen Schutz der anonymisierten Daten zu fordern, können diese Bewertungsverfahren genutzt werden, um ein Mindestmaß an erreichter Anonymität zu fordern, abhängig vom mit einem Bruch der Anonymität verbundenen Risiko. Erforderlich wären dafür Regeln der Form „Um anonymisierte Daten zu veröffentlichen, die höchstens ein mittleres Risiko darstellen und deren Urbild keine personenbezogenen Daten besonderer Kategorien enthält, muss mindestens eine l-Diversität mit einem Wert l=…l=… nachgewiesen werden“.

Diese Lösung würde damit weiterhin eine Bereitstellung von anonymisierten Daten beispielsweise für Forschungszwecke erlauben, gleichzeitig aber auch ein gewisses Mindestmaß an Anonymität sicherstellen.

Eine ähnliche, wenn auch weniger konkrete, Forderung enthalten die Safe Harbor-Vorgaben der US-amerikanischen HIPAA-Regelungen für Gesundheitsdaten (nicht zu verwechseln mit der gleichnamigen ehemaligen EU-US-Vereinbarung zum Datenexport). Diese Vorgaben erlauben zwei Varianten für die Anonymisierung von Gesundheitsdaten: Die erste Variante besteht aus der Forderung nach einer Expertenbewertung der Anonymisierung, typischerweise basierend auf Anonymitätsmodellen, ohne dabei aber konkrete Modelle oder Parameter vorzugeheben. Alternativ werden als zweite Variante konkrete Attribute definiert, die bei der Anonymisierung von Gesundheitsdaten entfernt bzw. zumindest generalisiert werden müssen. Diese zweite Variante ist damit sehr viel konkreter und leichter verständlich, insbesondere für Laien auf dem Gebiet der Anonymisierung. Wesentlich hilfreicher erscheint es aber, entsprechend der ersten Variante nicht ein bestimmtes Verfahren, sondern einen bestimmten Erfolg der Anonymisierung zu fordern.

4.6 Sanktionierung der Re-Identifikation

Ein grundsätzlich anderer Ansatz ist das explizite gesetzliche Verbot der Re-Identifizierung von personenbezogenen Daten, wie dies in Großbritannien bereits der Fall ist (Sect. 171 UK Data Protection Act 2018), wenn auch mit vielen Ausnahmen. Auch Japan hat ein solches Verbot der Re-Identifikation, siehe Abschn. 4.8. In Australien dagegen war ein ähnliches Verbot mit der Privacy Amendment (Re-identification Offence) Bill 2016 (Cth) geplant, wurde aber letzten Endes nicht verabschiedet.

Implizit ist die Re-Identifizierung zwar meist auch durch die DSGVO verboten, weil es keine Rechtsgrundlage für diese Verarbeitung personenbezogener Daten gibt. Ein explizites strafbewehrtes Verbot der Re-Identifizierung würde diesen Aspekt verstärken und damit eine Lösung des Problems unterstützen, wenn auch das Problem nicht vollständig lösen. Insbesondere kann ein gesetzliches Verbot nicht verhindern, dass Besitzer der Daten außerhalb des Geltungsbereiches des jeweiligen Gesetzes die Daten re-identifizieren, und auch innerhalb des Geltungsbereiches ist es beispielsweise schwierig zu erkennen, wenn ein Besitzer eine Entscheidung auf Grund einer verbotenen Re-Identifizierung getroffen hat. Ohm schrieb daher schon 2010 „A reidentification ban is sure to fail, however, because it is impossible to enforce. How do you detect an act of reidentification?“.

Darüber hinaus ist es eine Herausforderung, in einem solchen Gesetz zwischen legitimen Gründen für eine Re-Identifikation und den zu verbietenden nicht legitimen Gründen zu unterscheiden, wie schon an den vielen Ausnahmeregelungen in den genannten Gesetzen erkennbar ist.

Insgesamt kann ein solches gesetzliches Verbot der Re-Identifikation als Ergänzung weiterer Maßnahmen helfen, wird aber die beschriebenen Probleme nicht alleine lösen können.

4.7 Bewertung der Anonymisierung als wenig oder nicht geeignete Datenschutzmaßnahme

Im Gegensatz zu den bisher beschriebenen Lösungsansätzen argumentieren Zibuschka et al., dass eine sichere Anonymisierung in der Praxis kaum erreichbar sei, eine misslungene Anonymisierung aber immer noch dazu führt, dass die definierten Rechte der Betroffenen (auf Auskunft, Löschung etc.) nicht mehr erfüllt werden können. Im Ergebnis führe das dazu, dass Anonymisierung unter den Rahmenbedingungen von Data Science etc. als Maßnahme zum Datenschutz nicht mehr geeignet ist, sondern im Gegenteil mehr schadet als nützt.

Die in der DSGVO wiederholt als Datenschutzmaßnahme genannte Anonymisierung sollte aus dieser Sicht nicht mehr genutzt werden, sondern stattdessen der Fokus auf die sonstigen technischen und organisatorischen Maßnahmen sowie die Rechenschaftspflicht des Verantwortlichen gelegt werden sollte.

Anders als bislang bewertet ist aus dieser Sicht eine Pseudonymisierung der Anonymisierung vorzuziehen: Die Schutzwirkung nach außen ist annähernd gleich hoch, aber bei der Pseudonymisierung ist eindeutig, dass die resultierenden Daten immer noch personenbezogen sind und daher dem Datenschutz und den damit verbundenen Einschränkungen unterliegen. Dazu kommt, dass – anders als bei einer Anonymisierung – die Betroffenenrechte nach einer Pseudonymisierung weiterhin erfüllbar sind.

4.8 Beispiel: Japan

Im japanischen Datenschutzrecht gibt es, anders als in fast allen anderen Ländern, auch einige Vorgaben zum Umgang mit anonymisierten Daten, hier als „Anonymously Processed Information“ bezeichnet. Gefordert ist hier u. a., dass die Anonymisierung gemäß den in weiterführenden Regelungen genannten Mindestanforderungen der Aufsichtsbehörde durchgeführt wird und Maßnahmen zur Sicherheit der anonymisierten Daten ergriffen werden. Bei einer Anonymisierung bzw. bei einer Weitergabe anonymisierter Daten müssen darüber hinaus die Kategorien der Daten und einige weitere Informationen veröffentlicht werden (Art. 36, 37, 39 APPI). Schließlich, wie bereits in Abschn. 4.6 angesprochen, gibt es ein explizites Verbot der Re-Identifikation anonymisierter Daten (Art. 38 APPI).

Zwar weicht die Abgrenzung zwischen Anonymisierung und Pseudonymisierung in Japan etwas von der Abgrenzung gemäß der DSGVO ab, was dazu führt, dass manche in Japan als anonymisiert betrachteten Daten in der EU nur als pseudonymisiert betrachtet werden. Da die beschriebenen Regelungen damit aber insbesondere für anonymisierte Daten gelten, ist diese Abweichung für die hier betrachtete Fragestellung nicht relevant.

5 Ergänzender Lösungsansatz: Ausdehnung des Datenschutzes auf „im erweiterten Sinne personenbezogene Daten“

Als Ergänzung der bisher betrachteten Lösungsansätze wird ein wie folgt erweiterter Begriff des Personenbezugs vorgeschlagen:

Definition 1

Daten sind im erweiterten Sinn personenbezogen, wenn sie sich auf eine oder mehrere (natürliche) Personen beziehen, unabhängig davon, ob die konkreten Personen identifizierbar sind oder nicht.

Diese Definition schließt anonymisierte oder auch aggregierte Daten über Personen ein und adressiert damit auch die mit diesen Fällen verbundenen Risiken für die Betroffenen, die vom aktuellen Datenschutzrecht nicht berücksichtigt werden. Ähnlich erhält man durch diese Definition auch einen Hebel, um die oben eingeführten Gefährdungen der Aufdeckung einer Gruppenzugehörigkeit oder von Attributen bei anonymisierten Daten zu adressieren, da auch diese Gefährdungen sich auf im erweiterten Sinn personenbezogenen Daten beziehen.

Auf die Definition von anonymen Daten als Gegensatz zu personenbezogenen Daten lässt sich dies allerdings nicht übertragen, denn unter anonym versteht man ja im allgemeinen Sprachgebrauch gerade, dass Daten sich auf eine bestimmte, aber nicht identifizierbare Person beziehen, (z. B. ist „anonym“ im Duden definiert als „ungenannt, ohne Namensnennung“), also gemäß unserer Definition im erweiterten Sinn personenbezogen sind.

Aufbauend auf der Definition des erweiterten Personenbezugs können nun Anforderungen an den Schutz von im erweiterten Sinn personenbezogenen Daten definiert werden. Dieser Ansatz geht noch einen Schritt weiter als die beispielsweise in Japan geforderte Anwendung des Datenschutzes auf anonymisierte Daten, da darunter auch Daten fallen, die von vornherein anonym waren oder die sich auf Gruppen von Personen beziehen.

Die Datenschutzanforderungen können nicht vollständig die gleichen Forderungen wie für personenbezogene Daten sein, da beispielsweise die Betroffenenrechte für im erweiterten Sinn personenbezogene Daten nur sehr eingeschränkt erfüllbar sind. Insofern ist zuerst zu prüfen, welche Anforderungen anwendbar sind, und darüber hinaus, inwieweit eine Anwendung der potentiell anwendbaren Forderungen auch wünschenswert ist.

Die in Art. 5 DSGVO gelisteten Grundsätze für die Verarbeitung personenbezogener Daten (Rechtmäßigkeit, Zweckbindung, Datenminimierung etc.) sind auch für im erweiterten Sinn personenbezogene Daten anwendbar. Das gilt entsprechend auch für die in Art. 6 DSGVO aufgeführten möglichen Rechtsgrundlagen, mit einer leichten Einschränkung bei der Nutzung einer Einwilligung als Rechtsgrundlage, denn – wie auch jetzt schon nach einer Anonymisierung von personenbezogenen Daten – die Rücknahme einer Einwilligung führt nicht dazu, dass die betroffenen Daten von der Verarbeitung ausgeschlossen werden können. Bei den Rechten der Betroffenen gemäß Art. 12–23 DSGVO können nur die Informationspflichten (Art. 13, 14 DSGVO) umgesetzt werden, im Zweifel durch Veröffentlichung der entsprechenden Informationen, ähnlich wie das in Japan bei der Anonymisierung bereits gefordert ist (siehe Abschn. 4.8). Die anderen Betroffenenrechte dagegen sind nicht mehr anwendbar, da sie sich auf Einzelpersonen beziehen, die bei im erweiterten Sinn personenbezogene Daten möglicherweise nicht mehr zugeordnet werden können.

Mit diesem Ansatz würde Anonymisierung rechtlich als ein Ansatz zum Schutz der Daten gesehen, ähnlich wie bereits jetzt die Pseudonymisierung, würde aber nicht mehr dazu führen, dass die Daten nicht mehr dem Datenschutz unterliegen.

Um die weitere Nutzung anonymisierter Daten für legitime Zwecke zu erleichtern, könnten dann entsprechende Erleichterungen definiert werden für die Verarbeitung von Daten, die nur im erweiterten Sinn personenbezogen sind, beispielsweise durch eine Festlegung, dass eine Veröffentlichung dieser Daten nur erlaubt ist, wenn ein bestimmter Grad der Anonymität erreicht ist und eine DSFA gemäß Art. 35 Abs. 4 DSGVO durchgeführt wurde.

6 Zusammenfassung und Ausblick

Der vorliegende Beitrag zeigt, dass auch anonymisierte Daten in vielen Fällen noch dem Datenschutz unterliegen sollten. Diese Erkenntnis ist in vielen Veröffentlichungen aus den letzten etwa zehn Jahren zu finden, spiegelt sich aber nicht in aktuellen gesetzlichen Regelungen wie der DSGVO wider. Es wurden einige unterschiedliche Lösungsansätze für diese Herausforderung vorgeschlagen, und punktuell werden diese auch bereits umgesetzt, aber nicht als allgemeingültige gesetzliche Regelung.

Im Kern lassen sich die Lösungsansätze in drei Gruppen unterteilen: Die erste Gruppe besteht im Wesentlichen aus einer gesetzlichen Festlegung, dass auch anonymisierte Daten schutzbedürftig im Sinne des Datenschutzes sind. Daraus ergibt sich die Forderung nach einer Regelung, dass ausgehend von einer Bewertung der verbleibenden Risiken (inkl. der Risiken, die über die reine Re-Identifikation der Daten hinausgehen) eine Umsetzung geeigneter Schutzmaßnahmen auch für anonymisierte Daten erforderlich ist. Eine zweite Gruppe geht das Problem auf juristischem Weg durch ein Verbot der Re-Identifikation an, was die anderen Ansätze unterstützen kann, alleine aber wohl nicht ausreicht.

Die dritte Gruppe geht einen völlig anderen Weg und lehnt Anonymisierung als Maßnahme zum Datenschutz grundsätzlich ab. Stattdessen wird eine verschärfte Rechenschaftspflicht gefordert, um den mit einer Anonymisierung verbundenen Verlust der Betroffenenrechte zu verhindern.

Allerdings beschreibt keiner dieser Lösungsansätze eine vollständige Lösung der betrachteten Probleme, sondern es handelt sich jeweils nur um Teillösungen. Der vorliegende Beitrag soll daher als Grundlage für eine Diskussion dienen, wie man – wahrscheinlich mit einer Kombination verschiedener Teillösungen – die beschriebene Herausforderung am besten adressieren kann, um eine praktisch wie juristisch angemessene Lösung zu finden, beispielsweise auf Basis des hier eingeführten Begriffs der im erweiterten Sinne personenbezogenen Daten.

Ralf Kneuper in: Friedewald, M., Kreutzer, M., Hansen, M. (eds) Selbstbestimmung, Privatheit und Datenschutz . DuD-Fachbeiträge. Springer Vieweg, Wiesbaden, 2022;

https://doi.org/10.1007/978-3-658-33306-5_9

http://creativecommons.org/licenses/by/4.0/deed.de

Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.