I. Einleitung

1 Der Schutz der Privatsphäre am Arbeitsplatz im digitalen Zeitalter

Künstliche Intelligenz, Big Data, Supercomputer, Internet of Things – die mit der Digitalisierung einhergehenden technologischen Entwicklungen bergen nebst einem unbestritten grossen Potenzial zu positiven Veränderungen unserer Lebensweise auch ernstzunehmende menschenrechtliche Risiken – u.a. für die Unversehrtheit der Privatsphäre einzelner Personen. Das Recht auf Schutz der Privatsphäre gewährt als anerkanntes Grund- und Menschenrecht jeder Person ein Mindestmass an Privatheit, damit sich diese in ihrer Persönlichkeit ungestört entwickeln und entfalten kann.

Staaten haben nicht nur eine Pflicht, dieses Recht zu achten und zu gewährleisten, sondern müssen es auch vor Verletzungen durch Dritte schützen. Das gilt auch für (privatrechtliche) Arbeitsverhältnisse, welche durch eine strukturelle Machtasymmetrie zwischen Arbeitgebenden und Arbeitnehmenden charakterisiert sind, so dass Letztere eines Schutzes bedürfen. Im Kontext der Digitalisierung steht diesem individuellen Schutzbedürfnis das Interesse von Arbeitgebenden gegenüber, digitale Technologien zur Optimierung von Wertschöpfungs- und Kommunikationsprozessen, zum Schutz der Sicherheit der Mitarbeitenden sowie der Produktionsmittel, oder zur Kontrolle von Arbeitnehmenden einzusetzen.

Im Bereich der Arbeit bringt der digitale Wandel zudem eine Diversifizierung von Arbeitsmodellen mit sich, welche eine orts- und/oder zeitunabhängige Arbeit ermöglichen. Flexible Arbeitsformen, welche oftmals auch im Interesse von Arbeitnehmenden liegen, können sich in vielfältiger Weise auf die Trennung von Berufs- und Privatleben auswirken und zu einer sogenannten Entgrenzung zwischen Arbeit und Freizeit führen.

Der Wandel hin zum dezentralen Arbeitsplatz wurde durch die im Zusammenhang mit der COVID-19 Pandemie ergriffenen Massnahmen und Empfehlungen für Home-Office beschleunigt. Gleichzeitig führte uns die Pandemie vor Augen, wie wichtig es ist, mit den digitalen Entwicklungen Schritt zu halten – zum einen um das damit verbundene Potenzial bestmöglich und zum Vorteil der gesamten Gesellschaft auszuschöpfen, zum andern, um den damit verbunden menschenrechtlichen Problemen besser begegnen zu können.

Auf internationaler Ebene ist das Recht auf Privatsphäre in unterschiedlichen für die Schweiz verbindlichen Rechtsgrundlagen, u.a. der Europäischen Menschenrechtskonvention (EMRK) und dem Internationalen Pakt über bürgerliche und politische Rechte (UNO Pakt II), verankert. Zudem konkretisieren weitere internationale und regionale Institutionen – wie z.B. der UNO-Sonderberichterstatter zum Recht auf Privatsphäre, der Europarat oder die OECD – datenschutzrechtliche Erwartungen an einzelne Staaten, wenn es um die Bearbeitung von Personendaten im digitalen Zeitalter (nicht nur am Arbeitsplatz) geht. Relevante arbeitsrechtliche Grundlagen sind z.B. im Internationalen Pakt über wirtschaftliche, soziale und kulturelle Recht (UNO Pakt I) zu finden.

In der Schweiz beinhaltet die Bundesverfassung einen grundrechtlichen Anspruch auf Achtung der Privatsphäre einschliesslich des Datenschutzes. Eine Reihe von arbeits- und datenschutzrechtlichen Gesetzen und Verordnungen konkretisiert diesen Schutz im Beschäftigungskontext. In allgemeiner Weise wird die Verantwortung von Arbeitgebenden Arbeitnehmenden gegenüber von der sog. Arbeitgeberfürsorgepflicht erfasst. Im Rahmen dieser Pflicht müssen Arbeitgebende geeignete Massnahmen zur Achtung und zum Schutz der Privatsphäre und Persönlichkeit von Arbeitnehmenden ergreifen.

Trotz bestehenden nationalen und internationalen Rechtsgrundlagen in den Bereichen Privatsphäre, Datenschutz und Arbeitsrecht erschwert es die hohe Geschwindigkeit der Technologieentwicklung den Regulierungsbehörden, Rechtsgrundlagen in Echtzeit den aktuellen Herausforderungen anzupassen. Die rasche Nutzbarmachung neuer Technologien im Alltag und im Arbeitsleben offenbart deshalb immer wieder neue Anwendungsfälle, welche noch nicht explizit von bestehenden Normen erfasst sind und deshalb mittels Auslegung beurteilt werden müssen.

2 Ziel der Studie

Obwohl neue digitale Technologien beträchtliche Auswirkungen auf den Schutz der Privatsphäre im Verhältnis zwischen Arbeitgebenden und Arbeitnehmenden haben, wird diesem Thema in laufenden Digitalisierungsdiskursen in der Schweiz nur wenig Beachtung geschenkt. Vielmehr steht im Arbeitsmarkt- und Beschäftigungskontext im Vordergrund, wie der digitale Wandel die Beschäftigungsstruktur verändert und ob Arbeitsstellen durch die Digitalisierung verloren gehen oder zusätzlich geschaffen werden. Zudem geht es um die Frage, in welche Richtung sich die Anforderungen an die Arbeitsbedingungen im digitalen Zeitalter verändern und wie der Schweizer Arbeitsmarkt die mit der Digitalisierung verbundenen Herausforderungen meistern und in einen positiven Nutzen umwandeln kann. Ein weiterer Schwerpunkt liegt auf neuen atypischen Arbeitsformen, welche insbesondere im Zusammenhang mit digitalen Marktplätzen (Plattformökonomie oder Gig-Work) eine Rolle spielen.

Da dem Schutz der Privatsphäre im Arbeitsverhältnis im Zeitalter der Digitalisierung in der rechtlichen Diskussion bislang vergleichsweise wenig Beachtung geschenkt wurde, will die vorliegende Studie einen Beitrag zur Schliessung dieser Forschungslücke leisten, indem sie für die Privatsphäre relevante und mit der Digitalisierung im Zusammenhang stehende Problemfelder im Kontext von Beschäftigungsverhältnissen einer rechtlichen Beurteilung unterzieht.

3 Methodik und Aufbau

Bestehende Rechtsgrundlagen zum Recht auf Privatsphäre weisen oftmals weder einen expliziten Digitalisierungs- noch Arbeitsplatzbezug auf. Dennoch gibt es eine Vielzahl datenschutz- und ar- beitsrechtlicher Erlasse, welche relevante Bestimmungen sowohl zur digitalen Bearbeitung von personenbezogenen Daten am Arbeitsplatz als auch zum Schutz der Persönlichkeit und der Ge- sundheit von Arbeitnehmenden enthalten. Um diese Verflechtung unterschiedlicher Disziplinen den Leserinnen und Lesern möglichst anschaulich näher zu bringen, werden unterschiedliche Szena- rien im Umfeld eines Beschäftigungsverhältnisses definiert, in welchen eine Verletzung der Pri- vatsphäre durch die Anwendung digitaler Technologien möglich ist.

Die ausgewählten Szenarien wurden in Konsultation mit relevanten Akteuren im Bereich der Be- schäftigung – privat- und öffentlich-rechtliche Arbeitgebende, Arbeitgeberverbände, Gewerkschaften und Datenschutzbeauftragte – erörtert und kritisch hinterfragt. Auf die Rückmeldungen der konsultierten Akteure wird innerhalb der einzelnen Szenarien unter dem Titel «Relevanz und Problem- bereiche» eingegangen.

Hinsichtlich der verwendeten Technologien haben die Konsultationen ergeben, dass es erhebliche Unterschiede gibt, ob, wie und weshalb spezifische Technologien von Arbeitgebenden eingesetzt werden. Die ausgewählten Szenarien werden in der vorliegenden Studie deshalb in einer verallge- meinerten Form wiedergegeben. Da die Untersuchung primär auf die mit dem Einsatz von Technologien am Arbeitsplatz verbundenen Rechtsfragen fokussiert, hat sich das Projektteam für einen anwendungs- und nicht technologiebasierten Ansatz entschieden. Deshalb wird z.B. bei algorithmischen Systemen, welche am Arbeitsplatz zum Einsatz kommen können, in technischer Hinsicht nicht nach dem «Grad der Intelligenz» unterschieden.

Dennoch ist es für die Vollständigkeit der Analyse unabdingbar, sich mit gewissen technischen Grundlagen von digitalen Entwicklungen auseinanderzusetzen. Nach einer kurzen Einführung in die Thematik der Privatsphäre (Ziff. II.1), werden deshalb die für den Arbeitsplatz wichtigsten Begriffe des digitalen Ökosystems summarisch dargestellt (Ziff. II.2.2). Die Vermittlung dieser Grundbegriffe soll das Verständnis der in den Szenarien in Ziff. III behandelten technischen Methoden erleichtern. Anschliessend werden die für die Beantwortung der Rechtsfragen relevanten Rechts- grundlagen auf internationaler (Ziff. II.3) und nationaler Ebene (Ziff. II.4) in den Bereichen Schutz der Privatsphäre, Datenschutz und Arbeitsrecht erläutert.

Im dritten Teil werden sechs ausgewählte arbeitsplatzspezifische Szenarien behandelt, in welchen digitale Technologien im Vordergrund stehen, die gegenwärtig, wie auch zukünftig in einem Be- schäftigungskontext von Bedeutung sind/sein werden. Diese reichen vom Internet (Ziff. III.2, III.4, III.6, III.7), über unterschiedliche Überwachungs- und Kontrolltechnologien (Ziff. III.4 und III.5) hin zu «intelligenten» algorithmischen Systemen (Ziff. III.3, III.4, III.5). Mit Blick auf die rechtliche Be- urteilung der Szenarien bleibt anzumerken, dass die Anwendbarkeit des bestehenden rechtlichen Rahmens in der Schweiz im Vordergrund steht; ergänzend erfolgen einzelfallspezifische Verweise auf internationale Normen und relevante Institutionen. Die Szenarien befassen sich zudem nur mit der möglichen Verletzung der Privatsphäre von Arbeitnehmenden durch Arbeitgebende. Nicht behandelt werden potenzielle Verletzungen der Privatsphäre von Arbeitnehmenden durch Drittparteien (z.B. Bewertung von Lehrpersonen durch Schulkinder, Bewertung von Uber-Fahrdienst durch Kundschaft etc.) oder von Arbeitgebenden gegenüber Drittparteien (z.B. unbefugte Weitergabe von Kundendaten).

II.  Das Recht auf Privatsphäre am Arbeitsplatz im Zeitalter der Digitalisierung

1 Das Grundrecht- und Menschenrecht auf Privatsphäre

Historisch ist das heute in der Schweiz und in internationalen Rechtsgrundlagen verankerte Grund- und Menschenrecht auf Privatsphäre eng an die Verfügungsmacht über privates Eigentum und das Recht, dass dieser persönliche Bereich frei von staatlichen Interventionen bleibt, gekoppelt. Im Rahmen dieser Konzeption waren das Privateigentum und die Privatsphäre Einzelner von der staatlichen Sphäre sowie der Öffentlichkeit abzugrenzen.

Für den Bereich der Arbeit bedeutete diese eigentumsgeprägte Herleitung, dass die Verfügungs- berechtigten über die Produktionsmittel (d.h. die Arbeitgebenden) entscheiden konnten, in wel- chem Umfang den Arbeitnehmenden (persönliche) Rechte innerhalb des Arbeitsverhältnisses zu- kamen. Ein Anspruch auf Wahrung der Privatsphäre der Arbeitnehmenden am Arbeitsplatz exis- tierte nur, wenn die Eigentumsberechtigten der Produktionsanlagen dies auch zuliessen.

Dieses historische Verständnis der Privatsphäre hat sich im 20./21. Jahrhundert in kontinentaleu- ropäischen Rechtssystemen dahingehend gewandelt, dass private Sachverhalte als Teil der Per- sönlichkeitsrechte einer einzelnen Person unabhängig von Eigentum anerkannt sind. Das Recht auf Privatsphäre entwickelte sich damit zu einem eigenständigen Grund- und Menschenrecht, bei welchem es im Kern um die Autonomie eines jeden Individuums geht, ohne fremde Einwirkung über die eigene Existenz entscheiden zu können.

Dies hat nach heutigem Grundrechtsverständnis zur Folge, dass dem Recht auf Privatsphäre nicht nur eine Abwehrfunktion (gegen staatliche Eingriffe) zukommt; vielmehr besteht auch eine staatliche Pflicht, Individuen vor Menschenrechtsverletzungen durch Dritte zu schützen. Eine Verletzung dieser staatlichen Schutzpflichten liegt vor, «[w]enn der Staat es unterlässt seine Rechtsord- nung so auszugestalten, dass Übergriffe in grundrechtlich geschützte Rechtsgüter nicht verhindert bzw. sanktioniert werden können oder er solche Übergriffe gar ausdrücklich erlaubt […]». Ent- sprechend legt Art. 35 Abs. 3 BV fest, dass «[d]ie Behörden [dafür] sorgen […], dass die Grund- rechte, soweit sie sich dazu eignen, auch unter Privaten wirksam werden» (sog. horizontale Wirkung oder Drittwirkung der Grundrechte).

Da private Akteure jedoch nicht die primären Adressaten der Grundrechte sind, richten sich die grund- und menschenrechtlichen Schutzpflichten des Staates zunächst an den Gesetzgeber. In einem ersten Schritt ist der Staat deshalb dazu angehalten, dafür zu sorgen, dass der Schutz der Persönlichkeit und die Achtung der Privatsphäre gesetzlich geregelt werden und somit auch im privatrechtlichen Arbeitsverhältnis garantiert sind. Im Bereich der Arbeit kommt diesen positiven Verpflichtungen des Staates eine grosse Bedeutung zu, da Beeinträchtigungen der Privatsphäre im Arbeitsverhältnis nicht nur, aber oftmals durch private Arbeitgebende erfolgen.

Bei einer Rechtsstreitigkeit unter Privaten können sich diese zwar nicht direkt auf die Grund- und Menschenrechte stützen, sie haben jedoch die Möglichkeit, sich auf die relevanten Gesetzesbe- stimmungen zu berufen, welche den grundrechtlichen Garantien zwischen Privaten Geltung verleihen. Private, welche Opfer privater Übergriffe geworden sind, haben somit das Recht, staatliche Instanzen aufzurufen. Sofern der (gerichtliche) Schutz durch den Staat ungerechtfertigt verweigert wird, ist aus grundrechtlicher Sicht der Staat verantwortlich und nicht der/die Private.

Losgelöst vom Digitalisierungskontext stellt sich die Grundsatzfrage, in welchem Umfang das Recht auf Privatsphäre am Arbeitsplatz überhaupt Anwendung findet, da sich der Arbeitsplatz an- ders als etwa die eigene Wohnung nicht ohne weiteres als typische private Umgebung qualifizieren lässt. Hinzu kommt, dass das Arbeitsverhältnis zwar nicht mehr dieselbe eigentumsrechtliche Prägung wie früher aufweist, aber immer noch durch ein Subordinations- und Abhängigkeitsverhältnis zwischen Arbeitgebenden und Arbeitnehmenden und die damit verbundenen (vertraglichen) Weisungs- und Kontrollbefugnisse charakterisiert ist.

Um den Schutzbereich des Rechts auf Privatsphäre im digitalen Zeitalter mit Blick auf das Arbeitsverhältnis bestimmen zu können, werden nachfolgend zunächst die internationalen und nationalen Rechtsgrundlagen zum Schutz der Privatsphäre und des Datenschutzes analysiert und es wird abgeklärt, inwieweit arbeitsrechtliche Bestimmungen ergänzend zur Anwendung kommen können (infra Ziff. 3 und 4). Zusätzlich werden Entwicklungen im Bereich des Soft Law und die Praxis/Emp- fehlungen relevanter Institutionen der UNO/EU/ILO/OECD in die Untersuchung miteinbezogen.

Vor dieser rechtlichen Analyse wird dargelegt, was die digitale Transformation am Arbeitsplatz als Teil der sog. «industriellen Revolution 4.0» überhaupt beinhaltet (infra Ziff. 2.1). Danach werden summarisch die relevanten Begriffe des digitalen Ökosystems erläutert, um den Leserinnen und Lesern ein Grundverständnis für jene Technologien zu vermitteln, welche in den vom Projektteam ausgewählten Szenarien unter Ziff. III eine Rolle spielen (infra Ziff. 2.2).

2 Die digitale Transformation am Arbeitsplatz

2.1 Industrielle Revolution 4.0

Digitale Technologien entwickeln sich in rasantem Tempo; Big Data, Blockchain, Supercomputer, künstliche Intelligenz (KI) und virtuelle Realität sind nur einige Schlagworte, welche den heutigen digitalen Wandel versinnbildlichen. Dieser Wandel findet weltweit statt und betrifft praktisch alle Lebensbereiche.

In einem wirtschaftlichen Kontext wird die umfassende Digitalisierung der Produktion unter dem Begriff industrielle Revolution 4.0 zusammengefasst. Im Gegensatz zur dritten industriellen Re- volution, welche bereits durch eine Automatisierung von Produktionsprozessen mittels dem Einsatz von Elektronik und IT charakterisiert war, kommen jetzt die «Entwicklung intelligenterer Überwachungs- und autonomer Entscheidungsprozesse neu hinzu, um Unternehmen und ganze Wert- schöpfungsnetzwerke in nahezu Echtzeit steuern und optimieren zu können». Wichtige Treiber dieser fortgeschrittenen digitalen Transformation sind u.a.:

• umfangreiche Datenmengen (Big Data – infra 2.2.2)
• immer effizientere Datenverarbeitungsressourcen (computing power – infra Ziff. 2.2.3)
• die zunehmende Vernetzung von Informationen und physischen und virtuellen Ob- jekten mit dem Internet und untereinander (Internet of Things – infra 2.2.4)
• Fortschritte in der Robotik und Sensorik (infra 2.2.4)
• die zunehmende Lernfähigkeit von auf Algorithmen basierten Systemen (infra 2.2.1 und Ziff. 2.2.5)

Insbesondere aufgrund der grossen Geschwindigkeit, Reichweite sowie den damit verbundenen systemischen Auswirkungen sieht SCHWAB in der industriellen Revolution 4.0 nicht nur die blosse Fortsetzung der dritten industriellen Revolution, sondern assoziiert damit einen beispiellosen wirtschaftlichen Wandel. Diese Transformation hat weitreichende Auswirkungen auf die Art der Produktion und unternehmensinterne Wertschöpfungsprozesse und bringt tiefgreifende Veränderungen für den Arbeitsmarkt und das gesamte Wirtschafts- und Sozialversicherungssystem mit sich.

Bestehende Herausforderungen und Lösungsansätze für die Schweiz wurden vom Bund im Rahmen der Strategie «Digitale Schweiz» zusammengefasst. Darin sind mit Blick auf den Beschäftigungskontext die Bedeutung der Innovationsförderung im Bereich der Forschung zu digitalen Technologien, die Flexibilität des Arbeitsmarktes, eine hochwertige Infrastruktur sowie eine exzellente Ausbildung und der verantwortungsvolle Umgang mit Daten und KI hervorgehoben. Im Bereich KI hat der Bund zudem eine bundesinterne Arbeitsgruppe eingesetzt, welche «strategische Leitlinien für den Umgang mit den Herausforderungen der Künstlichen Intelligenz (KI) auf Ebene des Bundes» ausgearbeitet hat (weiterführend zu KI, infra Ziff. 2.2.5). In seinem Bericht «Auswirkungen der Digitalisierung auf Beschäftigung und Arbeitsbedingungen – Chancen und Risiken» vom 8. November 2017, kommt der Bundesrat zum Schluss, «dass die Digitalisierung für den Schweizer Arbeitsmarkt sowohl mit Chancen als auch mit Risiken verbunden ist» und dass für die positive Bewältigung eines von der Digitalisierung getriebenen strukturellen Wandels die Rahmenbedingungen weiter optimiert werden müssen.

2.2  Das digitale Ökosystem – Definitionen

2.2.1 Algorithmus

Ein Algorithmus basiert auf einer «Abfolge elementarer Schritte, die zur Erfüllung einer Aufgabe abgearbeitet werden müssen». Solche Handlungsanweisungen können in unterschiedlicher Weise dargestellt werden, z.B. durch Sprache, Diagramme, Codes oder Programme. In der In- formatik wurden Algorithmen entwickelt, um repetitive und komplexe Berechnungen und Datenver- arbeitungsaufgaben durchzuführen. Unter Verwendung algorithmischer Anwendungen können Daten erhoben, kombiniert, bereinigt und eingeordnet werden. Algorithmische Systeme können so in effizienter Weise Muster in grossen Datensätzen erkennen und durch Transformation von Daten(sätzen) in Informationen einen Mehrwert aus Daten generieren. Basierend auf diesen In- formationen nehmen Algorithmen je nach Programmierung eine Auswahl vor, formulieren Empfeh- lungen oder treffen Entscheidungen.

• Im Rahmen der vorliegenden Untersuchung spielen Algorithmen eine Rolle im Zusammen- hang mit Big Data Analysen (infra 2.2.2) sowie bei Anwendungen der künstlichen Intel- ligenz (sog. Algorithmen des maschinellen Lernens – infra Ziff. 2.2.5). Im Bereich von Be- schäftigungsverhältnissen kommen algorithmische Systeme vor allem dort vor, wo automatisierte Vorgänge eine manuelle Tätigkeit ersetzen oder unterstützen – u.a. beim Profiling (Ziff. III.3), bei der Überwachung (Ziff. III.4) oder der Verwendung von Wearables (Ziff. III.5).

2.2.2 Big Data Analysen

Der Begriff «Big Data» bezieht sich auf Daten(sätze), welche sich durch ein hohes Volumen, eine hohe Geschwindigkeit und eine grosse Vielfalt auszeichnen sowie auf die Fähigkeit, diese Daten zu analysieren. Während bereits einzelne Daten einen (kommerziellen) Wert haben können, ba- siert der Wert von Big Data v.a. auf jenen Informationen, welche mithilfe einer leistungsfähigen IT- Infrastruktur und Algorithmen aus Daten(sätzen) extrahiert werden. Bei Big Data Analysen geht es somit weniger um die Daten an und für sich, als um den Prozess, grosse Datensätze zu durch- suchen, Daten zu sammeln, diese zueinander in Bezug zu setzen und Erkenntnisse daraus abzu- leiten. Big Data kann sich sowohl auf personenbezogene als auch auf nicht personenbezogene Daten beziehen.

• Big Data profitiert a. vom Internet of Things (IoT – infra Ziff. 2.2.4) als Datenquelle und vom Cloud-Computing (infra Ziff. 2.2.3) im Zusammenhang mit Datenverarbeitungsprozessen. Eingesetzt werden Big Data Analysen am Arbeitsplatzes u.a. bei Prozessen des maschinel- len Lernens (infra Ziff. 2.2.5), z.B. bei der Evaluation von potenziellen Kandidaten für eine neue Stelle (Ziff. III.3) oder im Kontext von Wearables (Ziff. III.5).

2.2.3 Cloud-Computing

Cloud-Computing beschreibt ein Dienstleistungsmodell für Computer Dienstleistungen, welches Nutzerinnen und Nutzern Datenverarbeitungsressourcen (computing power – z.B. Netzwerke, Server, Speicher, Software-Anwendungen) in flexibler und bedarfsgerechter Form zugänglich macht. Bereits bestehende IT-Infrastrukturen und Informations- und Kommunikationstechnologien können so von Unternehmen/Privatpersonen genutzt werden, ohne dass der/die Anwendende diese selber beschaffen oder einrichten muss.

• Cloud-Computing erhöht die Erschwinglichkeit, Verfügbarkeit, Kapazität und Vielfalt von Computerressourcen für Arbeitgebende und begünstigt die Anwendung von Big Data Analysen (supra 2.2.2) oder «intelligenten» Technologien (infra Ziff. 2.2.5) am Arbeitsplatz. Überdies spielt Cloud-Computing eine Rolle im Kontext des Home-Office (Ziff. III.6) und bei der Nutzung eigener Geräte zur Arbeitserfüllung (BYOD – Ziff. III.7).

2.2.4 Internet of Things

Das Internet der Dinge (Internet of Things – IoT) umschreibt eine auf dem Internet basierte globale Informations- und Kommunikationsarchitektur und ein Netzwerk untereinander verbundener Ge- räte/Gegenstände. In technischer Hinsicht geht es darum, Gegenstände – z.B. mittels Radio Frequency Identification (RFID) – zu identifizieren, mithilfe von Sensortechnologie Zustandsinformati- onen von Objekten zu sammeln und um die Fähigkeit smarter Geräte, untereinander zu kommunizieren (machine-to-machine communication). Durch das Sammeln und Generieren von Daten und der Vernetzung von Informationen und Gegenständen mit dem Internet und untereinander ermöglicht das IoT eine Reihe neuer Geschäftsmodelle, Anwendungen und Dienstleistungen.

• Das IoT profitiert von Big Data als Datenquelle (supra 2.2.2) und wird u.a. durch Cloud- Computing (supra Ziff. 2.2.3) ermöglicht. Am Arbeitsplatz ist es z.B. bei der systematischen Überwachung von Mitarbeitenden (Ziff. III.4.4.6) oder im Zusammenhang mit arbeitsplatz- spezifischen Wearables (Ziff. III.5) relevant.

2.2.5 Künstliche Intelligenz

Obwohl es sich nicht um einen neuen Begriff handelt, gibt es noch keine universell anerkannte Definition von «Künstliche Intelligenz» (KI). Allgemein umschrieben umfassen Systeme der KI «Informatik-Anwendungen, deren Ziel es ist, intelligentes Verhalten zu zeigen. Dazu sind bestimmte Kernfähigkeiten notwendig: Wahrnehmen, Verstehen, Handeln und Lernen». Insbesondere die Elemente Verstehen und Lernen sind charakteristisch für KI-Systeme im Vergleich zu herkömmlichen EDV-Anwendungen.

Die erfolgreiche Entwicklung gegenwärtiger KI-Anwendungen basiert primär auf Algorithmen (supra Ziff. 2.2.1) und maschinellem Lernen (ML). Dabei handelt es sich um eine weit verbreitete Methode der KI – wobei es hier unterschiedliche Ausprägungen gibt – welche dazu eingesetzt wird, «Systeme zu entwickeln, welche in neuen Situationen Vorhersagen/Prognosen […] erstellen, indem sie aus vergangenen Erfahrungen lernen». Im Unterschied zu einer konventionellen Soft- ware oder einem gewöhnlichen Algorithmus, welche immer nach dem gleichen Schema funktionieren, werden auf ML basierte Entscheidungen durch Optimierung, d.h. «Lernen» über die Zeit, ge- troffen (z.B. durch einen «trial-and-error» Ansatz). Der Begriff KI-Systeme umfasst jedoch nicht nur ML, sondern bezieht sich auch auf die weitergehende Fähigkeit eines Systems, komplexere und für einen bestimmten Anwendungskontext bestehende Probleme, deren Bewältigung bislang dem Menschen vorbehalten waren, zu lösen.

Die vom Bund eingesetzte KI-Arbeitsgruppe beschränkte sich mangels einer vorhandenen allge- meingültigen Definition von KI auf einen anwendungs- und nicht technologiebasierten Erklärungsansatz. Demnach sind auf KI basierte Systeme in der Lage: (1) Daten in Komplexität und Menge in einer Form auszuwerten (insbesondere durch selbstständig lernende Algorithmen), die mit anderen Technologien nach heutigem Stand nicht möglich wäre; (2) Vorhersagen zu erstellen, welche als Grundlage für (automatisierte) Entscheidungen dienen; (3) dadurch Fähigkeiten zu erlangen, die mit der menschlichen Kognition und Intelligenz in Verbindung gebracht werden und (4) auf dieser Basis weitgehend autonom, d.h. ohne menschliche Einwirkung, agieren zu können. Einzelne dieser Elemente können je nach KI-Anwendung unterschiedlich stark zum Tragen kommen und auch in Nicht-KI-Anwendungen vorhanden sein.

In der vorliegenden Untersuchung wird ebenfalls ein anwendungsorientierter Ansatz von KI-Systemen verfolgt. Deshalb wird bei den Einzelnen, später untersuchten KI-Systemen nicht auf den Grad der Intelligenz der dahinterstehenden Technologie abgestellt, sondern auf die (rechtlichen) Folgen der damit verbundenen automatisierten Datenverarbeitung. Im Einzelfall wird somit keine Unter- scheidung zwischen nur auf Algorithmen basierten Systemen und komplexeren ML- und KI-Syste- men vorgenommen.

• Im Kontext von Beschäftigungsverhältnissen können Systeme der KI u.a. im Rahmen von automatisierten Bewerbungsverfahren, bei der Evaluation von Bewerbenden/Mitarbeitenden (Ziff. 3), im Zusammenhang mit dem Einsatz von Überwachungs- und Kontrollsystemen (Ziff. III.4) sowie bei der Verwendung von Wearables (Ziff.III.5) zur Anwendung kommen.

3 Internationale Rechtsgrundlagen

3.1 Vereinte Nationen (UNO)

3.1.1 Allgemeines

Das Recht auf Privatsphäre ist auf der Ebene der UNO seit 1948 in Art. 12 AEMR verbürgt und seit 1966 in rechtlich verbindlicher Form in Art. 17 UNO Pakt II verankert. Beide Artikel beziehen sich in allgemeiner Weise darauf, dass niemand ungerechtfertigten Eingriffen in das Privatleben ausgesetzt werden darf, beinhalten jedoch weder einen direkten Bezug zum Arbeitsplatz noch zu Digitalisierungssachverhalten (infra Ziff. 3.1.2).

Bereits in den 1960er Jahren wuchs bei den zuständigen Organen der UNO das Bewusstsein, dass technologische Fortschritte nicht nur ein grosses Potenzial für die wirtschaftliche, soziale und kul- turelle Entwicklung mit sich bringen, sondern auch eine Gefahr für die Menschenrechte und damit verbundene Freiheiten darstellen können. 1990 verabschiedete die Generalversammlung der Vereinten Nationen (UNGA) schliesslich die rechtlich nicht bindenden Richtlinien betreffend perso- nenbezogener Daten in automatisierten Dateien. Diese Richtlinien enthalten eine Reihe von Grundsätzen zur Datenverarbeitung im öffentlichen und privaten Bereich und formulieren Mindest- standards für die Rechtsetzung in den Mitgliedsstaaten der UNO.

In der Folgezeit hat sich die UNO während längerer Zeit nicht mehr aktiv in Diskussionen über Privatsphäre und Datenschutz eingebracht. Erst durch die Snowden-Enthüllungen und den inter- nationalen Überwachungsskandal 2013 hat das Recht auf Privatsphäre in jüngerer Vergangen- heit international wieder vermehrt Beachtung erhalten. Viele daraufhin lancierte Initiativen beschäf- tigten sich mit der durch digitale Technologien ermöglichten, umfassenden Überwachung von In- dividuen durch staatliche und nichtstaatliche Akteure. Diese Arbeiten haben massgeblich dazu bei- getragen, den Schutzbereich der Privatsphäre im Hinblick auf Sachverhalte der Digitalisierung und des Datenschutzes zu präzisieren.

U.a. hielt die UNO-Generalversammlung 2014 in Resolution 68/167 zum Recht auf Privatsphäre im digitalen Zeitalter fest, dass die rasanten technologischen Entwicklungen und die Nutzung neuer Informations- und Kommunikationstechnologien eine Gefahr für die Privatsphäre darstellen. Alle Rechte, welche in der analogen Welt (offline) gelten, müssten in gleichem Umfang auch in einem digitalen Umfeld (online) geschützt werden. Überdies forderte die UNO-Generalversammlung darin die Staaten auf, das Recht auf Privatsphäre zu respektieren und Massnahmen zu ergreifen, um zukünftig ungerechtfertigte Eingriffe in die Privatsphäre Einzelner zu verhindern. Ende März 2015 setzte der UNO-Menschenrechtsrat zudem einen Sonderberichterstatter für das Recht auf Privatsphäre ein. Dessen Arbeiten sind für die nachfolgende Untersuchung besonders relevant, da er sich nicht nur mit Fragen der staatlichen Überwachung beschäftigt hat, sondern darüber hinaus auch mit arbeitsplatzrelevanten datenschutzrechtlichen Fragen (infra Ziff. 3.1.4).

Neben den Bestimmungen des Rechts auf Privatsphäre finden sich auf Ebene der UNO verschie- dene Menschenrechte im Bereich der Arbeit. Für die vorliegende Untersuchung ist insbesondere Art. 7 UNO Pakt I relevant, welcher das Recht auf gerechte und günstige Arbeitsbedingungen pos- tuliert (infra Ziff. 3.1.3). Im Bereich der Arbeit ist zudem die Internationale Arbeitsorganisation (International Labour Organisation, ILO), eine Sonderorganisation der UNO, zuständig für die Er- arbeitung und Einhaltung internationaler Arbeits- und Sozialstandards. Im Lauf der Jahre hat die ILO im Bereich der Arbeit grundlegende menschenrechtliche Standards (sog. Kernarbeitsnor- men) definiert, u.a. zur Vereinigungsfreiheit, dem Diskriminierungsverbot und der Beseitigung von Kinder- und Zwangsarbeit. Mit diesen Standards hat die ILO weltweit einen wichtigen Beitrag zur Umsetzung der Menschenrechte im Beschäftigungskontext geleistet. Ergänzend gibt es eine Vielzahl von sektorspezifischen Abkommen, wobei sich keines schwergewichtig mit dem Schutz der Privatsphäre befasst. Lediglich ein bereits 1997 verfasster, nicht verbindlicher Leitfaden (Code of Practice) thematisiert den Schutz von persönlichen Daten am Arbeitsplatz. In ihrer erst kürzlich angenommenen Deklaration zum hundertjährigen Bestehen der ILO wurden die Mitglieder zudem aufgefordert, angesichts der fortschreitenden digitalen Transformation angemessene Massnah- men zu ergreifen, um den Schutz der Privatsphäre im Berufsleben zu gewährleisten.

Ein weiteres Instrument, welches sich mit der Beeinträchtigung von Menschenrechten im Zusam- menhang mit wirtschaftlichen Aktivitäten von Staaten und Unternehmen beschäftigt, sind die 2011 vom UNO-Menschenrechtsrat angenommenen UNO-Leitprinzipien für Wirtschaft und Menschen- rechte (UNGP). Diese rechtlich nicht verbindlichen Leitprinzipien fordern zum einen Staaten auf, ihren menschenrechtlichen Schutzpflichten im Bereich von wirtschaftlichen Aktivitäten nachzukom- men (duty to protect); zum andern konkretisieren sie die unternehmerische Verantwortung zur Ach- tung der Menschenrechte (responsibility to respect). Sie sehen vor, dass Unternehmen die inter- national anerkannten Menschenrechte achten und «es vermeiden, durch ihre eigene Tätigkeit nachteilige Auswirkungen auf die Menschenrechte zu verursachen oder dazu beizutragen […]». Trotz ihrer formellen Unverbindlichkeit für Unternehmen haben diese Prinzipien dazu beigetragen, das Grund- und Menschenrechtsbewusstsein von vielen Unternehmen zu stärken und Ansätze der Selbstregulierung zu fördern.

3.1.2 Art. 17 UNO Pakt II

Nach Art. 17 Abs. 1 UNO Pakt II darf niemand «willkürlichen oder rechtswidrigen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder rechtswidrigen Beein- trächtigungen seiner Ehre und seines Rufes ausgesetzt werden». Nach Abs. 2 haben alle Men- schen Anspruch auf rechtlichen Schutz gegen solche Eingriffe.

Analog zur schweizerischen Grundrechtslehre (siehe supra Ziff. 1) wird den international anerkann- ten Menschenrechten und somit auch Art. 17 UNO Pakt II nicht nur eine Abwehrfunktion vor Ein- schränkungen durch den Staat zugeschrieben; vielmehr leiten sich für die Vertragsstaaten daraus positive Pflichten ab, dem Recht auf Privatsphäre auch unter Privaten Geltung zu verleihen. In General Comment Nr. 16 von 1988 hat der Menschenrechtsausschuss (MRA) mit Blick auf den Schutz der Privatsphäre eine solche horizontale Wirkung der Menschenrechte bejaht: «In the view of the Committee this right is required to be guaranteed against all such interferences and attacks whether they emanate from State authorities or from natural or legal persons».

Der sachliche Schutzbereich von Art. 17 Abs. 1 UNO Pakt II ist sehr offen formuliert, und es wer- den immer wieder neue Entwicklungen und Lebensbereiche darunter subsumiert. Der Begriff Privatleben fungiert als «Auffangtatbestand», welcher zur Anwendung kommt, wenn sich ein Sachverhalt nicht einem der weiteren spezifischen Menschenrechte zuordnen lässt. Neben dem Begriff Privatleben spielt vorliegend der Begriff Schriftverkehr («Correspondence») eine Rolle. Dieser umfasst auch die elektronische Kommunikation und deren Überwachung. Vor dem Hintergrund fortschreitender technologischer Entwicklungen hielt der MRA in General Comment Nr. 16 zudem fest, dass der Staat auf Grundlage von Art. 17 UNO Pakt II das Sammeln und Speichern persönlicher Daten auf Computern und anderen Geräten sowie in Datenbanken gesetzlich regeln muss, unabhängig davon, ob die Bearbeitung der Personendaten durch den Staat oder durch Private erfolgt. Ein Vertragsstaat muss deshalb effektive Massnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten nicht in unbefugter Weise erhoben, gesammelt, verarbeitet, aufbewahrt oder weitergegeben werden. Dazu müssen Privatpersonen – und somit auch Arbeitnehmende – die Möglichkeit erhalten, sich über eine Datenspeicherung sowie deren Umfang und Verwendungszweck informieren zu können und einen Anspruch auf Korrektur oder Löschung von falschen oder unrechtmässig gesammelten Personendaten haben.

Während sich der MRA wiederholt mit Fragen betreffend die positiven Schutzpflichten der Ver- tragsstaaten im digitalen Zeitalter und mit dem Schutz der Privatsphäre im Kontext von staatlichen Überwachungsmassnahmen beschäftigt hat, gibt es soweit ersichtlich keine einschlägigen Aus- führungen zum Schutz der Privatsphäre von Arbeitnehmenden.

3.1.3 Art. 7 UNO Pakt I

Art. 7 UNO Pakt I ist das Äquivalent zu Art. 23 Abs. 1 AEMR und dem darin enthaltenen Anspruch auf «gerechte und befriedigende Arbeitsbedingungen». Die Bestimmung sieht vor, dass die Vertragsstaaten das Recht auf «gerechte und günstige Arbeitsbedingungen» anerkennen und diesem innerstaatlich effektiv Geltung verleihen. Dies beinhaltet die Gewährleistung von «sichere[n] und gesunde[n] Arbeitsbedingungen» sowie «Arbeitspausen, Freizeit, [und] eine angemessene Begrenzung der Arbeitszeit […]».

Wie in UNO Pakt II sind die Vertragsstaaten des UNO Pakt I verpflichtet, die Konventionsbestim- mungen durch geeignete gesetzgeberische und weitere Massnahmen innerstaatlich effektiv umzusetzen, auch um diesen Rechten unter Privaten Geltung zu verleihen. Im Zusammenhang mit der Forderung nach «gerechten und günstigen Arbeitsbedingungen» bedeutet dies, dass innerstaatliche Massnahmen sicherstellen müssen, dass private Arbeitgebende die in Art. 7 UNO Pakt I geforderten Arbeitsstandards einhalten.

In General Comment Nr. 23 zu Art. 7 UNO Pakt I geht der Ausschuss für wirtschaftliche, soziale und kulturelle Rechte auf die Teilgehalte dieser Arbeitgeberfürsorgepflicht (infra Ziff. 4.3.2) ein. Zum einen wird mit Blick auf «sichere und gesunde Arbeitsbedingungen» hervorgehoben, dass der Umgang mit Daten durch Arbeitgebende menschenrechtskonform erfolgen muss. Zum andern wird mit Bezug auf die Arbeitszeit darauf hingewiesen, dass Arbeitspausen, Freizeit und eine angemessene Begrenzung der Arbeitszeit dazu beitragen, ein gesundes Gleichgewicht zwischen Beruf und Privatleben zu schaffen. Diese beiden Teilbestimmungen von Art. 7 UNO Pakt I konkretisieren somit ebenfalls einen Teilgehalt des Rechts auf Privatsphäre im Kontext von Arbeitsverhältnissen.

Der Anspruch auf angemessene Arbeitsbedingungen tangiert alle Arbeitsverhältnisse und ist insbesondere auch im Kontext von flexiblen Arbeitsformen (z.B. Home-Office, mobiles Büro) relevant, welche in zeitlicher, räumlicher und sachlicher Hinsicht eine Vermischung von Privat- und Berufsleben mit sich bringen können (sog. Entgrenzung, Ziff. III.6 und Ziff. III.7).

Aufgrund der Tatsache, dass die Mehrheit der Arbeitsverhältnisse in der Schweiz privatrechtlicher Natur sind, hängt die Wirksamkeit der Umsetzung von Art. 7 UNO Pakt I primär davon ab, wie private Unternehmen die darin enthaltenen menschenrechtlichen Anforderungen erfüllen (horizontale Wirkung der Menschenrechte). In Ergänzung zur staatlichen Schutzpflicht bestätigt deshalb General Comment Nr. 24 unter Bezugnahme auf die UNO-Leitprinzipien für Wirtschaft und Menschen- rechte die Erwartung, dass Unternehmen ihren menschenrechtlichen Verpflichtungen unabhängig davon nachkommen, ob und wie diese in der innerstaatlichen Gesetzgebung umgesetzt sind.3.1.4 Der UNO-Sonderberichterstatter zum Recht auf Privatsphäre

Mit Resolution 28/16 setzte der UNO-Menschenrechtsrat Ende März 2015 Prof. Joseph Cannataci als Sonderberichterstatter für das Recht auf Privatsphäre ein. Mit der Schaffung dieses Mandats reagierte der UNO-Menschenrechtsrat auf die mit der fortschreitenden Entwicklung neuer (Überwachungs-)Technologien im Zusammenhang stehenden Gefahren für das Recht auf Privatsphäre.

Nachdem er sich anfangs überwiegend mit der staatlichen Überwachung und der Kommerzialisierung persönlicher Daten durch grosse Unternehmen beschäftigt hat, dehnte er sein Mandat im Laufe der Zeit auf weitere Themenbereiche aus und beschäftigte sich u.a. auch mit dem «Gebrauch persönlicher Daten durch Unternehmen» und der «Privatsphäre und Persönlichkeit». Gestützt auf diese Arbeiten hat er in seinem Bericht 2020 eine Reihe von detaillierten Empfehlungen für die Bereiche Arbeit und Beschäftigung formuliert. Insbesondere fordert er staatliche und nicht-staatliche Akteure dazu auf, einen umfassenden Schutz der Privatsphäre in der Bearbeitung von persönlichen Daten zu Beschäftigungszwecken zu gewährleisten und verlangt u.a.

• Transparenz darüber, welche Daten über Arbeitnehmende erhoben und bearbeitet werden;
• die Aufklärung der Arbeitnehmenden über deren Rechte hinsichtlich der über sie erhobenen und bearbeiteten Daten, inkl. Aufbewahrungsfristen;
• die Berichtigung und Löschung von nicht arbeitsplatzrelevanten Daten;
• eine rechtzeitige und umfassende Kommunikation von Seiten des Unternehmens über bestehende Datenbearbeitungsprozesse und ihre Zwecke;
• dass Arbeitgebende Arbeitnehmende vor Einführung von neuen Informationssystemen klar und umfassend informieren;
• dass Datenanalysesysteme und prädiktive Technologien den gesetzlichen Anforderungen entsprechen und diese nur zum Schutz von Arbeitnehmenden eingesetzt werden und nicht zu Überwachungszwecken;
• dass biometrische Daten nur bearbeitet werden, wenn es wirklich nötig ist und unter Einhaltung von geeigneten Schutzvorkehrungen;
• die Entwicklung von unternehmensinternen Datenschutzrichtlinien und -Prinzipien (Datenminimierung, Zweckbezogenheit, Datenschutz-Folgenabschätzungen, Konsultation der Arbeitnehmenden, Vertraulichkeit, Beschwerdemechanismen).

Dieser umfangreiche Katalog illustriert, dass der sachliche Schutzbereich der Privatsphäre nach Art. 17 UNO Pakt II nicht abschliessend verstanden, sondern im Rahmen einer zweckorientierten Auslegung laufend weiterentwickelt wird, um den wachsenden Anforderungen in einem digitalen Umfeld zu entsprechen.

3.1.5 Fazit

Die UNO hat mit Art. 12 AEMR und Art. 17 UNO Pakt II bereits früh einen normativen Rahmen geschaffen, um dem Recht auf Privatsphäre national und international Geltung zu verleihen. Trotz dieser frühzeitigen Anerkennung als grundlegendes Menschenrecht hat das Recht auf Privatsphäre international erst in den letzten Jahren eine grosse Beachtung erfahren, u.a. als Reaktion auf den weltweiten Überwachungsskandal 2013 und die rasanten technologischen Entwicklungen im Bereich von Datenverarbeitungsprozessen seither.

Im Zuge dieser Entwicklungen haben sich unterschiedliche Organe der UNO eingehend mit dem Recht auf Privatsphäre im Kontext der Digitalisierung auseinandergesetzt. Ein zentrales Thema ist die Gewährleistung des Schutzes von persönlichen Daten, welche staatliche und private Akteure in unterschiedlichen von der Digitalisierung betroffenen Lebensbereichen erheben, bearbeiten und (weiter-)verwenden. Besonders instruktiv für die vorliegende Studie sind die Empfehlungen des Sonderberichterstatters für das Recht auf Privatsphäre zu «Work and Employment» in seinem Bericht von 2020, wie der Schutz der Privatsphäre im digitalen Zeitalter am Arbeitsplatz umgesetzt werden sollte.

In normativer Hinsicht wird das in Art. 17 UNO Pakt II verankerte Recht auf Privatsphäre durch Art. 7 UNO Pakt I ergänzt. Die darin enthaltenen Bestimmungen setzen sich in allgemeiner Weise mit der Ausgestaltung des Rechts auf Arbeit und gerechten und günstigen Arbeitsbedingungen auseinander und tangieren im Kontext der Privatsphäre auch Fragen über die Entgrenzung zwischen Beruf und Freizeit.

Auf Grundlage der genannten Bestimmungen muss der Staat wirksame Massnahmen ergreifen, um sicherzustellen, dass persönliche Daten weder durch staatliche, noch private Arbeitgebende in unbefugter Weise erhoben, gesammelt, verarbeitet, aufbewahrt oder weitergegeben werden. Betroffene Personen müssen zudem die Möglichkeit erhalten, sich über eine Datenspeicherung sowie deren Umfang und Verwendungszweck erkunden zu können, und sie haben ein Anrecht darauf, dass falsche oder unrechtmässig gesammelte Personendaten korrigiert oder gelöscht werden. Überdies muss der Staat Massnahmen ergreifen, um einer zeitlichen Entgrenzung zwischen Arbeit und Freizeit vorzubeugen.

Die relevanten Organe der UNO haben zudem die Erwartung geäussert, dass private Unternehmen (und somit auch Arbeitgebende) aufgrund ihrer bedeutenden Rolle im Bereich der Entwicklung und Anwendung von Datenverarbeitungstechnologien den Konventionsrechten eigenständig Geltung verleihen.

3.2  Europarat

3.2.1 Allgemeines

Der Europarat zählt zu den weltweit führenden Institutionen, wenn es um die Entwicklung des Rechts auf Privatsphäre im digitalen Zeitalter geht. Bereits 1950 wurde das Recht in Art. 8 EMRK verankert. Vor der Hintergrund der fortschreitenden Digitalisierung und einer progressiven Recht- sprechung durch den Europäischen Gerichtshof für Menschenrechte (EGMR) hat der Europarat 1981 eine Konvention erlassen, welche sich mit der automatischen Verarbeitung personenbezogener Daten und dessen Auswirkungen auf den Schutz der Privatsphäre auseinandersetzt. Diese Datenschutzkonvention hat die Ausgestaltung späterer nationaler (infra Ziff. 4.2.1) und regi- onaler (infra Ziff. 3.4.3) Datenschutzgesetzgebungen massgeblich beeinflusst. Um den technolo- gischen Entwicklungen Rechnung zu tragen, hat er 2018 ein Änderungsprotokoll zur Datenschutz- konvention verabschiedet.

Aufgrund der grossen Bedeutung der Rechtsprechung des EGMR für die Schweiz wird nachfolgend zunächst aufgezeigt, wie der Gerichtshof das Recht auf Privatsphäre mit Blick auf digitale Sachverhalte (in Beschäftigungsverhältnissen) über die Jahre entwickelt hat (infra Ziff. 3.2.2). Da- nach werden die 1981/2018 Datenschutzkonventionen (infra Ziff. 3.2.3) sowie zwei Empfehlungen des Ministerkomitees des Europarates im Bereich von Beschäftigungsverhältnissen und algorith- mischen Systemen beleuchtet (infra Ziff. 3.2.4).

3.2.2 Europäische Menschenrechtskonvention (EMRK)

Das Recht auf Privatsphäre wird durch Art. 8 EMRK garantiert:

«(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Woh- nung und ihrer Korrespondenz.

(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff ge- setzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.»

Diese Bestimmung ist historisch eng an Art. 12 AEMR angelehnt und ähnlich offen formuliert. Mit Blick auf das Berufsleben hat sich der EGMR bereits 1992 in Niemietz gegen Deutschland – es ging um die Durchsuchung einer Anwaltskanzlei im Zusammenhang mit einem Strafverfahren – ausführlich dahingehend geäussert, dass eine strikte Trennung zwischen Privat- und Berufsleben im Kontext von Art. 8 EMRK nicht möglich ist:

«[…] it would be too restrictive to limit the notion [of private life] to an «inner circle» in which the individual may live his own personal life as he chooses and to exclude therefrom entirely the outside world not encompassed within that circle. Respect for private life must also com- prise to a certain degree the right to establish and develop relationships with other human beings. There appears, furthermore, to be no reason of principle why this understanding of the notion of «private life» should be taken to exclude activities of a professional or business nature since it is, after all, in the course of their working lives that the majority of people have a significant, if not the greatest, opportunity of developing relationships with the outside world. This view is supported by the fact that, as was rightly pointed out by the Commission, it is not always possible to distinguish clearly which of an individual’s activities form part of his professional or business life and which do not».

Der EGMR begründet die Anwendbarkeit des Rechts auf Privatsphäre am Arbeitsplatz mit der Fülle von sozialen Beziehungen, welche eine Person im Rahmen ihrer beruflichen Tätigkeiten pflegt. Gleichzeitig verweist der EGMR darauf, dass sich die Aktivitäten von einzelnen Personen nicht immer eindeutig dem Privat- oder Berufsleben zuordnen lassen und die Grenzen dieser beiden Bereiche oftmals fliessend verlaufen. Diese Entgrenzung hat im Zeitalter der Digitalisierung an Bedeutung gewonnen, da heutige Technologien in vielen Bereichen eine örtlich und zeitlich flexible Arbeitserfüllung begünstigen (insbesondere Ziff. III.6). Der EGMR hat über die Jahre die Anwend- barkeit von Art. 8 EMRK auf berufliche Sachverhalte unter Verweis auf dieses Urteil mehrmals be- stätigt. Überdies hat er den Schutzbereich des Privatlebens auch auf den Zugang zum Arbeits- verhältnis und somit das Bewerbungsverfahren ausgedehnt, obwohl die EMRK kein Recht auf Anstellung vorsieht.

Der Schutz von persönlichen Daten – allgemein wie auch am Arbeitsplatz – ist nach langjähriger Rechtsprechung des EGMR ebenfalls ein wesentliches Element des Rechts auf Privatleben. Erfasst werden namentlich die Sammlung, Speicherung, Verarbeitung, Verwertung und Zurückhaltung von persönlichen Daten sowie die Achtung der Korrespondenz, unabhängig davon, ob die entsprechenden Kommunikations- und Speichersysteme staatlich oder privat betrieben werden.

Mit Blick auf datenschutzrechtlich relevante Sachverhalte am Arbeitsplatz hat sich der EGMR ei- nerseits wiederholt mit Beschwerden befasst, welche Übergriffe durch den Staat gegenüber Angestellten betrafen. So wurde im Fall Halford gegen Vereinigtes Königreich festgestellt, dass die Überwachung des Diensttelefons einer Polizistin durch die Polizeibehörde eine Verletzung des Privatlebens wie auch der Korrespondenz im Sinne von Art. 8 EMRK darstellte. In Copland gegen das Vereinigte Königreich wurde eine Verletzung von Art. 8 EMRK bejaht, nachdem eine staatliche Bildungsanstalt das Telefon, E-Mail und die Internetnutzung einer Angestellten überwachen liess, um herauszufinden, ob sie während der Arbeitszeit private Geschäfte tätigte.

Anderseits hat der EGMR bereits früh anerkannt, «dass die Grundrechte der Konvention auch für die Rechtsbeziehungen zwischen Privatrechtssubjekten Rechtswirkungen» und somit eine Hori- zontalwirkung entfalten. Daraus leitet der Gerichtshof – analog zur schweizerischen Grund- rechtskonzeption – ab, dass der Staat nicht nur Unterlassungspflichten, sondern auch positive Handlungs- und Schutzpflichten hat, damit die Grundrechte der EMRK auch im Verhältnis zwischen Privaten Geltung erlangen. Wie MARSCH zurecht festhält, ist diese Schutzpflicht angesichts der allgegenwärtigen Rolle von privaten Akteuren im Zusammenhang mit Datenverarbeitungsvorgän- gen im Kontext des Datenschutzes von besonderer Bedeutung.

Hinsichtlich der Wahrung der Privatsphäre in einem privatrechtlichen Beschäftigungskontext sind insbesondere die Ausführungen des EGMR zu zwei Fällen interessant. In Bărbulescu gegen Rumänien ging es um die Überwachung eines Instant-Messaging-Dienstes, welchen die Arbeitnehmenden eines privaten Unternehmens zu geschäftlichen Zwecken einrichten mussten. Ein Angestellter missachtete die internen Regeln, wonach das Internet während der Arbeitszeit nicht für private Zwecke gebraucht werden durfte. Seine darauffolgende Entlassung focht er mit der Begründung der Verletzung seiner Privatsphäre gerichtlich an. Der Gerichtshof verneinte zunächst im Ergebnis eine Verletzung von Art. 8 EMRK, die Grosse Kammer kam aber 2017 zum gegenteiligen Schluss. In ihrer Argumentation führte sie aus, dass es sich beim Verhältnis zwischen Arbeitgebenden und Arbeitnehmenden um ein vertragliches Subordinationsverhältnis mit rechtlichen Pflichten für beide Seiten handelt. Trotz der vertraglichen Subordination bestehe somit grundsätzlich Spielraum für die bilaterale Regelung der vertraglichen Pflichten zwischen den Vertragsparteien. Da auf europäischer Ebene ein Konsens fehlt, wie dieser Spielraum bei der Ausgestaltung des Rechts auf Privatsphäre am Arbeitsplatz auf nationaler Ebene einzubeziehen sei, gewährt der Gerichtshof den Mitgliedstaaten bei der Umsetzung grundsätzlich ein weites Ermessen. In jedem Fall müssten die Staaten jedoch dafür sorgen, dass Arbeitgebende angemessene Schutzmassnahmen ergreifen, um zu verhindern, dass Arbeitnehmende in missbräuchlicher Weise überwacht werden. Im Rahmen der Abwägung zwischen Arbeitgebenden- und Arbeitnehmendeninteressen hätten innerstaatliche Behörden deshalb u.a. folgende Faktoren zu berücksichtigen:

• ob Arbeitnehmende vorgängig über die Möglichkeit einer Überwachung informiert wurden;
• den Umfang der Überwachung und die Schwere des Eingriffes in die Privatsphäre von Arbeitnehmenden;
• das Vorliegen von legitimen Gründen;
• das Vorhandensein einer milderen Massnahme;
• die Konsequenzen des Eingriffs für die Arbeitnehmenden und ob die Überwachung zweckgebunden war;
• das Bestehen von angemessenen Schutzvorkehrungen zugunsten von Arbeitneh-

Die Grosse Kammer kam zum Ergebnis, dass die innerstaatlichen Gerichte verschiedene dieser Faktoren nicht angemessen zugunsten des Angestellten berücksichtigt und somit dem Recht auf Achtung der Privatsphäre des Angestellten nicht genügend Beachtung geschenkt hatten und be- jahte deshalb eine Verletzung von Art. 8 EMRK.

Im kürzlich ergangenen Urteil López Ribalda and Others v. Spain ging es um die Videoüberwachung von Mitarbeitenden in einem Supermarkt. Nachdem es zu Fehlbeständen gekommen war, installierte der Supermarktbetreiber sowohl sichtbare als auch verdeckte Kameras, um die Mitarbeitenden zu überwachen. Er informierte das Personal jedoch lediglich über die Installation der sichtbaren Kameras. Insgesamt 14 Personen wurden daraufhin wegen Diebstahls entlassen, woraufhin fünf ihre Entlassung mit Verweis auf die Verletzung ihrer Privatsphäre anfochten. Die Grosse Kammer des EGMR verneinte eine Verletzung von Art. 8 EMRK nach Prüfung der im Bărbulescu-Urteil genannten Voraussetzungen. Trotz der fehlenden vorgängigen Information der Mitarbeitenden über die Installation der verdeckten Kameras, akzeptierte der Gerichtshof die Argumentation der innerstaatlichen Gerichte, dass ein überwiegendes finanzielles Interesse des Supermarktbetreibers vorlag und die Überwachung der Angestellten verhältnismässig und im Einklang mit Art. 8 EMRK war.

3.2.3 Datenschutzkonvention 108

Das zentrale Instrument zum Datenschutz im Europarat ist das Übereinkommen Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom Januar 1981 (Datenschutzkonvention), welches die Schweiz 1997 ratifizierte. Die Konvention ist non-self-executing, d.h. die Mitgliedsstaaten müssen die erforderlichen Massnahmen treffen, um den im Übereinkommen festgelegten Grundsätzen Wirkung zu verleihen. Die Datenschutzkonvention beinhaltet Grundprinzipien über den Datenschutz, regelt den grenzüberschreitenden Datenverkehr und enthält Bestimmungen zur Zusammenarbeit zwischen den Mitgliedsstaaten bei der Durchführung der Konvention. Ihr Anwendungsbereich erstreckt sich auf personenbezogene, automatisiert verarbeitete Daten natürlicher Personen im öffentlichen und im privaten Sektor. Der EGMR zieht die Datenschutzkonvention regelmässig zur Auslegung von Art. 8 EMRK bei.

Um den aktuellen Herausforderungen für den Schutz der Privatsphäre in den Bereichen der Da- tenverarbeitung und des Datenverkehrs begegnen zu können, hat das Ministerkomitee des Euro- parats 2018 ein Änderungsprotokoll zur bestehenden Konvention verabschiedet. Dieses wurde bislang von elf Staaten ratifiziert und mehr als 30, darunter auch die Schweiz, haben es unter- zeichnet. Es tritt in Kraft, sobald alle Vertragsstaaten der Datenschutzkonvention das Ände- rungsprotokoll ratifiziert haben, oder am 11. Oktober 2023, sofern bis dahin mindestens 38 Ratifi- kationen vorliegen. In der Schweiz hat der Bundesrat im Dezember 2019 die Botschaft zur Ge- nehmigung des Änderungsprotokolls verabschiedet, die Bundesversammlung genehmigte den Beitritt im Juni 2020. Die Umsetzung des Änderungsprotokolls erfolgt auf Ebene des Bundes im Rahmen der Totalrevision des Datenschutzgesetzes (N-DSG, infra Ziff. 4.2.2). Eine Ratifikation ist allerdings erst möglich, wenn die im Änderungsprotokoll vorgesehenen Massnahmen im Rahmen des N-DSG in Kraft getreten sind. Das Änderungsprotokoll ist vollständig kompatibel mit dem neuen Datenschutzrecht der EU (infra Ziff. 3.4.4).

Im Vergleich zur Datenschutzkonvention legt das Änderungsprotokoll einen grösseren Fokus auf die Selbstbestimmung und das Recht des Individuums, Kontrolle über seine eigenen Daten und die damit verbundene Datenverarbeitung ausüben zu können. So beinhaltet Art. 11 Änderungs- protokoll (neu Art. 9) auch eine Aufzählung der Rechte, welche einer natürlichen Person im Zu- sammenhang mit der Verarbeitung von persönlichen Daten zustehen, u.a.:

• dass keine Entscheidung, welche sich erheblich auf eine Person auswirkt, auf Grund- lage einer automatischen Datenverarbeitung getroffen wird, ohne dass sich diese Person dazu äussern konnte (lit. a);
• dass betroffene Personen Zugang zu Informationen über die Datenverarbeitung von persönlichen Daten erhalten, einschliesslich Informationen zu Aufbewahrungsfristen und zur Sicherstellung der Transparenz der Datenverarbeitung (lit. b);
• das Recht, auf Antrag die Gründe einer personenbezogenen Datenbearbeitung zu erfahren, sofern die Ergebnisse dieser Datenverarbeitung im Zusammenhang mit dieser Person verwendet werden (lit. c);
• das Recht sich zu wehren, dass persönliche Daten verarbeitet werden; eine Weiter- verarbeitung ist in diesen Fällen nur gerechtfertigt, wenn berechtigte Gründe für die Datenverarbeitung vorliegen, welche die Interessen, Rechte oder die Grundfreiheiten der betroffenen Person überwiegen (lit. d);
• das Recht, unentgeltlich und ohne übermässige Verzögerung die Berichtigung/Lö- schung von persönlichen Daten zu beantragen, wenn die Datenverarbeitung nicht im Einklang mit den Bestimmungen dieser Konvention erfolgt (lit. e);
• das Recht auf ein Rechtsmittel gem. Art. 12 der Konvention, wenn die Rechte im Sinne dieser Konvention verletzt worden sind (lit. f);
• das Recht zur Inanspruchnahme einer Aufsichtsbehörde S.v. Art. 15 der Konven-

tion (lit. g).

Zusätzlich wurden die Begriffsdefinitionen wie auch die grundlegenden Prinzipien, welche im Rah- men der Datenverarbeitung eingehalten werden müssen, konkretisiert und ergänzt. So betont das Änderungsprotokoll insbesondere die Bedeutung der Zweckbindung, der Transparenz und des Verhältnismässigkeitsgrundsatzes in der Datenerhebung und -verarbeitung. Zudem werden die Pflichten für sämtliche Entscheidungsträger über Datenverarbeitungen («controller») sowie für die Datenverarbeiter («processor») präzisiert. Das Änderungsprotokoll trägt weiter dem Umstand Rechnung, dass es gewisse Kategorien von Daten gibt, welche aufgrund ihrer Sensibilität ein be- sonders grosses Missbrauchspotenzial aufweisen, darunter auch genetische und biometrische Da- ten (vgl. Ziff. III.4.4.5) sowie weitere höchstpersönliche Daten, welche über die Herkunft, religiöse Gesinnung, Gesundheit, etc. einer Person Aufschluss geben. Im Zusammenhang mit höchst- persönlichen Daten sind die Staaten verpflichtet, gesetzliche Vorkehrungen zu treffen, um den Missbrauch dieser Daten zu verhindern.

3.2.4 Empfehlungen des Ministerkomitees

Zusätzlich zur Datenschutzkonvention und dem Änderungsprotokoll wurden vom Ministerkomitee des Europarats diverse Empfehlungen erlassen, welche sich mit unterschiedlichen Themen zum Recht auf Privatsphäre im digitalen Zeitalter beschäftigen. Diese richten sich an die Mitglied- staaten des Europarates, sind jedoch völkerrechtlich nicht verbindlich. Gleichwohl können sie im Rahmen der nationalen Rechtssetzungs- und Gerichtspraxis eine Rolle spielen, da sie eine gemeinsame Rechtsüberzeugung der Mitgliedstaaten zum Ausdruck bringen. Für die vorliegende Untersuchung sind zwei Empfehlungen zum Gebrauch persönlicher Daten in Beschäftigungsverhältnissen wie auch eine kürzlich erlassene Empfehlung zu den menschenrechtlichen Risiken al- gorithmischer Systeme relevant.

Im Zusammenhang mit der Verwendung persönlicher Daten in Beschäftigungsverhältnissen hat das Ministerkomitee bereits 1989 eine Empfehlung erlassen, die 2015 überarbeitet wurde. Beide Empfehlungen richten sich sowohl an den öffentlichen als auch den privaten Sektor. Es wird hervorgehoben, dass der Respekt für die Menschenwürde, die Privatsphäre und der Schutz von personenbezogenen Daten im Kontext von Datenverarbeitungsprozessen für die Entwicklung der Persönlichkeit von Arbeitnehmenden zentral sind. Die Erhebung, Bearbeitung und Speicherung von Daten muss im Beschäftigungsverhältnis wie auch im Bewerbungsprozess zudem den Grundsätzen der Zweckbindung, Rechtmässigkeit, Verhältnismässigkeit, Transparenz und der vorherigen Einwilligung entsprechen. Zudem besteht ein Anspruch auf Löschung und Berichtigung von unrichtigen oder unrechtmässig erhobenen Daten. Arbeitgebende haben zudem die Pflicht, angemessene Massnahmen zum Schutz von persönlichen Daten zu ergreifen, menschenrechtli- che Risiken zu analysieren und Eingriffe in die Grund- und Menschenrechte der Mitarbeitenden zu verhindern oder zumindest zu minimieren. Die Empfehlung von 2015 befasst sich weiterführend mit spezifischen Datenverarbeitungsprozessen im Beschäftigungsverhältnis, wobei mit Blick auf die unter Ziff. III behandelten Szenarien folgende Empfehlungen relevant sind:

• Arbeitgebende sollten davon absehen, von Arbeitnehmenden oder Bewerbenden Zugang zu online, insbesondere auf sozialen Netzwerken geteilten Informationen zu verlangen;
• bei der Verarbeitung von persönlichen Daten im Zusammenhang mit Intra- und Internetaktivitäten von Arbeitnehmenden sollten präventive Lösungen wie Internet-Filter und anonymisierte Kontrollen gegenüber einer personalisierten Überwachung bevorzugt werden;
• die Überwachung der beruflichen Kommunikation ist nur in sehr engen Grenzen und die der privaten Kommunikation von Arbeitnehmenden unter keinen Umständen er- laubt;
• eine Überwachung der Aktivitäten von Mitarbeitenden ist zu vermeiden; sie ist nur bei Vorliegen von legitimen Gründen – Wirtschaftlichkeit, Gesundheit, Sicherheit, or- ganisatorische Effizienz – erlaubt und bedarf Schutzmassnahmen wie der Vorabinformation der Arbeitnehmenden/Konsultation von Arbeitnehmendenvertretungen;
• Überwachungssysteme, welche nur indirekt die Aktivitäten der Mitarbeitenden überwachen, dürfen die Grund- und Menschenrechte der Mitarbeitenden nicht verletzten; die Videoüberwachung persönlicher Bereiche ist unter keinen Umständen erlaubt;
• die Verwendung von Geräten, welche den Standort von Mitarbeitenden offenlegen, muss einem legitimen Ziel – Wirtschaftlichkeit, Gesundheit, Sicherheit, organisatori- sche Effizienz – entsprechen und sollte nicht zu einer dauerhaften Überwachung von Mitarbeitenden führen; der Einsatz solcher Systeme muss verhältnismässig sein und Mitarbeitende müssen vorgängig über deren Einsatz informiert werden;
• die Erhebung/Bearbeitung von biometrischen Daten muss legitime Interessen von Arbeitgebenden/Arbeitnehmenden/Drittparteien verfolgen und verhältnismässig sein; es dürfen keine mildere Mittel zur Verfügung stehen, und die Mitarbeitenden müssen vorab über die Installation/den Einsatz der Systeme informiert werden.

Im April 2020 hat das Ministerkomitee des Europarates zudem eine Empfehlung und dazugehörige Richtlinien über die menschenrechtlichen Auswirkungen von algorithmischen Systemen erlassen (zum Begriff Algorithmus, supra Ziff. 2.2.1). In dieser Empfehlung werden Staaten und private Akteure zu einem menschenrechtskonformen Umgang mit algorithmischen Systemen aufgefor- dert. Der Anhang zur Empfehlung enthält Leitlinien für den Umgang mit den menschenrechtli- chen Auswirkungen algorithmischer Systeme (Guidelines on addressing the human rights impacts of algorithmic systems). Diese halten in einem ersten allgemeinen Teil (Abschnitt A) zunächst fest, dass algorithmische Systeme nicht nur einen positiven Nutzen haben können, sondern auch men- schenrechtliche Herausforderungen mit sich bringen, u.a. für das Recht auf Privatsphäre und den Datenschutz. Gleichzeitig wird hervorgehoben, dass die grosse Komplexität algorithmischer (Entscheidungs-)Prozesse es erschwert, negative menschenrechtliche Auswirkungen einzelnen Akteuren zuzuordnen. Der zweite Teil (Abschnitt B) befasst sich mit den menschenrechtlichen Schutzpflichten von Staaten. Mit Blick auf das Berufsleben sollen Staaten Anreize schaffen, um technologische Entwicklungen in Einklang mit den international anerkannten Arbeits- und Beschäf- tigungsstandards zu bringen. Für die vorliegende Untersuchung interessant sind vor allem jene Prinzipien, welche die Verantwortlichkeit des privaten Sektors betreffen (Abschnitt C). Diese sehen

u.a. eine menschenrechtliche Sorgfaltsprüfungspflicht für private Akteure vor, welche in der Kon- zeption, der Entwicklung, dem Verkauf, der Bereitstellung, der Implementierung oder der Wartung von algorithmischen Systemen tätig sind. Weitere relevante Prinzipien betreffen die Informa- tions- und Zustimmungspflicht von betroffenen Individuen, das Einsetzen von datenschutz- freundlichen Voreinstellungen (privacy by default), Sicherheitsanforderungen, Transparenz- bestimmungen, das Bereitstellen von Beschwerde- und Abhilfemechanismen, die Durchführung von menschenrechtlichen Folgenabschätzungen (human rights impact assessment) und zu ergreifende Massnahmen, wenn menschenrechtliche Risiken festgestellt wurden.

Es bleibt darauf hinzuweisen, dass das Ministerkomitee des Europarates im Herbst 2019 zudem einen ad-hoc Ausschuss für künstliche Intelligenz (CAHAI) eingesetzt hat, welcher die Grund- lage für die Schaffung eines Rechtsrahmens im Bereich KI abklären soll – zum Zeitpunkt des Verfassens der Studie (April 2021) ist eine Multistakeholder-Konsultation hierzu im Gange.

3.2.5 Fazit

Der EGMR anerkennt, dass Art. 8 EMRK auch in Arbeitsverhältnissen anwendbar ist und daten- schutzrechtliche Sachverhalte sowie die elektronische Korrespondenz einer Person einschliesst. Staaten sind deshalb verpflichtet, den Schutz der Privatsphäre von Arbeitnehmenden im Beschäf- tigungsverhältnis sicherzustellen und dafür zu sorgen, dass mögliche Eingriffe im Rahmen von innerstaatlichen Verfahren überprüft werden können. Einschränkungen sind nur innerhalb der von der EMRK festgelegten Schranken möglich und müssen insbesondere verhältnismässig sein.

Des Weiteren sind in einem Digitalisierungskontext die Datenschutzkonvention des Europarates von 1981 sowie das Änderungsprotokoll von 2018 von Bedeutung, welche die betroffenen Perso- nen und ihre Verfügungshoheit über die eigenen Daten in den Mittelpunkt von personenbezogenen Datenverarbeitungsvorgängen stellt.

Während sich die Datenschutzkonvention/das Änderungsprotokoll überwiegend an Staaten rich- ten, hat sich das Ministerkomitee des Europarats in seinen Empfehlungen zu Arbeitsverhältnis- sen/algorithmischen Systemen klar – und unter Verweis auf die UNGP – dahingehend geäus- sert, dass auch privatrechtlichen Arbeitgebenden bei (algorithmischen) Datenbearbeitungen eine menschenrechtliche Verantwortung zukommt. Auch wenn diese Empfehlungen nicht verbindlich sind, zeigen sie, dass die Rolle von privaten Akteuren in zukünftigen (regulatorischen) Initiativen des Europarates im Kontext der Digitalisierung zunehmend im Vordergrund stehen dürfte.

3.3  Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD)

3.3.1 Allgemeines

Im Kontext der verantwortungsvollen Unternehmensführung (responsible business conduct – Ziff. 3.3.2) hat die OECD die digitale Transformation als eines ihrer Schwerpunktthemen identifiziert. Dabei verweist sie sowohl auf das mit der Digitalisierung verbundene Potenzial, eine verantwor- tungsvolle Unternehmensführung zu fördern, als auch auf die mit neuen digitalen Technologien zusammenhängenden menschenrechtlichen Risiken – u.a. auch für den Schutz der Pri- vatsphäre.

Im Bereich des Datenschutzes hat die OECD zudem die Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (Privacy Guidelines, infra Ziff. 3.3.3) erlassen. Im Gegensatz zum Europarat, dessen Bemühungen zum Recht auf Privatsphäre darauf ausgerichtet sind, den Schutz des Individuums bei automatisierten Datenverarbeitungen zu gewährleisten, sieht die OECD die Notwendigkeit internationaler Regeln vorrangig in der Harmonisierung von nationa- len Datenschutzgesetzgebungen, um unter Wahrung der Menschenrechte Handelshemmnisse zu verhindern und den freien globalen Datenaustausch und Informationsfluss zu gewährleisten.

3.3.2 OECD-Leitsätze für multinationale Unternehmen Die Leitsätze für multinationale Unternahmen (OECD-Leitsätze) sind das zentrale Instrument zur Förderung von verantwortungsvoller Unternehmensführung der OECD. Sie sind Bestandteil der OECD-Erklärung über internationale Investitionen und multinationale Unternehmen, welche vom OECD-Ministerrat 1976 verabschiedet wurde. Bei den OECD-Leitsätzen handelt es sich um ge- meinsame Empfehlungen der Regierungen der Teilnehmerstaaten an multinationale Unterneh- men. Sie sind in Teilen für die Regierungen verbindlich; für Unternehmen werden sie erst ver- pflichtend, wenn sie im nationalen oder internationalen Recht umgesetzt worden sind. Sie enthalten Grundsätze und Massstäbe für gute unternehmerische Praktiken im Einklang mit dem geltenden Recht der Gastländer und international anerkannten Standards. Seit 2011 beinhalten die Leit- sätze auch ein eigenes Menschenrechtskapitel.

Die Teilnehmerstaaten trifft die Pflicht, die auf ihrem Staatsgebiet tätigen oder von dort aus operie- renden Unternehmen dazu anzuhalten, die OECD-Leitsätze und damit auch die Menschenrechte überall dort zu beachten, wo sie ihre Geschäftstätigkeit ausüben. Wie die Teilnehmerstaaten ihrer Förderungs- bzw. Mainstreaming-Pflicht nachkommen, steht ihnen weitgehend frei, z.B. durch entsprechende Politiken, gesetzgeberische Massnahmen oder andere Durchsetzungsmassnah- men. Gestützt auf einen Beschluss des OECD-Ministerrates sind die Teilnehmerstaaten aber in jedem Fall rechtlich verpflichtet, sog. Nationale Kontaktpunkte (NKP) einzurichten. NKPs fungie- ren als nichtgerichtliche Vermittlungs- und Schlichtungsplattformen, die Eingaben wegen potenzi- eller Verstösse gegen die OECD-Leitsätze durch Unternehmen entgegennehmen und bei Konflik- ten vermitteln.

Im 2011 eingefügten Kapitel IV über Menschenrechte, das massgeblich von den UN-Leitprinzipien zu Wirtschaft und Menschenrechten geprägt ist (supra Ziff. 3.1.1), werden Unternehmen dazu an- gehalten unabhängig von ihrer Grösse, ihrem Sektor, ihrem operativen Umfeld und ihren Eigen- tumsverhältnissen, die Menschenrechte zu achten und im Kontext ihrer Aktivitäten negativen Aus- wirkungen auf die Menschenrechte vorzubeugen. Unternehmen sollten deshalb Verfahren ein- richten, um tatsächliche oder potenzielle Menschenrechtsbeeinträchtigungen zu ermitteln. Die aus dieser Sorgfaltsprüfung resultierenden Erkenntnisse sind in der Folge zu berücksichtigen und Mas- snahmen zu ergreifen, um Verstösse gegen die Menschenrechte zu verhindern oder zumindest zu mildern. Unternehmen haben zudem Rechenschaft darüber abzulegen, wie sie negativen men- schenrechtlichen Auswirkungen, die sie selbst verursachen oder im Rahmen ihrer Geschäftsbe- ziehungen dazu beitragen, begegnen wollen.

Die Gesamtheit der international anerkannten Menschenrechte dient als Massstab für die unternehmerische Verantwortung, die Menschenrechte zu achten. Diese umfassen die AEMR sowie die UNO-Pakte I und II (supra Ziff. 3.1). Ferner wird in den OECD-Leitsätzen auf die ILO- Erklärung von 1998 über grundlegende Prinzipien und Rechte bei der Arbeit verwiesen. Somit fällt auch der menschenrechtliche Schutz der Privatsphäre am Arbeitsplatz in deren Geltungsbereich. Die OECD-Leitsätze sind überdies technologieneutral formuliert und sowohl auf analoge, wie auch digitale Sachverhalte anwendbar. Dies wurde auch in diversen Verfahren vor NKP’s bestätigt, welche sich mit der Bereitstellung und Bearbeitung von personenbezogenen Daten durch Unternehmen beschäftigen.

3.3.3 Privacy Guidelines

Der Fortschritt der Informations- und Kommunikationstechnologien und die damit verbundenen Ge- fahren für die Menschenrechte bewog einige Staaten – einschliesslich der Schweiz – bereits in den 1970er Jahren zur Ausarbeitung von nationalen Datenschutzgesetzen (infra Ziff. 4.2). Diese na- tionalen Entwicklungen veranlassten auch die OECD, sich mit der Thematik auseinanderzusetzen und im Jahr 1980 die Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (Privacy-Guidelines) zu verabschieden.

Den Privacy-Guidelines kommt Empfehlungscharakter zu, d.h. sie sind im Gegensatz zu den Da- tenschutzkonventionen des Europarates (supra Ziff. 3.2.3) rechtlich nicht verbindlich. Dennoch ist es der OECD damit gelungen, die Entwicklung des Datenschutzrechts auf nationaler und interna- tionaler Ebene mitzugestalten. U.a. fanden die Privacy-Guidelines Erwähnung in beiden Bot- schaften des Bundesrates zu den Datenschutzgesetzen und auch diverse wirtschaftlich wichtige nicht-europäische Staaten (u.a. die USA, Kanada, Japan und Australien) haben diesen Richtlinien zugestimmt.

Die Privacy-Guidelines wurden 2013 überarbeitet. Trotz der erheblichen technischen Verände- rungen im Bereich der Informations- und Kommunikationstechnologien entschied sich die feder- führende Expertengruppe nicht für eine Totalrevision, was verschiedentlich zu Kritik führte. In beiden Versionen gelten als personenbezogene Daten alle Informationen, die sich auf eine be- stimmte oder bestimmbare natürliche Person beziehen. Der Anwendungsbereich erstreckt sich auf alle Daten aus dem öffentlichen und privaten Sektor, die aufgrund der Art ihrer Verarbeitung, ihrer Natur oder den Umständen, unter welchen sie genutzt werden, eine Gefahr für die Pri- vatsphäre und andere individuellen Freiheiten bedeuten. Auch das Herzstück von 1980, die acht datenschutzrechtlichen Grundprinzipien – begrenzte und rechtmässige Datenerhebung, Daten- qualität, Zweckbestimmung, Nutzungsbegrenzung, Datensicherheit, Transparenz, Mitspracherecht der Betroffenen und Verantwortlichkeit – blieben unverändert.

Eine für die vorliegende Untersuchung relevante Neuerung in den Privacy-Guidelines 2013 besteht darin, dass die Pflichten des Datenhauptverantwortlichen konkretisiert wurden. Diese sollen neu sog. privacy management programmes einrichten. Diese beinhalten u.a. die Durchführung von Datenschutz-Folgenabschätzungen (privacy impact assessments), d.h. Datenhauptverantwortli- che müssen bei der Einführung neuer Programme/Dienstleistungen überprüfen, welche Risiken für das Recht auf Privatsphäre bestehen.

3.3.4 Weitere Entwicklungen In der jüngeren Vergangenheit hat die OECD weitere Initiativen lanciert, welche sich mit der digitalen Transformation und der Entwicklung neuer Technologien in unterschiedlichen Lebensbereichen beschäftigen, u.a. das Going Digital Projekt. Ziel dieses Projektes ist es, einen kohärenten und gesamtheitlichen Ansatz zu entwickeln, um mithilfe der digitalen Transformation ein integratives und nachhaltiges Wachstum zu fördern und sicherzustellen, dass den damit verbundenen Gefahren erfolgreich begegnet werden kann.

Begleitend zu diesem Projekt wurde 2019 eine Empfehlung über Künstliche Intelligenz vom OECD- Ministerrat verabschiedet. Diese formuliert Prinzipien zum verantwortungsvollen Umgang aller mit KI befassten Akteure und verlangt

• die Achtung von grundlegenden Menschenrechten – a. der Menschenwürde, Selbstbestimmung, Schutz Privatsphäre und des Datenschutzes;
• die Ergreifung von angemessenen Schutzmassnahmen (z.B. der Einbezug mensch- licher Entscheidungen);
• einen transparenten Umgang mit KI;
• die Implementierung von systematischen Risiko-Analysen;
• die Sicherstellung, dass alle mit KI befassten Akteure für die Einhaltung dieser Prin- zipien zur Verantwortung gezogen werden können.

Obwohl diese Empfehlung rechtlich nicht verbindlich ist, zeigt sich ihre politische Bedeutung darin, dass die Prinzipien in der von den G 20-Wirtschafts- und Handelsministern im Juni 2019 verab- schiedeten Ministererklärung übernommen wurden.

3.3.5 Fazit

Die OECD schuf 1980 mit den Privacy-Guidelines das erste (nicht verbindliche) internationale Do- kument zum Datenschutz und hat sich seither als wichtiger Akteur im Bereich der Digitalisierung und den damit verbundenen menschenrechtlichen Herausforderungen im Rahmen der verantwor- tungsvollen Unternehmensführung etabliert.

Insbesondere das in Anlehnung an die UNGP 2011 neu eingefügte Kapitel IV der OECD-Leitsätze zu den Menschenrechten und die damit verbundene Konkretisierung der Sorgfaltspflicht ist hin- sichtlich der Verantwortung von Unternehmen in einem digitalen Kontext relevant. In diesem Zu- sammenhang sind auch die Aktivitäten der NKPs hervorzuheben, welche sich im Rahmen des von den Leitsätzen geschaffenen Beschwerdemechanismus verschiedentlich mit Fragen im Schnittbe- reich Digitalisierung und Privatsphäre befasst haben.

Durch ihre jüngsten, langfristig angelegten Initiativen im Bereich Digitalisierung wird die OECD auch zukünftig eine wichtige Rolle spielen, wenn es darum geht, länderübergreifende Standards zu neuen Technologien zu definieren.

3.4  Europäische Union (EU)

3.4.1 Allgemeines

Das Recht auf Privatsphäre und Datenschutz findet sich in der EU in einer Vielzahl von Regulierungen. Für den vorliegenden Kontext sind zunächst Art. 7 und Art. 8 der Charta der Grundrechte der Europäischen Union (Charta der Grundrechte; GRC) hervorzuheben (infra Ziff. 3.4.2). Sie schützen das Recht jeder Person auf Achtung ihres Privatlebens, ihrer Kommunikation und ihrer personenbezogenen Daten.

Die wichtigsten datenschutzrechtlichen Regelungen im europäischen Sekundärrecht sind in der Datenschutz-Grundverordnung (DSGVO) sowie in der Datenschutzrichtlinie für elektronische Kommunikation zu finden. Das Datenschutz-Regelwerk der EU basiert inhaltlich grundsätzlich auf denselben Prinzipien wie die Datenschutzkonventionen des Europarats und die Privacy-Gui- delines der OECD. Durch ihren teils weit gefassten räumlichen Anwendungsbereich haben diese Erlasse einen erheblichen Einfluss auf Drittstaaten und damit auch auf die Schweiz (infra. Ziff. 4.2.2). Aufgrund dessen Umfangs und seiner Anwendbarkeit in unterschiedlichen Rechtsbereichen ist es allerdings nicht möglich, das Datenschutzrecht der EU an dieser Stelle umfassend abzubil- den. Deshalb beschränkt sich die vorliegende Untersuchung auf jene Bestimmungen, welche für den Schutz der Privatsphäre am Arbeitsplatz im digitalen Zeitalter von Bedeutung sind und be- leuchtet die Rechtsprechung des Europäischen Gerichtshofes (EuGH) ausschliesslich in diesem Kontext (infra Ziff. 3.4.3.).

Für die Wahrung der Privatsphäre von Arbeitnehmenden im Beschäftigungsverhältnis ist überdies Art. 31 GRC zu gerechten und angemessenen Arbeitsbedingungen relevant (infra Ziff. 3.4.4). Ne- ben den wichtigsten Bestimmungen im europäischen Primär- und Sekundärrecht wird abschlies- send auf die im Auftrag der EU-Kommission erarbeiteten Ethik-Leitlinien für eine Vertrauenswür- dige KI eingegangen (infra Ziff. 3.4.5).

3.4.2 Art. 7 und Art. 8 Charta der Grundrechte (GRC)

Nach Art. 7 GRC hat «Jede Person […] das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation». Diese Vorschrift ist Art. 8 EMRK (supra Ziff. 3.2.2) nachgebildet und soll in ihrem Schutzbereich auch nicht über diese Bestimmung hinausgehen, sondern dieselbe Bedeutung und Tragweite haben. Sie unterscheidet sich von Art. 8 EMRK le- diglich dadurch, dass der traditionellere Begriff der «Korrespondenz» durch den weitergehenden und zeitgemässeren Begriff der «Kommunikation» ersetzt wurde. Mit Blick auf die Entstehungs- geschichte von Art. 7 GRC ist erwähnenswert, dass bei den Beratungen zur Grundrechtscharta – unter explizitem Verweis auf Niemietz gegen Deutschland – diskutiert wurde, neben dem Begriff der «Wohnung» auch «Betriebs- und Geschäftsräume» in die Bestimmung aufzunehmen. Auch wenn dieser Vorschlag letztendlich nicht angenommen wurde, wird dadurch die bisherige Recht- sprechung des EGMR bestätigt, dass Sachverhalte des Privatlebens am Arbeitsplatz unter den Schutzbereich des Rechts auf Privatsphäre fallen. Auch der EuGH hat diese Auslegung in seiner Rechtsprechung zu Art. 7 GRC wiederholt bestätigt.

Im Unterschied zur EMRK wurde der Schutz von personenbezogenen Daten in der Charta der Grundrechte nicht unter das Recht auf Privatsphäre (Art. 7 GRC) subsumiert, sondern in einer se- paraten Bestimmung festgehalten (Art. 8 GRC). Art. 8 GRC fungiert als lex specialis zu Art. 7 GRC. Trotz der Verankerung als eigenes Grundrecht geht der Schutz von personenbezo- genen Daten nach Art. 8 GRC nicht über Art. 8 EMRK hinaus; die separate Auflistung unterstreicht jedoch den hohen Stellenwert des Datenschutzes innerhalb der EU. Nach Art. 8 Abs. 1 GRC sind personenbezogene Daten alle auf eine (bestimmte oder bestimmbare) Person bezogenen Informationen. Diese dürfen nach Abs. 2 nur «nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legiti- men Grundlage verarbeitet werden». Der Begriff «Verarbeitung» umfasst die gesamte Verwendung solcher Daten, beginnend mit deren Erhebung. Die Bestimmung verankert weiter ein Recht der betroffenen Person, «Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken».

Obwohl der Schutz der Privatsphäre aus menschenrechtlicher Sicht primär Aufgabe des Staates ist, hatte sich der EuGH in den letzten Jahren vermehrt mit Fällen auseinanderzusetzen, welche die Datenverarbeitung von grossen (privaten) Unternehmen und die kommerzielle Nutzung von Daten durch diese Unternehmen für den Eigen- und Fremdgebrauch betrafen. Mit seiner Recht- sprechung hat der Gerichtshof Standards gesetzt, welche auch im Rahmen der DSGVO (infra Ziff. 3.4.3) kodifiziert wurden, u.a. hinsichtlich des Rechts auf Vergessen, der Vorratsdatenspei- cherung, sowie den Schutzvorkehrungen im Rahmen des grenzüberschreitenden Datenver- kehrs. Zudem hat er wiederholt bestätigt, dass Staaten die Pflicht haben, Private vor Verletzun- gen der Privatsphäre und des Datenschutzes durch Unternehmen zu schützen und dass das da- tenschutzrechtliche Regelwerk der EU

«nicht nur einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Grundrechts auf Achtung der Privatsphäre, bei der Verarbeitung personenbezogener Daten gewährleiste[t], sondern auch ein hohes Niveau des Schutzes dieser Grundrechte und Grundfreiheiten.»

Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten haben sich deshalb auf das absolut Notwendige zu beschränken. Ob die betreffenden Informationen über das Privatleben sensiblen Charakter haben oder ob die Betroffenen durch den Eingriff Nach- teile erlitten haben, ist für die Feststellung, ob ein Eingriff in das Recht auf Privatsphäre vorliegt, nicht verlangt.

3.4.3 Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) stellt seit dem 25. Mai 2018 das zentrale Regel- werk für den Schutz von personenbezogenen Daten in Europa dar. Sie ersetzt die frühere Daten- schutz-Richtlinie 95/46/EG (einschliesslich der sie ergänzenden Richtlinien), ist für die Mitglied- staaten der EU unmittelbar anwendbar und hat das Ziel, «die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten» zu gewährleisten.

Durch ihren weitgefassten räumlichen Geltungsbereich ist die DSGVO auch für die Schweiz rele- vant. Art. 3 (territorialer Anwendungsbereich) legt fest, dass die DSGVO gilt wenn: (1) der Verant- wortliche oder Auftragsverarbeiter seine Niederlassung in der EU hat, unabhängig davon, ob die Datenverarbeitung in der Union stattfindet; (2) sich die Niederlassung des Verantwortlichen aus- serhalb der EU befindet, die Datenverarbeitung jedoch (a) Waren oder Dienstleistungen betrifft, welche für die EU bestimmt sind oder (b) der Beobachtung des Verhaltens einer betroffenen Per- son dient, sofern das Verhalten in der EU erfolgt. Für Schweizer Unternehmen, die auch im EU- Ausland tätig sind, ist somit insbesondere Abs. 2 relevant, etwa bei Datenbearbeitungen im Zu- sammenhang mit Cloud-basierten Softwarelösung, durch externe IT-Dienstleister oder mithilfe welcher Internetaktivitäten von Individuen nachvollzogen werden (z.B. Tracking durch Cookies, Tags).

Ähnlich wie die Datenschutzbestimmungen des Europarates und der OECD muss die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO die folgenden Voraussetzungen erfüllen: Recht- mässigkeit, Verarbeitung nach Treu und Glauben, Transparenz (alle lit. a); Zweckbindung (lit. b); Datenminimierung (lit. c); Datenrichtigkeit (lit. d); Speicherbegrenzung (lit. e); Integrität und Ver- traulichkeit (lit. f.) sowie Rechenschaftspflicht (Abs. 2). Weiterführende Bestimmungen zur Wahr- nehmung der Rechte von betroffenen Personen beziehen sich auf den Grundsatz der Transparenz (Art. 12); das Recht auf Information (Art. 13/14); das Auskunftsrecht (Art. 15); das Recht auf Be- richtigung unrichtiger Daten (Art. 16); das Recht auf Löschung (respektive Vergessenwerden – Art. 17); das Recht auf Einschränkung der Verarbeitung (Art. 18); das Recht auf Mitteilung (Art. 19); das Recht auf Datenübertragbarkeit (Art. 20); das Widerspruchsrecht (Art. 21); das Recht auf Ver- zicht auf eine automatisierte Entscheidung im Einzelfall (Art. 22) und das Recht auf Benachrichti- gung über Datenverletzungen (Art. 34).

Relevant ist auch die in Art. 25 DSGVO eingeführte Verpflichtung, datenschutzfreundliche Tech- nologien (privacy by design) und Grundeinstellungen (privacy by default) zu verwenden. Diese beiden Konzepte sollen dazu beitragen, digitale Technologien bereits vor Anwendung im Einklang mit datenschutzrechtlichen Vorgaben auszugestalten und somit ex ante das Risiko von Persön- lichkeitsverletzungen zu verringern. Mögliche Anwendungen können eine automatisierte Daten- minimierung oder präventive Vorkehrungen zum Schutz von personenbezogenen Daten von Ar- beitnehmenden – wie z.B. eine Anonymisierung oder Pseudonymisierung – vorsehen. Diese Vor- schrift ist jedoch «nur» eine Verfahrensvorschrift und stellt keine Voraussetzung für die Rechtmäs- sigkeit eines Datenverarbeitungsvorganges i.S.v. Art. 6 DSGVO dar.

Art. 88 DSGVO adressiert spezifisch den Beschäftigungskontext. Es handelt sich um eine sog. Öffnungsklausel, welche Mitgliedstaaten erlaubt, «spezifischere Vorschriften zur Gewährleistung

des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Be- schäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung [und] der Er- füllung des Arbeitsvertrags» zu erlassen. Diese Vorschriften können «Massnahmen zur Wah- rung […] der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten […] und die Überwachungssysteme am Arbeitsplatz» umfassen. Erwägungsgrund 155 nennt exemplarisch «Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Be- schäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dür- fen, über die Verarbeitung dieser Daten für Zwecke der Einstellung [und] der Erfüllung des Arbeits- vertrags». Aus der offenen Formulierung und den allgemeinen Verweisen auf die «Erfüllung des Arbeitsvertrages» und den Prozess der «Einstellung» kann geschlossen werden, dass der sachli- che Anwendungsbereich von Art. 88 DSGVO breit gesteckt ist und sowohl die Entstehung als auch die Erfüllung des Arbeitsvertrages umfasst. Der persönliche Anwendungsbereich erstreckt sich da- mit nicht nur auf vertraglich bereits gebundene Arbeitnehmende, sondern auch auf Bewerbende, welche noch in keinem Vertragsverhältnis stehen. Sofern Mitgliedstaaten basierend auf Art. 88 DSGVO sektorenspezifische Vorschriften für den Beschäftigungskontext erstellen, sind diese weitergehenden Regelungen auch für Schweizer Unternehmen mit Aktivitäten in diesen Ländern zu beachten.

Mit Blick auf die Privatsphäre am Arbeitsplatz weiter relevant sind die Bestimmungen im Zusam- menhang mit dem sog. Profiling, einer automatisierten Verarbeitung personenbezogener Daten um bestimmte persönliche Aspekte, wie z.B. persönliche Vorlieben, Gesundheit, Interessen, Aufent- haltsort, wirtschaftliche Lage oder Arbeitsleitung, einer Person zu bewerten. In einem Beschäf- tigungsverhältnis besteht das Risiko, dass personenbezogene Daten, welche nicht die Eignung der Arbeitnehmenden für ein Arbeitsverhältnis betreffen oder für die Durchführung des Arbeitsvertra- ges notwendig sind, im Rahmen einer automatisierten Verarbeitung als Entscheidungsgrundlage zum Nachteil von Arbeitnehmenden herangezogen werden (insbesondere Ziff. III.2 – III.5). Im Zusammenhang mit einem Profiling ist deshalb immer eine Datenschutz-Folgenabschätzung (data protection impact assessment/privacy impact assessment) erforderlich. Eine solche verpflichtet Ar- beitgebende bei Bestehen von hohen Risiken für die Rechte/Freiheiten von Arbeitnehmenden im Vorfeld der Datenverarbeitung eine Abschätzung der datenschutzrechtlichen Folgen vorzuneh- men.

Die Artikel-29-Datenschutzgruppe, die Vorläuferin des europäischen Datenschutzausschusses, hat sich in einem Bericht ebenfalls eingehend mit der Verarbeitung von personenbezogenen Daten im Arbeitsverhältnis beschäftigt. Unter Einbezug der DSGVO hat sie u.a. die folgenden für die vorliegende Untersuchung relevanten Regeln formuliert:

• «Arbeitgeber sollten sich stets bewusst sein, dass unabhängig von der eingesetzten Technologie elementare Datenschutzgrundsätze einzuhalten sind.
• Für den Inhalt der elektronischen Kommunikation aus Geschäftsräumen gilt derselbe Schutz grundlegender Rechte wie für die analoge Kommunikation.
• Es ist überaus unwahrscheinlich, dass die Einwilligung der Beschäftigten eine Rechtsgrundlage für die Datenverarbeitung am Arbeitsplatz darstellt, es sei denn die Beschäftigten können die Einwilligung ohne nachteilige Folgen verweigern.
• In einigen Fällen können die Erfüllung eines Vertrags und berechtigte Interessen als Rechtsgrundlage herangezogen werden, sofern die Verarbeitung für einen rechtmä- ßigen Zweck unbedingt erforderlich ist und den Grundsätzen der Verhältnismäßigkeit und der Subsidiarität entspricht.
• Die Beschäftigten sollten wirksam über die zu erfolgende Überwachung informiert werden.»

3.4.4 Art. 31 Charta der Grundrechte (GRC)

Im Zusammenhang mit der Privatsphäre am Arbeitsplatz ist überdies Art. 31 GRC («gerechte und angemessene Arbeitsbedingungen») von Bedeutung. Art. 31 GRC verankert den Persönlichkeits- schutz am Arbeitsplatz im Primärrecht. In dessen «Mittelpunkt steht die physische und psychi- sche Integrität des Arbeitnehmers». Art. 31 GRC bezieht sich vorrangig auf die positiven Ver- pflichtungen des Staates im Bereich des Arbeitsschutzrechtes, er hat jedoch auch eine abwehr- rechtliche Funktion im Kontext von öffentlich-rechtlichen Arbeitsverhältnissen.

Art. 31 Abs. 1 GRC steht in engem Zusammenhang mit der Arbeitsschutz-Rahmenrichtlinie, welche analog zu den arbeitsrechtlichen Grundlagen in der Schweiz verlangt, dass Arbeitneh- mende bei der Planung und Einführung neuer Technologien angehört und informiert werden und eine Mitwirkungsmöglichkeit haben, wenn es um Massnahmen zur Beseitigung von gesundheitli- chen Risiken geht. Abs. 2 orientiert sich an der sog. Arbeitszeitrichtlinie.

Die arbeitsschutzrechtlichen Bestimmungen von Art. 31 GRC können im Beschäftigungskontext für die Ausübung des Rechts auf Privatsphäre relevant sein, wie nachfolgend im Zusammenhang mit den gesundheitlichen Folgen von Überwachungssystemen (Ziff. III.4.4.3) und im Kontext der (zeitlichen) Trennung zwischen Privat- und Berufsleben (Ziff. III.6.4.3) aufgezeigt wird.

3.4.5 Ethik-Leitlinien für eine Vertrauenswürdige KI

Mit Blick auf das Potenzial, die Risiken und die Herausforderungen der Künstlichen Intelligenz (KI, supra Ziff. 2.2.5) hat die Europäische Kommission 2018 eine hochrangige Expertengruppe zu KI (AI-HLEG) ins Leben gerufen, welche Ethik-Leitlinien für eine vertrauenswürdige KI formuliert hat. Diese adressieren ethische und rechtliche Fragen zu KI und zeigen auf, wie eine vertrauenswürdige und menschenzentrierte KI umgesetzt werden kann. Sie richten sich primär an Entwickler und Betreiber von KI-Systemen. Die Leitlinien sind nicht verbindlich und begründen keine neuen rechtlichen Verpflichtungen. Sie entsprechen weitgehend den Empfehlungen der OECD-Expertengruppe zu KI (supra Ziff. 3.3.4).

Nach den Leitlinien soll KI grundsätzlich (a) rechtmässig, (b) ethisch und (c) robust sein. Für die vorliegende Untersuchung relevant ist insbesondere das Kriterium der Rechtmässigkeit, welches im Umgang mit KI die Einhaltung der international und in der EU garantierten Grund- und Menschenrechte voraussetzt. Genannt sind u.a. die Achtung der Menschenwürde, die Freiheit des Einzelnen, einschliesslich des Rechts auf Privatsphäre, sowie Gleichheit und Nichtdiskriminierung. Im Rahmen der Verwirklichung von KI soll sichergestellt werden, dass die menschliche Autonomie bei KI-Systemen im Zentrum verbleibt, eine grundrechtliche Risiko- Folgenabschätzung erfolgt, der Schutz der Privatsphäre und der Datenschutz in allen Phasen des Lebenszyklus eines KI-Systems gewährleistet ist und die Grundsätze der Transparenz, Fairness und Rechenschaftspflicht geachtet werden.

Die in diesen Leitlinien aufgelisteten (rechtlichen) Kriterien zur Nutzung von KI sind nicht neu, son- dern existieren bereits in unterschiedlichen Rechtsgrundlagen auf nationaler, europäischer und in- ternationaler Ebene, u.a. im Bereich der Grund- und Menschenrechte (Recht auf Privatsphäre, Nichtdiskriminierung) sowie in spezialgesetzlichen Erlassen (Datenschutz, Produktehaftpflicht, Verbraucherschutz, Gesundheitsschutz, Arbeitssicherheit usw.). Die Leitlinien sind in ihren grundmenschenrechtlichen Bezügen zwar sehr allgemein gehalten könnten jedoch einen ersten sinnvollen «Schritt hin zu einem EU-einheitlichen Konzept «ethisch vertretbarer» KI» darstellen.

Ein weiterer Schritt in diese Richtung erfolgte im April 2021 mit der Verabschiedung eines Verord- nungsvorschlags der EU-Kommission zu KI zuhanden des EU-Parlaments. Mit Blick auf die vor- liegende Untersuchung ist relevant, dass die Verwendung von KI in Bewerbungsverfahren darin ebenfalls als eine Anwendung mit hohem Risiko für die Grundrechte eingestuft wird, welche erhöh- ten Anforderungen genügen muss.

3.4.6 Fazit

Das umfassende Datenschutzregelwerk der EU bestätigt, dass das Recht auf Privatsphäre im di- gitalen Zeitalter vor Verletzungen aufgrund privatwirtschaftlicher Aktivitäten schützen soll. Insbe- sondere ist es durch die DSGVO gelungen, aktuelle technologische Entwicklungen mit innovativen, von Unternehmen umzusetzenden Ansätzen (privacy by design, privacy by default, Datenschutz- Folgenabschätzung, etc.) rechtlich zu erfassen. Aus grundrechtlicher Sicht ist erwähnenswert, dass die DSGVO explizit alle Grundrechte und Grundfreiheiten und nicht nur die Persönlichkeit der betroffenen Personen schützt. Für die vorliegende Untersuchung relevant ist zudem der direkte Einbezug des Beschäftigungskontexts in Art. 88 DSGVO.

Der progressive grundrechtliche Ansatz der EU im Bereich des Datenschutzes wird durch die se- parate Nennung des «Schutzes von personenbezogenen Daten» in Art. 8 GRC und die Rechtspre- chung des EuGHs in diesem Bereich bestätigt. Dieser hat dazu beigetragen, den Schutz einzelner Personen gegenüber grossen privaten Unternehmen (Google, Facebook), welche riesige Mengen an personenbezogenen Daten verarbeiten, zu stärken und einen hohen datenschutzrechtlichen Standard zu etablieren.

Kombiniert mit der arbeitsschutzrechtlichen Bestimmung von Art. 31 GRC und weiteren Initiativen im Bereich der Digitalisierung wie etwa zu KI nimmt die EU weltweit eine führende Rolle ein bei der Setzung eines globalen Standards für einen grund- und menschenrechtsbasierten Ansatz im digi- talen Zeitalter, welcher auch auf Beschäftigungsverhältnisse Anwendung findet.

Zur einfacheren Lesbarkeit wurden die Quellenhinweise und Fussnoten entfernt.

https://creativecommons.org/licenses/by-sa/4.0/deed.de

http://dx.doi.org/10.48350/163074

SCHWEIZERISCHES  KOMPETENZZENTRUM  FÜR  MENSCHENRECHTE (SKMR), Digitalisierung und Privatsphäre im Arbeitsverhältnis. Rechtliche Grundlagen und aktuelle Problemfelder, verfasst von Kaufmann Christine/ Schuerch Res, Bern 2021