Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Digitalisierung und Privatsphäre im Arbeitsverhältnis Rechtliche Grundlagen und aktuelle Problemfelder – Teil 3

09/2022

1.           Szenario 3: Überwachungs- und Kontrollsysteme am Arbeitsplatz

1.1.         Sachverhalt

Die vielseitige Verwendung von Algorithmen, Big Data Analysen und dem IoT im Rahmen der digitalen Überwachung ermöglicht Arbeitgebenden eine umfassende und systematische Kontrolle von Angestellten. Als Überwachungs- und Kontrollsysteme gelten «alle technischen Systeme (optisch, akustisch, elektronisch, etc.) […] welche einzelne oder mehrere Tätigkeiten oder Verhaltensweisen von Arbeitnehmerinnen und Arbeitnehmern erfass[en] […] können».

Arbeitgebende wenden solche Technologien an, um missbräuchliches Verhalten von Arbeitnehmenden aufzudecken, betriebliche Prozesse zu optimieren oder die Sicherheit von Arbeitgebenden und/oder Arbeitnehmenden zu gewährleisten.

Aufgrund der grossen Vielfalt an digitalen Überwachungsmöglichkeiten am Arbeitsplatz werden in diesem Kapitel exemplarisch einige in den Konsultationen genannte Überwachungs- und Kontrollsysteme beschrieben und deren Implikationen für die Privatsphäre der Mitarbeitenden aufgezeigt.

1.2.         Relevanz und Problembereiche

Bereits seit längerer Zeit verfügen Arbeitgebende über die technischen Möglichkeiten, das Internetverhalten von Mitarbeitenden, einschliesslich des (privaten) E-Mail-Verkehrs, zu überwachen. In den Konsultationen aufgeführte betriebliche Interessen umfassen u.a. die Cybersicherheit, mögliche Gesetzesbrüche (z.B. Insiderhandel im Finanzbereich), die Informationssicherheit sowie ethische Anliegen. Eine Mehrheit der konsultierten Akteure hob hervor, personenbezogene Daten bei der Überwachung grundsätzlich nur in anonymisierter Form zu bearbeiten. Zudem seien präventive Massnahmen (z.B. Sperrung von privaten E-Mailserviceprovidern) ein effizientes Mittel, um private Tätigkeiten von Mitarbeitenden während der Arbeitszeit zu reduzieren.

Auch die Videoüberwachung wurde als nützliches Überwachungsmittel in einem betrieblichen Kontext genannt. Diese wird überwiegend in sicherheitsrelevanten Bereichen, zum Schutz der Mitarbeitenden und Vermögenswerten sowie in den Zugangsbereichen zu den Unternehmen eingesetzt. Alle Befragten gaben zudem an, in den Büroräumlichkeiten der Mitarbeitenden keine Videoüberwachung installiert zu haben.

Vor allem im Logistikbereich werden GPS-gestützte Computersysteme (sog. Geotracking) eingesetzt, um Routenprofile zu erstellen und eine Optimierung von betrieblichen Prozessen zu erreichen. Diese Daten würden zwar personenbezogen erhoben, jedoch nur anonymisiert ausgewertet. Überdies kommen an gewissen Arbeitsplätzen auch betriebliche Apps (z.B. zur Zeiterfassung; Remote-Access Apps) zur Anwendung, welche ebenfalls GPS-basiert funktionieren. In Zusammenhang mit dem Geotracking wurde auf die schwierige Abgrenzung zwischen der Leistungs- und Verhaltenskontrolle hingewiesen.

Insbesondere in sicherheitsrelevanten Bereichen werden biometrische Erkennungsverfahren eingesetzt (z.B. FaceID oder Fingerabdruckverfahren). Die fraglichen Akteure haben in diesem Zusammenhang anerkannt, dass es sich bei biometrischen Informationen um sensible Daten handelt, deren Bearbeitung für Arbeitnehmende einen grossen Eingriff in die Privatsphäre mit sich bringt.

1.3.         Grund- und menschenrechtliche Fragestellungen

In den genannten Überwachungs- und Kontrollbeispielen wird eine grosse Fülle an personenbezogenen Daten von Arbeitnehmenden bearbeitet mit dem Risiko, die Privatsphäre von Angestellten dadurch zu verletzen. Dabei ist zu prüfen, zu welchem Zweck die Überwachung erfolgt, insbesondere ob sie der Leistungs- und/oder der Verhaltenskontrolle eines Arbeitnehmenden dient oder ob weitere betriebliche Interessen eine Überwachung rechtfertigen. Weitergehend stellt sich die Frage, inwieweit Art. 328 Abs. 2 OR Arbeitgebende verpflichtet, Massnahmen zu ergreifen, um im Rahmen der Kontrolle von Mitarbeitenden den Schutz vor Missbrauch von privaten Daten der Arbeitnehmenden zu gewährleisten.

Im Folgenden werden zuerst die allgemein anwendbaren Rechtsgrundlagen zu Überwachungs- und Kontrollsystemen erläutert, bevor im Einzelnen auf die unterschiedlichen Arten der Überwachung und deren rechtliche Implikationen eingegangen wird.

1.4.         Rechtliche Beurteilung:

Rechtliche Grundlagen

Wie bereits angesprochen wird die in Art. 328/328b OR und Art. 6 ArG enthaltene Fürsorgepflicht von Arbeitgebenden im Kontext der Überwachung durch Art. 26 ArGV3 ergänzt. Diese Bestimmung sieht vor, dass alle Überwachungs- und Kontrollsysteme, welche darauf ausgerichtet sind, das Verhalten von Mitarbeitenden zu überwachen, nicht eingesetzt werden dürfen (Abs. 1). Eine Überwachung des Verhaltens liegt vor bei «eine[r] ständige[n] (ununterbrochene[n]) oder nicht ständige[n] (kurzzeitig periodische oder stichprobenmässige) Kontrolle bestimmter Aktivitäten der Arbeitnehmenden in detaillierter Form». Sind Überwachungs- oder Kontrollsysteme aus anderen Gründen als zur Verhaltensüberwachung erforderlich, darf weder die Gesundheit noch die Bewegungsfreiheit der Arbeitnehmenden dadurch beeinträchtigt werden (Abs. 2). Mit dieser Formulierung wird anerkannt, dass eine gezielte Überwachung negative Auswirkungen auf das Recht auf (die psychische) Gesundheit sowie die Bewegungsfreiheit haben kann – beides Ausprägungen der persönlichen Freiheit nach Art. 10 Abs. 2 BV. Somit ist Art. 26 ArGV3 auch aus grundrechtlicher Sicht von Bedeutung.

In der Praxis ist die Abgrenzung zwischen einer verbotenen Verhaltensüberwachung und der erlaubten Leistungsüberwachung nach Art. 26 Abs. 1 ArGV3 oftmals schwierig, da Verhalten und Leistung einer Person am Arbeitsplatz in engem Zusammenhang stehen können. Ist diese Abgrenzung nicht eindeutig, ist im Einzelfall abzuwägen, ob das betriebliche Interesse an einem Überwachungs- und Kontrollsystem höher zu bewerten ist als der Gesundheits- und Persönlichkeitsschutz von Arbeitnehmenden. Überwachungs- und Kontrollanlagen sind grundsätzlich unproblematisch an Orten, wo es betrieblich notwendig ist und sich keine oder nur selten Mitarbeitende aufhalten, z.B. in einer Tiefgarage oder in Zutrittsbereichen. Sind regelmässig Mitarbeitende an- wesend, ist die Interessenabwägung schwieriger.

Art. 328b OR findet auch im Kontext von Überwachungs- und Kontrollsystemen auf alle Datenbearbeitungen Anwendung, d.h. jede Überwachung muss für die Durchführung des Arbeitsvertrages erforderlich sein. Zudem sind die folgenden Grundsätze des DSG zu beachten:

  • Verhältnismässigkeit (Art. 4 2 DSG): Prüfung von Eignung, Erforderlichkeit und Zumutbarkeit der Überwachung.
  • Zweckbindung (Art. 4 3 DSG): Personendaten dürfen nur zu dem (betrieblichen) Zweck bearbeitet werden, welcher den Arbeitnehmenden bei der Datenbeschaffung angegeben wurde.
  • Transparenz (Art. 4 4 DSG i.V.m. Art. 48 ArG i.V.m. Art. 5/6 ArGV3): Die Mitarbeitenden müssen vorgängig über die Installation eines Überwachungs- und Kontrollsystems informiert und angehört werden. Während sich die Informationspflicht der Arbeitgebenden im Rahmen des DSG «nur» auf Persönlichkeitsprofile und besonders schützenswerte Personendaten erstreckt (Art. 14 DSG), beinhaltet Art. 5 ArGV3 eine Mitteilungspflicht über alle gesundheitsrelevanten Gefährdungen am Arbeitsplatz. Von einer vorgängigen Information kann abgesehen werden, wenn ein Verdacht auf eine arbeitsrechtliche Pflichtverletzung oder die Begehung von Verbrechen oder Offizialdelikten von Seiten von Arbeitnehmenden besteht.

Mit einer unzulässigen Überwachung verletzen Arbeitgebende ihre Fürsorgepflicht. Die betroffenen Arbeitnehmenden können gestützt auf diese Persönlichkeitsverletzung Ansprüche nach Art.15 DSG und Art. 27ff. ZGB geltend machen (Ziff. II.4.3.2). Zudem kann z.B. die Aufnahme fremder Gespräche sowie die Anfertigung von Videoaufnahmen ohne Einwilligung der betroffenen Personen auch strafrechtliche Konsequenzen haben.

Internetverhalten und E-Mailverkehr

2019 benutzte über die Hälfte der Schweizer Bevölkerung Internet am Arbeitsplatz. Oft lässt sich dabei nicht scharf zwischen privater und beruflicher Nutzung unterscheiden, was die Abgrenzung zwischen Privat- und Berufsleben erschwert. Eine geschäftliche Nutzung des Internets liegt vor, wenn Arbeitnehmende beabsichtigen, die von ihnen verlangten Arbeitsleistungen voranzubringen. Durch eine private Nutzung des Internets können Arbeitnehmende ihre arbeitsvertraglichen Pflichten nach Art. 319 Abs. 1 OR (Leistungspflicht) und Art. 321a Abs. 1 OR (Sorgfalts- und Treuepflicht) verletzen. Zur Aufdeckung der privaten Nutzung des Internets können Arbeitgebende deshalb Überwachungsmassnahmen anordnen.

Wer am Arbeitsplatz das Internet benutzt, hinterlässt Spuren. So werden Internetaktivitäten auf gemeinschaftlich genutzten Informatikmitteln (z.B. Servern) in sog. Logdateien protokolliert. Gemäss dem EDÖB handelt es sich bei diesen Spuren typischerweise um personenbezogene Daten und die Auswertung dieser Logdateien stellt eine Datenbearbeitung im Sinne des DSG dar. Eine Überwachung der Internetnutzung ist auch mithilfe von sog. multifunktionalen Überwachungsprogrammen möglich, welche die gesamte Nutzung eines Rechners (einschliesslich dem Internet) überwachen und deshalb nur in Ausnahmefällen zulässig sind, wie weiter unten ausgeführt wird. Alle personenbezogenen Kontrollen der Internetnutzung am Arbeitsplatz grundsätzlich die Voraussetzungen von Art. 328b OR, dem DSG sowie Art 26 ArGV3 erfüllen.

Die Aufdeckung einer privaten Nutzung des Internets kann eine Überwachung von Arbeitnehmenden rechtfertigen. Weitere betriebliche Interessen können beispielsweise die Gewährleistung der Daten- und Anwendungssicherheit (Verhindern von Viren, Trojanern, etc.), finanzielle Interessen (Einhaltung der Arbeitszeit, Produktivitätsverringerung etc.), Vermeiden von Reputationsrisiken, Wahrung von Fabrikations- und Geschäftsgeheimnissen, Einhaltung des Datenschutzes sowie das Vermeiden einer Überlastung der Speicherkapazität sein.

Für die Beurteilung, ob eine Persönlichkeitsverletzung im Zusammenhang mit einer Überwachung der Internetnutzung von Mitarbeitenden vorliegt, sind insbesondere die Grundsätze der (1) Verhältnismässigkeit (Art. 4 Abs. 2 DSG), (2) Zweckbindung (Art. 4 Abs. 3 DSG) und (3) Transparenz (Art. 4 Abs. 4 DSG) von Bedeutung.

  • Der Grundsatz der Verhältnismässigkeit verlangt, dass: (a) die Überwachungsmassnahme geeignet ist, um eine missbräuchliche Verwendung des Internets durch Arbeitnehmende aufzudecken; (b) es mit Blick auf den Eingriff in die Gesundheit und die Persönlichkeitsrechte der Arbeitnehmenden keine mildere Massnahme gibt und (c) das private Interesse der Arbeitgebenden den Schutz der Persönlichkeit der Arbeitnehmenden übersteigt. In einem ersten Schritt haben Arbeitgebende die Möglichkeit, rechtlich unproblematische technische und organisatorische Schutzmassnahmen zu ergreifen, um die private Nutzung zu minimieren. Beispiele hierfür umfassen die präventive Sperrung einer Webseite, Downloadfilter, Firewalls oder die Schulung der Mitarbeitenden. Überdies haben Arbeitgebende im Zusammenhang mit der Dauer der Überwachung sowie der Art und Weise der Datenauswertung einen grossen Spielraum, die Persönlichkeitsrechte von Mitarbeitenden in verhältnismässiger Art und Weise zu wahren. So können Unter- nehmen z.B. eine anonyme Auswertung der Internetnutzung aller Mitarbeitenden vornehmen. Eine solche lässt allgemeine Rückschlüsse auf das Internetnutzungsverhalten der Mitarbeitenden zu und gibt Aufschlüsse, ob eine einzelfallbezogene Überwachung überhaupt notwendig ist. Weitere Möglichkeiten bieten die pseudonyme Auswertung sowie als ultima ratio die namentliche Auswertung. Während die beiden erstgenannten Auswertungsformen grundsätzlich erlaubt sind, bedarf es bei der namentlichen Auswertung eines hinreichenden Missbrauchsverdachts.
  • Der Zweckbindungsgrundsatz verlangt, dass die Auswertung von Internetnutzungsaktivitäten tatsächlich betrieblich relevant ist und dass damit nur der den Mitarbeitenden im Vorfeld mitgeteilte Zweck verfolgt wird.
  • Der Grundsatz der Transparenz verpflichtet Arbeitgebende, Mitarbeitende über den Zweck der Überwachung und die hierfür eingesetzten Mittel zu informieren – beides kann z.B. mit einem auf Art. 321 OR (Weisungsrecht) abgestützten Internetnutzungsreglement erfolgen, in welchem die Ausgestaltung der vorgenommenen Überwachungsmassnahmen detailliert darlegt Ein solches dient der Transparenz und Rechtssicherheit im Verhältnis zwischen Arbeitgebenden und Arbeitnehmenden.

Die folgenden zwei Beispiele verdeutlichen, welche Kriterien bei der Überprüfung der Überwachung im Alltag eine Rolle spielen können. Im ersten Fall hatte das Bundesgericht die Frage zu beurteilen, ob die fristlose Entlassung eines SBB-Angestellten rechtmässig war, welcher an 17 Tagen während über 80 Stunden pornographische Internet-Seiten besucht hatte, wobei in zwei Fällen auch strafrechtlich relevantes Material dabei war. Die Arbeitgeberin wurde durch eine periodisch durchgeführte, anonymisierte Auswertung der Internetnutzung aller Arbeitnehmenden auf den möglichen Missbrauch aufmerksam. Erst danach erfolgte die personenbezogene Rückverfolgung. Obwohl der Arbeitnehmer vorgängig nicht über diese personalisierte Rückverfolgung informiert worden war, wurde die Verhältnismässigkeit der Datenbearbeitung aufgrund dieses abgestuften Vorgehens als rechtmässig angesehen.

In Bărbulescu gegen Rumänien befasste sich der EGMR mit der Frage, ob die Überwachung der privaten mittels eines Messenger Dienstes geführten Internetkorrespondenz eines Arbeitnehmenden mit dem Grundsatz der Verhältnismässigkeit vereinbar ist. Der Gerichtshof identifizierte in diesem Urteil eine Reihe von Kriterien – vorgängige Information, Vorliegen von legitimen Gründen, Erforderlichkeit, Folgen der Überwachung für die betroffene Person, Treffen von angemessenen Schutzvorkehrungen durch Arbeitgebende – welche in die Abwägung zwischen Arbeitgebenden- und Arbeitnehmendeninteressen miteinbezogen werden müssen. Da die innerstaatlichen Gerichte viele der genannten Kriterien gar nicht berücksichtigt hatten und der Beschwerdeführer vorgängig nicht angemessen über die Art und das Ausmass der Überwachung informiert wurde, kam der EGMR zum Schluss, dass der Schutz der Privatsphäre des Beschwerdeführers bei der Interessenabwägung nicht angemessen einbezogen wurde (im Detail, Ziff. II.3.2.2).

In gewissen Beschäftigungsverhältnissen werden dauerhafte und systematische digitale Überwachungs- und Kontrollsysteme eingesetzt, welche die Überwachung eines gesamten Rechners ermöglichen (siehe auch infra Ziff. 7.4). Verbreitet sind diese bei Anstellungsverhältnissen in Bereichen, in welchen besondere rechtliche Vorgaben zur Verhinderung von Straftaten eingehalten werden müssen, wie etwa zur Bekämpfung von Insiderhandel im Bankenwesen. Der Einsatz solcher umfassenden Überwachungssysteme ist nur ausnahmsweise und unter strengen Voraussetzungen erlaubt. Zunächst muss die Massnahme für die Durchführung des Arbeitsverhältnisses erforderlich sein (Art. 328b OR). In einem zweiten Schritt ist die Kompatibilität mit dem DSG zu prüfen, wobei eine ständige und systematische Überwachung regelmässig dem Verhältnismässigkeitsgrundsatz nach Art. 4 Abs. 2 DSG zuwiderlaufen und somit die Persönlichkeit von Arbeitnehmenden nach Art. 12 DSG verletzen dürfte. Besteht ein überwiegendes Interesse oder eine gesetzliche Grundlage für die Massnahme, liegt ein Rechtfertigungsgrund nach Art. 13 DSG vor und die Persönlichkeitsverletzung ist nicht widerrechtlich. Ein Beispiel sind gesetzliche Grundlagen zur Kontrolle der Mitarbeitenden im Kontext des Insiderhandels. In solchen Fällen kann eine ständige Überwachung der Internetnutzung von Arbeitgebenden auch vertraglich vereinbart werden.

Videosysteme

Videoüberwachungsanlagen werden heutzutage üblicherweise über Sensoren gesteuert und funktionieren oftmals vollständig automatisiert. Im Rahmen von «smarten» oder «intelligenten», auf die Bedürfnisse der Nutzerinnen und Nutzer abgestimmten Videoüberwachungsanlagen, können überdies die überwachten Vorgänge maschinell analysiert und ausgewertet werden. In diese Kategorie fallen z.B. Videoüberwachungen mit biometrischer Gesichtserkennung (infra Ziff. 4.4.5).

Die Konsultationen bestätigen, dass Videoüberwachungsanlagen auch im Kontext des Arbeitsplatzes verbreitet sind, insbesondere in Zugangsbereichen, sicherheitsrelevanten Bereichen oder zum Schutz von Mitarbeitenden. Auch der EDÖB hat sich wiederholt mit dieser Art der Arbeitsplatzüberwachung beschäftigt, etwa im Zusammenhang mit dem Einsatz von Videoüberwachungsanlagen bei Kiosken, im Detailhandelsbereich oder auf Baustellen. Im Gegensatz zur Internetüberwachung dürfte bei der Videoüberwachung oftmals nicht zwingend die (Leistungs-)Kontrolle von Arbeitnehmenden im Vordergrund stehen, sondern Sicherheits-, Vermögens- oder andere betriebliche Interessen (z.B. Sicherung einer fehlerfreien Produktion).

Für die Rechtmässigkeit von Videoüberwachungsanlagen gelten die gleichen unter supra Ziff. 4.4.1 erläuterten Anforderungen wie bei anderen Überwachungsmassnahmen. Es gibt technische und organisatorische Schutzmassnahmen, um die Datensicherheit zu gewährleisten, z.B. Privacy Filter, keine oder zeitlich beschränkte Aufbewahrung der Aufnahmen oder die Kameraposition, welche einem Eingriff in die Persönlichkeit der betroffenen Personen vorbeugen oder diesen zumindest mildern. In besonders sensiblen Bereichen wie z.B. Umkleidekabinen oder Toiletten ist die Videoüberwachung am Arbeitsplatz grundsätzlich verboten, da sie nicht nur unverhältnismässig, sondern ausschliesslich auf das Verhalten von Arbeitnehmenden ausgerichtet ist und keinen Arbeitsplatzbezug nach Art. 328b OR aufweist.

Für die vorliegende Studie von besonderem Interesse ist ein Fall, in dem das Bundesgericht sich eingehend mit den gesundheitlichen Risiken einer Videoüberwachung am Arbeitsplatz und der Abgrenzung zwischen einer Verhaltens- und Leistungsüberwachung (Art. 26 ArGV3) befasst hat. Konkret ging es um die Rechtmässigkeit einer Kamerainstallation in einem Nebenraum eines Geschäfts, in welchem sich eine Kasse befand. Dieser Raum war nur für das Personal bestimmt und wurde grundsätzlich nur von diesem benutzt, war aber potenziell auch für die Kundschaft zugänglich. Die beschwerdeführende Angestellte hatte angegeben, sie hätte nichts von der Kamera gewusst. Aufnahmen der Kamera belegten, dass sie während der ordentlichen Geschäftszeit Geld aus einer in diesem Raum befindlichen Kasse entwendet hatte. Die Vorinstanz stellte sich auf den Standpunkt, dass die Angestellte über die Installation der Kamera hätte informiert werden müssen und beurteilte die heimliche Aufnahme deshalb als eine rechtswidrige Verhaltensüberwachung. Das Bundesgericht folgte dieser Einschätzung nicht. In seiner Begründung legte es Art 26 ArGV3 eng aus, indem es festhielt, dass diese Bestimmung

«[…] in dem Sinne einschränkend auszulegen [sei], dass Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, nicht eingesetzt werden dürfen, soweit sie geeignet sind, die Gesundheit oder das Wohlbefinden der Arbeitnehmer zu beeinträchtigen.»

Basierend auf der Grundüberlegung, dass nicht die Art der Überwachung, sondern die Systematik und Intensität der Überwachung und die damit verbundenen Folgen für die Gesundheit der Mitarbeitenden im Vordergrund stehen sollten, führte es weiter aus:

«Ein Überwachungssystem kann daher, auch wenn es (hauptsächlich) der gezielten Überwachung des Verhaltens der Arbeitnehmer am Arbeitsplatz dient, erlaubt sein, wenn die Arbeitnehmer nur sporadisch und kurzzeitig bei bestimmten Gelegenheiten vom Überwachungssystem erfasst werden.»

Das Bundesgericht kam zum Schluss, dass in diesem Fall nicht primär die Überwachung des Verhaltens der Mitarbeiterin im Vordergrund stehe, welche nur sporadisch und jeweils während kurzer Zeit im Kassenraum war, sondern die Kasse. Da die Überwachung keine starke Beeinträchtigung der Gesundheit der Beschwerdeführerin nach sich ziehe, greife das Verbot nach Art 26 ArGV3 nicht. Überdies hätten überwiegende betriebliche Interessen (Verhinderung von Straftaten durch Dritte) vorgelegen und eine Überwachung des Kassenraumes gerechtfertigt (Art. 13 Abs. 1 DSG). Analog zum vorherigen Fall des SBB-Mitarbeiters verneinte das Bundesgericht im Ergebnis somit eine widerrechtliche Verletzung der Persönlichkeit der Mitarbeiterin, obwohl diese nicht über die Überwachungsmassnahme informiert war und damit der Transparenzgrundsatz nach Art. 4 Abs. 4 DSG verletzt wurde.

Im gleichen Sinne argumentierte der EGMR im bereits unter Ziff. II.3.2.2 geschilderten Urteil López Ribalda and Others v. Spain. In diesem Fall wurde im Rahmen einer heimlichen Überwachung der Angestellten ein überwiegendes betriebliches Interesse eines Supermarktbetreibers an der Überwachung bejaht.

Diese Fälle zeigen, dass für die Rechtmässigkeitsprüfung einer Überwachungsmassnahme am Arbeitsplatz die verschiedenen Grundsätze und Rechtfertigungsgründe des DSG im Einzelfall zu prüfen und gewichten sind. Somit sind jeweils situationsbezogen das Ausmass der Auswirkungen einer Überwachung auf die Privatsphäre und die Gesundheit der Arbeitnehmenden zu analysieren und gegen die betrieblichen Interessen abzuwägen.

Geolokalisierung

Mit dem globalen Positionsbestimmungssystem (global positioning system – GPS) ist es möglich, jederzeit eine Position mithilfe des Satellitensystems zu bestimmen. Insbesondere im Logistik-, Personentransport- und Aussendienstbereich erfreut sich der Einsatz von Navigationsgeräten mit GPS-Funktion grosser Beliebtheit. Diese ermöglichen z.B. die Nachverfolgung der Routen von Arbeitnehmenden in Aussendiensteinsätzen und bei Dienstleistungen wie Uber wird über die GPS-Standortlokalisierung automatisiert eine Verbindung zwischen Fahrerinnen/Fahrern und Kunden hergestellt. Neben Navigationssystemen bieten auch Smartphones und arbeitsplatzspezifische Wearables (infra Ziff. 5) die Möglichkeit, mittels GPS den Standort von Arbeitnehmenden jederzeit zu lokalisieren.

Die GPS-Daten eines Dienstfahrzeuges oder eines geschäftlichen Mobiltelefons lassen grundsätzlich eindeutige Rückschlüsse auf deren Nutzerinnen und Nutzer zu, es handelt sich bei den erhobenen Geodaten deshalb um personenbezogene Daten im Sinne des DSG. Dient ein in diesen Geräten installiertes GPS-basiertes Überwachungssystem der Kontrolle während der Arbeitszeit, liegt eine arbeitsbezogene Leistungsüberwachung vor, solange die Geolokalisierung mit der Arbeitserfüllung im Zusammenhang steht. Eine solche Art der Überwachung ist mit Art. 328b OR im Einklang und deshalb grundsätzlich möglich (supra Ziff. 4.4.1). Dasselbe gilt auch bei von Arbeitgebenden installierten GPS-Systemen in privaten Fahrzeugen/Mobiltelefonen, welche zur Arbeitserbringung benutzt werden. Allerdings sind hierbei im Vergleich zu geschäftlichen Geräten erhöhte Anforderungen an die betrieblichen Interessen zu stellen (vgl. BYOD, infra Ziff. 7).

In Konstellationen ausserhalb einer Anstellung – z.B. bei gewissen Arbeitserfüllungsformen im Kontext der internetbasierten Plattformökonomie – sind Art. 328b OR und die weiteren arbeitsrechtlichen Schutzbestimmungen nicht anwendbar. Die Einordnung in selbstständige und unselbstständige Erwerbstätigkeit ist jedoch nicht immer einfach, wie das Beispiel des Personenfahrdienstes Uber zeigt. So werden dessen Fahrerinnen und Fahrer in gewissen Kantonen als unselbständig Erwerbende und in anderen als selbstständig Erwerbende klassifiziert. Unabhängig von der arbeitsrechtlichen Einordnung sind die Grundsätze des DSG auf alle Kategorien von Erwerbstätigen anwendbar und im Rahmen einer Überwachung zu prüfen.

Im Kontext der GPS-Überwachung ist es zentral, dass die Betroffenen vorgängig über dessen Installation informiert werden (Grundsatz der Transparenz). Überdies muss die Überwachung für die Abwicklung des Arbeitsverhältnisses oder den Geschäftszweck tatsächlich relevant sein (Grundsatz der Zweckgebundenheit). Zu den legitimen Zielen zählen etwa arbeitsorganisatorische Interessen (z.B. effiziente Einsatzplanung, Flottenmanagement), das Aufdecken von Missbrauch, die Verminderung eines finanziellen Schadens für das Unternehmen/die Kundschaft (z.B. Einhaltung der Arbeitszeit, Erbringung der Arbeitsleistung) oder Sicherheitsinteressen (z.B. Diebstahlschutz). Überdies darf es keine mildere Massnahme geben, und die Interessen der Arbeitnehmenden an Gesundheit und Persönlichkeitsschutz müssen angemessen berücksichtigt werden (Grundsatz der Verhältnismässigkeit).

Im Entscheid BGE 130 II 425 befasste sich das Bundesgericht mit den Kriterien für die Zulässigkeit der GPS-Überwachung von Aussendienstmitarbeitenden, welche autonom Kundenaufträge an unterschiedlichen Orten in der Schweiz wahrnahmen. Diese Form der Geolokalisierung kann einen gravierenden Eingriff in die Persönlichkeit darstellen, da die Erstellung gesamter Bewegungsprofile einer Person während (und potenziell auch ausserhalb) der Arbeitszeit ermöglicht wird und somit in einer profilbildenden Verhaltensüberwachung resultieren kann. Das Bundesgericht hielt fest, dass eine GPS-Überwachung grundsätzlich nicht geeignet sei, die Qualität der Arbeitserbringung der Mitarbeitenden vor Ort zu überprüfen, da die blosse Erfassung der Geodaten keine entsprechende Rückschlüsse zulässt. Ein milderes Mittel zur Kontrolle der Mitarbeitenden in solchen Fällen wäre z.B. die Anforderung, dass ein Arbeitsrapport von der auftragsgebenden Person unterschrieben werden muss. Für die Aufdeckung eines Diebstahls oder die missbräuchliche Verwendung des Dienstfahrzeugs zu privaten Zwecken kann der punktuelle Einsatz von GPS-Systemen jedoch zielführend sein. Dies dürfte ebenfalls für den mobilen Zugriff auf Kundendaten – z.B. im Bankenwesen – gelten, welcher aus Sicherheitsgründen nur aus der Schweiz erfolgen darf.

Biometrie am Arbeitsplatz

Biometrische Verfahren werden zunehmend auch in einem beruflichen Kontext angewendet, u.a. bei Zugangssystemen zu sicherheitsrelevanten Bereichen oder im Zusammenhang mit der FaceID/Fingerabdruckverfahren zum Login bei Mobiltelefonen oder Arbeitsplätzen. Der EDÖB hat zudem auf den vermehrten Einsatz von biometrischen Verfahren im Bereich der Gastronomie, z.B. bei biometrischen Zeiterfassungs-, Zutritts-, oder Kassensystemen, hingewiesen.

Biometrische Erkennungsverfahren basieren auf einer «automatisierte[n] Messung von natürlichen, hoch charakteristischen, physiologischen oder verhaltenstypischen Merkmalen von Menschen zum Zweck der Unterscheidung von anderen Personen». Biometrische Merkmale sind somit körpereigene persönliche Kennzeichen, welche theoretisch zumindest nur dieser einen Person zugeordnet werden können. Neben dem Fingerabdruckverfahren gibt es auch biometrische Verfahren zur Erkennung von Gesicht, Stimme, Handgeometrie und Handschrift. Diese Merkmale werden digital erfasst und mit gespeicherten Referenzdaten abgeglichen. Biometrische Verfahren werden somit automatisiert durchgeführt.

Während im aktuellen DSG biometrische Daten nicht als separate Kategorie aufgeführt sind, wurde diese Datenkategorie im N-DSG bei den besonders schützenswerten Personendaten integriert. Demnach sind biometrische Daten Personendaten, «die eine natürliche Person eindeutig identifizieren». Mit Blick auf die Erfassung von biometrischen Daten ist darauf hinzuweisen, dass die erfassten biometrischen Rohdaten oftmals mehr Informationen enthalten, als die später für das Erkennungsverfahren verwendeten Muster (Templates). So kann beispielsweise ein Bild eines Gesichtes zusätzliche Informationen über das Geschlecht, das Alter, die Religion, die Stimmung oder Krankheiten einer Person enthalten. Bereits heute sind gewisse dieser Daten, welche durch ein biometrisches Erkennungsverfahren als Begleiterscheinung zum Vorschein kommen können, als eigene Kategorie der «besonders schützenswerten Personendaten» im DSG enthalten, wie z.B. Informationen zu religiösen Ansichten (z.B. Tragen eines Kopftuches auf einem Bild), zur Gesundheit (z.B. Erkennung von Augenkrankheiten bei einem Irisscan) oder der Rassenzugehörigkeit (aufgrund der Hautfarbe). Eine Zusammenstellung von biometrischen Daten ermöglicht somit das Erstellen eines Persönlichkeitsprofil einer Person i.S.v. Art. 3 lit. d DSG.

Biometrische Personendaten werden in der Regel bei der betroffenen Person erhoben, welche nach dem Grundsatz der Transparenz (Art. 4 Abs. 4 DSG i.V.m. Art. 5 Abs. 1 ArGV3) eingehend über die biometrischen Verfahren und die damit verbunden Folgen und Datenbearbeitungsvorgänge aufgeklärt werden müssen. Nach dem Grundsatz der Zweckbindung (Art. 4 Abs. 3 DSG) dürfen biometrische Daten im Bereich von Arbeitsverhältnissen zudem nur erhoben werden, wenn diese nach Art. 328b OR für die Durchführung des Arbeitsvertrages erforderlich sind. Das biometrische Verfahren ist technisch so auszugestalten, dass der Zweck der Datenbearbeitung erreicht wird, eine Änderung des Bearbeitungszwecks aber ausgeschlossen ist. Von grosser Bedeutung im Zusammenhang mit biometrischen Verfahren ist das Prinzip der Verhältnismässigkeit (Art. 4 Abs. 2 DSG). In einem ersten Schritt ist zu prüfen, ob ein milderes Mittel existiert als ein biometrisches Erkennungsverfahren – z.B. durch Verwendung von Pins, Passwörtern, Ausweisen, Badges, Schlüssel etc. Falls nur ein biometrisches Erkennungsverfahren in Frage kommt, sind «[w]ann immer möglich […] biometrische Merkmale zu erfassen, die keine Spuren hinterlassen und deren Erfassung ohne das Wissen der betroffenen Person nicht möglich ist (z.B. Handumriss oder Handvenenmuster)». Zudem sollte durch technische Vorkehrungen sichergestellt werden, dass aus biometrischen Daten keine Rückschlüsse auf weitere besonders schützenswerte Personendaten möglich sind. Um den Zugriff von unberechtigten Dritten auf biometrische Daten zu erschweren, sollten diese nicht zentral, sondern lokal, auf einem Server gespeichert werden.

Wie bei anderen Überwachungs- und Kontrollsystemen muss im Einzelfall abgewogen werden, ob die Massnahmen den genannten arbeits- und datenschutzrechtlichen Grundsätzen standhalten. Da es sich um personenbezogene Daten handelt, welche untrennbar mit einer Person verknüpft sind und oftmals Rückschlüsse auf besonders schützenswerte Personendaten zulassen, sind die Anforderungen an die vorgebrachten Rechtfertigungsgründe nach Art. 13 Abs. 1 DSG streng.

Fazit

Zusammenfassend lässt sich festhalten, dass die Überwachung von Arbeitnehmenden in Art 26 ArGV3 zwar klar geregelt zu sein scheint, die Abgrenzung zwischen der Verhaltens- und Leistungsüberwachung in der Praxis aber schwierig ist.

Unproblematisch sind jene technischen und organisatorischen Massnahmen, welche präventiver Natur sind oder nicht personenbezogen ausgewertet werden können (Positionierung der Kamera, Sperrung einer Webseite, Downloadfilter, anonymisierte Auswertung etc.), sowie Überwachungs- anlagen an Orten, wo sich Mitarbeitende nicht oder nur sehr selten aufhalten.

Sofern eine Überwachung im Einklang mit Art. 328b OR ist, bedarf es jeweils einer weiteren Abwägung zwischen den unterschiedlichen involvierten Interessen. Hier stehen die Gesundheits- und Persönlichkeitsinteressen von Arbeitnehmenden den Sicherheits-, Betriebsoptimierungs-, finanziellen oder gesundheitlichen Interessen der Arbeitgebenden gegenüber. Überdies müssen Arbeit- gebende Arbeitnehmende transparent und umfassend über jene Überwachungsmassnahmen informieren, welche die Privatsphäre letzter tangieren. Eine ständige, systematische und personenbezogene Überwachung von Arbeitnehmenden ist grundsätzlich nicht erlaubt, es sei denn, eine solche ist z.B. von Gesetzes wegen vorgesehen oder es liegen überwiegende private/öffentliche Interessen vor (Art. 13 DSG).

Wie bereits weiter oben angedeutet wurde, wird im Beschäftigungskontext oftmals nicht nur ein einzelnes Überwachungs- und Kontrollsystem benutzt, sondern je nach Art der Beschäftigung und den damit verbundenen betrieblichen Interessen mehrere gleichzeitig. Hinzu kommen digitale Arbeitsmittel, die ebenfalls eine Kontrolle und die Lenkung von Mitarbeitenden erlauben wie etwa die nachfolgend behandelten Wearables (infra Ziff. 5). Eine Interaktion zwischen diesen unterschiedlichen digitalen Anwendungen, mithilfe welcher laufend personenbezogene Daten aus der physischen Welt in die digitale übertragen und systematisch mithilfe von Big Data Analysen ausgewertet werden können, wird durch das sog. Internet of Things (IoT – Ziff. II.2.2.4) ermöglicht.

Auch wenn solche «intelligenten» Arbeitsumgebungen (smart workplaces) in der Schweiz noch nicht sehr verbreitet sind, stellen sie aus Sicht der Privatsphäre von Arbeitnehmenden eine grosse Herausforderung dar, da dadurch die Erstellung umfassender Verhaltens- und Persönlichkeitsprofile möglich ist. Das neue DSG trägt diesen Entwicklungen mit Bestimmungen zum «Profiling mit hohem Risiko» Rechnung. Arbeitgebende werden deshalb zukünftig verpflichtet sein, in solchen Fällen vorgängig eine Datenschutz-Folgenabschätzung zu machen.

Zur einfacheren Lesbarkeit wurden die Quellen und Quellenhinweise entfernt.

https://creativecommons.org/licenses/by-sa/4.0/deed.de

http://dx.doi.org/10.48350/163074

SCHWEIZERISCHES  KOMPETENZZENTRUM  FÜR  MENSCHENRECHTE (SKMR), Digitalisierung und Privatsphäre im Arbeitsverhältnis. Rechtliche Grundlagen und aktuelle Problemfelder, verfasst von Kaufmann Christine/ Schuerch Res, Bern 2021

Kategorie: Datenschutz
© Swiss Infosec AG 2024