09/2022
1. Szenario 6: Bring Your Own Device (BYOD)
1.1. Sachverhalt
Da heute viele Arbeitnehmende privat über einen Computer/Laptop/ein Smartphone verfügen, wer- den bei der Telearbeit oftmals auch diese Geräte verwendet. Das vorliegende Szenario beschäftigt sich deshalb mit der Nutzung privater Geräte zur Erbringung einer Arbeitsleistung – auch bekannt als «bring your own device» (BYOD) – und dem damit verbundenen Einfluss auf die Privatsphäre der Nutzerinnen und Nutzer. Die Verwendung privater Arbeitsgeräte ist sowohl in den privaten Räumlichkeiten der Arbeitnehmenden als auch in betrieblichen Räumlichkeiten möglich.
Vorteile von BYOD sind aus betrieblicher Sicht z.B. die vereinfachte Erreichbarkeit von Arbeitnehmenden ausserhalb der Arbeitszeit, Kostenüberlegungen sowie die besseren Gerätekenntnisse der Nutzerinnen und Nutzer. Nebst positiven Effekten kann die Nutzung privater Geräte für die Arbeitserbringung auch Probleme mit sich bringen. So fördert BYOD am Arbeitsplatz die Vermischung zwischen Berufs- und Privatsphäre, und der Schutz eines privaten Gerätes ist oftmals nicht gleich gut, wie bei betriebsinternen IT-Infrastrukturen.
1.2. Relevanz und Problembereiche
Bezüglich der Nutzung von privaten Geräten am Arbeitsplatz ergaben die Konsultationen ein gemischtes Bild. Die befragten staatlichen Arbeitgebenden erlauben eine solche Nutzung nur, wenn die Geräte vorgängig von der betriebsinternen IT-Abteilung konfiguriert wurden und einen externen Zugriff auf das Gerät ermöglichen, z.B. durch die Installation von Synchronisations- und Zugriffs- Apps. Bei privatwirtschaftlichen Akteuren scheint die Verwendung von privaten Geräten zur Arbeitserfüllung verbreitet(er) zu sein, wobei auch dort oft spezielle Konfigurationen und Voreinstellungen verlangt werden.
Die rechtliche Problematik in der Zulassung von BYOD liegt aus Sicht der Mehrheit der konsultierten Akteure in der Trennung zwischen privater und geschäftlicher Nutzung des Arbeitsgerätes. Überdies wurde das Problem der Datensicherheit hervorgehoben und die damit verbundene Gefahr eines Missbrauchs geschäftlicher Daten für private Zwecke. Auch auf die Bedeutung eines Zugangs zu einer betrieblichen IT-Infrastruktur für den Datenaustausch wurde hingewiesen – z.B. über verschlüsselte Verbindungen (Virtual Private Network – VPN), Clouds (Ziff. II.2.2.3) oder mithilfe einer Infrastruktur virtueller Desktops (VDI).
Überdies wurden klare betriebliche Regeln für die Nutzung von BYOD befürwortet sowie die Zustimmung sowohl der Arbeitgebenden, als auch der Arbeitnehmenden, als notwendig erachtet.
1.3. Grund- und menschenrechtliche Fragestellungen
Bei der Nutzung privater Geräte für die Arbeitserbringung ist eine klare Trennung zwischen Privat- und Berufssphäre typischerweise nicht möglich, da auf demselben Gerät persönliche wie auch berufliche Daten bearbeitet werden. BYOD kann somit persönlichkeits- und datenschutzrechtliche Fragen aufwerfen, z.B. bei der Installation von Sicherheits- oder Datenverwaltungsprogrammen. Überdies können sich rechtliche Fragen im Zusammenhang mit der Löschung von Daten bei Beendigung eines Arbeitsverhältnisses sowie bei Verlust/Diebstahl des privaten Gerätes ergeben.
1.4. Rechtliche Beurteilung
Da Arbeitsgeräte zur Erbringung der Arbeitsleistung nach Art. 327 Abs. 1 OR von Arbeitgebenden grundsätzlich zur Verfügung zu stellen sind, können Arbeitnehmende nicht verpflichtet werden, auf privaten Geräten zu arbeiten. Allerdings besteht aufgrund des Weisungsrechts der Arbeitgebenden auch kein Anspruch von Arbeitnehmenden, private Geräte für die Arbeitserfüllung einsetzen zu können (Art. 321d OR).
Aus datensicherheitstechnischen Überlegungen ist BYOD vor allem mit Risiken verbunden, da Arbeitgebende die Kontrolle über ihre geschäftlichen Daten abgeben. Dieser Verlust der Datenhoheit kann bei Verlust/Diebstahl eines privaten Gerätes sowie im Missbrauchsfall durch Arbeitnehmende relevant sein und deshalb einen externen Zugriff auf BYOD-Geräten rechtfertigen. Allerdings müssen hierbei die rechtlichen Grundsätze der Überwachung beachtet werden (supra Ziff. 4.4.1). Daten dürfen deshalb nur im Einklang mit Art. 328b OR i.V.m. Art. 26 ArGV3 bearbeitet werden, d.h. die Datenbearbeitung muss für die Durchführung des Arbeitsvertrages erforderlich sein und darf die (psychische) Gesundheit der Arbeitnehmenden nicht negativ beeinträchtigen. Zudem muss jede Datenbearbeitung mit den Grundsätzen des DSG im Einklang stehen, d.h. transparent sowie zweckgebunden erfolgen und verhältnismässig sein. Insbesondere besteht die Gefahr, dass Arbeitgebende zu technischen Überwachungsmassnahmen greifen, mit denen nicht nur (a) geschäftliche, sondern auch (b) private personenbezogene Daten bearbeitet werden.
- Eine allgemeine Information/Einwilligung von Arbeitnehmenden für die Bearbeitung von geschäftlichen Personendaten, beispielsweise im Rahmen einer BYOD-Nutzungsvereinbarung, ist grundsätzlich ausreichend. Eine konkludente Einwilligung wird zudem bei jenen Daten angenommen, welche Arbeitnehmende mit anderen Personen über einen Cloud-Service oder ähnliches Falls keine Einwilligung vorliegt, kann eine Bearbeitung von geschäftlichen personenbezogenen Daten durch die weiteren in Art. 13 DSG aufgeführten Rechtfertigungsgründe (überwiegendes privates/öffentliches Interesse oder gesetzliche Grundlage) legitimiert sein.
- Bei der Bearbeitung von privaten personenbezogenen Daten steht Art. 328b OR im Vordergrund. Wie bereits unter Ziff. 4.3.2 dargelegt, kann diese Bestimmung nicht zuungunsten der Arbeitnehmenden abgeändert werden. Alle Massnahmen zur Überwachung von privaten Geräten müssen deshalb so ausgestaltet sein, dass eine Bearbeitung von personenbezogenen Daten, welche nicht in Bezug zum Arbeitsverhältnis stehen, nicht möglich ist. In diesem Zusammenhang reicht auch eine generelle Einwilligung der betroffenen Person, z.B. durch die Unterzeichnung eines Nutzungsreglements, nicht aus, da sich eine darauf basierende Überwachung regelmässig zuungunsten der Arbeitnehmenden auswirken dürfte. Eine einzelfallbezogene Einwilligung in die Durchsuchung eines privaten Gerätes zugunsten von Arbeitnehmenden wäre jedoch z.B. dann rechtmässig, wenn diese in einer gegen sie gerichteten strafrechtlichen Untersuchung ihre Unschuld beweisen könnten.
Aufgrund der teils komplexen rechtlichen Problemstellungen, welche sich bei der Abgrenzung zwischen geschäftlichen und privaten personenbezogenen Daten bei der Nutzung von privaten Geräten am Arbeitsplatz ergeben, ist es sinnvoll, BYOD detailliert in einen Reglement, welchem die Arbeitnehmenden zuzustimmen haben, zu regeln. Ein solches kann Empfehlungen beinhalten, wie die Nutzerinnen und Nutzer von privaten Geräten einen adäquaten Selbstschutz ihrer Geräte erreichen können (präventive Massnahmen). Zudem können Arbeitgebende darin die für den Zu- griff notwendigen technischen Massnahmen erläutern und den Zweck und die Konsequenzen solcher Massnahmen offenlegen.
Mit Blick auf den Schutz der Privatsphäre von Arbeitnehmenden im Rahmen von BYOD ist ebenfalls relevant, dass diese (insbesondere bei Mobiltelefonen) vereinfacht auch ausserhalb der Arbeitszeit erreichbar sind. Dazu kann auf die vorherigen Ausführungen zur «Entgrenzung zwischen Beruflichem und Privaten» unter supra Ziff. 6.4.2 verwiesen werden.
Ein weiteres Thema, das insbesondere durch die verordnete Pflicht zum Home-Office während der COVID-19 Pandemie an Bedeutung gewonnen hat, betrifft die Frage der Entschädigung von Arbeitnehmenden für die weisungsbedingte Bereitstellung der privaten Infrastruktur (Räume, Internet, Geräte, Strom etc.). Grundsätzlich sieht das Gesetz vor, dass sowohl für die Nutzung privater Geräte (Art. 327 Abs. 2 OR), als auch für andere im Zusammenhang mit der Arbeitserfüllung entstandene Auslagen (Art. 327a OR) von Arbeitgebenden eine Entschädigung zu leisten ist. Dies gilt insbesondere in jenen Fällen, in welchen Arbeitgebende diese Geräte/Infrastruktur nicht von sich aus zur Verfügung stellen. Im Rahmen der Home-Office Pflicht aufgrund von COVID-19 schulden Arbeitgebende Arbeitnehmenden hingegen keine Auslagenentschädigung nach Art 327a OR für die Bereitstellung der privaten Infrastruktur (Strom- und Mietkosten). Von der Pflicht, Arbeitnehmenden die zur Arbeitserfüllung notwendigen Arbeitsmittel (Laptop, Papier etc.) zur Verfügung zu stellen (Art. 327 Abs. 1 OR), sind Arbeitgebende jedoch nicht entbunden.
1.5. Fazit
BYOD schafft die Voraussetzung für mehr Autonomie und Mobilität in der zeitlichen und örtlichen Arbeitsgestaltung von Mitarbeitenden und vereinfacht insbesondere die Telearbeit (supra Ziff. 6). Genau dieser vereinfachte Zugang zur Arbeit kann aber auch einen vereinfachten Zugang von Arbeitgebenden auf das Gerät und die (privaten) Daten von Arbeitnehmenden nach sich ziehen und stellt damit eine Gefahr für deren Privatsphäre dar. Von den in den Konsultationen genannten Beispielen illustrieren insbesondere die Synchronisations- und Zugriffs-Apps, welches Risiko für die Privatsphäre mit der Nutzung privater Geräte zur Arbeitserfüllung einhergehen kann. Nebst einer sorgfältigen Prüfung der arbeits- und datenschutzrechtlichen Auswirkungen solcher Anwendungen ist es deshalb zentral, dass klare Regeln und Grenzen für BYOD für den gesamten Betrieb definiert werden.
IV. SCHLUSSBEMERKUNGEN
Ziel der vorliegenden Untersuchung war es, den aktuellen Digitalisierungsdiskurs im Beschäftigungskontext mit Blick auf die Privatsphäre von Arbeitnehmenden zu vertiefen. Hierfür wurden beispielhaft ausgewählte Szenarien zur Verwendung von digitalen Technologien in Beschäftigungsverhältnissen einer (menschen-)rechtlichen Beurteilung unterzogen. Im Fokus standen aktuelle und zukünftig relevante Technologien, einschliesslich Internet, Videosysteme, GPS, auf Biometrie basierte Systemen sowie Wearables und weitere «intelligente» algorithmische Anwendungen, welche das Potenzial haben, den Arbeitsplatz in eine intelligente Umgebung, einen sog. smart workplace, zu transformieren.
Die Untersuchung zeigt, dass diese Technologien am Arbeitsplatz unterschiedliche Risiken für die Privatsphäre der Arbeitnehmenden mit sich bringen. Im Vordergrund steht einerseits das damit verbundene Potenzial, praktisch unbegrenzt Daten zu erheben, zu verarbeiten, diese zueinander in Beziehung zu setzen und auszuwerten. Im Rahmen von digitalisierten Datenverarbeitungsvorgängen ist es zudem von Bedeutung, dass Technologien nicht, oder nur begrenzt, zwischen privaten und geschäftlichen Daten unterscheiden (können). Von dieser «technologischen Indifferenz» profitieren jene Arbeitgebenden, welche mehr Informationen über ihre Arbeitnehmenden erhalten wollen, als dies für die Erfüllung eines Arbeitsverhältnisses notwendig wäre.
Andererseits fördert die Digitalisierung am Arbeitsplatz in indirekter Weise auch die Entgrenzung von Arbeit und Freizeit im Kontext von flexiblen Arbeitserfüllungsformen – z.B. beim Home-Office oder im Zusammenhang mit BYOD.
Nicht zuletzt aufgrund der aktuellen Erfahrungen im Rahmen der COVID-19 Massnahmen zeigt sich, dass jene Technologien, welche die Persönlichkeit und die Privatsphäre Einzelner tangieren können, digitale Arbeitsplätze und flexible Arbeitserfüllungsformen überhaupt erst möglich machen. Aus einer menschenrechtlichen Perspektive stellt sich deshalb die grundsätzliche Frage, wie die Vorteile digitaler Technologien bestmöglich genutzt werden können, ohne die Grund- und Menschenrechte Einzelner zu beeinträchtigen.
Unterschiedliche regulatorische Ansätze sollen zukünftig dazu beitragen, dass dieses Gleichgewicht erreicht wird. So haben z.B. die in der DSGVO und im neuen Datenschutzgesetz verankerten Instrumente des Datenschutzes durch Technikgestaltung («privacy by design») und der datenschutzfreundlichen Voreinstellungen («privacy by default») das Potenzial, den Schutz der Privatsphäre bereits vor der eigentlichen Datenbearbeitung stärken. Im Kern geht es bei diesen Konzepten darum, einen effektiven Datenschutz nicht nur durch eine reaktive ex post Betrachtung von Datenverarbeitungsvorgängen zu realisieren, sondern technische Prozesse bereits ex ante in Einklang mit den datenschutzrechtlichen Vorgaben zu bringen.
In jenen Fällen, in welchen ein besonders hohes Risiko für die Grund- und Menschenrechte der betroffenen Personen besteht, wird dieser proaktive Ansatz durch die Pflicht ergänzt, eine Datenschutz-Folgenabschätzung – oder privacy impact assessment –, vorzunehmen. Hierbei handelt es sich um das datenschutzrechtliche Äquivalent zum human rights impact assessment.
Während es im Bereich der Digitalisierung unterschiedliche Bestrebungen gibt, die sich durch digitale Technologien stellenden menschenrechtlichen Herausforderungen in normativer Hinsicht zu bewältigen – neben der DSGVO und dem N-DSG gibt es aktuell auch zahlreiche (nicht-verbindliche) Initiativen zu algorithmischen Systemen/KI – so gilt dies nicht im selben Mass für das Arbeitsrecht. Weder auf internationaler, regionaler noch nationaler Ebene gibt es zurzeit konkrete Initiativen, rechtliche Problemfelder im Schnittbereich der Digitalisierung/Privatsphäre aus einer arbeitsrechtlichen Perspektive verbindlich zu regeln. Einzig im Kontext des Home-Office laufen in der Schweiz erste Bemühungen, die Regelungen zur Arbeitszeit anzupassen, um eine zeitlich flexiblere Arbeitserfüllung zu ermöglichen. Diese Flexibilisierung kann sich allerdings je nach Kontext sowohl positiv als auch negativ auf die individuelle Privatsphäre auswirken.
Aus grundrechtlicher Perspektive ist es deshalb notwendig, nicht nur einen datenschutzrechtlichen Ansatz zu verfolgen, sondern auch die arbeitsrechtlichen Instrumente, welche weitergehende Schutzmassnahmen ermöglichen, einzubeziehen. Bei der Weiterentwicklung des rechtlichen Schutzes ist zu beachten, dass auch die (selbstständigen) Arbeitstätigkeiten erfasst werden, welche aktuell (noch) nicht in den Geltungsbereich des Arbeitsrechtes fallen. Ein Beispiel hierfür ist der Personentransportdienst Uber, dessen Fahrerinnen und Fahrer je nach Kanton als (un-)selbstständige Arbeitnehmende qualifiziert werden und welche somit von unterschiedlichen Arbeitsschutzmassnahmen profitieren.
Abschliessend sei darauf hingewiesen, dass mit den vielseitigen grund- und menschenrechtlichen Herausforderungen im Zusammenhang mit der Verwendung von neuen Technologien im Beschäftigungskontext auch die Verantwortung von Arbeitgebenden wächst, diesen Rechten effektiv Geltung zu verleihen.
Zur einfacheren Lesbarkeit wurden die Quellen und Quellenhinweise entfernt.
https://creativecommons.org/licenses/by-sa/4.0/deed.de
http://dx.doi.org/10.48350/163074
SCHWEIZERISCHES KOMPETENZZENTRUM FÜR MENSCHENRECHTE (SKMR), Digitalisierung und Privatsphäre im Arbeitsverhältnis. Rechtliche Grundlagen und aktuelle Problemfelder, verfasst von Kaufmann Christine/ Schuerch Res, Bern 2021