Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts
5 Datenschutzrechtliche Rahmenbedingungen
5.1 Übersicht
Ausgehend von den verschiedenen für People Analytics relevanten Rechtsnormen, die in Kapitel 4 dargelegt worden sind, ist nun auf das Datenschutzrecht (DSG, aber auch Art. 328b OR und Art. 26 ArGV 3) näher einzugehen, weil es den Persönlichkeitsschutz (Art. 28 ZGB, Art. 328 OR) in Bezug auf Datenbearbeitungen konkretisiert. Hierbei sind zunächst einige übergeordnete Überlegungen zum Aufbau und Zweck des DSG anzustellen (dazu sogleich, Unterkapitel 5.2–5.3). Diese Ausgangsdiskussion wird helfen, die übrigen Rechtsbestimmungen im Kontext von People Analytics richtig und angemessen zu verstehen und auszulegen.
Danach ist der Geltungsbereich des DSG abzustecken (Unterkapitel 5.4) und auf die wichtigsten Bearbeitungsregeln ist einzugehen (Unterkapitel 5.5–5.9). Big Data fordert insbesondere die Gebote der Zweckbindung, Erkennbarkeit und Richtigkeit sowie die aus dem Verhältnismässigkeitsprinzip fliessenden Pflichten der Datenminimierung, Speicherbegrenzung und Datenlöschung heraus, die in dieser Reihenfolge vorliegend besprochen werden. Falls die Bearbeitungsregeln verletzt werden, ist zu klären, welche Rechtfertigungsmöglichkeiten hierfür bestehen (Unterkapitel 5.10). Schliesslich ist zu fragen, ob sich die Betriebspraxis bei der Anwendung von People Analytics tatsächlich an die datenschutzrechtlichen Rahmenbedingungen hält (Unterkapitel 5.11).
5.2 Aufbau des Datenschutzgesetzes
Das DSG nimmt eine Sonderstellung unter den Bundeserlassen ein, weil es ein Einheitsgesetz aus öffentlichem und privatem Recht ist. Im vorliegend interessierenden privaten Bereich zielt es primär auf den Schutz der Persönlichkeit beim Informationsaustausch unter Privaten, während im öffentlich-rechtlichen Bereich der Schutz der Grundrechte bei Handlungen staatlicher Behörden im Vordergrund steht (vgl. Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG). Das DSG enthält zunächst Bestimmungen, die generell gelten (Art. 1–11a DSG, Art. 1–25 E-DSG, Art. 1–13 und Art. 16–29 rev-DSG), und anschliessend solche, die nur für das Bearbeiten von Personendaten entweder durch private Personen (Art. 12–15 DSG, Art. 26–28 E-DSG, Art. 30–32 rev-DSG) oder durch Bundesorgane gelten (Art. 16–25bis DSG, Art. 29–38 E-DSG, Art. 33–42 rev-DSG). Schliesslich fol-gen sowohl die Bestimmungen über die Aufsicht als auch die Strafbestimmungen (Art. 26–35 DSG, Art. 39–60 E-DSG, Art. 43–66 rev-DSG).
In dem generell geltenden Teil werden zuerst der Zweck des DSG, der Geltungsbereich und die wichtigsten Begriffe erklärt (Art. 1–3 DSG, Art. 1–4 E-DSG, Art. 1–5 rev-DSG). Sodann statuiert das DSG allgemeine Rechtsgrundsätze und spezifische Datenbearbeitungsregeln. Zu den allgemeinen Rechtsgrundsätzen zählen die Rechtmässigkeit (Art. 4 Abs. 1 DSG, Art. 5 Abs. 1 E-DSG, Art. 6 Abs. 1 rev-DSG), das Handeln nach Treu und Glauben und die Verhältnismässigkeit (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG). Die spezifischen Datenbearbeitungsregeln umfassen die Zweckbindung (Art. 4 Abs. 3 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG), die Erkennbarkeit (Art. 4 Abs. 4 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG) und die Voraussetzungen für eine gültige Einwilligung (Art. 4 Abs. 5 DSG, Art. 5 Abs. 6 E-DSG, Art. 6 Abs. 6–7 rev-DSG). Zusätzlich gelten die Grundsätze der Richtigkeit (Art. 5 DSG, Art. 5 Abs. 5 E-DSG, Art. 6 Abs. 5 rev-DSG) und Datensicherheit (Art. 7 DSG, Art. 7 E-DSG, Art. 8 rev-DSG) und die Bestimmungen zum Auskunftsrecht (Art. 8–10 DSG, Art. 23–25 E-DSG, Art. 25–27 rev-DSG), ebenso die Vorschriften zu Zertifizierungsverfahren (Art. 11 DSG, Art. 12 E-DSG, Art. 13 rev-DSG) und zum Register der Datensammlungen (Art. 11a DSG, vgl. Art. 11 E-DSG, vgl. Art. 12 rev-DSG).
Für das vorliegend zu untersuchende Bearbeiten durch private Personen spezifiziert das DSG, wann von einer Persönlichkeitsverletzung auszugehen ist (Art. 12 DSG, Art. 26 E-DSG, Art. 30 rev-DSG) und wann eine solche gerechtfertigt werden kann (Art. 13 DSG, Art. 27 E-DSG, Art. 31 rev-DSG). Zudem gelten bestimmte Informationspflichten für Private Datenbearbeiter (Art. 14 DSG, vgl. Art. 17 E-DSG, vgl. Art. 19 rev-DSG), und die Rechtsansprüche richten sich nach dem Persönlichkeitsschutz des ZGB (Art. 15 DSG, Art. 28 E-DSG, Art. 32 rev-DSG).
5.3 Zweck des Datenschutzgesetzes
5.3.1 Zwei Aspekte des Zweckartikels des Datenschutzgesetzes
a) Schutz vor Persönlichkeitsrisiken
Der Datenschutz bezweckt in privatrechtlichen Rechtsverhältnissen den Schutz der Persönlichkeit (Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG). Der Datenschutz will somit nicht die Daten schützen, sondern die betroffenen Personen. So verstanden verhält es sich wie beim Regenschutz, der den Träger und nicht den Regen schützt. Die Ausrichtung auf den Schutz der betroffenen Personen bedeutet, dass das DSG die Risiken und allfälligen negativen Auswirkungen von Datenbearbeitungen auf den Menschen minimieren will. Das DSG enthält deshalb einige risikoorientierte Normen.
Die Orientierung am Risiko zeigt sich insbesondere bei den übergeordneten allgemeinen Rechtsgrundsätzen des DSG. Zum einen beinhaltet der Grundsatz von Treu und Glauben (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG) das Gebot der schonenden Rechtsausübung. Danach muss ein Berechtigter für den Fall, dass er von seinem Recht ohne Nachteil auf verschiedene Arten Gebrauch machen kann, diejenige Art der Rechtsausübung wählen, die für den Verpflichteten am wenigsten schädlich ist. Entscheidend für die Einhaltung von Treu und Glauben ist somit eine möglichst geringe negative Aussenwirkung. Zum andern verlangt das Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG), dass eine Datenbearbeitung geeignet, erforderlich und für den Betroffenen zumutbar sein muss. Bei der Prüfung der Zumutbarkeit (Verhältnismässigkeit im engeren Sinne) sind die Interessen der Arbeitgeberin und des Arbeitnehmers abzuwägen. Mit anderen Worten ist der Eingriffszweck der Eingriffswirkung gegenüberzustellen. Daraus ergibt sich, dass die Verhältnismässigkeitsprüfung wirkungs- und risikoorientiert ist.
Die Risikoorientierung wird unter dem rev-DSG beibehalten werden und zunehmen. Beispielsweise wird eine Datenschutz-Folgenabschätzung erforderlich sein, wenn voraussichtlich «ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person» von der Datenbearbeitung ausgeht (Art. 20 Abs. 1 Satz 1 E-DSG, Art. 22 Abs. 1 Satz 1 rev-DSG; vgl. auch Art. 35 Abs. 1 Satz 1 DSGVO). Im ausländischen Schrifttum zeichnen sich weitere Bestrebungen hin zur Risikoorientierung ab.
Die Risikoorientierung des DSG ist nicht unumstritten. Zumindest hinsichtlich des öffentlich-rechtlichen Bereichs des DSG wird kritisiert, dass die Normen teilweise «konturlos» seien. Insbesondere ist der Wunsch nach einer Konkretisierung des datenschutzrechtlichen Verhältnismässigkeitsprinzips an den Gesetzgeber geäussert worden. Auch mit Blick auf das privatrechtliche Datenschutzrecht bleiben die Grundsätze von Treu und Glauben und der Verhältnismässigkeit recht abstrakt. Der zweite Aspekt des DSG-Zweckartikels kann dieser Kritik begegnen, wie sogleich aufgezeigt wird.
b) Regelung der Datenbearbeitungsprozesse
Die Feststellung, dass das DSG den Schutz vor Risiken für die Persönlichkeit bezweckt, kann nicht vollends befriedigen. Wenn allein der Persönlichkeitsschutz erstrebt würde, der privatrechtlich bereits durch Art. 28 ZGB und Art. 328 OR abgesichert ist, käme die Frage auf: Könnte man nicht auf das DSG verzichten?
Das DSG hat aber seine Daseinsberechtigung. Diese ist auf einen weiteren Begriff mit eigenständiger Bedeutung im Zweckartikel zurückzuführen: denjenigen der Datenbearbeitung (vgl. Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG). Dieser Terminus bezieht sich nicht (direkt) auf die Persönlichkeit des Betroffenen, sondern auf die «Daten» selbst (vgl. Art. 3 lit. a DSG, Art. 4 lit. a E-DSG, Art. 5 lit. a rev-DSG) und auf die «Bearbeitungs»-Prozesse, die bei der Datenanalyse ablaufen (vgl. Art. 3 lit. e DSG, Art. 4 lit. d E-DSG, Art. 5 lit. d rev-DSG). Der Mehrwert des Datenschutzrechts besteht somit auch darin, dass es die Bedeutung des Persönlichkeitsschutzes im Zusammenhang mit der Informationsbearbeitung genauer umschreibt bzw. konkretisiert, welche Arten der Datenbearbeitung die Persönlichkeit gefährden können. Dies bedeutet eine Erweiterung des allgemeinen Persönlichkeitsschutzes (Art. 28 ZGB).
Die Interpretation, dass Art. 1 DSG (bzw. Art. 1 E-DSG bzw. Art. 1 rev-DSG) zwei Aspekte der Zwecksetzung enthält (Schutz vor Persönlichkeitsrisiken einerseits, Regelung der Bearbeitungsprozesse andererseits), kann verfassungsrechtlich hergeleitet werden. Das Bundesgericht betrachtet zwar den verfassungsrechtlichen Datenschutz (Art. 13 Abs. 2 BV) als Teilgehalt des Schutzes der Privatsphäre (Art. 13 Abs. 1 BV), so wie dies auch die Marginalie des Art. 13 BV suggeriert. Es hat sich aber, soweit ersichtlich, noch nicht vertieft mit dem Verhältnis der beiden Absätze von Art. 13 BV zueinander befasst. GÄCHTER und EGLI sowie BELSER grenzen das Recht auf Schutz vor Missbrauch persönlicher Daten (Art. 13 Abs. 2 BV) vom Recht auf Schutz der Privatsphäre (Art. 13 Abs. 1 BV) und vom Schutz der persönlichen Freiheit (Art. 10 Abs. 2 BV) ab. Die beiden letztgenannten Grundrechte schützen ein (vorliegend auf Informationen bezogenes) Verhalten und erfordern Interessenabwägungen im Einzelfall, woraus Unsicherheit und Unberechenbarkeit bzgl. des Gehalts der Grundrechte resultieren können. Das erstgenannte Grundrecht reguliert dagegen die Daten, verkörpert eine «strukturelle Garantie» und ist nicht ein Element materieller Interessenabwägung. Es ist «prozedural angelegt» und stellt ähnlich wie die Verfahrensgarantien (Art. 29 BV) Anforderungen an das formelle (Verfahrens- und Organisations-)Recht. Das verfassungsrechtliche Datenschutzrecht ist in diesem Sinn ein «Datenverkehrsrecht», das dem Persönlichkeitsschutz dient. So wie die Verfassungsrechtler zwischen Abs. 1 und 2 von Art. 13 BV unterscheiden, werden vorliegend auf Gesetzesstufe zwei verschiedene Aspekte in der Zwecksetzung in Art. 1 DSG (bzw. Art. 1 E-DSG bzw. Art. 1 rev-DSG) gelesen.
In Erfüllung des Auftrags, die Bearbeitungsprozesse zu regulieren, statuiert das DSG überwiegend prozessorientierte Normen. Die Bestimmungen des DSG drehen sich um die Daten und das Verfahren der Beschaffung, Analyse und Löschung von Daten: Auf diese Weise werden etwa Kategorien von Daten definiert (Art. 3 lit. a und c DSG, Art. 4 lit. a und c E-DSG, Art. 5 lit. a und c rev-DSG) und Grundsätze der Bearbeitung statuiert (Art. 4 ff. DSG, Art. 5 ff. E-DSG, Art. 6 ff. rev-DSG). Von einer Persönlichkeitsverletzung geht das DSG aus, wenn formelle Verhaltensrichtlinien übertreten werden, etwa durch den Verstoss gegen die genannten Bearbeitungsgrundsätze, durch eine Bearbeitung gegen den ausdrücklichen Willen des Betroffenen oder durch Bekanntgabe besonders schützenswerter Personendaten oder Persönlichkeitsprofile (Art. 12 Abs. 2 lit. a–c DSG, Art. 26 Abs. 2 lit. a–c E-DSG, Art. 30 Abs. 2 lit. a–c rev-DSG).
Die gleiche Feststellung, dass sich das Datenschutzrecht mehrheitlich mit den Bearbeitungsprozessen beschäftigt, gilt auch im internationalen Umfeld hinsichtlich der DSGVO, der OECD-Leitlinien 1980 und der US-amerikanischen Fair Information Practice Principles (FIPP).
Auch die prozessorientierten Normen des DSG sehen sich der Kritik ausgesetzt. Naheliegend ist der Vorwurf, dass Bestimmungen, die primär die Daten und Bearbeitungsverfahren regeln, höchstens indirekt und ungenügend die Persönlichkeit schützen. Sie können nicht alle Faktoren umfassend berücksichtigen, welche das für die Persönlichkeit relevante Ergebnis beeinflussen. Die Wirkung einer Datenbearbeitung ergibt sich nicht allein aus der Bearbeitungshandlung; auch andere, davon unabhängige oder nachgelagerte Faktoren spielen eine Rolle. So kommt es zur paradoxen Situation, dass gewisse Unternehmen das Datenschutzrecht vollkommen einhalten mögen, die Betroffenen aber dennoch Persönlichkeitsverletzungen erfahren. Der Gesetzgeber sollte beobachten, ob die von ihm geschaffenen Bestimmungen ihre Wirkung erzielen. Ein weiterer Kritikpunkt dreht sich um die Prinzipien der Verhältnismässigkeit (Art. 5 Abs. 2 BV) und Subsidiarität (Art. 5a BV). Es wird beanstandet, dass bereits die vorgelagerten Gefährdungshandlungen verboten werden statt wie üblich erst die tatsächliche Beeinträchtigung der Persönlichkeit (Erfolg). Das DSG bleibt manchmal eine Präzisierung schuldig, inwiefern die Missachtung der Bearbeitungsformalien die Persönlichkeit (immer) verletzt. Schliesslich taucht der Einwand auf, dass Bestimmungen zu den Mitteln des Datenschutzes angesichts des technischen Fortschritts rasch an Aktualität einbüssen, während ergebnisorientierte Normen beständiger sind.
5.3.2 Risikoorientierte Auslegung der prozessorientierten Regeln
a) Allgemeines
Die Kritik an den risiko- und prozessorientierten Datenschutzbestimmungen zeigt, dass weder ein rein risiko- noch ein rein prozessorientiertes Verständnis des Datenschutzrechts genügen können. Es braucht verfahrensbezogene Normen, um den Persönlichkeitsschutz im Datenkontext zu konkretisieren. Doch müssen diese Prozessnormen nach der hier vertretenen Auffassung risikoorientiert ausgelegt werden. Der im Zweckartikel festgehaltene Bezug zum Persönlichkeitsschutz und zu den Grundrechten muss die Leitlinie für die Auslegung der einzelnen Datenschutzbestimmungen sein. Auch das bundesrätliche Verordnungsrecht verlangt diese Risikoorientierung. Beispielsweise beurteilt es nach den möglichen Risiken der Datenbearbeitung für die betroffenen Personen, welche Massnahmen der Datensicherheit ergriffen werden müssen (Art. 8 Abs. 2 lit. c VDSG).
Der Schritt zur risikoorientierten Auslegung erlaubt es, die sonst relativ starr formulierten prozessorientierten Normen flexibel anzuwenden. Doch der richtige Umgang mit dieser Flexibilität kann schwierig sein. Das DSG verlangt von der privatrechtlichen Rechtsanwenderin, zahlreiche Wertentscheide zu treffen. Dies ist im Bereich der öffentlich-rechtlichen Datenbearbeitung anders, da die Behörden für jede Datenbearbeitung eine gesetzliche Grundlage benötigen und sich damit auf vorweg vom Gesetzgeber getroffene Wertungen abstützen können.
Um das Finden eines angemessenen Wertentscheids zu erleichtern, wird der Autor der vorliegenden Arbeit nun einige allgemeine Parameter erarbeiten, wobei die Aufzählung nicht abschliessend ist. Die Parameter werden illustrieren, wie eine risikoorientierte Auslegung von Prozessnormen in der Praxis funktionieren könnte (dazu sogleich). Weitere, spezifischere Kriterien für eine risikoorientierte Auslegung werden anschliessend bei der Besprechung der jeweiligen DSG-Bestimmungen erörtert.
b) Parameter für die risikoorientierte Auslegung
aa) Unterscheidung von Wissensgewinnung und -anwendung
Mit Bezug auf den Daten-Lebenszyklus sind die Phasen der Datenbeschaffung, -analyse und -wiederaufbereitung, die der Wissensgewinnung dienen, gedanklich zu trennen von der Phase der Datennutzung, in dem die Erkenntnisse angewendet werden. Bei der Nutzung entstehen die Auswirkungen auf die Umwelt und die beschriebenen Rechtsprobleme. In dieser Phase ist eine restriktive Handhabung des Datenschutzrechts geboten. Das Datenschutzrecht sollte sich nach verbreiteter Meinung stärker an den Konsequenzen der Datenbearbeitung bzw. der Auswirkung auf die Persönlichkeit des Betroffenen ausrichten statt am Verhalten der Bearbeiter. Dagegen sollte die Wissensgewinnung in den Phasen der Beschaffung, Analyse und gegebenenfalls der Wiederaufbereitung von Daten relativ freizügig gewährt werden.
Die Unterscheidung von Wissensgewinnung und -anwendung liegt in der Gedankenfreiheit begründet. Beim Prozess der Datenbearbeitung handelt es sich im Grunde genommen um ein Gedankenexperiment, solange die Erkenntnisse nicht auf die Umwelt angewendet werden. An dieser Stelle ist daran zu erinnern, dass der Begriff der Daten nicht auf Angaben in digitaler Form beschränkt ist. Die Prozesse, die ein menschliches Gehirn mit Daten ausführt, sind vergleichbar mit dem, was eine Maschine aus den digitalen Daten macht. Theoretisch könnte das DSG – anders als das Übereinkommen 108 und die DSGVO – Geltung beanspruchen, wenn ein Mensch Informationen über einen andern in seinem Gehirn sammelt: Es handelt sich hier um ein von den angewandten Mitteln und Verfahren unabhängiges Bearbeiten (Art. 3 lit. e DSG, Art. 4 lit. d E-DSG, Art. 5 lit. d rev-DSG) von Angaben (Art. 3 lit. a DSG, Art. 4 lit. a E-DSG, Art. 5 lit. a rev-DSG) über eine bestimmte betroffene Person (Art. 3 lit. b DSG, Art. 4 lit. b E-DSG, Art. 5 lit. b rev-DSG) durch eine private Person (Art. 2 Abs. 1 lit. a DSG, Art. 2 Abs. 1 lit. a E-DSG, Art. 2 Abs. 1 lit. a rev-DSG).
Trotz der Parallelen zu maschinellen Datenbearbeitungen reguliert das DSG die Vorgänge im Gehirn nicht: Es statuiert eine Ausnahme für Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt (Art. 2 Abs. 2 lit. a DSG, vgl. Art. 2 Abs. 2 lit. a E-DSG, vgl. Art. 2 Abs. 2 lit. a rev-DSG). Es wäre schlicht unmöglich, in jemandes Kopf hineinzusehen, wie bereits eines der politischsten deutschen Volkslieder weismacht: «Die Gedanken sind frei. Wer kann sie erraten?» Ausserrechtliche Normen lenken das Spiel der Gewährung und Verweigerung von Information auf Ausgangs- wie Empfängerseite. Die Gedankenfreiheit ist somit (zumindest teilweise) von Natur gegeben und existiert unabhängig vom Willen des Gesetzgebers. Das Recht zahlt hier einen Preis dafür, dass es eben Recht und nicht Gewalt ist: Es kann Informationsflüsse nicht umfassend regeln, weil es selber Information ist.
Aufgrund der beschränkten Möglichkeiten hält sich das Recht bei der Informationsregulierung zurück. Es gelten die Glaubens- und Gewissensfreiheit sowie die Meinungs- und Informationsfreiheit (Art. 15 und 16 BV). Das DSG basiert auf dem Ansatz, dass Datenbearbeitungen unter Privaten wegen der Privatautonomie grundsätzlich zulässig sind. Auch gibt es – unter Ausnahme des numerus clausus der Immaterialgüterrechte – keine informationsrechtlichen (Rechts-)Positionsgarantien. Das Recht gewährt Informationsansprüche nur, wenn es hierfür einen besonderen Rechtfertigungsgrund gibt. Von Motiven der Gleichbehandlung und Transparenz motiviert sind beispielsweise die Informationspflicht der Erben (Art. 610 Abs. 2 ZGB) und die Ad-hoc-Publizitätspflichten für börsenkotierte Gesellschaften (Art. 53 und 54 KR SIX). Die Mitwirkungspflicht im Prozess (Art. 160 ZPO) dient der Wahrheitsfindung.
Die Gedankenfreiheit ist aber nicht nur naturgegeben, sondern leitet sich auch vom (Natur-)Recht ab und muss vom Souverän gewährleistet werden. Hierfür machten sich schon der englische Staatstheoretiker, Philosoph und Mathematiker HOBBES (1588–1679) und der französische Staatstheoretiker und Philosoph MONTESQUIEU (1689–1755) stark. Auf den Punkt bringt es aber Roderich, Marquis von Posa, in SCHILLERS «Don Carlos», als er im Geiste des aufgeklärten Absolutismus vom spanischen König Philipp II. fordert: «Geben Sie Gedankenfreiheit.» Die Rechtsordnung muss somit die Rahmenbedingungen für die freien Gedanken und Informationsflüsse schaffen. Die Meinungsfreiheit setzt einen (realen oder virtuellen) geschützten Vorhof voraus, in dem die Meinung frei gebildet werden kann, bevor sie für die Meinungsäusserung reif ist.
Insgesamt ist von der Analogie über Vorgänge im menschlichen Gehirn und von den Ausführungen zur Gedankenfreiheit mitzunehmen, dass die Innen- und die Aussenwelt unterschieden werden müssen. Die Persönlichkeit kann erst Schaden leiden, wenn Informationen vermittelt, also wahrnehmbar gemacht werden. Eine risikoorientierte Auslegung von Datenschutzbestimmungen setzt voraus, sich zu vergegenwärtigen, ob man sich in der Phase der Wissensgewinnung oder der -anwendung befindet. Beispielsweise könnte eine risikoorientierte Auslegung des Zweckbindungsgebots (Art. 4 Abs. 3 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG) Folgendes bedeuten: Es genügt, den Zweck der Datenbearbeitung relativ grob zu umschreiben, solange es nur um die Analyse von Daten geht. Demzufolge wäre auch ein überwiegend exploratives Untersuchen von Datensätzen erlaubt. Doch wenn das aufgedeckte Wissen auf Personen angewendet werden soll, müssen der Zweck und die Konsequenzen für die Betroffenen klar und eng umschrieben sein.
bb) Intensität der Wissens- und Machtasymmetrie
Die Intensität der Wissens- und Machtasymmetrie zwischen Arbeitgeberin und Arbeitnehmern ist ein weiteres Mass zur Bestimmung des Risikos, das einer Datenbearbeitung innewohnt. Die Manipulationsgefahr, die mit People Analytics verbunden ist, reduziert sich, wenn die Arbeitnehmer über die Datenbearbeitungen informiert sind und der Arbeitgeberin bzgl. Wissensstand auf Augenhöhe begegnen können. Deshalb sollte bei der Auslegung der DSG-Pflichten gewichtet werden, ob in einem Betrieb das Informations- und das Mitspracherecht aktiv gelebt werden. Eine mögliche Auslegung des Datenminimierungsgebots wäre beispielsweise, Datenerhebungen ziemlich grosszügig zu tolerieren, sofern durch die Mitwirkung die Wissensasymmetrie zwischen Arbeitgeberin und Arbeitnehmer reduziert wird.
cc) Datenherkunft, Nutzung von Interoperabilität
Eine risikoorientierte Auslegung des Geltungsbereichs des DSG bedeutet auch, die Herkunft der Daten einzubeziehen. Es ist zwischen direkt hergegebenen, beobachteten und abgeleiteten Daten zu unterscheiden. Direkt hergegebene Daten werden vom Arbeitnehmer selbst anderen Personen überlassen, sei es freiwillig oder wegen einer gesetzlichen oder vertraglichen Pflicht. Beobachtete Daten werden nicht vom Betroffenen jemand anderem überlassen, sondern eben von Dritten beobachtet. Abgeleitete Daten werden aus der Analyse anderer Daten oder aus der Kombination verschiedener Daten gewonnen. Die Kombination ist möglich wegen der Interoperabilität, die vorliegend als eines der Kernelemente von People Analytics herausgearbeitet wurde.
Bei Nutzung der Interoperabilität von Datensätzen können besonders schützenswerte Erkenntnisse aus der Zusammenführung verschiedener, für sich allein genommen harmloser Daten abgeleitet werden. Wie bei Mosaiksteinen, deren Bedeutung erst erkennbar wird, wenn sie zu einem Bild zusammengesetzt werden, sagen die einzelnen Datenpunkte als Gesamtwerk mehr aus als die Summe ihrer Teile. Die Akkumulation (das Mosaikbild) macht die Sensibilität der Daten aus, nicht die einzelnen Datenpunkte (Mosaiksteine). Auch können heute anonyme Daten morgen durch das Zusammenführen einen Personenbezug erhalten. Die Existenz abgeleiteter Daten ist den betroffenen Individuen oft nicht bewusst, weshalb sie deren Entstehung und Nutzung kaum kontrollieren können. Abgeleitete Daten sollten daher ein eigenständiges Datenschutzanliegen sein. Dies bedeutet nach vorliegender Meinung, dass das DSG restriktiver ausgelegt werden sollte, wenn es um abgeleitete Daten geht. Weniger strenge Regeln sollten hingegen bei direkt hergegebenen Daten gelten, da der Betroffene hier eher den Überblick und die Kontrolle behält. Für beobachtete Daten ist ein Mittelweg der Auslegung zu finden.
In diesem Zusammenhang ist auch zu erwähnen, dass die Kombination verschiedener interoperabler Technologien für die Interpretation des DSG eine Rolle spielt. Es besteht etwa ein höheres Schutzbedürfnis, wenn Überwachungssysteme kombiniert mit Identifikationssystemen im Einsatz sind, als wenn ein Überwachungssystem allein vorhanden ist. Diesem Bedenken tragen die Datenschutzgesetze des Bundes und der Kantone nach der hier vertretenen Auffassung nicht gebührend Rechnung, weil sie weitgehend technikneutral formuliert sind. Die technikneutral verfassten Bestimmungen sollten einzelfallweise verschieden ausgelegt werden, d.h. restriktiver, wenn mehrere interoperable Technologien gleichzeitig angewendet werden, oder aber freizügiger, wenn bloss eine einzelne Technologie aufs Mal im Einsatz ist.
dd) Umfang der Datenbearbeitung
In der Regel dürfte das Risiko für die Persönlichkeit tiefer ausfallen, je weniger Daten bearbeitet werden. Der Umfang der Datenbearbeitung ist etwa mitentscheidend für die Beurteilung, ob die technischen und organisatorischen Massnahmen der Datensicherheit genügend sind (vgl. Art. 8 Abs. 2 lit. b VDSG). Des Weiteren sieht das künftige Recht eine De-Minimis-Regel bzgl. der Pflicht zur Erstellung eines Verzeichnisses der Bearbeitungstätigkeiten vor (Art. 11 Abs. 5 E-DSG, Art. 12 Abs. 5 rev-DSG). Diese Erleichterung wird in Abhängigkeit der Anzahl Beschäftigter zugestanden. Diese quantitative Referenzgrösse ist zwar praktikabel, doch würden die Anzahl der Daten pro Betroffenem, die Zahl der Bearbeitungsschritte, die Dauer oder die Komplexität mehr über das Risikopotenzial aus-sagen. So wie der Gesetzgeber eine De-Minimis-Regelung vorsieht, sollten auch die rechtsanwendenden Behörden bei der Auslegung des DSG vorgehen: Sind die quantitativen Elemente der Datenbearbeitung gering, sollte dies berücksichtigt werden. Weniger Daten fallen beispielsweise an, wenn eine Datenbearbeitung nicht ubiquitär erfolgt. Das Merkmal der Ubiquität ist etwa beim besprochenen virtuellen Karriereassistenten nur schwach ausgebildet, weshalb von dieser Anwendung geringere Risiken für die Persönlichkeit der Arbeitnehmer ausgehen.
ee) Gezielter Personenbezug
Für die risikoorientierte Auslegung kann auch der Zweck der Datenbearbeitung ausschlaggebend sein. Beispielsweise bildet der Zweck der Datenbearbeitung ein Kriterium für die Beurteilung, ob die ergriffenen technischen und organisatorischen Massnahmen der Datensicherheit angemessen sind (Art. 8 Abs. 2 lit. a VDSG). ROSSNAGEL sieht tiefere Risiken bei Datenbearbeitungen «ohne gezielten Personenbezug», d.h. zur Erbringung einer rein technischen Funktion. Für solche Datenbearbeitungen schlägt er eine spezielle Auslegung des Datenschutzrechts vor: Einerseits könnte eine Lockerung erlauben, auf eine vorherige Information der betroffenen Personen zu verzichten, und der Anspruch auf Auskunft über einzelne Daten würde nicht bestehen, um kontraproduktive Protokollverfahren zu vermeiden. Andererseits müssten ein strenges Datenminimierungs-Gebot und Zweckentfremdungs-Verbot sowie eine Löschpflicht sofort nach der Bearbeitung greifen. Ähnlich differenziert die DSGVO: Sie sieht Erleichterungen vor, wenn für die Zwecke der Bearbeitung eine Identifizierung der betroffenen Person nicht erforderlich ist (vgl. E. 57 und Art. 11 DSGVO). Umgekehrt liegt gemäss der Art.-29-Datenschutzgruppe ein Indiz für ein hohes Risiko vor, wenn ein Unternehmen «systematisch» die Tätigkeiten seiner Angestellten überwache, wie beispielsweise ihre Internetnutzung.
In der Schweiz aber differenzieren soweit ersichtlich weder das DSG noch das rev-DSG danach, ob eine Datenbearbeitung gezielt personenbezogen erfolgt oder nicht, was bedauerlich ist. Das Arbeitnehmerschutzrecht versucht, sich des Anliegens, den gezielten Personenbezug zu berücksichtigen, anzunehmen. Es gilt das Verbot für Systeme, die das Verhalten der Arbeitnehmer überwachen (vgl. Art. 26 ArGV 3). Dieses Verbot ist aber zu starr formuliert und entbehrt einer genügenden Rechtsgrundlage, wie sogleich dargelegt wird. Daher besteht im schweizerischen Rechtsraum noch Potenzial für Konkretisierungen durch den Gesetzgeber, welche generellen Erleichterungen gelten sollen, wenn ein gezielter Personenbezug fehlt.
5.3.3 Risikoorientierung am praktischen Beispiel der Verhaltensüberwachung
a) Verordnung und frühere Rechtsprechung
Die vorstehend vorgeschlagene Lösung, die prozessbezogenen Bestimmungen des Datenschutzrechts risikoorientiert auszulegen und anzuwenden, soll am Beispiel der Verhaltensüberwachung dargestellt werden. Im Fall der Verhaltensüberwachung am Arbeitsplatz existiert eine prozessorientierte Verordnungsbestimmung (Art. 26 ArGV 3). Die diesbezügliche Rechtsprechung hat sich aber von einer prozessorientierten weg und hin zu einer risikoorientierten Anwendung des Datenschutzrechts bewegt, wie sogleich aufzuzeigen ist.
Gemäss der bundesrätlichen Verordnung dürfen Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, nicht eingesetzt werden (Art. 26 Abs. 1 ArGV 3). Mit einem «System» ist eine Datenbearbeitungs-Anlage als Einheit gemeint, bestehend aus Rechner, Programm und gegebenenfalls weiteren Modulen. Ein System, das «überwachen soll», liegt vor, wenn es objektiv dazu geeignet ist. Unzulässig sind Überwachungssysteme, wenn sie ausschliesslich oder vorwiegend die Kontrolle des Verhaltens der Arbeitnehmer bezwecken. Nur ausnahmsweise sind die beschriebenen Überwachungs- und Kontrollsysteme zulässig, nämlich wenn sie aus andern Gründen erforderlich sind; dann sind sie insbesondere so zu gestalten und anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigt werden (Art. 26 Abs. 2 ArGV 3). Der «andere Grund» muss gegenüber dem Überwachungsmotiv klar überwiegen.
Gestützt auf die Verordnungsbestimmung (Art. 26 ArGV 3) erachtete das Bundesgericht 2004 ein GPS-System von damals als verhältnismässiges Mittel zur Überwachung einer Fahrzeugflotte. Die Arbeitgeberin hatte es zum Zweck des Diebstahlschutzes, der Arbeitsorganisation und der Überprüfung der Arbeitsverrichtung in ihren Fahrzeugen installiert. Das System zeichnete die geografische Position des Fahrzeugs und die Parkdauer bei einem Kunden auf. Es liess jedoch keine Schlüsse zu, ob oder wie ein Arbeitnehmer seine Arbeit verrichtete, weshalb die Gefahr einer Verhaltensüberwachung limitiert war.
Im selben, rechtskräftigen Entscheid bestätigte die zweite öffentlich-rechtliche Abteilung des Bundesgerichts die Verordnungsbestimmung des Bundesrats: Entscheidend für die Beurteilung, ob ein Überwachungssystem zulässig ist oder nicht, seien die Beweggründe («motifs»), die für ihre Einführung massgebend gewesen seien, und die Zwecke («buts»), welche ihr Einsatz verfolge, aber weniger die Art («type») der Überwachung und deren Auswirkungen («effets»). Die Verordnungund die damalige Rechtsprechung sind prozessorientiert, weil sie sich am Zweck der Datenbearbeitung ausrichten, welcher in der Phase der Wissensgewinnung festgelegt wird. Hingegen sollte gemäss Verordnung und früherer Rechtsprechung der Effekt der Datenbearbeitung, welcher in der Phase der Wissensanwendung eintritt, belanglos sein. Das Bundesgericht bestätigte ausdrücklich die Gesetzmässigkeit von Art. 26 ArGV 3.
b) Aktuelle Rechtsprechung
Heutzutage sind GPS-basierte Gesamtüberwachungssysteme verfügbar, die das Verhalten wesentlich detaillierter aufzeichnen als frühere GPS-Systeme: Das vorgestellte System ORION von UPS lokalisiert die Fahrzeuge, verwertet geografische Daten (z.B. Adressen, Landkarten) und erhebt Daten über die Pakete (z.B. Absende- und Zustellungszeitpunkt). Gestützt darauf errechnet ein Algorithmus die kürzeste Fahrstrecke für die zu verteilenden Pakete. Dadurch sinken Treibstoffverbrauch und Fahrerbedarf und steigt die Anzahl zugestellter Pakete. Sensoren melden im Voraus, wann Fahrzeugteile ersetzt werden müssen. Sie zeichnen auch auf, wann der Fahrer die Tür öffnet, das Fahrzeug sichert, wann sein Fuss das Bremspedal berührt, wann der Motor leerläuft und wann der Fahrer die Sicherheitsgurte anschnallt.
Es stellt sich die Frage, ob ORION und andere heutige GPS-basierte Gesamtüberwachungssysteme zu einem wesentlichen Teil das Verhalten aufzeichnen und nach Art. 26 ArGV 3 zu verbieten sind. Für die Beantwortung dieser Frage ist ein jüngeres Urteil aus dem Jahr 2009 heranzuziehen. Die strafrechtliche Abteilung des Bundesgerichts hat entschieden, dass es an einer genügenden Delegationsnorm in einem Gesetz im formellen Sinn fehlt, welche den Bundesrat zum Erlass einer Verordnungsnorm betreffend die Überwachung der Arbeitnehmer am Arbeitsplatz ermächtigen würde (vgl. Art. 182 Abs. 1 BV).
Aufgrund der fehlenden Gesetzmässigkeit ist Art. 26 Abs. 1 ArGV 3 «einschränkend auszulegen»: Nur «soweit sie geeignet sind, die Gesundheit oder das Wohl-befinden der Arbeitnehmer zu beeinträchtigen», dürfen Überwachungs- und Kontrollsysteme, die das Verhalten der Angestellten am Arbeitsplatz überwachen sollen, nicht eingesetzt werden. Diese Änderung der Rechtsprechung bedeutet eine Neuorientierung, weg vom Prozess, hin zum Ergebnis: Entscheidend ist, ob es zu einer Gesundheitsbeeinträchtigung kommt. Diese ist nicht eo ipso gegeben, wenn ein Überwachungssystem (hauptsächlich) der Überwachung dient.
Anstatt allein auf das K.-o.-Kriterium des Bearbeitungszwecks abzustellen, beurteilt das Bundesgericht das Risiko für die Gesundheit anhand mannigfaltiger Massstäbe: Neben dem Zweck sind insbesondere die Häufigkeit und die Dauer der Überwachung massgebend sowie die Art der vom System erfassten Tätigkeiten. Weitere Kriterien sind die eingesetzte Technik, die verwendete Datenmenge, die Zugänglichkeit der Informationen und die Relevanz, welche die Daten hinsichtlich des Persönlichkeitsrechts des Betroffenen aufweisen (Sensibilität der Informationen, Anzahl betroffener Persönlichkeitsaspekte). Daher kann ein Überwachungssystem, das den Arbeitnehmer nur sporadisch und kurzzeitig bei bestimmten Gelegenheiten erfasst, erlaubt sein, selbst wenn es (hauptsächlich) der gezielten Überwachung des Verhaltens der Arbeitnehmer am Arbeitsplatz dient. Die Überwachung muss im Vergleich zum beabsichtigten Zweck ein verhältnismässiges Mittel (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG) darstellen. Verboten ist die ständige generelle Verhaltensüberwachung.
Bei heutigen GPS-Ausrüstungen von Flotten ist somit zu prüfen, ob aus ihnen eine überwachende Wirkung und damit eine Gesundheitsbeeinträchtigung für die Arbeitnehmer resultiert. Unerheblich ist dagegen, ob eine überwachende Wirkung in der Absicht der Arbeitgeberin liegt und dem Sinn der technischen Einrichtung entspricht. Bei einem System wie ORION, das den Fahrer anweist, die Sicherheitsgurte anzuschnallen, bevor er den Motor anlässt, um Benzin zu sparen, und welches für eine geringe Abweichung von der algorithmisch optimalen Route eine Rechtfertigung verlangt, erscheint eine überwachende Wirkung gegeben. Berichten zufolge erleben die Fahrer Stress, Angst und Erschöpfung in Form von kalten Schweissausbrüchen, Atemproblemen und Panikattacken. Problematisch erscheinen auch Geolokalisierungs-Sensoren, die der Arbeitnehmer direkt auf sich trägt, so beispielsweise die Paketscanner der Lagerhallenarbeiter von FedEx und Amazon, welche die Arbeitsgeschwindigkeit vorschreiben und bei Pausen ausserhalb der regulären Zeiten Alarm schlagen. Ein Kriterium für die Einstufung der überwachenden Wirkung muss auch der Datenzugriff sein: Kann sich der Arbeitnehmer selbst mit seiner Leistung in der Vergangenheit vergleichen, wie etwa bei MyAnalytics von Microsoft, ist People Analytics eine Hilfe zum Selbstmanagement. Können dagegen auch Vorgesetzte und Arbeitskollegen die Resultate einsehen, kann Stress entstehen. Auch der gut gemeinte Ansatz, Arbeit zu einem Wettbewerb gleich einem Spiel auszugestalten, bei dem alle im Unternehmen permanent gegenseitig ihren Punktestand sehen (sog. gamification), kann eine überwachende Wirkung entfalten.
Zusammenfassend hat sich nach der Einschätzung des Autors die Rechtslage betreffend die Systeme zur Überwachung und Kontrolle des Verhaltens der Arbeitnehmer am Arbeitsplatz gewandelt: Während zunächst mit dem Bearbeitungszweck eine Prozessmodalität im Fokus stand, gibt heute mit der Gesundheitsbeeinträchtigung das Ergebnis den Ausschlag über die Zulässigkeit eines Überwachungssystems. Früher, als einzig der Bearbeitungszweck (Überwachung und Kontrolle) über die Zulässigkeit entschieden hat, konnte ein System bereits unzulässig sein, wenn die Gefahr für die Gesundheit der Arbeitnehmer rein abstrakter Natur war. Seit der Änderung der Rechtsprechung von 2009 entscheidet hingegen die konkrete Auswirkung der Verhaltensüberwachung auf die Gesundheit über die Zulässigkeit des erwähnten Systems. Das Bundesgericht legt Art. 26 ArGV 3 somit risikoorientiert aus.
5.3.4 Zwischenfazit zum Zweck des Datenschutzgesetzes
Das DSG bezweckt im privatrechtlichen Bereich den Schutz vor Persönlichkeitsverletzungen bei der Bearbeitung von Personendaten. Diese Zwecksetzung erfordert nach den vorliegend gewonnenen Erkenntnissen einerseits den Erlass risikoorientierter Bestimmungen, die den Persönlichkeitsschutz statuieren. Andererseits sind prozessorientierte Normen nötig, welche die zulässigen Datenbearbeitungsverfahren konkretisieren; dadurch erhält das DSG eine eigenständige Bedeutung neben dem allgemeinen Persönlichkeitsschutz (Art. 27–28 ZGB). Die gegenwärtigen Normen des DSG setzen sich mehrheitlich mit der Beschaffenheit der Daten und dem Prozess ihrer Bearbeitung auseinander. Diese prozessbezogene Regulierungsart kann dazu führen, dass Datenbearbeitungen DSG-konform erscheinen, obwohl sie eine Wirkung entfalten, die die Persönlichkeit des Betroffenen verletzt. Umgekehrt können strenge Bearbeitungsregeln Anwendungen von People Analytics behindern, denen ein geringes Verletzungspotenzial innewohnt.
Um die Probleme der prozessorientierten DSG-Bestimmungen zu entschärfen, wird vorliegend eine risikoorientierte Auslegung der entsprechenden Normen vorgeschlagen. Gemäss der aktuellen Rechtsprechung bzgl. des Verhaltensüberwachungsverbots (Art. 26 ArGV 3) entscheidet die persönlichkeitsbeeinträchtigende Wirkung einer Datenbearbeitung über deren Zulässigkeit und nicht mehr allein der Bearbeitungszweck. Dies bedeutet einen Wandel von einer prozess- zu einer risikoorientierten Interpretation des Datenschutzrechts. Diese risikoorientierte Lesart wird im Folgenden die Besprechung der weiteren DSG-Bestimmungen prägen.
5.4 Geltungsbereich des Datenschutzgesetzes
5.4.1 Überblick
Die sachliche Anwendbarkeit des Datenschutzrechts ist auf das Vorliegen einer besonderen Kategorie von Daten, nämlich Personendaten, beschränkt, während anonyme Daten nicht dem DSG unterstehen (dazu sogleich). Diese Denkweise nach Datenkategorien kann zu Schwierigkeiten führen bei der Frage, ob Typisie-rungen datenschutzrechtlich erfasst sein sollen. Nach der vorliegend vertretenen Meinung werden die Typisierungen, die ein hohes persönlichkeitsschutzrechtliches Gefährdungspotenzial aufweisen, durch das DSG erfasst.
5.4.2 Unterscheidung zwischen Personendaten und Sachdaten
Das DSG ist sachlich anwendbar auf die Bearbeitung von Personendaten (Art. 2 Abs. 1 DSG, Art. 2 Abs. 1 E-DSG, Art. 2 Abs. 1 rev-DSG). Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG, Art. 4 lit. a E-DSG, Art. 5 lit. a rev-DSG). Eine Person ist bestimmt, wenn sich direkt aus der Information selbst ergibt, dass es sich genau um diese Person handelt. Dies ist beispielsweise bei einem Personalausweis der Fall. Bestimmbar ist eine Person, wenn sich ihre Identität indirekt anhand der Kombination verschiedener Informationen ermitteln lässt (z.B. aufgrund von Sachen, die einem Angestellten gehören). Bei zahlreichen People Analytics-Anwendungen besteht der Zweck darin, Informationen über bestimmte Arbeitnehmer zu gewinnen, weil besonders Daten über Gehalt, Leistung, berufliche Entwicklung, Anstellungsdauer, Geschäftskosten-Rückgewinnung und Compliance interessieren. Somit liegen bei People Analytics oft Personendaten vor.
Sachdaten sind demgegenüber kein Schutzobjekt des DSG, d.h., sie werden nicht durch das DSG reguliert. Sie weisen keinen Personenbezug auf, und dieser lässt sich auch nicht herstellen. Zu den Sachdaten zählen anonymisierte Personendaten, sofern die Anonymisierung irreversibel ist, und statistische Erkenntnisse. Der Begriff der «Sachdaten» kommt im DSG zwar nicht vor, und «anonymisierte Daten» finden nur am Rande Erwähnung (Art. 21 Abs. 2 lit. a, Art. 22 Abs. 1 lit. a DSG; Art. 34 Abs. 2 lit. a, Art. 35 Abs. 1 lit. a E-DSG; Art. 38 Abs. 2 lit. a, Art. 39 Abs. 1 lit. a rev-DSG). Die Existenz dieser Datenkategorien ergibt sich aber e contrario aus dem DSG (vgl. Art. 2 Abs. 1 i.V.m. Art. 3 lit. a DSG, Art. 2 Abs. 1i.V.m. Art. 4 lit. a E-DSG, Art. 2 Abs. 1 i.V.m. Art. 5 lit. a rev-DSG) und ist in der Rechtsprechung und vom EDÖB anerkannt.
Die Kategorisierung in Personen- und Sachdaten bietet in vielen Fällen eine trennscharfe Handhabe, um Sachverhalte entweder dem DSG zu unterstellen oder von ihm zu befreien. Ist eine Anonymisierung beabsichtigt, so ist der Umgang mit dem Ergebnis der Anonymisierung – den anonymisierten Daten – datenschutzrechtlich irrelevant. Der durch People Analytics gewonnene, aggregierte Erfahrungssatz als solcher ist somit kein personenbezogenes Datum. Hingegen sind die Grundsätze des DSG auf den Prozess der Datenerhebung und Anonymisierung anzuwenden. Gleiches gilt für Zufallsfunde, etwa wenn eine Analyse mit an sich nicht personenbezogener Zwecksetzung wider Erwarten personenbezogene Ergebnisse hervorbringt.
Mit der binären Unterscheidung zwischen personenbezogenen und anonymisierten Daten steht das DSG nicht alleine da: Die EU (E. 26 Sätze 5–6 DSGVO), die USA und die meisten anderen Rechtssysteme operieren im Wesentlichen mit dem gleichen Begriffspaar.
5.4.3 Re-identifizierbare Daten
Im Zeitalter von People Analytics wird es immer schwieriger, Personen- und Sachdaten auseinanderzuhalten. Wegen der Möglichkeit zur Re-Identifizierung können immer mehr Daten (wieder) einen Personenbezug erhalten. Mit den bestehenden Anonymisierungstechniken ist es nicht immer leicht, eine irreversible Anonymisierung zu bewerkstelligen. (Vermeintlich) anonymisierte Daten können wieder einen Personenbezug erhalten, wenn verschiedene Quellen miteinander korreliert werden. So konnte beispielsweise SWEENEY im Jahr 2000 87 Prozent der US-Bürger eindeutig re-identifizieren, indem sie nur die Postleitzahl, das Geschlecht und das Geburtstagsdatum miteinander kombinierte. Überholt ist auch die Einschätzung, dass die Bestimmbarkeit fehle, wenn für die Identifizierung einer Person die «komplizierte Analyse einer Statistik» erforderlich wäre. Mit den zur Verfügung stehenden technischen Mitteln verursacht eine Re-Identifizierung immer weniger Aufwand und eine Person wird immer leichter «bestimmbar» (im Sinne von Art. 3 lit. a DSG, Art. 4 lit. a E-DSG bzw. Art. 5 lit. a rev-DSG).
Es stellt sich somit die Frage, ob (künftig) alle People Analytics-Anwendungen in den Geltungsbereich des DSG fallen. Die bundesgerichtliche Rechtsprechung schränkt jedoch ein: Sie fordert für die Annahme der Bestimmbarkeit, dass die Datenbearbeiterin ein Interesse daran hat, den für eine (Re-)Identifizierung nötigen Aufwand zu betreiben (sog. relativer Charakter des Personendatums). Das Interesse an der Re-Identifizierung ist gegeben, wenn aus Sicht der jeweiligen Inhaberin der Information vernünftigerweise damit gerechnet werden muss, dass die Identifizierung erfolgt.
Ob die Verantwortliche ein Interesse an einer Re-Identifizierung verfolgt, ist abhängig vom konkreten Fall. Zu den Kriterien zur Bestimmung, ob ein Interesse besteht, gehört der objektiv erforderliche Aufwand (z.B. Kosten, Zeitaufwand), um eine bestimmte Information einer Person zuordnen zu können. Für die Identifizierbarkeit spricht eine geringe Anzahl analysierter Personen: Erhebt die Arbeitgeberin anonymisierte Profile von wenigen (den interessanten Schlüssel-)Mitarbeitern, wird es häufig ohne unverhältnismässigen Aufwand möglich sein, auf einen konkreten Arbeitnehmer zurückzuschliessen. Auch die technischen Möglichkeiten sind in die Erwägung einzubeziehen. Algorithmen reduzieren den Aufwand und die Kosten für eine Re-Identifizierung. Datenbearbeitungen, bei denen die KI mitmischt, werden eher vom Datenschutzrecht erfasst als eine Datenbearbeitung ohne KI.
Es genügt nicht jede theoretische Möglichkeit der Identifizierung; ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ihn ein Interessent auf sich nehmen wird, liegt keine Bestimmbarkeit vor. Ein Argument gegen die Identifizierbarkeit liegt vor, wenn die Arbeitgeberin Daten von vielen (allenfalls nicht mehr nur Schlüssel-)Mitarbeitern auswertet, sodass eine Identifizierung konkreter Personen nicht oder nur mit unverhältnismässigem Aufwand möglich ist bzw. die Daten anonymisiert bleiben. Auch aufgrund technischer Grenzen kann das Interesse an der Re-Identifizierung nachlassen: Ein Algorithmus, der Milliarden von Daten auf bestimmte Werte hin filtert, kostet Zeit und Energie; ein Unternehmen wird ihn nur dort einsetzen, wo er erforderlich ist. Oft weiss die Arbeitgeberin nicht, welche Daten einen guten Arbeitnehmer auszeichnen, was eine Re-Identifizierung weniger wahrscheinlich macht. Zudem unterliegen Personendaten teilweise einer Halbwertszeit: Sie verlieren über die Zeit an Wert, wenn kein Zugang zu zusätzlichen neuen Informationen gegeben ist. Damit sinkt das Interesse an einer personenbezogenen Nutzung und Re-Identifizierung. Allerdings können Personendaten im Verlauf der Zeit auch wesentlich an Wert gewinnen, wenn sie mit anderen Datensätzen kombiniert werden können. Auf diese Möglichkeit der Wertsteigerung ist später zurückzukommen.
Die von der Rechtsprechung vorgenommene Auslegung des Begriffs der Personendaten und der Bestimmbarkeit scheint für das Bundesgericht im Einklang mit der Rechtslage in der EU zu stehen. Dieser Einschätzung kann jedoch nicht vorbehaltlos zugestimmt werden. Zwar ist für einen Teil der europäischen Lehre entscheidend, inwiefern es gerade der speichernden Stelle mit den ihr zur Verfügung stehenden Kenntnissen, Mitteln und Möglichkeiten mit verhältnismässigem Aufwand möglich ist, aggregierte Angaben einer Person zuzuordnen (sog. subjektive Perspektive). Auch versichert die Art.-29-Datenschutzgruppe, dass die rein hypothetische, abstrakte Möglichkeit zur Bestimmung einer Person nicht ausreicht, um die Person als bestimmbar anzusehen. Aber die DSGVO verlangt, dass «alle objektiven Faktoren» berücksichtigt werden müssen, die dafür sprechen, dass eine «Verantwortliche oder eine andere Person» die Re-Identifizierung vornimmt (E. 26 Sätze 2–3 DSGVO). Die nicht ganz eindeutige Rechtslage steht am Ursprung des Lehrstreits betreffend Typisierungen (dazu sogleich).
5.4.4 Typisierungen
a) Zum Begriff der Typisierung
Aufgrund der beschriebenen Rechtsprechung zum Interesse an der Re-Identifizierung will eine Lehrmeinung einen bedeutenden Teil der People Analytics-Anwendungen vom Geltungsbereich des DSG ausnehmen. Dies betrifft die Fälle der reinen Typisierung von Arbeitnehmern (auch «Aussondern», entsprechend dem Wortlaut von E. 26 DSGVO, oder «Singularisierung» in wortschöpferischer Anlehnung an den englischen Wortlaut «singling out»). Das Individuum wird hier zwar «eineindeutig individualisiert» in dem Sinne, dass es allein von der Restgruppe ausgesondert wird. Aber die Arbeitgeberin will gar nicht wissen, wer die reale Person ist. Es interessiert sie nur beispielsweise, was die Führungsstärke eines bestimmten Typs von Arbeitnehmern auszeichnet. Das Individuum interessiert nur insoweit, als es mit anderen korreliert werden kann, beispielsweise ob aufgrund einer Korrelation zwischen einem Mitarbeiter und der Vergleichsgruppe auf besondere Risiken oder Verhaltensweisen bei ihm geschlossen werden kann. Schaltet die Arbeitgeberin ein Inserat für eine Führungsposition, muss es einen bestimmten Zielmarkt erreichen, jedoch nicht bestimmte Personen. Um den Zielmarkt effektiv anzusprechen, müssen die potenziellen Bewerber nicht identifiziert, sondern lediglich «klassifiziert» werden.
b) Argumentation gegen den Datenschutz bei Typisierungen
Namentlich ROSENTHAL vertritt die Meinung, dass Typisierungen bloss als Indiz der Bestimmbarkeit gewertet werden, allerdings nicht alleine zur Anwendbarkeit des DSG genügen könnten. Weil die betroffenen Arbeitnehmer nach traditionellem Verständnis anonym blieben, könne die Datenbearbeitung nicht direkt auf sie wirken und sie in ihrer Persönlichkeit verletzen. Eine solchermassen restriktive Auslegung des DSG-Geltungsbereichs versucht zunächst, Situationen gerecht zu werden, in denen die Bearbeitung von Personendaten die Persönlichkeit kaum zu beeinträchtigen droht und es unverhältnismässig wäre, die strikte Einhaltung sämtlicher Datenschutzpflichten des DSG zu verlangen.
Beispielsweise müssten beim Fehlen des erforderlichen Re-Identifizierungs-Interesses das Scannen zum Viren- oder Betrugsschutz oder eine nicht personalisierte Protokollierung des Internet- und E-Mail-Verkehrs ausserhalb des DSG verbleiben. Ebenso wenig existieren Personendaten im Sinne des DSG, wenn die Arbeitgeberin die Auslastung der Infrastruktur misst, ohne die persönliche Anwesenheit einzelner Arbeitnehmer zu kontrollieren (z.B. Sensor zur Lüftungsregulierung, der die Anzahl Anwesender und den CO2-Gehalt im Sitzungszimmer misst). Auch ist eine Anwendbarkeit des DSG weniger wahrscheinlich bei rein produktbezogenen Überwachungen als bei der Überwachung eines Vorgangs, an dem Personen beteiligt sind (z.B. die Bedienung einer Maschine).
Anscheinend sollten aber auch Typisierungen mit grösserem Potenzial zur Einwirkung auf die Persönlichkeit vom DSG befreit sein: HORNUNG findet, dass die «Bändigung der durch Big Data-Wissen generierten Macht» überwiegend ausserhalb des Datenschutzrechts erfolgen müsse. Datenschutz sei gemäss anderen Vertretern der deutschen Lehre kein umfassendes Autonomieschutzrecht und nicht auf den Umgang mit nichtpersonenbezogenen Daten und daraus eventuell resultierenden Eingriffen ausgerichtet.
In der Konsequenz fallen genetische Daten und IP-Adressen nicht als Personendaten unter das DSG, wenn der Arbeitgeberin aggregierte Daten genügen. Grundsätzlich kein Interesse der Arbeitgeberin an einer Re-Identifizierung ist erkennbar, wenn sie aus aggregierten Datenbeständen der Belegschaft generische Muster und Prinzipien für künftige Personalentscheidungen ablesen will: So erforscht beispielsweise McDonald’s bewährte Vorgehensweisen (best practices) zu Führungsstilen; Google entwickelte in seiner Oxygen-Studie Anforderungsprofile für Führungskräfte; und der People Analytics-Dienstleister Humanyze, der über Mitarbeiterausweise die Stimmlage und Sprechlänge bei Konversationen auswertet, nicht aber den Gesprächsinhalt, liefert seinen Kunden ein ganzheitliches Trendbarometer, jedoch keine Berichte über einzelne Arbeitnehmer.
c) Argumentation für den Datenschutz bei Typisierungen
aa) Hinterfragung der Rechtsprechung und Lehre
Nach der vorliegend vertretenen Auffassung sind sowohl die Rechtsprechung zum notwendigen Interesse an der Re-Identifizierung als auch die Lehrmeinung, Typisierungen lägen ausserhalb des DSG, infrage zu stellen. Hierfür ist zunächst der Begriff der Identität zu klären (dazu sogleich), bevor auf die Argumente eingegangen werden kann, die für die Anwendbarkeit des DSG auf Typisierungen sprechen (dazu später).
bb) Begriff der Identität
Die Beurteilung, ob Typisierungen unter das DSG fallen sollen, bedingt eine Auseinandersetzung mit den Begriffen der Bestimmtheit und Bestimmbarkeit, weil bei Typisierungen unklar ist, ob die Betroffenen hinreichend bestimmt sind für die Anwendbarkeit des DSG (vgl. Art. 3 lit. a DSG, Art. 4 lit. a E-DSG, Art. 5 lit. a rev-DSG). «Bestimmt» und «bestimmbar» werden oft gleichgesetzt mit «identifiziert» und «identifizierbar». Die Begriffe der Identifizierung oder Identität treten aber im DSG und E-DSG nur am Rande in Erscheinung. Deshalb muss anderswo nach Antworten gesucht werden auf die Frage, was Identität bedeutet.
Auch ein Blick auf das EU-Recht lohnt sich, um den Sinn der Identität zu ergründen, nicht zuletzt deshalb, weil jene Normen das schweizerische Recht beeinflussen. Um den Begriff der Identität zu verstehen, kann es helfen, mit der gegenteiligen «Anonymität» zu beginnen. Sie bedeutet wörtlich «Namenlosigkeit». Doch geht es beim Datenschutzrecht nicht allein um den Namen, sondern um das Nichtoffenlegen der Identität. Auf einer «Identitätsachse» sind Anonymität und Identität die Gegenpole, das (idealtypische) «Nichts-Wissen» das Gegenstück zum (idealtypischen) «Alles-über-eine-Person-Wissen».
Die DSGVO führt die Begriffe der Identität und Identifizierung wesentlich häufiger und prominenter auf als das DSG. Der Begriff der Identität ist unter der DSGVO breit zu verstehen. Sowohl die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle als auch die soziale Identität werden geschützt (Art. 4 Nr. 1 Teilsatz 2 DSGVO). Die DSGVO sieht eine natürliche Person bereits als identifizierbar an, wenn diese beispielsweise mittels Zuordnung zu einer Online-Kennung identifiziert werden kann (Art. 4 Nr. 1 Teilsatz 2 DSGVO). Es ist somit nicht erforderlich, einen Arbeitnehmer mit Namen und Adresse zu kennen, damit er als identifiziert gilt und der Schutz der DSGVO greift.
Wie viel Interpretationsspielraum im Begriff der Identität steckt, zeigt auch die Philosophie. Der deutsche Philosoph HÖFFE weist darauf hin, dass ein identisches Wesen zu verschiedenen Zeiten unterschiedliche, sogar entgegengesetzte Eigenschaften haben kann (ein Baum erst klein, dann gross, erst jung, dann alt). Beim Menschen gibt es zudem eine doppelte Perspektive auf die Identität, je nachdem, ob ein beobachtender Dritter über das Subjekt spricht (Aussenperspektive, Fremdbild) oder die Person über sich selbst (Innenperspektive, Selbstbild). Ein weiterer deutscher Philosoph, MITTELSTADT, differenziert zwischen der «Offline-Identität» und «Profiling-Identität». Erstere setzt sich aus direkten Identifikatoren einer Person wie Name und Adresse zusammen, Letztere aus Variablen, die sich erst durch die Korrelation mit einer Vergleichsgruppe als relevant erweisen, etwa das Verhalten und demografische Merkmale. Die Profiling-Identität kann bestenfalls eine unvollkommene Spiegelung der Persönlichkeit sein, da sie auf die Attribute der Vergleichsgruppe reduziert ist.
Gestützt auf die vorstehenden Ausführungen erweist sich der datenschutzrechtliche Begriff der Identität als breit und vielfältig. Schon ab einer relativ tiefen Schwelle kann eine Person als identifiziert gelten, etwa wenn ihre IP-Adresse bekannt ist. Das Vorliegen von Identität kann nur dann eindeutig verneint werden, wenn nichts über eine Person bekannt ist bzw. wenn sie anonym ist. Die mit dem Begriff der Identität im Wesentlichen gleichbedeutende, im DSG massgebliche «Bestimmtheit» kann daher ebenfalls schon bei Vorliegen von verhältnismässig wenigen Informationen bejaht werden.
cc) Generelle rechtliche Erfassung von Typisierungen
Zufolge des offenen Begriffs der Identität tendiert das europäische Ausland dazu, Typisierungen generell dem Datenschutzrecht zu unterwerfen. Die EU sieht in einer Typisierung ein Indiz für das Vorliegen von Personendaten und somit für die Anwendbarkeit der DSGVO (vgl. E. 26 Satz 3 DSGVO zum «Aussondern»). Die EU stellt sich damit auf den Standpunkt, dass ein Schutzbedürfnis auch bestehen kann, selbst wenn ein Betroffener nicht im traditionellen Sinn «bestimmt» ist. Als Exkurs sei an dieser Stelle auf die EuGH-Rechtsprechung zum Erfordernis einer Einwilligung für den Einsatz von Cookies unter der Richtlinie 2002/58/EG («E-Privacy») erinnert. Das Einwilligungserfordernis gilt selbst dann, wenn mit dem Cookie keine Personendaten bearbeitet werden und daher die DSGVO nicht zur Anwendung kommt. Der EuGH begründet dies damit, dass alle in Endgeräten gespeicherten Informationen, unabhängig davon, ob es sich um personen-bezogene Daten handelt, Teil der mit der Richtlinie 2002/58/EG zu schützenden Privatsphäre der Nutzer sind.
Gemäss dem Europarat genügt für die Anwendbarkeit des Übereinkommens 108 eine «Individualisierung», die es ermöglicht, jemanden anders als den Rest zu behandeln. Es braucht nicht notwendigerweise eine «Identifizierung». Um eine Individualisierung handelt es sich auch, wenn man sich auf ein spezifisches Gerät (z.B. Computer oder Mobiltelefon) beziehen kann basierend auf einer Identifikationsnummer, einem Pseudonym, biometrischen oder genetischen Daten, Ortungsdaten oder einer IP-Adresse.
Verschiedene deutsche Rechtswissenschaftler wollen Typisierungen datenschutzrechtlich regulieren: Der Nutzen einer Datenanalyse besteht darin, eine Aussage über die Wahrscheinlichkeit des Vorliegens des jeweiligen Merkmals bei dem Betroffenen zu machen. Beschreibt beispielsweise der aus People Analytics gewonnene Erfahrungssatz abstrakt die Kriterien, unter welchen eine Vergleichsgruppe von Arbeitnehmern Zukunftsaussichten oder eben keine hat, will die Arbeitgeberin dieses Wissen konkret auf ihre Belegschaft oder die Bewerber ummünzen. Durch diesen Bezug des generellen Erfahrungssatzes auf eine konkrete Person wird die Gruppenwahrscheinlichkeit den persönlichen Verhältnissen des Betroffenen zugeschrieben. Ab diesem Moment der Bezugnahme sind die Aussagen zur Vergleichsgruppe als personenbezogene Daten zu werten. Es handelt sich um eine «indirekte Identifizierung». Dies gilt auch, wenn der Erfahrungssatz auf eine Person angewendet wird, über die gar keine Daten erhoben worden sind.
Wenn den Typisierungen aber generell ein Personenbezug attestiert wird, führt dies zum Problem, dass das strenge, nicht skalierbare Regime des Datenschutzrechts ausgefahren wird, selbst wenn die Bearbeitung von Personendaten die Persönlichkeit kaum beeinträchtigt. Dies kann zu einer «Systemüberlastung» führen in dem Sinne, dass das Datenschutzrecht nicht eingehalten wird. Eine generelle datenschutzrechtliche Erfassung von Typisierungen vermag somit nicht zu überzeugen.
dd) Einzelfallweise rechtliche Erfassung von Typisierungen in Abhängigkeit von ihrem Risikopotenzial
i Übersicht
Nach der hier vertretenen Meinung sollte im Einzelfall beurteilt werden, ob Typisierungen durch das DSG erfasst werden. Dabei sollte die Anwendbarkeit des DSG nicht mehr nur vom formalen Kriterium des Vorliegens von Daten mit personenbezogenem Inhalt abhängen, da dieser Anknüpfungspunkt stets Probleme und Unklarheiten mit sich bringt (dazu sogleich). Stattdessen sollte (auch) das von einer Typisierung ausgehende persönlichkeitsschutzrechtliche Risiko über die Geltung des DSG (mit-)entscheiden. Es sind Beispielfälle aufzuzeigen, in denen Typisierungen ein hohes Risiko verkörpern und somit datenschutzrechtlich reguliert werden sollten (dazu später).
ii Verschwimmende Grenzen zwischen den Datenkategorien
Das DSG versucht, theoretisch trennscharfe Linien zwischen den Datenkategorien der Sachdaten, Personendaten und besonders schützenswerten Personendaten zu ziehen. Aber möglicherweise braucht es etwas Distanz zu dem gegenwärtigen Datenschutzsystem. Zu beachten ist etwa, dass die Kategorie der besonders schützenswerten Daten (Art. 3 lit. c DSG, Art. 4 lit. c E-DSG, Art. 5 lit. c rev-DSG) von der Bundesverfassung nicht zwingend vorgegeben ist.
GASSER postuliert, das Datenschutzrecht solle sich grundlegend neu ausrichten und sich von Begriffen wie «Personendaten» und «Anonymisierung» verabschieden. PURTOVA sowie RICHARDS und KING liegen auf der gleichen Linie. NISSIM und WOOD doppeln nach und fordern eine Abkehr von den Dichotomien «private/allgemein zugänglich gemachte» und «gewöhnliche/besonders schützenswerte» Personendaten.
Die theoretische, starre Kategorisierung von Daten durch das DSG in Abhängigkeit von ihrem Inhalt (anonym, personenbezogen oder besonders schützenswert) steht im Gegensatz zur heutigen und künftigen «hypervernetzten» Welt. In der Realität ist der Status eines Datums, beispielsweise «personenbezogen», dynamisch und kann sich im Verlauf des Daten-Lebenszyklus ändern. Die Definition personenbezogener Daten ist abhängig vom Kontext und von sozialen Normen. Bereits die Rechtsprechung, wonach es für die Qualifikation als Personendaten auf die Wahrscheinlichkeit der Re-Identifizierung ankommt, rückt den Kontext (das momentane Interesse der jeweiligen Datenbearbeiterin an der Re-Identifizierung) ins Zentrum. Die Veränderbarkeit des Datenstatus führt zu einer Verwischung der Grenzen zwischen den Datenkategorien. Die Vorstellung von datenschutzrechtlich «belanglosen Daten» taugt nicht mehr angesichts der möglichen Verwendungszwecke, die plötzlich zu einem Personenbezug führen können. Es kann beispielsweise nicht abstrakt gesagt werden, ob die IP-Adresse eines Computers ein Personendatum ist. Es wird zum Normalzustand, dass «alle Daten einen Personenbezug aufweisen» können, etwa durch Verknüpfung mit andern Datensätzen. Deshalb ist es nur eine Frage der Zeit, bis der Mangel an Rechten an nicht personenbezogenen Daten zu einem Problem werden wird.
Die Denkweise, dass (nur) die Identifizierung die Persönlichkeit beeinträchtigen und somit den Datenschutz berufen könne, ist teilweise verfehlt: In der Identifizierung liegt nicht das grösste Datenschutzproblem. Im Gegenteil, ironischerweise wäre bisweilen eine genaue Identifizierung sogar erwünscht: Es wird beklagt, People Analytics behandle Personen nicht mehr als eigenständige Individuen, sondern nur noch als Mitglied einer Gruppe bzw. als Profiling-Identitäten. Das Problem dabei ist, dass Gruppenprofile nur für die Gruppe und die Mitglieder der Gruppe zutreffen, nicht aber für die Einzelpersonen als solche. Die Bedeutung, die einer bestimmten Gruppe gegeben und damit dem Einzelnen auferlegt wird, spiegelt nicht unbedingt sein Selbstverständnis wider.
Die rigide Ausrichtung an der Identifizierbarkeit zieht realwirtschaftliche Folgen nach sich: Wenn die Geltung des Gesetzes davon abhängt, ob eine Information anonym oder personenbezogen ist, erstaunt es nicht, dass die meisten technischen Lösungen zum Persönlichkeitsschutz auf Anonymisierung abzielen. Wie dargelegt ist aber oft eine Re-Identifizierung möglich. Der Persönlichkeitsschutz ist somit nicht gewahrt und durch die Anonymisierung geht wertvolles Wissen verloren. Eine Umorientierung des DSG könnte den Weg für neuere technische Konzepte zum Schutz der Persönlichkeit ebnen, welche beispielsweise das ursprüngliche Format und die Vielfalt der Daten beibehalten, aber die sensiblen Attribute vom Rest der Daten trennen.
Insgesamt ist festzustellen, dass die Grenzen zwischen den Datenkategorien verschwimmen. Dies verursacht Unklarheiten bei der Beantwortung der Frage, ob bei einer Typisierung Personendaten vorliegen. Es erscheint nicht sachgerecht, allein den (personenbezogenen oder anonymen) Inhalt der Daten und damit ein formales Kriterium über die Anwendbarkeit des DSG entscheiden zu lassen. Nach dem hier vertretenen Standpunkt ist der Geltungsbereich des DSG risikoorientiert auszulegen, weshalb als Nächstes zu ermitteln ist, in welchen Fällen ein hohes persönlichkeitsschutzrechtliches Risiko mit der Typisierung einhergeht.
iii Typisierungen mit hohem persönlichkeitsschutzrechtlichem Risiko
Für die in der besprochenen Literatur verlangte Neuausrichtung des Datenschutzrechts ist nach der hier vertretenen Meinung beim Risiko anzusetzen. Auch nach Ansicht der amerikanischen Behörde FTC sollten Daten umfassend auf ihre Auswirkungen auf die Privatsphäre hin untersucht werden, während die Unterscheidung zwischen Daten mit und ohne Personenbezug verschwommen sei. Eine Orientierung am potenziellen Risiko, das von der Datenbearbeitung für die Persönlichkeit der Betroffenen ausgeht, würde es ermöglichen, sich von der binären Betrachtungsweise (Personendaten/anonymisierte Daten) zu lösen und die Natur der Daten eher graduell zu betrachten. Gleichzeitig rückt damit die Wirkung der Datenbearbeitung auf die Menschen in den Fokus und das Datum selbst in den Hintergrund.
Beispielsweise sollten nach Ansicht des Autors Typisierungen in den folgenden drei Fällen der datenschutzrechtlichen Regulierung unterstehen, in denen eine hohe Gefahr für die Persönlichkeit droht. Erstens kann eine solche Gefahr etwa bestehen, wenn ein Mensch auf ein Profil reduziert wird, das als Grundlage für
einschneidende Entscheidungen über ihn dient, obwohl es seiner Identität nicht entspricht. Dies ist etwa der Fall bei der erwähnten People Analytics-Anwendung, die in Bezug auf sämtliche Mitarbeiter, die in den vergangenen fünf Jahren nicht befördert wurden, die Beendigung des Arbeitsverhältnisses vorschlägt. Es ist möglich, dass jemand mit seiner seit Jahren unveränderten Stellung im Unternehmen zufrieden ist, auf Beförderungen verzichtet und trotzdem motiviert und zuverlässig arbeitet. Eine Kündigung allein basierend auf dem Vorschlag des Algorithmus wäre daher unangemessen. Hier erscheint es vertretbar, den Anwendungsbereich des DSG zu eröffnen. Dies würde die Überprüfung erlauben, ob das Richtigkeitsgebot (Art. 5 DSG, Art. 5 Abs. 5 E-DSG, Art. 6 Abs. 5 rev-DSG) eingehalten wurde bzw. ob das Profil («seit fünf Jahren nicht befördert») die Identität des Arbeitnehmers («nicht motiviert und unzuverlässig») korrekt beschreibt. Die beiden hier eigenständig formulierten Kriterien der einschneidenden Entscheidung und der Diskrepanz zwischen Profil und Identität schaffen Klarheit, wann ein hohes Risiko besteht. Im selben Zug wird klargestellt, dass nicht jede Reduktion auf ein Profil zu einer Persönlichkeitsverletzung führt. Der Gesetzgeber hat bisher für das Bearbeiten von «Persönlichkeitsprofilen» (Art. 3 lit. d DSG) einheitliche Regeln aufgestellt, ohne auf das mit dem Profil verbundene Risiko Rück-sicht zu nehmen. Es ist zu begrüssen, dass sich das Parlament dazu entschlossen hat, im totalrevidierten DSG zwischen einem Profiling mit hohem Risiko (Art. 4 lit. fbis E-DSG, Art. 5 lit. g rev-DSG) und dem übrigen Profiling (Art. 4 lit. f E-DSG, Art. 5 lit. f rev-DSG) zu unterscheiden. Bei einem Profiling mit hohem Risiko durch eine private Person muss eine Einwilligung – sofern eine solche verlangt ist – ausdrücklich erfolgen (Art. 5 Abs. 7 E-DSG, Art. 6 Abs. 7 lit. b rev-DSG).
Zweitens kann eine andere Gefahr bestehen, wenn die Arbeitgeberin über eine Typisierung Informationen erlangt, für die ein arbeitsrechtliches Frageverbot gilt. Beispielsweise deckte der amerikanische Detailhandelsriese Target gestützt auf die Daten zum Einkaufsverhalten auf, ob eine Kundin schwanger war. Für Target war es nicht erforderlich, die Frau zu identifizieren, sondern nur, sie als Schwangere zu typisieren. Die Betroffene wusste zwar, dass Daten über ihr Kaufverhalten zum Zweck eines verbesserten Kundenerlebnisses erhoben wurden, jedoch nicht, dass gestützt darauf ihre Schwangerschaft abgeleitet werden konnte. Analog kann eine Arbeitgeberin ermitteln, ob die Arbeitnehmerin eine Schwangerschaft beabsichtigt. Mit der Gesundheits-App für die Mitarbeiterinnen von Walmart geschieht dies bereits.
Drittens ist auch in der Bearbeitung genetischer Daten ein Persönlichkeitsrisiko zu verorten. Eine generelle Befreiung der Typisierungen von der Last des Datenschutzrechts würde bedeuten, dass der Schutz von nichtpersonenbezogenen genetischen Daten komplett fehlen würde. Technische und organisatorische Mass-nahmen der Datensicherheit würden entfallen (vgl. Art. 7 DSG, Art. 7 E-DSG, Art. 8 rev-DSG) und die Daten könnten veröffentlicht werden. In der Folge wäre es möglich, dass die Daten in falsche Hände geraten und jemand durch Korrelation mit einem anderen Datensatz den Personenbezug herstellen könnte. Dies ist bei genetischen Daten wahrscheinlich, da sie ein Leben lang ihre Gültigkeit behalten. In solchen Fällen ist die Anwendbarkeit des DSG zu fordern.
5.4.5 Zwischenfazit: risikoorientierte Auslegung des Geltungsbereichs des Datenschutzgesetzes
Das soeben gewonnene Bild zeigt, dass der Geltungsbereich des DSG auf Personendaten beschränkt ist. Das Anknüpfungskriterium der Bestimmbarkeit bzw. Identifizierbarkeit verursacht hinsichtlich einer bedeutenden Zahl von People Analytics-Anwendungen Rechtsunsicherheit. Insbesondere bei Typisierungen ist unsicher, ob das DSG Geltung beanspruchen kann. Solange kein höchstrichterlicher Entscheid betreffend Typisierungen ergeht, wird eine gewisse Unsicherheit bestehen.
Vorliegend wird der Standpunkt vertreten, dass der Geltungsbereich des DSG risikoorientiert auszulegen ist. Typisierungen sollten vom DSG erfasst werden, sofern von ihnen ein hohes Risiko für die Persönlichkeit der Betroffenen ausgeht. Ob dies der Fall ist, beurteilt sich insbesondere nach den Parametern, die bei der Besprechung des Gesetzeszwecks erarbeitet worden sind. Beispielsweise kann ein hohes persönlichkeitsschutzrechtliches Risiko bestehen, wenn ein Mensch auf ein Profil reduziert wird, das als Grundlage für einschneidende Entscheidungen über ihn dient, obwohl es seiner Identität nicht entspricht. Ebenso können Gefahren bestehen, wenn durch die Typisierung das arbeitsrechtliche Frageverbot verletzt wird und wenn genetische Daten bearbeitet werden. Dagegen erscheint es vertretbar, Typisierungen mit geringem Verletzungsrisiko nicht dem DSG zu unterstellen, etwa das nicht personalisierte Scannen des Internetverkehrs am Arbeitsplatz zum Zweck des Virenschutzes.
Nach der Auseinandersetzung mit dem Geltungsbereich des DSG ist im Folgenden auf die wichtigsten Bearbeitungsregeln einzugehen, und zwar zunächst auf das Zweckbindungsgebot.
Gabriel Kasper in: People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts; 2021; Dike Verlag, Zürich
https://creativecommons.org/licenses/by-nc-nd/3.0/ch/
DOI: https://doi.org/10.3256/978-3-03929-009-3
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.