Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts
5.5 Zweckbindungsgebot
5.5.1 Doppelte Zweckbindung bei People Analytics
People Analytics unterliegt einer doppelten Zweckbindung von datenschutzrechtlicher und arbeitsrechtlicher Seite. Erstere ist sogleich zu erörtern, Letztere später.
5.5.2 Datenschutzrechtliche Zweckbindung
a) Normzweck und Gesetzessystematik
Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wird, der aus den Umständen ersichtlich oder der gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG; vgl. Art. 5 Abs. 3 E-DSG, vgl. Art. 6 Abs. 3 rev-DSG). Die Norm bezweckt, dass die Verwendung von Daten innerhalb der begründeten Erwartungen der betroffenen Person erfolgt. Ferner ist es auch aus betriebswirtschaftlicher Sicht zur Ressourcenplanung erstrebenswert, am Anfang eines People Analytics-Projekts eine klare Zielsetzung mit einer ebenso klaren Fragestellung zu definieren.
Gesetzessystematisch stellt die Zweckbindung eine spezifische Datenbearbeitungsregel dar. Sie leitet sich von den allgemeinen Rechtsgrundsätzen der Rechtmässigkeit, des Verhaltens nach Treu und Glauben und der Verhältnismässigkeit (Art. 4 Abs. 1–2 DSG, Art. 5 Abs. 1–2 E-DSG, Art. 6 Abs. 1–2 rev-DSG) ab.
Die Regel der Zweckbindung ist an zwei Enden mit anderen Bestimmungen verknüpft. Zum einen besteht eine Verbindung mit der Bearbeitungsregel der Erkennbarkeit: Der Bearbeitungszweck muss für die betroffene Person erkennbar sein (Art. 4 Abs. 4 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG). Somit muss der Zweck sowohl für den Betroffenen ersichtlich als auch für den Bearbeiter verbindlich sein. Kritisch kommt THOUVENIN nach einer historischen Auslegung zum Ergebnis, dass die Regel der Zweckbindung ursprünglich aus dem Bereich des öffentlichen Rechts stamme. Eine Beschränkung des Bearbeitungszwecks stehe im Widerspruch zur Privatautonomie. Eine extensive Auslegung des Zwecks, eine weitgehende Rechtfertigung der Datenbearbeitung und eine gross-zügige Auslegung der Einwilligung seien daher im privatrechtlichen Kontext angezeigt.
Zum andern verknüpft die Zweckbindung die Datenbearbeitung mit der Rechtfertigung. Der Rechtfertigungsgrund ergibt sich aus der Zwecksetzung und umgekehrt. Beispielsweise bildet die Zweckbindung die Grundlage der Einwilligung und aus der Einwilligungserklärung leiten sich Zweck und Umfang der Datenbearbeitung ab.
b) Anforderungen an die Zweckfestsetzung
Der Zweck muss «angegeben», «aus den Umständen ersichtlich» oder «gesetzlich vorgesehen» sein (Art. 4 Abs. 3 DSG; vgl. Art. 5 Abs. 3 E-DSG, vgl. Art. 6 Abs. 3 rev-DSG). Nach dem revidierten DSG muss der Zweck, zusammenfassend, «bestimmt» sein (Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG). Ob die Voraussetzung der Bestimmtheit erfüllt ist, beurteilt sich normativ: Massgebend ist, von welchen Bearbeitungszwecken bzgl. ihrer Personendaten eine betroffene Person, die eine gewisse Aufmerksamkeit und ein Interesse am Schicksal ihrer Daten auf-weist, aufgrund der konkreten Umstände in guten Treuen ausgehen durfte und musste, als die Daten erhoben worden sind. Nicht entscheidend sind die tatsächliche Vorstellung der betroffenen Person und die tatsächlichen Absichten der Datenbearbeiterin. Das Gesetz regelt den Konkretisierungsgrad des bei der Be-schaffung der Daten anzugebenden Zwecks nicht und lässt damit auch inhaltlich weit gefasste Zweckangaben zu. Allerdings können zu allgemein gehaltene Zwecksetzungsklauseln das Zweckänderungsverbot aushöhlen. Nicht hinreichend konkret erscheint die Bestimmung «für Zwecke des Arbeitsverhältnisses»; zumutbar ist eine genauere Erklärung, ob die Daten beispielsweise für die Zwecke der Lohnausrichtung, der beruflichen Vorsorge, der Weiterbildung oder für Beförderungsentscheidungen bearbeitet werden. Die Datenbearbeitung kann mehreren Zwecken dienen, wobei jeder von ihnen klar zum Ausdruck kommen muss.
Die Zwecksetzung muss bereits im Zeitpunkt der Beschaffung der Personendaten feststehen («bei der Beschaffung», Art. 4 Abs. 3 DSG). Das DSG verbietet das Sammeln von Personendaten auf Vorrat, d.h. für Zwecke, welche sich erst in Zukunft oder möglicherweise niemals realisieren, weil es kein generelles, überwiegendes Interesse der Arbeitgeberin hierfür gibt. Dies verwehrt aber nicht etwa eine zukunftsbezogene Zwecksetzung; so ist etwa die Datenbearbeitung zum Zweck der Personalplanung und -entwicklung möglich.
c) Konflikt zwischen People Analytics und Zweckbindung
Zwischen der Bearbeitungsregel der Zweckbindung und People Analytics besteht ein Konfliktpotenzial, weil Daten in ihrer Eigenschaft als unerschöpfliche Güter zu immer neuen Zwecken beliebig oft analysiert werden können. Daten können im Sinne des Daten-Lebenszyklus rezykliert werden. In dieser Möglichkeit zur Wiederverwertung und neuen Kombination mit anderen Datensätzen steckt der hauptsächliche Mehrwert von Daten. Der volle Wert von Daten kann den Wert, der bei der ersten Verwendung gewonnen wird, bei Weitem überschreiten. Somit können Daten über die Zeit wesentlich an Wert gewinnen. Beispielsweise die japanische Diebstahlsicherung für die Firmenautos, welche anhand der Sitzhaltung den am Steuer sitzenden Arbeitnehmer eindeutig identifiziert, könnte die Daten neu zusätzlich daraufhin auswerten, den Aufmerksamkeitszustand der Fahrer, etwa deren Schläfrigkeit, Trunkenheit oder Wut, zu evaluieren.
Die Erkenntnis, dass der Wert von Daten in ihrer Wiederverwertung steckt, führt zu einem Umdenken in der Forschung: Während die herkömmliche Forschung mit einer Theorie oder Hypothese beginnt, um diese daraufhin mit Daten zu validieren, ist es mit dem üppigen Datenvorkommen und den sinkenden Speicherkosten möglich geworden, die Daten direkt zu analysieren, um sich von den resultierenden Korrelationen überraschen zu lassen. Solche explorativen Datenanalysen zur Entdeckung von noch unbekannten Zusammenhängen verstossen grundsätzlich gegen das Zweckbindungsgebot.
d) Vereinbare Zwecke
Wegen des Konflikts zwischen People Analytics und der Zweckbindungsmaxime stellt sich die Frage, wie das Gesetz mit der Wiederverwertung von People Analytics-Daten umgeht. Das künftige schweizerische Datenschutzrecht und die DSGVO erlauben eine Weiterbearbeitung zu Zwecken, die mit dem Zweck, der bei der Beschaffung bestimmt worden ist, «vereinbar» sind (Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG; Art. 5 Abs. 1 lit. b Teilsatz 1 DSGVO). Der Zweck muss somit nicht immer identisch bleiben, darf aber auch nicht derart stark mutieren, dass von einer eigentlichen Zweckänderung auszugehen ist.
Ob ein neuer Zweck mit dem alten kompatibel ist, muss anhand des Verwendungszusammenhangs beurteilt werden. Daten sind, stärker als andere Vermögenswerte wie Immobilien und Mobiliar, kontextabhängig. Alle Daten haben ein Janusgesicht, d.h., sie können sich positiv oder negativ auf den Betroffenen auswirken, je nachdem, in welchem Zusammenhang sie stehen. Im Sinne einer «kontextuellen Integrität» – einer massgeblich von NISSENBAUM für das Common Law entwickelten Idee – soll der Einzelne grundsätzlich davor bewahrt werden, in einem bestimmten Zusammenhang mit der eigenen Rolle aus einem anderen Zusammenhang ungewollt konfrontiert zu werden.
Zur Beurteilung, ob der Kontext unter der neuen Zwecksetzung gewahrt bleibt, sind verschiedene Parameter zusammenzuzählen: Zunächst ist der Wortlaut der ursprünglich kommunizierten Zwecksetzung zu konsultieren. Sodann hat, wie bereits besprochen, jede Person eine individuelle Erwartung an die Privatsphäre. Diese ist geprägt durch die sozialen Prozesse und die Arbeitskultur, die den Arbeitnehmer umgeben. Auch aus dem Überwachungsinstrument selbst ergibt sich, welche Zwecke mit dem ursprünglichen vereinbar sind. Gemäss MATZNER ist bei der Beurteilung der Vereinbarkeit auch zu überlegen, ob die Datenbearbeitung sich auf Dritte, die nicht am Erhebungsprozess beteiligt sind, auswirkt. Gegebenenfalls sind solche Schutzinteressen Dritter zu berücksichtigen. Abstrahiert lässt sich resümieren, dass die Kompatibilität der Zwecke gegeben ist, wenn sich die weitere Datenbearbeitung als «logisch nächster Schritt» im Datenbearbeitungsprozess des ursprünglichen Zwecks präsentiert, d.h., wenn beide Bearbeitungszwecke auf solche Weise miteinander verknüpft sind, dass sie aufeinander aufbauen.
Zur Umsetzung der Kontextberücksichtigung sind personelle und technische Massnahmen erforderlich. Auf der personellen Seite braucht es fachmännisches Personal, das fähig ist, den Kontext einer Datenbearbeitung zu würdigen. Die Beurteilung im Einzelfall, welche neuen Bearbeitungszwecke mit den ursprünglichen Erhebungszwecken vereinbar sind, überlässt das Gesetz der Arbeitgeberin qua Datenbearbeiterin. Die Arbeitnehmer können zwar mitreden, wenn es um Daten aus einer Anlage zur Verhaltensüberwachung (Art. 26 ArGV 3) geht. Doch bei andern Daten hat die Arbeitgeberin grundsätzlich keine Konsultationspflicht. Auf technischer Ebene können Metadaten die Eckpunkte des Kontexts festhalten und Bearbeitungsbeschränkungen festlegen, sodass die Wahrung der kontextuellen Integrität periodisch überprüft werden kann.
e) Veränderte Zwecke
Erweist sich der neue Bearbeitungszweck als nicht vereinbar mit dem ursprünglichen, so liegt eine Zweckänderung vor. Besonders bei der Verknüpfung von Datensätzen rücken die Daten in einen anderen Zusammenhang und müssen somit anders behandelt werden. Eine nicht mit dem ursprünglichen Bearbeitungszweck vereinbare Zweckänderung liegt beispielsweise in den folgenden Fällen vor: Wenn ein Arbeitnehmer einwilligt, dass sein Porträt in der Mitarbeiterzeitschrift veröffentlicht wird, darf die Arbeitgeberin nicht das gleiche Bild ungefragt auch in einer Werbebroschüre verwenden. Auch hat der Name einer Person im Firmenverzeichnis eine völlig andere Bedeutung als in einem Adoptionsregister. Informationen, die ein Arbeitnehmer in seinem sozialen Netzwerk veröffentlicht, darf die Arbeitgeberin grundsätzlich nicht überwachen (social media monitoring), um zu wissen, was über sie berichtet wird, und um die Kontrolle über ihre Darstellung im Netz (zurück) zu gewinnen. Daten aus Gesundheits-Fürsorgeprogrammen am Arbeitsplatz dürfen nicht ohne Weiteres Verwendung finden für die Analyse, welche Personen mehr und welche weniger produktiv sein könnten. Schliesslich kann eine ursprünglich rechtmässige Bearbeitung von Informationen nach Ablauf einer gewissen Zeit rechtswidrig werden.
Die Zweckänderung bedarf einer erneuten Rechtfertigung. Nach der Rechtfertigung ist die Nutzung der Personendaten für den neuen Zweck möglich, ohne dass der ursprüngliche Zweck beachtet werden muss.
Eine Zweckänderung kann jedoch nicht gerechtfertigt werden, wenn durch die Änderung des Zwecks derart viel Kontext verloren geht, dass Fehlinterpretationen naheliegen. In diesem Fall liegt ein Verstoss gegen das Richtigkeitsgebot (Art. 5 DSG, Art. 5 Abs. 5 E-DSG, Art. 6 Abs. 5 rev-DSG) vor.
5.5.3 Arbeitsrechtliche Zweckbeschränkung
a) Übersicht
Nach der Behandlung der datenschutzrechtlichen Schranken der Zwecksetzung ist nun auf das Arbeitsrecht einzugehen, das in Art. 328b Satz 1 OR ebenfalls den zulässigen Bearbeitungszweck eingrenzt. Hierfür ist zunächst auf den Normzweck und die gesetzessystematische Stellung von Art. 328b Satz 1 OR einzugehen (dazu sogleich). Danach sind der Geltungsbereich und der Norminhalt zu behandeln; Letzterer lässt Datenbearbeitungen entweder zur Eignungsabklärung oder zur Durchführung des Arbeitsvertrags zu. Es ist zu prüfen, ob rechtsgültig eingewilligt werden kann in eine Datenbearbeitung, die gegen Art. 328b Satz 1 OR verstösst. Schliesslich ist das Frageverbot zu besprechen, welches sich aus Art. 328b Satz 1 OR ergibt.
b) Normzweck und Gesetzessystematik
Das Arbeitsrecht bestimmt, dass die Arbeitgeberin Daten über den Arbeitnehmer nur bearbeiten darf, soweit diese dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b Satz 1 OR). Über den Zweck dieser Bestimmung und ihre systematische Stellung im Verhältnis zum DSG gehen die Meinungen auseinander. Gemäss der Botschaft zum DSG stellt der Artikel eine Konkretisierung des Verhältnismässigkeitsprinzips des DSG dar.
Konträr zur Botschaft liegt für RIESSELMANN-SAXER der eigenständige materielle Gehalt dieser Bestimmung im Bereich des Bearbeitungszwecks, nicht aber im Bereich der Verhältnismässigkeit. Dementsprechend ist zur Prüfung, ob die betreffende People Analytics-Anwendung nach Art. 328b Satz 1 OR zulässig ist, der Bearbeitungszweck ‒ und nicht die Auswirkung der Datenbearbeitung ‒ entscheidend.
Richtigerweise ist WOLFER und MEIER zu folgen, die in Art. 328b Satz 1 OR sowohl eine Beschränkung des Zwecks als auch eine Konkretisierung des Verhältnismässigkeitsprinzips sehen. Sie erkennen, dass mit dem Zweck der Überwachung gleichzeitig die dahinter stehenden Überwachungsinteressen gemeint sind. Indem Art. 328b Satz 1 OR arbeitsvertragsfremde Überwachungsinteressen zum Vornherein als unverhältnismässig qualifiziert, beeinflusst diese Bestimmung die Interessenabwägung, die Teil der Verhältnismässigkeitsprüfung ist. Hier zeigt sich die Scharnierstellung des Zweckbindungsgrundsatzes, der den Zweck mit dem Rechtfertigungsgrund (hier dem potenziell überwiegenden Interesse) verkoppelt. Die Eignungsabklärung und die Durchführung des Arbeitsvertrags sind zugleich Bearbeitungszwecke und Rechtfertigungsgründe.
ROSENTHAL wiederum sieht in der identischen Norm gerade nicht eine Beschränkung des Bearbeitungszwecks, sondern nur des Kreises bzw. der Art der Daten. Er beruft sich hierfür primär auf den Wortlaut von Art. 328b Satz 1 OR. Eine kategorische Unterteilung nach dem Inhalt der Daten wäre aber äusserst unpraktisch, weil eine Überwachung häufig Daten aus Beruf und Privatleben simultan erfasst. Die Kritik zum DSG, dass ein binäres Unterscheiden zwischen bestehender oder fehlender Kategoriezugehörigkeit nicht zielführend ist, muss auch für das Arbeitsrecht nach OR gelten, womit eine starre Einteilung als berufliche oder private Daten zu verwerfen ist.
c) Geltungsbereich
In zeitlicher und persönlicher Beziehung gilt der Persönlichkeitsschutz bei Datenbearbeitungen nach verbreiteter, aber nicht unumstrittener Meinung und entgegen dem Wortlaut («Arbeitnehmer») bereits für Stellensuchende in der Phase der Vertragsanbahnung (Art. 328b OR analog). Damit greift der arbeitsvertragliche datenbezogene Persönlichkeitsschutz früher als die allgemeine Fürsorgepflicht (nach Art. 328 OR). Allerdings kann nur die Eignungsabklärung (1. Variante von Art. 328b Satz 1 OR) die Analyse von Bewerbern rechtfertigen; nicht infrage kommt eine Berufung auf die Erforderlichkeit (2. Variante von Art. 328b Satz 1 OR), da diese nur die Zeit während einer Anstellung betrifft.
Der Schutz der Personendaten des Arbeitnehmers (Art. 328b OR) gilt genauso und ohne zeitliche Befristung nach Beendigung des Arbeitsverhältnisses. Somit sind nach Austritt des Arbeitnehmers die Grundsätze des DSG anwendbar (vgl. Art. 328b Satz 2 OR). Hingegen erlischt die Fürsorgepflicht (Art. 328 OR) mit Ablauf des Arbeitsverhältnisses grundsätzlich. Nur eine beschränkte nachwirkende vertragliche Fürsorgepflicht überdauert.
d) Norminhalt
Die arbeitsvertragliche Zweckbindung (gemäss Art. 328b Satz 1 OR) bedeutet eine Koppelung des Bearbeitungszwecks an den Arbeitsvertrag. Mit dieser Koppelung erweist sich das Arbeitsrecht restriktiver als das Datenschutzrecht: Das DSG enthält keine vergleichbare Koppelungsbestimmung. Die DSGVO verbietet vertragsfremde Koppelungen nur für Datenbearbeitungen, die mit einer Einwilligung gerechtfertigt werden (vgl. Art. 7 Abs. 4 DSGVO). Für Bearbeitungen, die anderweitig gerechtfertigt werden, etwa durch überwiegende Arbeitgeberinteressen oder Gesetz, stellt die DSGVO keine Koppelungsschranke auf.
Die beiden Varianten «Eignungsabklärung» und «Erforderlichkeit» sind auseinanderzuhalten («oder», Art. 328b Satz 1 OR): Personendaten, die für die Vertragsdurchführung erforderlich sind, jedoch nicht zur Eignungsabklärung, dürfen nur zum Zweck der Durchführung bearbeitet werden. Beispielsweise Angaben über den Familienstand oder zur Gewerkschaftsmitgliedschaft sind notwendig für die Geltendmachung von Kinderzulagen oder zur Klärung, ob ein Arbeitnehmer einem Gesamtarbeitsvertrag untersteht. Für die Eignungsabklärung ist die Bearbeitung solcher Angaben aber nicht zulässig, da es an einem objektiven Arbeitsplatzbezug fehlt.
e) Variante 1: Eignungsabklärung
aa) Objektivität der Eignungsabklärung
Zulässig ist eine Bearbeitung von Daten über den Arbeitnehmer, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen (1. Variante von Art. 328b Satz 1 OR). Erforderlich ist eine Personalunion von analysierter und interessierender Person («dessen Eignung», Art. 328b Satz 1 OR). An der Personalunion fehlt es beispielsweise, wenn Schlüsselmitarbeiter analysiert werden, aber nicht im Hinblick auf deren eigene Arbeitsverhältnisse, sondern zur Abklärung, nach welchen Parametern das Unternehmen künftig Bewerber auswählen und mit ihnen Arbeitsverhältnisse begründen soll.
Die Daten müssen objektiv zur Abklärung der hinreichenden Eignung im Hinblick auf ein konkretes Arbeitsverhältnis beitragen. Die subjektive Wissbegier der Arbeitgeberin genügt nicht.
Sowohl die persönliche als auch die fachliche bzw. berufliche Qualifikation geben objektiven Aufschluss über die hinreichende Befähigung und können somit abgeklärt werden. Angaben zur beruflichen Qualifikation umfassen namentlich Aus- und Weiterbildung, Berufserfahrung, Sprachkenntnisse, Fahrerlaubnis, Aus-landaufenthalte, berufliche Pläne und Vorstrafen. Auch Soft Skills wie Belastbarkeit, Kreativität, Intuition, Lern-, Anpassungs-, Kommunikations-, Präsentations-, Teamfähigkeit, Empathie sowie die Fähigkeiten zum kritischen Denken und Argumentieren stellen berufliche Qualifikationen dar. Diese Fähigkeiten werden schon in der Primarschule bewertet und sind von zentraler Bedeutung im Berufsleben, besonders in der Zukunft.
Zur persönlichen Qualifikation gehören demgegenüber beispielsweise die Weltanschauung und die Freizeitgestaltung. Grundsätzlich unzulässig ist die Abklärung persönlicher Verhältnisse und Eigenschaften, die nicht wesentlich die beruflichen Fähigkeiten mitbestimmen.
Algorithmen werden mit dem technologischen Fortschritt immer neue Korrelationen zwischen Eigenschaften und dem beruflichen Erfolg aufdecken und Kriterien festmachen, die heute nicht als objektive Kriterien für die Beurteilung der Eignung bekannt sind. Ein Algorithmus zur Internetrecherche sammelt Millionen im Internet auffindbarer Datenpunkte über Bewerber, beispielsweise gesellschaftliche Vorlieben oder bevorzugter Browser. Ebenso werden Daten darüber erhoben, welche Webseiten die Person besucht, mit welcher Art Sprache (positiv oder negativ) die Person Technologien beschreibt und welche Fähigkeiten sich die Person auf LinkedIn selbst zuschreibt. Ferner interessieren Daten darüber, wie die arbeitsrelevanten Beiträge der Bewerber in Online-Foren von anderen bewertet werden oder ob jemand ein «Partylöwe» ist. Anbieter wie Spokeo durchsuchen mit Computerprogrammen (sog. Webcrawler) sowohl den oberflächlichen, von den gewöhnlichen Suchmaschinen indexierten Teil des Internets (sog. Surface Web) als auch das weitaus grössere, nicht indexierte (weil z.B. Login-geschützte) Deep Web. Nicht nur aus dem Internet, auch aus den Sensoren ergeben sich neue Eignungskriterien: Arbeitgeberinnen messen mit Wearables die Korrelation zwischen dem Schlafmuster und der Leistung am Arbeitsplatz, um Aufgaben an die am besten Geeigneten zu verteilen. Andere analysieren das Verhalten in Computerspielen.
Es ist nicht geklärt, inwiefern solche neuen Kriterien objektiv zur Eignungsabklärung in Bezug auf eine konkrete Stelle beitragen. Die wissenschaftliche Verlässlichkeit von solchen Analysen ist umstritten, weil sie induktiv und untheoretisch sind. Untheoretisch bedeutet, dass eine Theorie fehlt bzw. nicht im Voraus der Analyse bekannt ist, wonach gesucht wird. People Analytics sucht nach unbekannten Mustern und auffälligen Korrelationen in einem Meer an Daten (sog. Bottom-up- oder datengetriebener Ansatz). Eine theoretische Erklärung dafür, dass die Korrelationen auch Kausalitäten sind, fehlt. Es ist zweifelhaft, ob die von Art. 328b OR geforderte berufliche Bezogenheit gegeben ist, wenn der Algorithmus Daten berücksichtigt, deren Informationsgehalt in der Korrelation zwischen nichtarbeitsbezogenen Daten und der Arbeitsleistung liegt. Problematisch erscheint auch etwa die Ermittlung, ob ein Bewerber seiner Persönlichkeit nach generell zu Straftaten neigt. Wenn sich die Arbeitgeberin hierfür auf blosse Korrelationen stützt, müssen diese zumindest über möglichst lange Zeit stabil sein. Versteht sich «objektiv» aber als sachlich nachvollziehbar, so darf eine blosse Korrelation noch kein genügend objektives Kriterium für die Eignungsabklärung sein. Hier vertretener Auffassung zufolge ist auch eine Überprüfung der Stichhaltigkeit einer Korrelation bzw. der Nachweis einer Kausalität zwischen dem neuen Kriterium und der Arbeitseignung zu fordern, bevor das Kriterium bei der Selektion verwendet wird.
bb) Persönlichkeitsdurchleuchtung
Durch den Einbezug immer neuer Kriterien in die Eignungsabklärung wird technisch eine regelrechte Durchleuchtung der Persönlichkeit des Arbeitnehmers möglich. Bei den geschilderten Anwendungen kann der Algorithmus die Persönlichkeit verletzen, indem er Daten aufspürt, die der Bewerber nicht zum Zweck einer solchen Analyse freigegeben hat (vgl. Art. 12 Abs. 3 i.V.m. Art. 4 Abs. 3 DSG; Art. 26 Abs. 3 i.V.m. Art. 5 Abs. 3 E-DSG; Art. 30 Abs. 3 i.V.m. Art. 6 Abs. 3 rev-DSG). Von den erhobenen Daten kann ein Algorithmus auf weitere Eigenschaften einer Person schliessen (z.B. von Körpergrösse und -gewicht auf das Geschlecht, von der Postleitzahl auf die Ethnie oder vom Essen auf die Religion).
Grafologische Gutachten handgeschriebener Lebensläufe und psychologische Eignungstests sind wie People Analytics umstritten, weil ein tiefe Einblicke gewährendes Röntgenbild von zweifelhaftem wissenschaftlichem Wert erstellt wird. Es lohnt sich deshalb, die rechtliche Behandlung grafologischer Gutachten zu betrachten. Mitte der 90er-Jahre holten rund zwei Drittel (68 Prozent) der Unternehmen bei der Auswahl von Führungskräften regelmässig grafologische Gutachten über die Bewerber ein. Noch im Jahr 2011 waren grafologische Gutachten in der Schweiz verbreitet.
Grafologische Gutachten müssen kumulativ die folgenden vier rechtlichen Voraussetzungen erfüllen: Erstens ist die vorgängige ausdrückliche Einwilligung des Bewerbers erforderlich, weil in der Regel besonders schützenswerte Personendaten beschafft und Persönlichkeitsprofile erstellt werden (vgl. Art. 4 Abs. 5 Satz 2 DSG, vgl. Art. 5 Abs. 6 Satz 2 E-DSG, vgl. Art. 6 Abs. 7 lit. b rev-DSG). Diese Zustimmung kann konkludent erfolgen, beispielsweise wenn die Arbeitgeberin den handgeschriebenen Lebenslauf zur Anfertigung eines grafologischen Gutachtens fordert und der Bewerber ihn kommentarlos schickt. Das Einreichen einer Schriftprobe allein stellt hingegen keine Einwilligung dar. Ziel des Gutachtens und der Zusammenhang zur ausgeschriebenen Stelle müssen klar sein. In der Regel genügt die vorgängige allgemeine «angemessene Information» (Art. 4 Abs. 5 Satz 1 DSG, Art. 5 Abs. 6 Satz 1 E-DSG, Art. 6 Abs. 6 rev-DSG) für die rechtsgültige Einwilligung nicht; stattdessen gilt die spezifische Informationspflicht für das Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen (Art. 14 DSG). Die Einwilligung muss freiwillig erfolgen (Art. 4 Abs. 5 Satz 1 DSG, Art. 5 Abs. 6 Satz 1 E-DSG, Art. 6 Abs. 6 rev-DSG).
Zweitens muss sich das grafologische Gutachten auf die Arbeitsplatzeignung beschränken (Art. 328b Satz 1 OR). In persönlicher Hinsicht bedeutet dies, dass die Stellung im Betrieb zu berücksichtigen ist. Bei Arbeitnehmern mit vorwiegend ausführenden Tätigkeiten darf sich die Datenbearbeitung nur auf die berufliche Qualifikation erstrecken. Je höher jedoch die Position ist, desto umfassender darf die Abklärung ausfallen. Für Stellen mit sehr grosser Verantwortung und hohen Anforderungen an die persönliche Integrität sind vertiefte Abklärungen wegen Haftungs- und Reputationsrisiken sogar geboten. Demzufolge ist das Durchleuchten der ganzen Persönlichkeit mit der ausdrücklichen Einwilligung des Betroffenen möglich. Eine unverhältnismässige Datenbearbeitung ist nicht a priori ungültig. Allgemeine Charakterstudien sind aber unzulässig. Fernerkann die Natur der Arbeit und des Betriebs weitergehende Erkundigungen zulassen: Tendenzbetriebe dürfen in Bezug auf ihren ideellen Zweck Daten aus dem Privatbereich bearbeiten, die keinen engen Bezug zur betreffenden Arbeit aufweisen, sofern der Arbeitnehmer Tendenzträger ist.
Drittens müssen nachvollziehbare, zuverlässige und objektive Ergebnisse resultieren. Die grafologischen Methoden müssen fachmännisch angewendet und ausgewertet werden.
Zu ergänzen ist eine vierte, allgemeine Voraussetzung, die für alle Datenbearbeitungen am Arbeitsplatz gilt. Die Analyse darf nicht gegen zwingendes oder höherrangiges Recht verstossen. Zu denken ist an das Strafrecht bei Untersuchungen, die den strafrechtlich geschützten Geheim- oder Privatbereich verletzen (vgl. Art. 179 ff. StGB). Ferner gelten sehr restriktive Schranken für präsymptomatische genetische Untersuchungen zur Verhütung von Berufskrankheiten und Unfällen (vgl. Art. 22 GUMG).
Die vier Voraussetzungen für grafologische Gutachten lassen sich auf Algorithmen, die die Persönlichkeit durchleuchten, in vergleichbarer Weise übertragen. Die konkludente Einwilligung liegt beispielsweise vor, wenn die Arbeitgeberin die Einreichung einer wissenschaftlichen Arbeit im Wordformat zum Zweck einer Persönlichkeitsanalyse fordert und der Bewerber das Word-Dokument ohne weitere Stellungnahme zusendet.
Im Sinne eines risikoorientierten Verständnisses von Art. 328b Satz 1 OR ist jedoch zu vergegenwärtigen, dass es beim Einsatz von Algorithmen nicht immer zu einer Persönlichkeitsdurchleuchtung kommt. Keine Durchleuchtung der Persönlichkeit liegt vor, wenn sowohl die bearbeiteten Daten als auch die gezogene Schlussfolgerung vom Kern des Persönlichkeitsrechts sehr weit entfernt liegen. Entscheidend ist ein objektiver Massstab. Es stellt noch keine unzulässige Persönlichkeitsdurchleuchtung dar, wenn die Arbeitgeberin künftiges Verhalten über das einem traditionellen Vorgesetzten mögliche Mass hinaus prognostizieren kann: Äussert eine Person im öffentlich zugänglichen Teil eines sozialen Netzwerks Absichten über einen Stellenwechsel, kann der Algorithmus eine entsprechende Verhaltensprognose erstellen, während ein traditioneller Personalverantwortlicher keine Zeit für Diagnosen sozialer Netzwerke haben mag. Gleichwohl handelt es sich noch nicht um eine Ergründung der Persönlichkeit. Ferner mangelt es an einer Persönlichkeitsdurchleuchtung beim Einsatz einer Plagiatssoftware zur Überprüfung der Dissertation daraufhin, ob der Verfasser den in der Be-werbung angegebenen akademischen Grad auf rechtmässigem Weg erlangt hat. Dies ist zur Eignungsabklärung zulässig.
f) Variante 2: Erforderliche Daten zur Durchführung des Arbeitsvertrags
Die Arbeitgeberin darf Daten über den Arbeitnehmer bearbeiten, soweit diese zur Durchführung des Arbeitsvertrags erforderlich sind (2. Variante von Art. 328b Satz 1 OR). Zur Beurteilung der Erforderlichkeit müssen die für den betreffenden Arbeitsvertrag charakteristischen Rechte und Pflichten identifiziert werden. Die Überwachung kann zur Wahrnehmung der Fürsorgepflicht (Art. 328 OR) notwendig sein. Zulässig kann es auch sein, den Arbeitnehmer hinsichtlich der Einhaltung der Sorgfalts- und Treuepflicht (Art. 321a OR) zu beaufsichtigen. Die Abklärung medizinischer Angaben, etwa mittels Wearables, kann erforderlich sein, wenn Anzeichen bestehen, dass eine gesundheitliche Beeinträchtigung den Arbeitnehmer an der Erfüllung wesentlicher Arbeitsaufgaben hindert oder der Arbeitnehmer aufgrund seiner Krankheit eine direkte Bedrohung darstellt.
Nicht erforderlich zur Durchführung des Arbeitsvertrags sind in aller Regel Aufzeichnungen nach Arbeitsende. Dies ist für geolokalisierte Geschäftsautos sowie geschäftliche Mobiltelefone und Laptops, welche auch privat benutzt werden dürfen, einzukalkulieren. Gleiches gilt für implantierte Computerchips, die ohne einen medizinischen Eingriff nicht entfernt werden können. Auch die Überwachung in datenschutzsensiblen Bereichen wie Pausenräumen oder Toiletten erscheint grundsätzlich nicht als erforderlich.
Bei der «Erforderlichkeit» handelt es sich um einen unbestimmten Rechtsbegriff. Eine kompromisslose Auslegung würde bedeuten, dass eine Datenbearbeitung nur erforderlich ist, wenn ohne sie der Arbeitsvertrag nicht erfüllt werden könnte. Demgegenüber führt eine weite Auslegung dazu, dass Datenbearbeitungen bereits als erforderlich und somit zulässig gelten, wenn sie die Durchführung des Vertrags vereinfachen bzw. nützlich sind.
Die Einführung von People Analytics-Erfindungen wie Chip-Implantaten, Monitoring von Bewerbern in sozialen Netzwerken, algorithmischer Leistungsauswertung oder Gesundheitschecks mittels Wearables ist in vielen Fällen nicht im streng genommenen Sinne notwendig für die Durchführung des Arbeitsverhältnisses. Die meisten Jobs lassen sich ohne Analytik ausüben; diese aber ermöglicht Entwicklung und Einsparungen. Letztlich trimmt sie das Unternehmen fit für den Wettbewerb, sichert bestehende und schafft neue Arbeitsstellen. Analysen, die für den Fortschritt des Gesamtunternehmens oder einer Abteilung erforderlich, für die Durchführung (oder den Erhalt) des einzelnen Arbeitsvertrags jedoch bloss nützlich sind, sollten nicht von Anfang an unterbunden werden. Während die Eignungsabklärung (1. Variante von Art. 328b Satz 1 OR) die Personalunion von analysierter und interessierender Person verlangt, erscheint bei der Erforderlichkeit (2. Variante von Art. 328b Satz 1 OR) Fingerspitzengefühl angezeigt: Dient die Analyse nicht direkt der Durchführung des Arbeitsvertrags mit der analysierten Person, sondern (auch) dem Gesamtunternehmen oder der Abteilung, kann dies im Interesse des betroffenen Arbeitnehmers gelegen kommen.
Vermutlich führt ein Mittelweg zwischen der restriktiven und der extensiven Auslegung von Art. 328b Satz 1 OR zum Ziel: Eine Datenbearbeitung muss mehr als bloss nützlich sein, muss aber auch nicht absolut unerlässlich sein, um das Kriterium der Erforderlichkeit zu erfüllen. Damit ist ein gewisser Raum für Innovationen sichergestellt, sodass das Unternehmen mit der Zeit gehen kann und die Arbeitsstellen erhalten bleiben. Mit dieser Auslegung können auch Reibungen zwischen Arbeitnehmerschutz und Gesellschaftsrecht gemildert werden: Das Unternehmen ist gegenüber den Gesellschaftern verpflichtet, den Unternehmenswert zu erhalten und zu steigern, sodass Investitionen im Bereich People Analytics geboten sein können.
g) Einwilligung zu Abweichungen von Artikel 328b Satz 1 Obligationenrecht
Die Bestimmung zum Persönlichkeitsschutz bei der Bearbeitung von Personendaten des Arbeitnehmers (Art. 328b Satz 1 OR) schafft einige Grauzonen. Es kann innerhalb des diskutierten Spielraums dafür oder dagegen argumentiert werden, ob ein Kriterium objektiv zur Eignungsabklärung dient, ob die Schwelle zur Persönlichkeitsdurchleuchtung erreicht ist und ob auch bloss nützliche Informationen zur Vertragsdurchführung bearbeitet werden dürfen. Angesichts dieser Grenzfälle stellt sich die Frage, ob denn eine Abweichung von Art. 328b Satz 1 OR möglich und zulässig wäre.
Die arbeitsrechtliche Bestimmung zum Datenschutz (Art. 328b OR) ist grundsätzlich einseitig zwingender Natur: Von ihr darf nicht durch Abrede, Normalarbeitsvertrag oder Gesamtarbeitsvertrag zuungunsten des Arbeitnehmers abgewichen werden (Günstigkeitsprinzip, Art. 362 Abs. 1 OR). Da es sich um eine unabdingbare gesetzliche Vorschrift handelt, können Arbeitnehmer vor, während und einen Monat nach der Vertragsdauer nicht auf entsprechende Forderungen verzichten (Art. 341 Abs. 1 OR). Die Unverzichtbarkeit gilt bzgl. aller Arten von Ansprüchen des Arbeitnehmers gegenüber der Arbeitgeberin aus dem Arbeitsverhältnis; der Wortlaut, der nur Forderungen (vgl. Art. 184 OR) nennt, ist zu eng. Deshalb kann auf den arbeitsrechtlichen Datenschutz (Art. 328b Satz 1 OR) in der Regel nicht durch Einwilligung verzichtet werden. Eine Datenbearbeitung ohne genügenden Arbeitsplatzbezug und zulasten des Arbeitnehmers ist arbeitsrechtlich grundsätzlich selbst dann nicht erlaubt, wenn sie nach dem DSG (etwa mit einer Einwilligung, vgl. Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG) gerechtfertigt werden könnte. Eine Einwilligung wäre unwirksam bzw. nichtig (Art. 362 Abs. 2 OR analog). Dabei wird meistens nicht der gesamte Einzelarbeitsvertrag nichtig, sondern es gilt die Teilnichtigkeit (vgl. Art. 20 Abs. 2 OR). Die nichtige vertragliche Bestimmung wird durch die gesetzliche Vorschrift ersetzt.
Nach einer protektiven Meinung ist eine Datenbearbeitung, die gegen Art. 328b OR verstösst, nur so lange zulässig, als sie sich nicht zulasten des Arbeitnehmers auswirkt. Bei ganzheitlicher Betrachtung unter Einschluss der ratio legis des Arbeitsrechts, «Schutz der schwächeren Vertragspartei», ist eine für den Arbeitnehmer nachteilige und nicht durch sachliche Gründe gerechtfertigte Datenbearbeitung durch die Arbeitgeberin unzulässig. Eine Abweichung von Art. 328b OR muss für den Arbeitnehmer gesamthaft von Vorteil sein bzw. in seinem Interesse erfolgen. Ob insgesamt ein Vorteil resultiert, beurteilt sich nach einem objektiven Massstab. Aus datenschutzrechtlicher Sicht ist zu fordern, dass die Einwilligung nur sehr eingeschränkt zum Einsatz kommen darf.
Eine liberalere Meinung sieht in Art. 328b Satz 1 OR aber keine selbständige Verbotsnorm, deren Verletzung automatisch eine unerlaubte Handlung darstellen würde. Art. 328b Satz 1 OR verweise im Wesentlichen auf das DSG und habe einen verhältnismässig engen eigenständigen Regelungsbereich. Es handle sich bloss um einen weiteren (auf Arbeitsverhältnisse beschränkten) datenschutzrechtlichen Bearbeitungsgrundsatz (vgl. Art. 12 Abs. 2 lit. a DSG, Art. 26 Abs. 2 lit. a E-DSG, Art. 30 Abs. 2 lit. a rev-DSG). Dies finde Rückhalt in einer historischen Auslegung, da der Gesetzgeber mit Art. 328b Satz 1 OR lediglich das datenschutzrechtliche Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG) konkretisieren wollte. Nach dieser Position kann eine Datenbearbeitung ohne sachlichen Bezug zur Arbeit durch eine Einwilligung gerechtfertigt werden, weil das Arbeitsrecht das DSG zum Bestandteil des Arbeitsvertrags macht (vgl. Art. 328b Satz 2 OR i.V.m. Art. 13 Abs. 1 DSG bzw. Art. 27 Abs. 1 E-DSG bzw. Art. 31 Abs. 1 rev-DSG). Die liberalere Meinung hat zudem den Gesetzeswortlaut auf ihrer Seite, der eine Abweichung bloss mittels «Abrede, Normal- oder Gesamtarbeitsvertrag» (Art. 362 Abs. 1 OR) für unzulässig erklärt. An einer Abrede, einem Normalarbeitsvertrag oder Gesamtarbeitsvertrag sind mindestens zwei Parteien beteiligt, während sich Art. 362 Abs. 1 OR zur Einwilligung als einseitiger Willenserklärung nicht äussert. Nach der liberaleren Meinung kann ein Arbeitnehmer rechtsgültig in die Speicherung von Daten über den Verlauf seiner privaten Internetnutzung einwilligen, indem er Internet-Guidelines unterschreibt. Art. 362 OR lasse aber nur eine Einwilligung im Einzelfall zu, während ein Vorausverzicht auf den durch Art. 328b OR gewährten Schutz verboten sei. Zu weit ginge somit die Einwilligung, die der Arbeitgeberin ein umfassendes Recht einräumen würde, in beliebiger Weise in den privaten E-Mails des Arbeitnehmers zu stöbern.
Solange kein höchstrichterlicher Entscheid ergeht, bleibt unsicher, ob der protektiven oder der liberaleren Meinung zu folgen ist. Nach der vorliegend vertretenen Ansicht unterscheidet RIESSELMANN-SAXER zutreffend zwischen Satz 1 und Satz 2 von Art. 328b OR. Der erste Satz ist in dem Sinne relativ zwingend, dass eine Datenbearbeitung zu einem anderen Zweck als der Abklärung der Eignung oder der Durchführung des Arbeitsverhältnisses nur dann gültig ist, wenn sie für den Arbeitnehmer von Vorteil ist. Damit durchbricht Art. 328b Satz 1 OR als lex specialis das DSG, das eine Bearbeitung zu einem beliebigen Zweck zulässt und lediglich die Zweckänderung verbietet (vgl. Art. 4 Abs. 3 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG). Der zweite Satz von Art. 328b OR ist insofern zwingend, als von den datenschutzrechtlichen Bestimmungen nicht zuungunsten des Arbeitnehmers abgewichen werden kann. Mit anderen Worten kann der Arbeitnehmer mittels Abrede, Normal- oder Gesamtarbeitsvertrag nicht schlechter gestellt werden, als wenn das DSG gelten würde. Jedoch kann durch Einwilligung der betroffenen Person zu deren Ungunsten von den datenschutzrechtlichen Einschränkungen abgewichen werden (Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG). Daher ist in Bezug auf Art. 328b Satz 2 OR die Bedeutung der relativ zwingenden Wirkung erheblich eingeschränkt. Beispielsweise könnte ein Arbeitnehmer dazu einwilligen, dass die Arbeitgeberin im Rahmen einer arbeitsbezogenen Zwecksetzung übermässig viele Daten bearbeitet, dies entgegen den datenschutzrechtlichen Grundsätzen der Verhältnismässigkeit und Datenminimierung (vgl. Art. 4 Abs. 2 i.V.m. Art. 12 Abs. 2 lit. a DSG; Art. 5 Abs. 2 i.V.m. Art. 26 Abs. 2 lit. a E-DSG; Art. 6 Abs. 2 i.V.m. Art. 30 Abs. 2 lit. a rev-DSG). So erscheint etwa eine Einwilligung in die Aufzeichnung der Computeraktivitäten während der Arbeitszeit zur Betrugsprävention möglich, auch wenn kein konkreter Verdacht besteht, dass die einwilligende Person Betrugshandlungen begeht und eine Überwachung somit grundsätzlich unverhältnismässig ist. Unabhängig davon, welcher Lehrmeinung ein Gericht folgen wird, ist nach vorliegender Auffassung eine Einwilligung ohnehin nur mit grosser Zurückhaltung als Rechtfertigungsgrundlage zu wählen, weshalb die bereitgelegten Argumente selten ins Gefecht geführt werden müssen.
h) Frageverbot
Aus Art. 328b OR resultiert ein Frageverbot der Arbeitgeberin in Bezug auf die Privatsphäre des Arbeitnehmers. Grundsätzlich unzulässig sind etwa Fragen nach Schwangerschaft(-sabsichten), Rauchgewohnheiten, Herkunft, Gewerkschaftszugehörigkeit, religiöser oder politischer Gesinnung. Auch wie es um die allgemeine Gesundheit des Arbeitnehmers steht, ob er vegetarisch isst, Alkohol trinkt oder raucht, ist für die (potenzielle) Arbeitgeberin grundsätzlich tabu. Bewerbern steht im Fall einer unzulässigen Frage ein Notwehrrecht auf Lüge zu. Dem Arbeitnehmer wird das Notwehrrecht der Lüge teilweise auch im laufenden Arbeitsverhältnis zugestanden. Wenn dem Arbeitnehmer aufgrund der unzulässigerweise gewonnenen Information gekündigt wird, ist eine missbräuchliche Kündigung (Art. 336 OR) anzunehmen.
Mit dem Frageverbot der Arbeitgeberin korrespondiert eine Mitteilungspflicht des Bewerbers nach den Regeln von Treu und Glauben (Art. 2 Abs. 1 ZGB) und des Arbeitnehmers gestützt auf die Treuepflicht (Art. 321a Abs. 1 OR). Beispielsweise muss ein Bewerber Informationen über seinen Gesundheitszustand offenlegen, wenn sie objektiv notwendig sind für die Beurteilung der künftigen Arbeitsfähigkeit.
People Analytics wirft das Problem auf, dass die Technologie Informationen aufdecken kann, nach denen die Arbeitgeberin im Gespräch nicht fragen dürfte. Anders als bei einer direkten Frage erlangen die Arbeitnehmer keine Kenntnis davon, wenn ein Algorithmus Daten über sie aufspürt. Ihr Notwehrrecht zur Lüge können sie faktisch nicht ausüben. Daher ist zu fordern, dass die Arbeitgeberin den Algorithmus in der Weise programmiert, dass er von sich aus keine Daten zur Privatsphäre ermittelt. Er darf beispielsweise nicht eruieren, ob sich die Bewerberin in sozialen Netzwerken äussert, in denen es um Schwangerschaftsthemen geht.
5.6 Erkennbarkeitsgebot
5.6.1 Normzweck und Norminhalt
Die spezifische Datenbearbeitungsregel der Erkennbarkeit verlangt, dass die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen (Art. 4 Abs. 4 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG). Die Begriffe der «Erkennbarkeit» und «Transparenz» werden vorliegend gleichbedeutend verwendet, weil sich der letztere Fachausdruck auf internationaler Ebene etabliert hat (vgl. etwa Art. 5 Abs. 1 lit. a DSGVO).
Es handelt sich bei der Erkennbarkeit um einen der tragenden Pfeiler des Datenschutzrechts. Denn er trägt zu verschiedenen Zwecken bei: Eine transparente Datenbearbeitung sensibilisiert die Bevölkerung für die Allgegenwärtigkeit von Datenbearbeitungen sowie deren Gefahren. Transparenz ist eine Voraussetzung für die Ausübung der informationellen Selbstbestimmung, etwa um eine Algorithmen-unterstützte Personalentscheidung anzugreifen oder das eigene Verhalten anzupassen. Die Durchsichtigkeit von Algorithmen steht auch am Anfang der Aufdeckung und Bekämpfung algorithmischer Diskriminierung. Ferner kann Transparenz Vertrauen schaffen. Welche Relevanz Transparenz in der Wahrnehmung der Betroffenen hat, zeigt eine Umfrage von 2015: Neun von zehn Befragten (91 Prozent) finden, dass ein Preisnachlass keine gerechte Gegenleistung für eine intransparente Datenerhebung ist. Auch eine verbesserte Dienstleistung vermag für über die Hälfte der Befragten (55 Prozent) die fehlende Erkennbarkeit nicht zu kompensieren. Der Transparenz wohnt aber auch ein direkter, intrinsischer Wert inne: Durch die Transparenz steigt die Erklärbarkeit und damit die Validität eines Algorithmus im Vergleich zu nebulösen Systemen. Das System lässt sich verbessern, wenn Fehler offengelegt werden.
Der Grundsatz der Erkennbarkeit leitet sich ab vom allgemeinen Rechtsgrundsatz des Handelns nach Treu und Glauben (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG), der ein schonendes und widerspruchfreies Verhalten des Datenbearbeiters gegenüber dem Betroffenen verlangt. Daten dürfen nicht auf eine Art erhoben werden, mit der die betroffene Person nicht rechnen muss. Transparenz muss sowohl über die Tatsache, dass der Arbeitsplatz überwacht wird, als auch über die Methoden und Modalitäten der Überwachung geschaffen werden. In zeitlicher Hinsicht müssen die Arbeitnehmer und Bewerber informiert sein, bevor die Datenerhebungen beginnen. Heimliche Überwachungen sind in aller Regel unzulässig. Ausnahmsweise kann jedoch eine unangekündigte Videoüberwachung des Verkaufspersonals in einem Supermarkt verhältnismässig sein, wenn der begründete Verdacht besteht, dass mehrere Arbeitnehmer aufeinander abgestimmte Diebstahlsdelikte zum Schaden der Arbeitgeberin begehen.
5.6.2 Ungenügende Umsetzung der Erkennbarkeit
Auch wenn das DSG Transparenz verlangen mag, umgesetzt wird sie in der Praxis jedoch ungenügend. So kann es vorkommen, dass diejenigen, die nicht an der Programmierung beteiligt sind, das Modell als algorithmische «Blackbox» wahrnehmen. Darunter ist ein komplexes Entscheidfindungssystem zu verstehen, von welchem nur das äussere Verhalten, nicht aber die innere Struktur sichtbar ist. Den Betroffenen sind nur die erhobenen Eingabedaten und das ausgegebene Ergebnis bekannt, während undurchsichtig bleibt, wie und warum es zum Resultat gekommen ist. Aber nicht nur den betroffenen Arbeitnehmern, sondern auch vielen Arbeitgeberinnen ist das Innenleben dieser Blackbox, die sie von Entwicklern einkaufen, unbekannt. Sogar die Ingenieure selbst bekunden Mühe, die von ihnen persönlich programmierten Algorithmen zu verstehen.
Die Gründe für den Transparenzmangel sind vor allem technischer Natur: Algorithmen entwickeln sich dank KI und maschinellem Lernen selbständig weiter, weshalb die algorithmischen Analyseergebnisse nicht vorhergesagt werden können. Dies hat jedoch auch einen Vorteil: Selbständig lernende Modelle weisen im Vergleich zu leicht erklärbaren Modellen eine höhere Vorhersagegenauigkeit auf, weil sie mehr Beziehungen zwischen Variablen berücksichtigen.
5.6.3 Restriktive Auslegung der Erkennbarkeit
Beim Anblick der mangelhaften Verwirklichung der Transparenz bei People Analytics ist zu überlegen, welche Elemente der Datenbearbeitung erkennbar sein müssen und welche nicht. Das Gesetz verlangt Transparenz über die Beschaffung und den Bearbeitungszweck, doch ist diese Auflistung nicht abschliessend («insbesondere», Art. 4 Abs. 4 DSG).
Rechtliche Grenzen können einer vollständigen Transparenz von Algorithmen entgegenstehen. Zu denken ist einerseits an die Geschäftsgeheimnisse der Arbeitgeberin, die dazu dienen, Innovationsanreize zu setzen, indem gegenüber der Konkurrenz ein wirtschaftlicher Vorsprung entsteht und die betroffenen Arbeitnehmer das algorithmische System nicht manipulieren können. Andererseits können Rechte Dritter einer Lüftung der Blackbox-Geheimnisse entgegenstehen, etwa weil ihre Personendaten in den Algorithmus eingeflossen sind und eine Veröffentlichung ihre Privatsphäre gefährden könnte.
Eine totale Transparenz bei People Analytics kann nicht beabsichtigt werden, weil Persönlichkeitsverletzungen auch bei vollständiger Transparenz eintreten können. Jemand kann seiner Authentizität verlustig gehen und wird sich verstellen, wenn er stets von einer Beobachtung ausgehen muss. Zudem kann die Kenntnis der einzelnen Bearbeitungsschritte allein nicht gewährleisten, dass die Betroffenen verstehen, wie ein Modell als Ganzes funktioniert. Wenn alle, auch unwichtigen Eigenschaften des Algorithmus offengelegt werden, nimmt diese Lektüre für den Informationsempfänger so viel Zeit in Anspruch, dass er von den wesentlichen Informationen und der Ausübung seiner Betroffenenrechte abgelenkt wird. Die amerikanische Behörde DARPA (Defense Advanced Research Projects Agency) führt vor dem Hintergrund, dass für Betroffene kaum nachvollziehbar ist, wie sich selbständig lernende Algorithmen verändern, unter dem Titel XAI (explainable artificial intelligence) eigens ein Forschungsprogramm, das die Erklärbarkeit vonKI verbessern will.
Inspiration für eine geeignete Ausgestaltung der Transparenzpflicht können die Vorschläge zur Transparenz über automatisierte Entscheidungen im Einzelfall bieten. Während die entsprechenden Bestimmungen (Art. 19 E-DSG, Art. 21 rev-DSG; Art. 22 DSGVO) auf People Analytics nur selten Anwendung finden werden, weil eine beeinträchtigende Personalentscheidung kaum je ausschliesslich auf einer automatisierten Bearbeitung beruht, können sie vorliegend als Auslegungshilfe dienen. Vorgesehen ist kein verbindliches Recht auf Erklärung einer automatisierten Einzelentscheidung, sondern bloss eine Information darüber (vgl. Art. 19 Abs. 1 E-DSG, Art. 21 Abs. 1 rev-DSG).
WACHTER, MITTELSTADT und RUSSEL schlagen vor, die Informationspflichten betreffend automatisierte Entscheidungen im Einzelfall auf kontrafaktische Erklärungen (counterfactual explanations) einzuschränken. Dabei würde die Information auf ein Minimum beschränkt, ohne Einblick in das Innenleben des Algorithmus zu gewähren. Eine kontrafaktische Erklärung beschreibt stattdessen die Abhängigkeit eines Entscheids von externen Umständen. Sie beschreibt, wie sich ein externer Umstand ändern müsste, damit der Algorithmus das gewünschte Resultat produzieren würde. Beispielsweise könnte eine kontrafaktische Erklärung lauten: «Die Beförderung des Arbeitnehmers wurde abgelehnt, weil er erst seit einem Jahr im Unternehmen arbeitet. Wäre er seit zwei Jahren angestellt, hätte der Algorithmus die Beförderung vorgeschlagen.» Aus einer modellzentrierten Erklärung, die alle Bearbeitungsschritte einzeln erläutert, wird somit eine subjektzentrierte Erklärung, die sich auf das beschränkt, was die Betroffenen wissen wollen, nämlich, wie sie den Ausgang beeinflussen können. Kontrafaktische Erklärungen können hingegen nicht genügen, wenn umfassende Kenntnis über die Systemfunktionalität erforderlich ist, beispielsweise, wenn Statistiken erforderlich sind, um zu prüfen, ob der Algorithmus diskriminiert.
Der Vorschlag von THOUVENIN und FRÜH im Zusammenhang mit der Information über automatisierte Entscheidungen im Einzelfall (Art. 19 Abs. 1 E-DSG, Art. 21 Abs. 1 rev-DSG) zielt auf eine Zweiteilung der Informationspflicht. Eine rudimentäre allgemeine Transparenzpflicht soll in allen Fällen offenlegen, dass Methoden der automatisierten Entscheidfindung verwendet werden. Eine erweiterte Transparenzpflicht soll dagegen nur für Fälle gelten, in denen die Betroffenen ein Rechtsmittel oder einen Rechtsbehelf zur Hand haben, um den Entscheid anzufechten, und somit ein genügendes Interesse an weiterer Information besteht. Dabei ist davon auszugehen, dass die allgemeine Transparenz dem Entscheid zeitlich vorausgeht (ex ante), die erweiterte hingegen nachfolgt (ex post).
Vorliegend wird gestützt auf die vorgestellten Argumente eine eher restriktive Auslegung der Bearbeitungsregel der Erkennbarkeit vertreten in dem Sinne, dass ein Übermass an Information nicht erstrebenswert ist. Die Erkennbarkeit ist wortwörtlich so auszulegen, dass die Arbeitnehmer die Vorgänge in Algorithmen «erkennen» bzw. verstehen und es nicht bei der blossen Sichtbarkeit durch Transparenz bleibt. Anzupeilen ist eine qualitativ hochwertige Transparenz, die sich nur schwer quantitativ ausdrücken lässt. Die Pflicht zur Transparenz sollte sich am Informationsinteresse des Betroffenen ausrichten. Interessieren dürften etwa die Form der Überwachung (z.B. Video oder GPS), der Zweck (z.B. Diebstahlschutz oder Leistungsoptimierung) und die Dauer der Überwachung sowie gegebenenfalls die Möglichkeit zum Ergreifen von Rechtsmitteln. Auch die Bearbeitungsart und die Natur der Daten beeinflussen den Grad der nötigen Transparenz. Informationen über die Grundzüge eines Datenbearbeitungssystems können allenfalls bereits genügen. Dagegen erscheint die Offenlegung von Systemdetails (z.B. des Algorithmenquellcodes) in der Regel nicht zielführend: Einerseits resultiert daraus kaum ein Verständnisgewinn für die Arbeitnehmer (all jene, die der Programmiersprache nicht mächtig sind, können den Quellcode nicht lesen). Andererseits bestehen oft schützenswerte Geheimhaltungsinteressen der Arbeitgeberin.
5.7 Richtigkeitsgebot
Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind (Art. 5 Abs. 1 DSG, vgl. Art. 5 Abs. 5 E-DSG, vgl. Art. 6 Abs. 5 rev-DSG). Beim Prinzip der Richtigkeit geht es um die Regulierung der Informationsqualität. Anstatt Informationsflüsse als solche zu verbieten, wird verlangt, dass personenbezogene Information bestimmten qualitativen Anforderungen genügen und insbesondere zutreffen soll. Entscheidend ist nicht nur die absolute Zahl von Fehlern, sondern auch das Verhältnis zur gesamten Datenmenge: Wer bei der Bearbeitung von zehn Datensätzen fünf Fehler begeht, verletzt die Persönlichkeit der Betroffenen häufiger als derjenige, dem bei hundert Datensätzen «nur» zehn Fehler unterlaufen.
Einige der von People Analytics ausgehenden Rechtsprobleme bestehen jedoch gerade darin, dass die Arbeitgeberin über qualitativ hochwertige Informationen verfügt, die ihr präzise Einsicht in das Leben der Arbeitnehmer gewähren. Beispielsweise können zu präzise Ableitungen zu einer unverhältnismässigen Persönlichkeitsdurchleuchtung führen. Somit kann die Einhaltung der Informationsqualität (allein) nicht ausreichen, um die Privatsphäre der Arbeitnehmer zu bewahren.
5.8 Datenminimierung und Speicherbegrenzung
Die DSGVO statuiert explizit die Grundsätze der Datenminimierung und Speicherbegrenzung. Die Datenerhebung muss sich auf das für die Zwecke der Bearbeitung notwendige Mass beschränken (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO). Zudem müssen Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange zulässt, wie es für die Zwecke, für die die Daten bearbeitet werden, erforderlich ist (Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO).
Im geltenden und im künftigen schweizerischen Datenschutzrecht sind die beiden Bearbeitungsregeln der Datenminimierung und Speicherbegrenzung nicht explizit verankert. Sie stehen zwar in enger Verwandtschaft mit dem Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG). Auch umschreibt das künftige Datenschutzrecht die Speicherbegrenzungspflicht, indem er verlangt, dass Personendaten vernichtet oder anonymisiert werden müssen, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind (Art. 5 Abs. 4 E-DSG, Art. 6 Abs. 4 rev-DSG). Insgesamt zeigen jedoch sowohl das DSG als auch das rev-DSG eine gewisse Zurückhaltung bei der Aufnahme der beiden Bearbeitungsregeln. Dies ist zu begrüssen, wie sogleich gezeigt wird.
Der Grundsatz der Datenminimierung steht quer zu anderen Rechtsbestimmungen. Das Gebot der Datenminimierung kann mit dem Grundsatz der Datensicherheit (Art. 7 DSG, Art. 7 E-DSG, Art. 8 rev-DSG) in Konflikt geraten. Dieser verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 Abs. 1 DSG, Art. 8–12 VDSG; Art. 7 Abs. 1 E-DSG, Art. 8 Abs. 1 rev-DSG). Integrität und Vertraulichkeit, aber auch Verfügbarkeit ist zu gewährleisten. Die Protokollierung der automatisierten Bearbeitung besonders schützenswerter Personendaten oder von Persönlichkeitsprofilen ist per Verordnung vorgeschrieben (vgl. Art. 10 VDSG). Als Vorkehrung gegen Angriffe und Datenverluste ist die Speicherung von Back-ups über längere Zeit erforderlich. Jede Anomalieerkennung basiert auf einer umfassenden Logfile-Analyse, die zwangsläufig eine Speicherung des normalen Benutzerverhaltens als Referenz und somit ein Profiling voraussetzt. Die Aufzeichnung von Metadaten, die für das Funktionieren des Systems selbst nicht erforderlich wären, kann zur Gewährleistung der Datensicherheit angezeigt sein. Somit verlangen die Informationssicherheit und die effiziente Abwehr von Gefahren nach umfangreichem Wissen über Vorgänge im digitalen, aber auch analogen Umfeld. Der Grundsatz der Datensicherheit strebt nach einem Maximum an Information, während das Ideal der Datenminimierung das Gegenteil verkörpert. Ein Kompromiss zwischen den gegensätzlichen Prinzipien der Datenminimierung und der Datensicherheit ist erstrebenswert, da der Datenschutz als Ganzes durch eine erhöhte Datensicherheit gewinnen wird.
Sodann schwelt ein Konflikt zwischen der Datenminimierung und dem Auskunftsrecht: Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden (Art. 8 DSG, Art. 23 E-DSG, Art. 25 rev-DSG). Der Auskunftsanspruch besteht grundsätzlich jederzeit; niemand kann im Voraus auf das Auskunftsrecht verzichten (Art. 8 Abs. 6 DSG, Art. 23 Abs. 5 E-DSG, Art. 25 Abs. 5 rev-DSG). Problematisch ist, dass die Arbeitgeberin aufgrund der möglichen Ausübung des Rechts auf Auskunft durch einen Arbeitnehmer praktisch dazu gezwungen ist, alle entscheidungsrelevanten Daten zu speichern und für den Fall der Auskunft vorzuhalten – auch dann, wenn dies zur Durchführung des Arbeitsvertrags (Art. 328b OR) gar nicht nötig wäre.
Der Grundsatz der Datensparsamkeit ist relativ zum Bearbeitungszweck zu verstehen. D.h., dass es je nach Zwecksetzung erforderlich sein kann, mehr oder weniger Daten zu bearbeiten.
Auch über die DSG-internen Widersprüche hinaus gibt es Konfliktpotenzial: Eine Diskrepanz besteht zwischen dem Grundsatz der Datenminimierung und der Nichtdiskriminierung. Die Erstellung eines nicht diskriminierenden Algorithmus setzt voraus, dass umfassend Daten zu den betroffenen Personen, auch zu ihren geschützten verpönten Merkmalen, in den Modellierungsprozess einbezogen werden, wie noch gezeigt werden wird. Das (Datenschutz-)Recht muss diesen Einbezug auf angemessene Art zulassen.
Schliesslich können Grundrechte der Datenminimierung entgegenstehen, so beispielsweise die Grundrechte auf Meinungs- und Informationsfreiheit (Art. 16 BV), Wissenschaftsfreiheit (Art. 20 BV) und Wirtschaftsfreiheit (Art. 27 BV).
Zusammenfassend bestehen zwischen den am Bearbeitungsprozess orientierten Bestimmungen der Datenminimierung und der Speicherbegrenzung einerseits und diversen Rechtsbestimmungen andererseits Konfliktpotenziale. Infolgedessen ist es unrealistisch, an einer strengen Minimierung der Bearbeitung von Personendaten festzuhalten. Stattdessen ist eine «behutsame Neuinterpretation» zu erwägen. Die widerstreitenden Grundsätze sollten in ein ausgewogenes Verhältnis zueinander gesetzt werden. Leitstern muss dabei der Persönlichkeitsschutz (Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG) bzw. das Risiko einer Persönlichkeitsverletzung sein. Eine risikoorientierte Auslegung der entsprechenden Datenschutzbestimmungen ist daher zu befürworten. Beispielsweise könnte es für die Einhaltung des Datenminimierungs-Grundsatzes genügen, die Daten bloss zu anonymisieren oder pseudonymisieren, statt gänzlich auf sie zu verzichten.
Gabriel Kasper in: People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts; 2021; Dike Verlag, Zürich
https://creativecommons.org/licenses/by-nc-nd/3.0/ch/
DOI: https://doi.org/10.3256/978-3-03929-009-3
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.