Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts
5.9 Löschpflicht
5.9.1 Norminhalt
Aus dem allgemeinen Rechtsgrundsatz der Verhältnismässigkeit (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG) fliesst die Pflicht der Arbeitgeberin, die Daten nach einer bestimmten Zeit zu löschen. Der spezifische Datenbearbeitungsgrundsatz der Zweckbindung (Art. 4 Abs. 3 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG) konkretisiert, dass die Aufbewahrung (eine Form des Bearbeitens, vgl. Art. 3 lit. e DSG, Art. 4 lit. d E-DSG, Art. 5 lit. d rev-DSG) unzulässig ist, sobald die Daten für den Zweck, der zu ihrer Erhebung geführt hat, nicht mehr benötigt werden. Werden Daten zu mehreren Zwecken analysiert, sind sie zu löschen, wenn der letzte Zweck erfüllt worden ist. Korrespondierend fliesst aus dem Recht auf informationelle Selbstbestimmung für den Arbeitnehmer ein Anspruch auf Datenvernichtung (vgl. Art. 12 Abs. 2 lit. b DSG, Art. 26 Abs. 2 lit. b E-DSG, Art. 30 Abs. 2 lit. b rev-DSG). Die Begriffe der «Löschung» und «Vernichtung» von Daten werden vorliegend gleichbedeutend verwendet.
Der Löschpflicht des DSG liegt der Schutz der subjektiven Persönlichkeitsrechte des Betroffenen zugrunde (vgl. Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG). Die Löschpflicht ist nach vorliegender Auffassung nicht an eine starre Frist gebunden. Es handelt sich somit um eine implizit zeitbezogene Norm; dies im Gegensatz zu explizit zeitbezogenen Normen, die den Informationsbestand an sich schützen und Aufbewahrungszeiträume vordefinieren. Somit ist im Sinne einer risikoorientierten Auslegung in jedem Einzelfall abzuwägen, ob das Interesse des Betroffenen an der Löschung oder dasjenige der Verantwortlichen an der Datennutzung, etwa durch Wiederverwertung oder Lizenzierung an Dritte, überwiegt.
5.9.2 Umsetzung der Löschung
Von technischer Seite her sollten die Daten der Arbeitnehmer mit Metadaten versehen werden, die den Zeitpunkt der Datenerhebung und die voraussichtliche Gültigkeitsdauer der Daten und des erlaubten Bearbeitungszwecks festhalten. Für die Löschung braucht es ein Zusammenwirken von unterschiedlichen Löschungsverfahren und begleitenden Schutzmassnahmen gegen eine Datenwiederherstellung über alle vernetzten Systeme und Datenträger hinweg. Es wird ins Feld geführt, anstelle einer Löschung von Personendaten könne auch ihre Anonymisierung genügen. Dies ist angesichts der Schwierigkeiten zur Bewerkstelligung einer irreversiblen Anonymisierung nur mit Zurückhaltung zu bejahen.
Bevor die Daten endgültig gelöscht oder anonymisiert werden, kann ein vorläufiges Sperren bzw. eine Einschränkung der Bearbeitung (vgl. Art. 18 DSGVO) sinnvoll sein. Dies erlaubt ein Entsperren von Datensätzen, falls aufgrund fachlicher oder technischer Fehler ein Datensatz irrtümlich gesperrt wurde. Dienen die Daten mehreren Zwecken, ist Sperren das Mittel, um sicherzustellen, dass die gesperrten Datensätze nur noch für die übrigen, noch aktuellen Zwecke von den dafür zuständigen Personen bearbeitet werden. Umgesetzt wird das Sperren durch Verschlüsselung und Verteilung der Zugangsschlüssel nur an die berechtigten Personen. Der EDÖB empfiehlt, am letzten Arbeitstag das E-Mail-Konto des austretenden Mitarbeiters sowie alle anderen EDV-Konten zu sperren, um sie nach einer gewissen Zeit zu löschen.
Eine definitive Vernichtung von Daten ist technisch schwierig umzusetzen, weil dieselben Daten oft automatisch an verschiedenen physischen Speicherorten und in verschiedenen Systemen im Unternehmen sowie, im Fall der Auftragsdatenbearbeitung, auch bei Dritten abgelegt werden. Es kommt praktisch nie vor, dass nur eine einzige Kopie existiert. Deshalb sind hohe Anforderungen an die Datenvernichtung zu stellen. Nach der Rechtsprechung des Bundesverwaltungsgerichts genügt es nicht, nur den Datenträger unbrauchbar zu machen (z.B. durch Durch-bohrung oder Durchlochung einer CD oder eines USB-Sticks), sondern auch alle Kopien (inkl. sämtlicher Back-ups) müssen so behandelt werden, dass die Daten nicht mehr lesbar gemacht werden können.
Zur Löschung sind auch rechtliche Massnahmen zu ergreifen: Die anwendbaren abstrakten Grundsätze sind in einem für die Belegschaft zugänglichen betriebsinternen Reglement über die Nutzung von Informatikmitteln festzuhalten und durch Schulungen zu vertiefen. Der (automatisierte oder manuelle) Löschungsprozess im konkreten Fall ist detailliert zu dokumentieren. Dies hilft bei Beweisschwierigkeiten; denn die Tatsache der Löschung selbst lässt sich naturgemäss nicht nachweisen, wenn das Datum nicht mehr da ist.
5.10 Rechtfertigungsmöglichkeiten
5.10.1 Übersicht zu den relevanten Bestimmungen
Ein Verstoss gegen Datenschutzbestimmungen und eine daraus resultierende Persönlichkeitsverletzung ist nicht schlechthin widerrechtlich. Das DSG beschreibt drei Rechtfertigungsgründe, bei deren Vorliegen eine Persönlichkeitsverletzung zulässig ist: Einwilligung, überwiegendes privates oder öffentliches Interesse sowie Gesetz (Art. 13 DSG, Art. 27 E-DSG, Art. 31 rev-DSG). In diesem Zusammenhang ist vorneweg klarzustellen, dass Grundsatzverstösse (Art. 12 Abs. 2 lit. a DSG, Art. 26 Abs. 2 lit. a E-DSG, Art. 30 Abs. 2 lit. a rev-DSG) rechtfertigbar sind und die Bearbeitung allgemein zugänglich gemachter Personendaten (Art. 12 Abs. 3 DSG, Art. 26 Abs. 3 E-DSG, Art. 30 Abs. 3 rev-DSG) gegebenenfalls einer Rechtfertigung bedarf (dazu sogleich).
5.10.2 Rechtfertigungsmöglichkeit für Grundsatzverstösse
Die Arbeitgeberin darf nicht Personendaten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG bearbeiten (Art. 12 Abs. 2 lit. a DSG, Art. 26 Abs. 2 lit. a E-DSG, Art. 30 Abs. 2 lit. a rev-DSG). Nach dem scharfen Gesetzeswortlaut kann ein Grundsatzverstoss nie gerechtfertigt werden, während bei anderen Persönlichkeitsverletzungen eine Rechtfertigungsmöglichkeit besteht (vgl. Art. 12 Abs. 2 lit. b und c DSG: «Rechtfertigungsgrund»). Ein Blick zurück auf die Gesetzgebungsgeschichte scheint diese Auslegung zu bestätigen: Im Zuge der Revision des DSG vom 24.03.2006 wurde der Vorbehalt des Rechtfertigungsgrunds bei einer Verletzung von Grundsätzen der Datenbearbeitung gestrichen. Dies hat Anlass zur Annahme gegeben, das Gesetz fingiere eine unwiderlegbare widerrechtliche Persönlichkeitsverletzung, wenn die Arbeitgeberin die Datenbearbeitungsgrundsätze missachte. Die Datenschutzbestimmungen sind nicht im Hinblick auf die Besonderheiten von People Analytics entwickelt worden, und so tun sich Zielkonflikte im Verhältnis zu den datenschutzrechtlichen Prinzipien der Zweckbindung, der Erkennbarkeit, der Datenminimierung und der Löschpflicht auf. In der Konsequenz würde dies bedeuten, dass People Analytics in aller Regel widerrechtlich wäre.
Der Gesetzeswortlaut ist jedoch zu relativieren: Der Berichterstatter der ständerätlichen Kommission erläuterte ausführlich, dass es sich bei der Änderung von Art. 12 Abs. 2 lit. a DSG (bzw. Art. 26 Abs. 2 lit. a E-DSG bzw. Art. 30 Abs. 2 lit. a rev-DSG) um eine Klarstellung dessen handle, was bereits bis dahin gegolten habe. Datenbearbeitungen entgegen den Grundsätzen können somit mit den üblichen Gründen gerechtfertigt werden (vgl. Art. 13 DSG, Art. 27 E-DSG, Art. 31 rev-DSG). Trotz der Abwiegelung durch den Ständerat behält Art. 12 Abs. 2 lit. a DSG (bzw. Art. 26 Abs. 2 lit. a E-DSG bzw. Art. 30 Abs. 2 lit. a rev-DSG) eine eigenständige Bedeutung: Das Bundesgericht bejaht die Rechtfertigungsgründe für einen Grundsatzverstoss im konkreten Fall nur mit grosser Zurückhaltung.
5.10.3 Bearbeitbarkeit allgemein zugänglich gemachter Daten
a) Tatbestandsmerkmale und Rechtsfolge
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person ihre Personendaten «allgemein zugänglich» gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG, Art. 26 Abs. 3 E-DSG, Art. 30 Abs. 3 rev-DSG). Die allgemeine Zugänglichkeit ist ein unbestimmter Rechts-begriff. Zur Prüfung, ob sie vorliegt, können die Erkenntnisse zur Informationsverbreitung in sozialen Netzwerken herangezogen werden. Demnach ist der Kontext einer informationellen Interaktion für die Verbreitungsgeschwindigkeit der Daten mindestens so entscheidend wie die Tatsache der Informationsbekanntgabe selbst. Die Beschaffenheit der Information und der Empfängerkreis beeinflussen die Geschwindigkeit: Eine interessante oder schockierende Information wird sich in Windeseile in weitem Umkreis verbreiten, sodass sie bald allgemein zugänglich sein wird. Demgegenüber wird eine komplexe Information in einem locker verbundenen Netzwerk schwerlich die Runde machen. Hier dürfte allein mit der Bekanntgabe der Information an ein anderes Netzwerkmitglied noch keine allgemeine Zugänglichkeit vorliegen.
Die Formulierung, dass die Information allgemein zugänglich «gemacht» worden ist (vgl. Art. 12 Abs. 3 DSG, Art. 26 Abs. 3 E-DSG, Art. 30 Abs. 3 rev-DSG), enthält ein subjektives Element. Nicht nur die tatsächliche Zugänglichkeit für die Allgemeinheit, sondern auch der aus den Umständen ersichtliche Veröffentlichungszweck ist zu würdigen. Stellt die betroffene Person eine Information einem begrenzten Publikum zur Verfügung mit der impliziten Auflage, die Nachricht für sich zu behalten, muss die Betroffene sich nicht gefallen lassen, dass die Daten an die Allgemeinheit weitergereicht werden.
Die gesetzliche Vermutung der fehlenden Persönlichkeitsverletzung greift nur, wenn die betroffene Person die Datenbearbeitung «nicht ausdrücklich untersagt hat» (Art. 12 Abs. 3 DSG, Art. 26 Abs. 3 E-DSG, Art. 30 Abs. 3 rev-DSG). Auszuscheiden sind Informationen, die erkennbar gegen den Willen des Arbeitnehmers ins Internet gestellt worden sind (Art. 12 Abs. 2 lit. b DSG, Art. 26 Abs. 2 lit. b E-DSG, Art. 30 Abs. 2 lit. b rev-DSG). Nach einer restriktiven Meinung, die jedoch im Wortlaut keine Stütze findet, dürften nach einer Suche im Internet nur Daten bearbeitet werden, deren Veröffentlichung der Betroffene explizit wollte.
Die Bearbeitung allgemein zugänglich gemachter Daten ist «in der Regel» zulässig (Art. 12 Abs. 3 DSG, Art. 26 Abs. 3 E-DSG, Art. 30 Abs. 3 rev-DSG). Das Gesetz behält somit Ausnahmen vor, in denen selbst für die Bearbeitung allgemein zugänglich gemachter Daten ein Rechtfertigungsgrund erforderlich ist. In Art. 328b OR ist eine solche Ausnahmeregel zu sehen, sodass im Arbeitsverhältnis auch öffentlich zugängliche Daten des Arbeitnehmers nur bearbeitet werden dürfen, wenn ein Zusammenhang mit dem Arbeitsplatz besteht. Die Arbeitgeberin darf nicht gezielt nach privaten Daten suchen. Untersagt ist auch eine generelle Forschung nach Informationen über Arbeitnehmer im Internet (screening), weil die Arbeitgeberin regelmässig auf Personendaten stossen wird, die weder der Eignungsabklärung dienen noch für die Vertragsdurchführung erforderlich sind, und zudem die Datenrichtigkeit nicht gewährleistet ist.
Die Rechtsfolge von allgemein zugänglich gemachten Daten (im Sinne von Art. 12 Abs. 3 DSG bzw. Art. 26 Abs. 3 E-DSG bzw. Art. 30 Abs. 3 rev-DSG) ist eine gesetzliche Vermutung, dass die Datenbearbeitung zulässig ist. Es handelt sich nicht um eine unumstössliche Fiktion. Der betroffenen Person steht es offen, die Vermutung zu widerlegen. Bei der Annahme, dass trotz allgemeiner Zugänglichkeit eine Persönlichkeitsverletzung vorliege, ist Zurückhaltung geboten.
b) Zugänglichkeit von Internetdaten
Der Begriff der allgemein zugänglich gemachten Daten sei am Beispiel von Internetdaten, die hergeben, ob ein Mitarbeiter abwanderungswillig ist, illustriert: Die Arbeitgeberin kann mithilfe des Active Sourcings individuelle Fluktuationsprognosen erstellen.
Auszugehen ist von einer Fluktuationsprognose anhand einer Internetrecherche, die ein Mensch mit einer gewöhnlichen Suchmaschine durchführt (sog. Googeln). Die Arbeitgeberin muss dem Arbeitnehmer gegenüber klar zu verstehen geben, dass sie eine solche Nachforschung durchführt. Zu fordern ist eine organisatorische Trennung zwischen der Person, welche das Googeln und die Fluktuationsprognose durchführt, und dem Personal-Entscheidungsträger, sodass Erstere Letzterem bloss die gefilterten Daten mit Arbeitsplatzbezug zur Kenntnis bringt.
Quasi ein Unterfall des Googelns ist die Suche nach Informationen in den immer beliebteren sozialen Netzwerken. Mehr als ein Drittel (36 Prozent) der Unternehmen weltweit überwachte 2012 die Benutzung von sozialen Netzwerken durch ihre Arbeitnehmer. Es ist zwischen den verschiedenen Arten sozialer Netzwerke zu unterscheiden.
Die Analyse berufsbezogener sozialer Netzwerke (z.B. LinkedIn oder Xing) erscheint generell zulässig, da die Mitglieder ihr Profil bewusst zu beruflichen Zwecken allgemein zugänglich machen und mit der Einsichtnahme durch einen Personalverantwortlichen rechnen oder rechnen müssen. Gleiches muss in Bezug auf Daten von Arbeitnehmern in unternehmensinternen Foren gelten (z.B. Yammer von Microsoft, SuccessFactors von SAP, Chatter von Salesforce oder Workplace von Facebook).
Die Zulässigkeit der Analyse freizeitorientierter sozialer Netzwerke (z.B. Facebook) ist umstritten. Restriktiv ist die Haltung, die solche Datenerhebungen wegen des privaten Zwecks des Netzwerks generell verbieten will. Dies gelte unabhängig von den konkreten Datenschutzeinstellungen, da diese oft schwierig zu handhaben seien und von den Anbietern laufend geändert würden. Selbst bei jüngeren Arbeitnehmern, die mit Social Media aufgewachsen und technisch versiert sind, könne die Arbeitgeberin nicht von einer Zustimmung zur Analyse ausgehen. Ausser Acht bleibt dabei, dass es jedem frei steht, ein soziales Netzwerk zu verlassen. Mit der Nutzung geht die Selbstverantwortung zur Kontrolle der Einstellungen und eine wachsende Netzkompetenz des Betroffenen einher. Nach hier vertretener Meinung kann es nicht allein auf den Zweck des sozialen Netzwerks ankommen, weil gewisse soziale Netzwerke genauso gut zu privaten wie beruflichen Zwecken genutzt werden können (z.B. Instagram oder Twitter). Entscheidend für die Kategorisierung als allgemein zugänglich muss der öffentliche (oder eben private) Charakter der einzelnen Inhalte sein. Orientierungspunkt sind die Umstände des Einzelfalls, insbesondere die Kontoeinstellungen. In Anwendung der beschriebenen Erkenntnisse zur Informationsverbreitung in sozialen Netzwerken muss sich der Arbeitnehmer vorhalten lassen, mit wem er die Daten teilt: Zulässig erscheint selbst bei freizeitorientierten sozialen Netzwerken die Analyse von Daten, auf die ein praktisch unbegrenzter Kreis von Personen zugreifen kann. Letzteres ist der Fall, wenn die Mitglieder bewusst die Öffentlichkeit suchen und auf die Weiterverbreitung ihrer Mitteilungen keinen Einfluss haben (z.B. bei Twitter). Unklar ist, ob die Arbeitgeberin, die nicht direkt mit dem Arbeitnehmer über das soziale Netzwerk befreundet ist, Beiträge einsehen darf, die dieser für «Freunde von Freunden» geöffnet hat. Nach der hier vertretenen Ansicht dürfte dies zulässig sein, weil diese Einstellung gerade für solche Situationen geschaffen wurde, in denen lediglich eine indirekte Online-Bekanntschaft zwischen der schreibenden und der lesenden Person besteht. Mit der Wahl dieser Einstellung nimmt der Arbeitnehmer in Kauf, dass die Arbeitgeberin die Information liest.
Die Arbeitgeberin kann die Suche durch einen Algorithmus ausführen lassen. Im Gegensatz zu einem Menschen kann ein Algorithmus zur Internetrecherche einerseits im Deep Web Daten aufspüren, die nicht im Sinne von Art. 12 Abs. 3 DSG (bzw. Art. 26 Abs. 3 E-DSG bzw. Art. 30 Abs. 3 rev-DSG) allgemein zugänglich gemacht sind. Andererseits kann er allgemein zugängliche Daten zusammenführen, Folgerungen ableiten und Informationen zu Tage fördern, die der Arbeitnehmer so nie offenlegen wollte. Der Arbeitnehmer kann seine Daten gegenüber einer derart ungleich mächtigeren Arbeitgeberin nicht kontrollieren. Entsprechende kommerzielle Dienste zur Kontrolle stehen in der Regel nicht zur Verfügung. Es wird daher vorliegend vertreten, dass Big Data-Internetrecherchen, im Gegensatz zum Googeln, höchstens im Einzelfall zulässig sein sollten. Zu denken ist an einen Algorithmus, der der Arbeitgeberin zwar die Sucharbeit abnimmt, ihr aber im Endeffekt nicht mehr vermittelt, als ein Mensch mit Googeln und genügend Zeit hätte herausfinden können und dürfen.
5.10.4 Einwilligung im Arbeitskontext
a) Rückblick auf die arbeitsrechtlichen Bedingungen der Einwilligung
Die Frage der Einwilligung ist bereits unter dem Aspekt der arbeitsvertragsrechtlichen Zweckbeschränkung aktuell geworden. Es ist dafür argumentiert worden, dass eine Einwilligung in eine Datenbearbeitung ohne sachlichen Bezug zum Arbeitsplatz (d.h. entgegen Art. 328b Satz 1 OR) nur zulässig ist, wenn die Datenbearbeitung zugunsten des Arbeitnehmers erfolgt. Kumulativ zu den arbeitsrechtlichen Schranken der Einwilligung sind jedoch auch die datenschutzrechtlichen Anforderungen zu erfüllen (vgl. Art. 328b Satz 2 OR). Diese werden im Folgenden erläutert.
b) Datenschutzrechtliche Voraussetzungen der Einwilligung
aa) Übersicht
Das DSG nennt als ersten von drei möglichen Rechtfertigungsgründen einer Persönlichkeitsverletzung die Einwilligung des Verletzten (Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG). Das Recht, in eine persönlichkeitsverletzende Datenbearbeitung einzuwilligen, ist Teil des informationellen Selbstbestimmungsrechts und Eckpfeiler der privatrechtlichen Datenschutzerlasse rund um den Globus.
Eine Einwilligung ist unter den Voraussetzungen gültig, dass sie freiwillig, informiert und – bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen – ausdrücklich erfolgt (vgl. Art. 4 Abs. 5 DSG, vgl. Art. 5 Abs. 6 E-DSG, vgl. Art. 6 Abs. 6–7 rev-DSG; zu diesen Voraussetzungen sogleich). Umstritten ist, ob eine Einwilligung sich auf eine spezifische Bearbeitung beziehen muss. Nach dem vorliegend vertretenen Standpunkt muss die Spezifikation unter schweizerischem Datenschutzrecht nicht als selbständige Voraussetzung abgehandelt werden; stattdessen wird sie im Rahmen der (spezifischen) angemessenen Information thematisiert. Eine Einwilligung darf ferner nicht gegen zwingende Schutznormen und höherrangiges Recht verstossen; zu denken ist an das Verbot der übermässigen Selbstbindung (Art. 27 Abs. 2 ZGB).
bb) Freiwilligkeit
Die Freiwilligkeit einer Einwilligung muss im Arbeitsbereich grundsätzlich äusserst kritisch betrachtet werden, da der Arbeitnehmer von der Stelle abhängig ist und sich wegen des strukturellen Machtungleichgewichts unter Druck fühlen kann. Eine freiwillige Einwilligung im Arbeitsverhältnis ist jedoch nicht schlechthin ausgeschlossen. Das deutsche Recht und die DSGVO (E. 155: «auf der Grundlage einer Einwilligung») lassen eine Einwilligung zu, solange die konkreten Umstände im Einzelfall eine «echte und freie Wahl» (E. 42 DSGVO) zulassen.
Es ist eine Einzelfallbetrachtung erforderlich, um zu beurteilen, ob eine eingeholte Einwilligung freiwillig erfolgt ist. Dabei sind die folgenden Kriterien massgeblich: Negativ definiert darf kein Willensmangel vorliegen. D.h., die Einwilligung darf nicht infolge einer Überrumpelung oder Übervorteilung (Art. 21 OR), eines Irrtums (Art. 23 ff. OR), einer Täuschung (Art. 28 OR) oder einer Furchterregung bzw. Drohung (Art. 29 OR) erfolgen. Ebenso wenig darf es zur Inaussichtstellung übermässiger Vorteile kommen, wie dies etwa der Fall wäre, wenn die Arbeitgeberin im Rahmen eines Gewinnspiels ein Extra-Monatsgehalt verlosen würde. Tendenziell unfreiwillig dürfte die Zustimmung erfolgen, wenn die Datenbearbeitung ausschliesslich die Handlungs- und Kontrollmöglichkeiten der Arbeitgeberin erweitert.
Die negative Formel «ohne Willensmangel», bisweilen auch «ohne Zwang», hat eine enge Bedeutung: Es kann nicht die Rede von Willensmangel oder Zwangsausübung sein, wenn ein Arbeitnehmer bloss befürchtet, bei einem Nein möglicherweise Nachteile zu erleiden, oder wenn ein Bewerber auch nach der Verweigerung der Zustimmung noch die Wahl zwischen anderen vergleichbaren Angeboten hat; und doch handelt er nicht wirklich freiwillig. Freiwilligkeit bedeutet mehr als das Fehlen von Willensmängeln. Das DSG stellt nicht auf die Abwesenheit von Willensmängeln oder Zwang ab, sondern wählt eine positive Formulierung («freiwillig», «exprime sa volonté librement», «espresso liberamente», Art. 4 Abs. 5 Satz 1 DSG, Art. 5 Abs. 6 Satz 1 E-DSG, Art. 6 Abs. 6 rev-DSG). Freiwilligkeit kann vorliegen, wenn für den Arbeitnehmer ein gewisser «Verhandlungsspielraum» oder eine mögliche Alternative besteht. Ein deutlicher Hinweis der Arbeitgeberin, dass der Arbeitnehmer berechtigt ist, die Zustimmung ohne übermässige nachteilige Folgen zu verweigern, stellt ein Indiz für die Freiwilligkeit dar. Beispielsweise ist die Freiwilligkeit gewahrt, wenn auf dem Betriebsareal für einen Werbeclip gefilmt wird und die Arbeitgeberin denjenigen Arbeitnehmern, die nicht im Hintergrund der Aufnahmen erscheinen möchten, für die Dauer der Videoarbeiten einen gleichwertigen anderen Arbeitsplatz anbietet. Auf Freiwilligkeit deutet es hin, wenn ein rechtlicher oder wirtschaftlicher Vorteil für den Arbeitnehmer resultiert oder Arbeitnehmer und Arbeitgeberin gleichgelagerte Interessen verfolgen.
Die Phase des Arbeitnehmer-Lebenszyklus, in welcher sich der Einwilligende gerade befindet, ist für die Beurteilung der Freiwilligkeit wegweisend: In der Rekrutierungsphase steht der Bewerber unter besonderem Druck, weshalb Einwilligungen in der Regel nicht als Rechtfertigungsgrund taugen können. Nur ausnahmsweise ist eine Einwilligung sinnvoll, etwa wenn Bewerbungsunterlagen für eine bestimmte, im Voraus festgelegte Dauer aufbewahrt werden und anzunehmen ist, dass die Daten demnächst wieder gebraucht werden. Eine solche Aufbewahrung kann im Interesse des Bewerbers liegen, wenn dieser die Anforderungen der Stellenbeschreibung zwar nicht erfüllt, aber zu einem späteren Zeitpunkt für eine andere Stelle infrage kommen könnte. Es braucht hierfür eine Einwilligung, weil die übrigen Rechtfertigungsgründe ausscheiden: Weder existiert eine gesetzliche Aufbewahrungspflicht, noch sind überwiegende Interessen erkennbar (vgl. Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG), noch sind die Daten zur Eignungsabklärung für eine konkrete Stelle oder Vertragsdurchführung erforderlich (vgl. Art. 328b OR).
Im laufenden Arbeitsverhältnis würde ein genereller Ausschluss der Einwilligung zu weit führen. Die Stellung des Arbeitnehmers ist zu berücksichtigen: Schlüsselmitarbeiter haben insoweit eine stärkere und freiere Verhandlungsposition, als die Arbeitgeberin sie mehr als andere behalten will.
Bei der Beendigung des Arbeitsverhältnisses ist wiederum zu differenzieren: Solange das Arbeitszeugnis noch nicht ausgestellt ist, verfügt die Arbeitgeberin über ein starkes Druckmittel. Danach wird die für laufende Arbeitsverträge und Bewerbungsverfahren typische Machtasymmetrie entfallen, weshalb eine freiwillige Zustimmung vorstellbar ist. Die Einwilligung muss sich auf einen bestimmten Bearbeitungszweck beziehen, etwa auf die Pflege des Alumni-Netzwerks des Unternehmens.
Ein Indiz für eine unfreiwillige Einwilligung ist schliesslich gegeben, wenn die Vertragserfüllung von der Einwilligung in eine Datenbearbeitung, die für die Erfüllung des Vertrags nicht erforderlich ist, abhängig gemacht wird. Nach dem europäischen Datenschutzrecht muss «in grösstmöglichem Umfang» berücksichtigt werden, ob die Einwilligung wegen einer vertragsfremden Koppelung erteilt worden ist (vgl. Art. 7 Abs. 4 DSGVO). Das schweizerische DSG enthält dagegen kein explizites Koppelungsverbot. Für den EDÖB ist es eine Frage des Arbeitsrechts, wenn eine Arbeitgeberin eine Anstellung an die Bedingung knüpft, dass der Arbeitnehmer der Erfassung des Fingerabdrucks zustimmt. Datenschutzrechtlich sei es (lediglich) «wünschenswert», auch Alternativen zur biometrischen Zeiterfassung zur Verfügung zu haben. Wie dargelegt verlangt das schweizerische Arbeitsrecht einen sachlichen Zusammenhang zwischen der Datenbearbeitung und der Arbeit (vgl. Art. 328b OR), welcher nicht nur «wünschenswert», sondern einseitig zwingend ist.
cc) Informiertheit
Voraussetzung einer gültigen Einwilligung ist eine «angemessene Information» (Art. 4 Abs. 5 Satz 1 DSG, Art. 5 Abs. 6 Satz 1 E-DSG, Art. 6 Abs. 6 rev-DSG). Diese muss insbesondere enthalten, welche Daten erhoben werden, zu welchem Bearbeitungszweck, wer die verantwortliche Stelle ist und wer Zugriff auf die Daten hat. Zudem muss die Information aktuell, spezifisch und verständlich sein. Die Einwilligung darf nicht auf einseitiger Beratung basieren. Entscheidend ist, dass der Betroffene die Konsequenzen der Datenbearbeitung abschätzen kann. Es kommt auf dessen Urteilsfähigkeit (vgl. Art. 16 ZGB), nicht aber auf dessen Handlungsfähigkeit (vgl. Art. 13 ZGB) an.
Die Informiertheit ist bereits dadurch infrage gestellt, dass die Information nicht beim Betroffenen ankommt. Datenschutzerklärungen werden nicht gelesen oder nicht verstanden. Wenn ein gewöhnlicher Internetbenutzer alle Datenschutz-Erklärungen, denen er während eines Jahres begegnet, mit eiserner Disziplin lesen würde, bräuchte er dafür mindestens 30 Arbeitstage – ein volkswirtschaftlicher Unsinn. Hinzu kommt, dass ein Unternehmen seine Datenschutz-Erklärung ändern kann, sodass die Betroffenen sie mehrfach lesen müssten. Niemand kann all diese Datenschutz-Erklärungen bewältigen. Auch im Arbeitsverhältnis werden die Datenschutzerklärungen im Zuge von People Analytics zunehmen (müssen), sodass die hier gemachten Ausführungen über Internetbenutzer zumindest sinngemäss auch für Arbeitnehmer gelten. Die Flut an Datenschutz-Erklärungen ist rechtlich zu kritisieren, führt sie doch zu einer «Informationsvergiftung»: Der vermeintliche Schutz durch Transparenz ist nicht nur ineffektiv, sondern entmachtet letztlich die Individuen, indem er sie mit endlosen Schriftstücken überfordert und von einer rationalen Entscheidung über die Aushändigung ihrer Daten abhält. Eine Anfrage um Zustimmung sollte den Betroffenen eigentlich dazu veranlassen, innezuhalten und aktiv über die Folgen der Einwilligung nachzudenken. Transparenz und Informationspflicht führen aber zu einer «Abstumpfung» («consent desensitisation»), sodass Einwilligungen meistens blind erteilt werden.
Neben der Masse an Information kämpfen die Betroffenen auch mit der Qualität der Texte. Diese sind schwer verständlich, weil sie rechtliches Vokabular einerseits und Fachbegriffe der Informatik und Analytik andererseits miteinander vereinen. Gewisse Webseiten bemühen sich zwar um eine Vereinfachung, etwa im Zusammenhang mit Cookies: Hier kann der Besucher mancherorts unkompliziert wählen, ob nur die Cookies aufgezeichnet werden sollen, die für den Betrieb der Seite notwendig sind, oder ob Informationen zu weiteren Zwecken (z.B. Marketing oder Personalisierung der Dienste) gespeichert werden dürfen. Doch selbst solchermassen simpel ausgestaltete Informationen (auch warnende Boxen oder standardisierte Labels und Symbole) tragen weder zur Informiertheit der Nutzer bei noch wirken sie sich auf das Einwilligungsverhalten aus. Diese Idee einer selbstbestimmten Einwilligung scheitert somit in der Praxis.
Ein mögliches rechtliches Linderungsmittel für das Problem der blind erteilten Einwilligungen könnte in einer Rechtsprechung bestehen, die die Einwilligenden vor unklaren und ungewöhnlichen Klauseln schützt, so wie dies in Bezug auf AGB praktiziert wird. Auch AGB werden in der Regel global übernommen, da es ähnlich lange wie bei den Datenschutz-Erklärungen dauern würde, um alle AGB, denen man begegnet, zu lesen. Begleitend dazu könnte die Einwilligung eine Aufwertung erfahren, wenn sie an den Browser oder an ein technisches Gerät der betroffenen Person delegiert werden könnte. Dieses könnte bei jedem signalisierten Bearbeitungsvorgang im Hintergrund die Datenschutzerklärungen prüfen, akzeptieren oder verwerfen. Diese Ansätze sind jedoch nicht mehr als Symptombekämpfung, da sie die Informationsschwemme nicht an der Quelle zu stoppen vermögen.
Ein weiterer wunder Punkt bzgl. der Informiertheit über Datenbearbeitungen liegt darin, dass sich die Wirkung von Informationen über die Zeit kaum kontrollieren lässt. Bei People Analytics akzentuiert sich dieses Problem, weil die Daten, einmal elektronisch aufgezeichnet, in der Regel verewigt sind. Beispielsweise lässt sich im Zeitpunkt der Einwilligung nicht vorhersagen, in welchem Kontext die Daten künftig bearbeitet werden. Werden zwei scheinbar harmlose, aggregierte Datensätze übereinandergelegt, können sie «Babydaten» erzeugen, deren Aussagekraft für den Betroffenen unvorhersehbar ist. Der Einzelne kämpft mit einer «invisible visibility»: Für ihn ist nicht erkennbar, wie durchsichtig er infolge der Ableitungen aus Datensätzen ist. Wie überrascht war doch die Kundin im dargestellten Beispiel, als Target von ihrer Schwangerschaft wusste, noch ehe sie es ihrem Vater verkünden konnte. Der Mangel an Kontrollierbarkeit über die Zeit zeigt sich auch etwa, wenn ein einziger Arbeitnehmer den Betrieb verlässt und daher aus einer monatlich durch die Arbeitgeberin erstellten anonymen Statistik herausfällt: Ist einerseits erkennbar, dass die Statistik im Vergleich zum Vormonat genau einen Datensatz weniger aufweist, und ist andererseits bekannt, wer das Unternehmen verlassen hat, so ist es ein Leichtes, aus der vormals anonymen Statistik personenbezogene Aussagen über den ehemaligen Arbeitskollegen abzuleiten. Ferner stellen mutierende Algorithmen, wie sie bei maschinellem Lernen vorkommen, eine Herausforderung für die informierte Einwilligung dar. Selbst wenn der Arbeitnehmer die Parameter der algorithmischen Verwandlung kennen würde, kann sich der Algorithmus derart grundlegend ändern, dass er das mit der Einwilligung abgesteckte Feld verlässt. Ein Algorithmus verfügt nicht über die Selbstreflexions-Kompetenz eines Menschen, um einzuschätzen, wann er eine neue Einwilligung einholen muss.
Mit einer nachträglichen Einwilligung liesse sich dem Problem der fehlenden Informiertheit begegnen: Anders als bei einer vorgängigen Einwilligung besteht im Nachhinein eine Übersicht über die Datenbearbeitung. Beispielsweise könnte die Arbeitgeberin den Arbeitnehmer nachträglich über einen neuen Bearbeitungszweck für die bereits beschafften Daten informieren. Nach der schweizerischen Rechtslage kann die nachträgliche Genehmigung die Persönlichkeitsverletzung heilen, wobei die Voraussetzungen einer gültigen Einwilligung (Art. 4 Abs. 5 DSG, Art. 5 Abs. 6 E-DSG, Art. 6 Abs. 6–7 rev-DSG) erfüllt sein müssen. Ungeklärt ist, ob die Einwilligung auch unter der DSGVO nachträglich erfolgen darf.
dd) Ausdrücklichkeit
Die Einwilligung kann grundsätzlich formlos erfolgen, insbesondere auch stillschweigend. Selbst eine hypothetische Einwilligung ist nicht durchs Band weg ausgeschlossen. Jedoch ist mit zunehmender Schwere der Persönlichkeitsverletzung eine stillschweigende Einwilligung zurückhaltender anzunehmen. Aus Beweisgründen ist die Schriftlichkeit zu bevorzugen.
Wird eine Einwilligung eingeholt, so muss diese ausdrücklich erfolgen, wenn die Bearbeitung besonders schützenswerte Personendaten (Art. 3 lit. c DSG, Art. 4 lit. c E-DSG, Art. 5 lit. c rev-DSG) oder Persönlichkeitsprofile (Art. 3 lit. d DSG, vgl. zum Profiling Art. 4 lit. f E-DSG und Art. 5 lit. f–g rev-DSG) betrifft (Art. 4 Abs. 5 Satz 2 DSG, Art. 5 Abs. 6 Satz 2 E-DSG, Art. 6 Abs. 7 lit. a rev-DSG). Dies dürfte in der Praxis oft vorkommen. Für die Ausdrücklichkeit genügt das Ankreuzen eines Kästchens (Opt-in-Modell). Nicht genügen kann jedoch ein bereits angekreuztes Kästchen, das die Einwilligung signalisiert, sodass diese durch Klicken aus der Welt geschafft werden muss (Opt-out-Modell), ebenso wenig das Stillschweigen und die Untätigkeit der betroffenen Person.
c) Jederzeitiges Widerrufsrecht
Eine Einwilligung kann nur als informiert gelten, wenn der Arbeitnehmer Kenntnis von seinem Widerrufsrecht hat. Aus dem Verbot der übermässigen Selbstbindung (Art. 27 ZGB) folgt, dass der Arbeitnehmer seine Einwilligung jederzeit widerrufen kann. Dem Arbeitnehmer dürfen aus dem Widerruf keine oder höchstens die Nachteile entstehen, die allein darin begründet sind, dass er die Vorteile des datenintensiveren Systems nicht nutzt.
Der Grundsatz von Treu und Glauben (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG; Art. 2 Abs. 1 ZGB) kann dem Widerrufsrecht Schranken setzen. Ein Widerruf der Einwilligung wäre beispielsweise rechtsmissbräuchlich, wenn der Betroffene seine Einwilligung allein widerruft, um der verantwortlichen Stelle zusätzlichen Aufwand zu verursachen. Nach der bundesgerichtlichen Rechtsprechung können ausserdem Persönlichkeitsgüter, die nicht zum Kernbereich der menschlichen Existenz gehören, Gegenstand von vertraglichen und unwiderruflichen Verpflichtungen sein, wenn bei der fraglichen Verpflichtung wirtschaftliche Interessen im Vordergrund stehen. Beispielsweise ist es möglich, Rechte am eigenen Bild und Namen oder an der eigenen Stimme zum Zweck der Vermarktung rechtlich verbindlich abzutreten, sodass ein Widerruf nicht mehr jederzeit und frei möglich ist. Diese Rechtsprechung kommt zum Tragen, wenn wirtschaftliche Interessen des Arbeitnehmers an einer Abtretung bestehen. Bei People Analytics stehen aber in der Regel wirtschaftliche Interessen der Arbeitgeberin im Vordergrund, da sie aus der Analyse Vorteile ziehen will. Somit erscheint ein Widerruf der Einwilligung zu keiner Zeit a priori als treuwidrig.
Wenn ein Arbeitnehmer seine Einwilligung widerruft, liegt für die Arbeitgeberin nichts näher, als retrospektiv auf einen anderen Rechtfertigungsgrund – etwa das überwiegende private Interesse – auszuweichen, um die Datenbearbeitung fortzusetzen. Ein solches Ansinnen ist kritisch zu würdigen. Unter der DSGVO stehen die möglichen Rechtfertigungsgründe alternativ zueinander, d.h., die Arbeitgeberin muss sich von Anfang an für einen (den richtigen) von ihnen entscheiden. Beschreitet sie den Weg der Einwilligung, muss sie einen allfälligen Widerruf respektieren und die Datenbearbeitung stoppen. Die Bitte um Zustimmung schürt beim Arbeitnehmer eine Erwartung zur betreffenden Datenbearbeitung; möglicherweise schafft die Arbeitgeberin gar einen vertraglichen Anspruch auf Einholung der Einwilligung bei künftigen Änderungen der Datenbearbeitung. Ein Ignorieren des Widerrufs würde gegen Treu und Glauben verstossen. Dies muss nach der hier vertretenen Ansicht für People Analytics-Projekte in der Schweiz erst recht gelten, da der Grundsatz von Treu und Glauben im Datenschutz- (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG) und im Vertragsrecht (Art. 328 OR i.V.m. Art. 2 ZGB) gleich doppelt verankert ist.
d) Zwischenfazit zur Einwilligung
Zusammenfassend erweist sich die Vorstellung eines informationell selbstbestimmt einwilligenden Arbeitnehmers als Traumfigur. Die Voraussetzung der Freiwilligkeit ist wegen des arbeitsrechtlichen Subordinationsverhältnisses kritisch zu sehen, und an der Voraussetzung der Informiertheit nagen Zweifel angesichts der regelmässig blinden Erteilung von Einwilligungen. Aus Sicht der Arbeitgeberin bildet die Einwilligung ein fragiles Rechtfertigungsfundament, weil jederzeit ein Widerruf droht. Gerade im Arbeitsverhältnis kann bereits das Nein einer relativ geringen Zahl von Arbeitnehmern der analytischen Untersuchung die Repräsentativität nehmen.
Nebenbei bemerkt entfaltet die Einwilligung auch negative Externalitäten, denn je mehr Arbeitnehmer eines Betriebs ihre Einwilligung erteilen, desto stärker schrumpft der verbleibende Pool der durch Privatheit Geschützten. Aus den Daten der Einwilligenden können Ableitungen über einen Dritten resultieren, welcher seine Daten gerade nicht preisgeben wollte. Wenn beispielsweise eine genügende Anzahl Arbeitnehmer mit dem Stirnband «Muse» ihre Stressgefühle aufzeichnen lässt, so kann die Arbeitgeberin Aussagen zum inneren Gefühlszustand von Arbeitskollegen treffen, die sich in einer vergleichbaren Situation befinden (z.B. Erledigung gleicher Aufgaben), die aber das Stirnband nicht tragen wollen.
Das Abstellen auf eine Einwilligung sollte somit nur die «ultima ratio» sein, wenn das Gesetz es ausdrücklich anordnet (etwa bei automatisierten Entscheidungen im Einzelfall, Art. 19 Abs. 3 lit. b E-DSG, Art. 21 Abs. 3 lit. b rev-DSG, Art. 22 Abs. 2 lit. c DSGVO) oder wenn kein anderer Rechtfertigungsgrund zur Verfügung steht. Nach europäischem Datenschutzrecht ist das Einholen einer Einwilligung im Arbeitsverhältnis sogar verboten, wenn eine andere Rechtsgrundlage (z.B. eine gesetzliche Pflicht oder ein überwiegendes Interesse der Arbeitgeberin) für die Datenbearbeitung zur Verfügung steht. Dies geht aus einem rechtskräftigen Urteil der griechischen Datenschutz-Aufsichtsbehörde hervor. Es handelt sich hierbei zwar «nur» um ein Urteil eines EU-Mitgliedstaats, doch auch der Europäische Datenschutzausschuss verweist auf seiner öffentlich zugänglichen Webseite darauf. Dem griechischen Entscheid zufolge ist aufgrund der Prinzipien der Rechtmässigkeit, der Datenbearbeitung nach Treu und Glauben und der Transparenz (Art. 5 Abs. 1 lit. a DSGVO) das Ausweichen auf die Einwilligung erst dann gestattet, wenn es an jeder anderen Rechtsgrundlage (im Sinne von Art. 6 Abs. 1 DSGVO) mangelt. Das griechische Urteil nimmt eine Pionierstellung ein: Soweit ersichtlich und gemäss Direktauskunft der griechischen Datenschutz-Aufsichtsbehörde an den Autor der vorliegenden Arbeit ist es das erste Mal, dass eine europäische Datenschutz-Aufsichtsbehörde entschieden hat, dass das Anfragen einer Zustimmung der Arbeitnehmer unzulässig ist, wenn eine andere, angemessenere Rechtsgrundlage besteht.
Gestützt auf die vorangehenden Ausführungen resultiert, dass die Einwilligung zwar theoretisch als Rechtfertigungsgrund für Datenbearbeitungen im Arbeitsverhältnis vorgesehen ist, dass aber in der Praxis aus Sicht der Arbeitgeberin kaum Möglichkeiten bestehen, eine rechtsgültige Einwilligung zu erlangen. Im Hinblick auf die zentrale Forschungsfrage, nämlich wie eine Neuausrichtung des Datenschutzrechts aussehen könnte, bei welcher die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist, kann jetzt schon festgehalten werden, dass die Einwilligung bei dieser Neuausrichtung höchstens eine untergeordnete Rolle spielen wird.
5.10.5 Überwiegendes Interesse
a) Gesetzessystematik
Der zweite Rechtfertigungsgrund von drei möglichen bei einer Persönlichkeits-verletzung ist das überwiegende private oder öffentliche Interesse des Daten-bearbeiters (Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG). Dieser Rechtfertigungsgrund ist untrennbar mit dem Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG) verbunden, weil Letzteres eine Interessenabwägung impliziert. Deshalb ist es im zivilrechtlichen Anwendungsbereich des DSG dogmatisch richtig, die Verhältnismässigkeit auf der Stufe der Widerrechtlichkeit zu prüfen.
b) Privates Interesse
WOLFER wägt die widerstreitenden Interessen bei der elektronischen Überwachung im privatrechtlichen Arbeitsverhältnis sorgfältig und ausführlich gegeneinander ab. An dieser Stelle ist daher nur an die wichtigsten Interessen der Arbeitgeberin zu erinnern: Zunächst hat sie ein Interesse an wirtschaftlicher Entfaltung (vgl. Art. 27 BV), Informationsbeschaffung (vgl. Art. 16 BV) und betrieblichem Fortschritt durch datenbasierte Forschung (vgl. Art. 20 BV). Sie ist letztlich für die Produktivität der Angestellten verantwortlich (allenfalls gegen-über den Besitzern des Unternehmens, vgl. zur Aktiengesellschaft: Art. 716a Abs. 1 Ziff. 1 und 5, Art. 754 Abs. 1 OR). Auch besteht ein Interesse am Vermögensschutz (vgl. Art. 26 Abs. 1 BV, Art. 641 ZGB). Mit der zunehmenden Verbreitung von Arbeitssituationen, in denen die Arbeitgeberin den Arbeitnehmer aus den Augen verliert, wie beispielsweise bei der Telearbeit, wächst das Interesse der Arbeitgeberin an elektronischer Kontrolle der Tätigkeiten.
Nach Beendigung eines Arbeitsverhältnisses sind die den Ehemaligen betreffenden Daten grundsätzlich zu vernichten. Eine befristete Aufbewahrung von Daten kann ausnahmsweise zur Beweissicherung bei Rechtsstreitigkeiten oder zur Durchsetzung eines Konkurrenzverbotes gerechtfertigt werden. Nur diejenigen Daten dürfen aufbewahrt werden, die dazu weiterhin erforderlich (Art. 328b Satz 1 OR) sind.
c) Öffentliches Interesse
Die Machtverschiebung zugunsten der Arbeitgebenden kann eine Vielzahl von Arbeitsverhältnissen betreffen, da People Analytics sektorübergreifend zur An-wendung kommt. Somit können öffentliche Interessen an der Regulierung von People Analytics bestehen. Diese müssen in die Interessenabwägung einfliessen (vgl. Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG). Sie sind zum Teil gleichläufig mit den Individualinteressen.
Zu gewährleisten ist eine pluralistische Gesellschaft, in deren Zentrum die Menschenwürde steht und in welcher der Einzelne nicht als austauschbar gilt, etwa weil ihm das gleiche Profil wie anderen zugeschrieben wird. Ein «Daten-Determinismus» in der Art, dass Personen hauptsächlich aufgrund von Korrelationen und Gruppenwahrscheinlichkeiten beurteilt werden, läuft der bisher meritokratischen Gesellschaft, in der die tatsächlichen Handlungen und Leistungen am Arbeitsplatz von entscheidendem Belang sind, zuwider. Die grobe Einteilung in Gruppen kann eine Polarisierung der ohnehin schon gegensätzlichen Interessen der Arbeitgeber und -nehmer sowie eine Polarisierung unter den Arbeitnehmern zur Folge haben. Zudem können die Meinungsfreiheit und die Demokratie bedroht sein, wenn sich Personen wegen der Überwachung nicht trauen, sich nicht-konform zu äussern und zu verhalten.
Kollektiv bedeutsam ist das Interesse am Schutz vor Manipulation von persönlichen Einstellungen und Werthaltungen, beispielsweise zwecks Verhaltenssteuerung. Nur wenn alle Beteiligten wissen, was beim Einsatz von People Analytics passiert, können wir noch behaupten, in einer freien Demokratie zu leben. Die Daten sollten genutzt und nicht die Arbeitnehmer ausgenutzt werden.
Arbeitsmarktpolitische Argumente stehen hinter der Antidiskriminierungs-Gesetzgebung. In dem Masse, wie es gelingt, durch privatrechtlichen Diskriminierungsschutz soziale Ausgrenzung (vom Arbeitsmarkt) zu vermeiden, müssen die Kosten für die sozialen Ausgleichsmassnahmen nicht vom Staat bzw. von den Sozialversicherungen und Institutionen der sozialen Hilfe getragen werden.
Umgekehrt sollte aber zugunsten von People Analytics auch das öffentliche Interesse an einem soliden Arbeitsmarkt sowie am innovativen Wirtschafts- und Forschungsstandort Schweiz in der Waagschale Platz finden. Auch das öffentliche Archivwesen kann ein Interesse an den Daten haben, um einen rationalen Umgang mit der Vergangenheit zu ermöglichen. Schliesslich sollte berücksichtigt werden, ob eine Technologie sozial akzeptiert ist.
d) Forschung, Planung und Statistik
Das DSG konkretisiert, dass ein überwiegendes Interesse der bearbeitenden Person insbesondere in Betracht fällt, wenn diese Personendaten zu nicht personen-bezogenen Zwecken namentlich in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind (Art. 13 Abs. 2 lit. e DSG, vgl. Art. 27 Abs. 2 lit. e Ziff. 1–3 E-DSG, vgl. Art. 31 Abs. 2 lit. e Ziff. 1–3 rev-DSG). Dieser Rechtfertigungsgrund ist näher zu beleuchten, weil People Analytics dazu dient, das Humankapital zu erforschen, die Personalplanung und Gebäudeplanung zu optimieren, und weil die dabei gesuchten Korrelationen aus Statistiken hervorgehen.
Der Begriff der Forschung ist ein unbestimmter Rechtsbegriff. Die EU legt den Begriff der «wissenschaftlichen Forschungszwecke» (E. 159 Satz 2 DSGVO) weit aus und versteht darunter jedes Forschungsprojekt, das nach fachspezifischen methodischen und ethischen Regeln und bewährten Verfahren durchgeführt wird. Eingeschlossen ist auch die privat finanzierte Forschung (E. 159 Satz 2 DSGVO), was auch unter dem schweizerischen DSG zutreffen dürfte. Umstritten ist, ob nur die Forschung in einem engeren Sinn privilegiert werden soll und somit nicht jede Analyse oder Aufbereitung von Daten in Zeiten von People Analytics. Eine solche Einschränkung des Forschungsbegriffs wird vorliegend abgelehnt, würde sie doch bedeuten, dass die meisten People Analytics-Projekte der Praxis nicht vom Forschungsprivileg profitieren könnten.
Die Forschungsergebnisse müssen «veröffentlicht werden» (Art. 13 Abs. 2 lit. e DSG, Art. 27 Abs. 2 lit. e Ziff. 3 E-DSG, Art. 31 Abs. 2 lit. e Ziff. 3 rev-DSG). Die Arbeitgeberin kann nur vom Forschungsprivileg profitieren, wenn sie die Resultate jedermann zur Verfügung stellt. Es wird vermutet, dass das Forschungsprivileg im privatrechtlichen Arbeitsverhältnis wenig von Bedeutung ist, weil die Arbeitgeberin hier in der Regel ein starkes Interesse an der Wahrung der Geschäftsgeheimnisse hat.
Vorausgesetzt wird weiter, dass die Personendaten «nicht zu personenbezogenen Zwecken» bearbeitet werden und die betroffenen Personen anhand der Ergebnisse nicht re-identifizierbar sind (Art. 13 Abs. 2 lit. e DSG, vgl. Art. 27 Abs. 2 lit. e E-DSG, vgl. Art. 31 Abs. 2 lit. e rev-DSG). Somit sind beispielsweise Genealogen und Historiker, die explizit personenbezogene Forschung betreiben, nicht von dieser Bestimmung erfasst. People Analytics kann folglich nicht vom Forschungsprivileg profitieren, wenn einzelne Arbeitnehmer bestimmbar sind.
Im Arbeitskontext ist für den Rechtfertigungsgrund der Forschung zusätzlich vorausgesetzt, dass People Analytics letztlich einen Arbeitsplatzbezug aufweist (vgl. Art. 328b OR). Das OR findet kumulativ zum DSG Anwendung.
Sind die geschilderten Voraussetzungen der Spezialnorm erfüllt, kann die Persönlichkeitsverletzung gerechtfertigt werden. Unter der DSGVO ist eine erleichterte Weiterbearbeitung der Daten nach Erfüllung des Zwecks möglich, weil die Daten-bearbeitung zu Forschungszwecken nicht als unvereinbar mit den ursprünglichen Zwecken gilt (Art. 5 Abs. 1 lit. b Teilsatz 2 DSGVO). Die Daten dürfen länger gespeichert werden als für den Bearbeitungszweck erforderlich (Art. 5 Abs. 1 lit. e Teilsatz 2 DSGVO). Die Betroffenenrechte auf Information (Art. 14 Abs. 5 lit. b DSGVO) und Löschung (Art. 17 Abs. 3 lit. d DSGVO) und gegebenenfalls weitere Rechte (vgl. Art. 89 Abs. 2–4 DSGVO) erfahren Einschränkungen.
e) Arbeitnehmerinteressen
Den arbeitgeberseitigen Interessen steht das Interesse der Arbeitnehmer entgegen, dass sich die dem beschriebenen Machtungleichgewicht innewohnenden Risiken von People Analytics nicht verwirklichen. Dies betrifft die diskutierten Rechts-probleme der Persönlichkeitsverletzung (Manipulation, Verlust von Autonomie und Persönlichkeitsdurchleuchtung), Diskriminierung (etwa durch ungerechtfertigte, auf falschen Daten beruhende Nichtanstellung, Nichtbeförderung, Kündigung oder überhöhte Leistungsvorgabe) und Mitwirkung.
f) Fehlende Methode zur Interessenabwägung
Eine Methode der Interessenabwägung spezifisch für das privatrechtliche Datenschutzrecht gibt es nicht; jede Bewertung der einzelnen Interessen verlangt letztlich ein Werturteil. Dies führt zu Rechtsunsicherheit. Nach der bundesgerichtlichen Rechtsprechung darf ein überwiegendes privates oder öffentliches Interesse an einer Datenbearbeitung nur zurückhaltend bejaht werden. Als übergeordnete Erwägung gegen die Zulässigkeit von People Analytics kann auf die durch People Analytics verursachte Machtverschiebung hingewiesen wer-den. Für die Zulässigkeit spricht hingegen, dass die rechtlichen und tatsächlichen Folgen einer Datenanalyse für den Arbeitnehmer gering ausfallen, wenn Personalmassnahmen unterstützt werden, die auch ohne die Datenbearbeitung hätten getroffen werden können.
Das Fehlen einer Methodik zur Interessenabwägung bedeutet, dass die Gesamtheit aller Umstände des konkreten Einzelfalls einzubeziehen ist. Der Kontext der Datenbearbeitung erlangt somit eine starke Bedeutung. Gerade bei Daten ist der Kontext bedeutsam, weil sie in ihrer Eigenschaft als Wertchance erst einen Wert erlangen, wenn sie in einen Kontext gesetzt werden. Der hohe Stellenwert des Kontexts verlangt, dass die Personen, die mit People Analytics umgehen, fähig sind, die Situation umfassend zu analysieren und sich in die verschiedenen Interessenspositionen, die zu gewichten sind, hineinzuversetzen.
5.10.6 Gesetzliche Rechtfertigung
Zunächst können aus dem DSG herrührende Pflichten eine Datenbearbeitung notwendig machen. Zu denken ist insbesondere an die Pflicht zur Gewährleistung der Datensicherheit (Art. 7 DSG, Art. 7 E-DSG, Art. 8 rev-DSG) und an die Auskunftspflicht (Art. 8 DSG, Art. 23 E-DSG, Art. 25 rev-DSG), die eine Aufbewahrung von Daten gebieten und einer Löschung oder Datenminimierung entgegenstehen können.
Sodann trifft die Arbeitgeberin eine arbeitsrechtliche Schutzpflicht gegenüber dem Arbeitnehmer (vgl. Art. 328 OR). Beispielsweise kann es zur Vermeidung von Verletzungen bei der Zusammenarbeit von Mensch und Roboter geboten sein, Daten über Bewegung und Standort der Arbeitskraft zu erheben. Eine solche Datenerhebung kann auch deshalb angezeigt sein, weil die Arbeitgeberin Dritten gegenüber delikts- und strafrechtlich für die Handlungen ihrer Arbeitnehmer haften muss (vgl. Art. 55 und Art. 101 OR; Art. 102 StGB). Die gesetzliche Pflicht zur Ausstellung oder späteren Berichtigung eines Zeugnisses und zur Erteilung von Referenzen (Art. 330a OR) kann eine Aufbewahrung von Personendaten über die Beendigung des Arbeitsvertrags hinaus rechtfertigen. Der Arbeitnehmer hat während zehn Jahren (Art. 127 OR) nach Beendigung des Arbeitsverhältnisses einen Anspruch darauf. Verlangt er die Vernichtung seiner Daten, ist dies – unter Vorbehalt der Unverzichtbarkeit im ersten Monat nach dem Austritt (Art. 341 Abs. 1 OR) – als konkludenter (unwiderruflicher) Verzicht auf die Ausstellung eines Zeugnisses zu werten.
Ferner existieren andere gesetzliche Aufbewahrungspflichten. Zu nennen ist die Pflicht zur zehnjährigen Aufbewahrung der Geschäftsbücher (Art. 958f OR). Sie kann E-Mails erfassen, wenn diese buchhaltungsrelevante Daten enthalten. Sie kann aber nicht als Rechtfertigungsgrund für eine allgemeine E-Mail-Aufbewahrung greifen, wenn bloss ein kleiner Teil der E-Mails Informationen zu den Geschäftsbüchern enthält. Art. 328b OR geht in diesem Fall als lex specialis vor. Gleiches muss in Bezug auf sozialversicherungs-, steuer- und aufsichtsrechtliche Aufbewahrungspflichten gelten. Aus den Bestimmungen zu finanzmarktrechtlichen Organisations- und Risikomanagement-Pflichten (z.B. Gewährspflicht) kann kein Rechtfertigungsgrund für die Bearbeitung von Personendaten entgegen den Datenschutz-Grundsätzen (vgl. Art. 12 Abs. 2 lit. a DSG, Art. 26 Abs. 2 lit. a E-DSG, Art. 30 Abs. 2 lit. a rev-DSG) abgeleitet werden. Sie stellen zwar Spezialnormen dar, die Vorrang gegenüber dem allgemeinen Gesetz geniessen, in diesem Fall vor dem DSG. Nur sehen sie inhaltlich keine gegenteilige Regelung zu den Datenschutz-Grundsätzen vor. Unzulässig wäre es somit, unter dem Vorwand der Compliance aus den (nicht anonymisierten) Daten eines erfolglosen Ex-Arbeitnehmers ein Profil unerwünschter Bewerber zu erstellen oder ihn auf eine schwarze Liste zu setzen, um seinen Wiedereintritt in einer anderen Unternehmensabteilung oder Konzerngesellschaft zu verhindern.
Einzelne der genannten gesetzlichen Pflichten vermögen eine Datenbearbeitung in stärkerem Ausmass zu rechtfertigen. So können die eingangs bekannt gemachten Lösungen zur Einhaltung der Arbeitssicherheits-Richtlinien (z.B. die Drohnen, die Bahngeleise-Arbeiter beaufsichtigen) zur Erfüllung der Fürsorgepflicht behilflich sein. Die Mehrheit der mit People Analytics verfolgten Zwecke dürfte aber nicht durch das Gesetz gedeckt sein, denn die meisten der beschriebenen Anwendungen in den Bereichen Rekrutierung, Leistungssteuerung, Arbeits- und Arbeitsplatzgestaltung sowie Mitarbeiterbindung sind betriebswirtschaftlich motiviert und nicht etwa durch ein allgemeines Interesse, das gesetzlich verankert ist. In diesen Fällen ist auf den Rechtfertigungsgrund der überwiegenden privaten Interessen der Arbeitgeberin zurückzugreifen. Insgesamt spielt von der Trias der Rechtfertigungsgründe – Einwilligung, überwiegende Interessen und Gesetz (Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG) – der Rechtfertigungsgrund der überwiegenden privaten Interessen bei People Analytics im privatrechtlichen Arbeitsverhältnis eine dominante Rolle.
Gabriel Kasper in: People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts; 2021; Dike Verlag, Zürich
https://creativecommons.org/licenses/by-nc-nd/3.0/ch/
DOI: https://doi.org/10.3256/978-3-03929-009-3
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.