Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts
5.11 Umsetzung der Datenschutznormen in der Praxis
5.11.1 NFP75-Daten zur Umsetzung
Das Abwägen der verschiedenen Datenbearbeitungsregeln gegeneinander und die Prüfung der Rechtfertigungsgründe im Einzelfall erfordert ein bedeutendes Mass an rechtlicher Reflexionskompetenz – ein Befund, der auch aus der Betrachtung der relevanten Erlasse in Kapitel 4 hervorgegangen ist. Die empirischen Daten aus der Online-Umfrage des NFP75-Projekts lassen aber Zweifel aufkeimen, ob die Arbeitgeberinnen das Datenschutzrecht korrekt umsetzen.
Zunächst erfolgt nicht immer die gesetzlich zwingende Trennung von Beruf und Privatleben (vgl. Art. 328b OR). Einige Teilnehmer gaben an, sie stimmten der Aussage völlig oder beinahe völlig zu, dass ihr Unternehmen nichtberufsbezogene Daten von Arbeitnehmern (3 Prozent) oder Bewerbern (7 Prozent) analysiere. Dies verstösst grundsätzlich gegen das arbeitsrechtliche Erfordernis eines sachlichen Bezugs der Datenbearbeitung zur Arbeit (Art. 328b OR). Zudem können die Arbeitnehmer das Gerät oder das Programm, über das People Analytics betrieben wird, in drei von fünf Fällen nicht ausschalten (62 Prozent), während sie sich in zwei von fünf Fällen durch Ausschalten des Geräts der Analyse entziehen können (38 Prozent). Hier ist im Einzelfall zu beurteilen, ob die fehlende Ausschaltfunktion (unter Verstoss gegen Art. 328b OR) zur Erhebung nicht erforderlicher Daten aus der Freizeit führt. Dies wäre grundsätzlich der Fall, wenn ein über GPS geortetes Geschäftsauto auch privat benutzt werden darf und Aufzeichnungen stattfinden. Weniger problematisch erscheint die permanente Aufzeichnung, wenn die Sensoren am Arbeitsplatz fest installiert sind und die Arbeitnehmer aus den «Augen» verlieren, sobald sie das Gebäude verlassen.
Jeder fünfte Umfrageteilnehmer stimmt der Aussage völlig oder fast völlig zu, dass sein Unternehmen das Verhalten von Arbeitnehmern und deren Zusammenarbeit untereinander beobachte (22 Prozent). Diese Unternehmen verstossen grundsätzlich gegen das Verbot von Verhaltens-Überwachungssystemen (Art. 26 ArGV 3). Aber die Rechtsprechung hat dieses Verbot gelockert. Somit sind die genannten Systeme trotzdem zulässig, solange sie nicht durch ihre Auswirkungen die Gesundheit oder das Wohlbefinden der Arbeitnehmer beeinträchtigen.
Bedenklich ist, wie die Praxis die Bearbeitungsregel der Erkennbarkeit lebt: Von den Unternehmen, die People Analytics einsetzen, stimmt (nur) etwas mehr als die Hälfte der Aussage völlig oder nahezu völlig zu, dass die Mitarbeiter und Bewerber verstehen, was das Unternehmen über sie analysiert (53 Prozent).
Offensichtlich auf Kollisionskurs mit der Praxis sind die Bearbeitungsregeln zur Speicherbegrenzung und zum Löschen (siehe Abb. 9). Eine unbegrenzte Speicherdauer ist immer mehr an der Tagesordnung. (Nur) jedes fünfte Unternehmen, das People Analytics betreibt, löscht die Daten gänzlich, sobald der Zweck, zu dem sie erhoben worden sind, erfüllt ist (20 Prozent). Doppelt so viele Arbeitgebende bewahren die erhobenen Daten generell während zehn Jahren auf (44 Prozent). Jedes vierte Unternehmen bewahrt die Daten während der gesamten Dauer des Arbeitsverhältnisses des jeweiligen Arbeitnehmers auf (27 Prozent). Jedes zwanzigste Unternehmen gibt an, dass es Datensätze und Analysen überhaupt nicht lösche (5 Prozent).
Das Gebot der Datensicherheit (Art. 7 Abs. 1 DSG, Art. 7 Abs. 1 E-DSG, Art. 8 Abs. 1 rev-DSG) verlangt die Ausarbeitung eines firmeninternen Berechtigungskonzepts, damit nicht jeder Mitarbeitende alle Daten einsehen kann. Doch ein Unternehmen gibt an, dass alle Angestellten im Unternehmen nahezu vollen Zugriff auf die Daten hätten (open company access, 1 Prozent). In jedem dritten Unternehmen haben allein die analysierten Mitarbeiter vollen oder nahezu vollen Zu-griff auf die über sie erhobenen Daten (35 Prozent). In den übrigen Fällen haben oft allein die Personalabteilung (57 Prozent), allein die Linienvorgesetzten (39 Prozent), sowohl die analysierten Mitarbeiter als auch ihre Linienvorgesetzten (30 Prozent) oder auch interne Expertenausschüsse (39 Prozent) vollen oder nahezu vollen Zugriff auf die über die Arbeitnehmer erhobenen Daten. Drei Unternehmen gewähren externen Drittparteien (z.B. beauftragten IT-Dienstleistern) vollen Zugriff auf die erhobenen Daten (3 Prozent).
Auf den Rechtfertigungsgrund der Einwilligung verlässt sich die Praxis trotz der vorliegend aufgestellten Warnschilder in beinahe neun von zehn Fällen (86 Prozent, siehe Abb. 10). Dabei holt jedes vierte Unternehmen (27 Prozent) eine Einwilligung für jede einzelne People Analytics-Anwendung ein. Doch die übrigen drei von fünf Unternehmen (59 Prozent) holen eine vorgängige generelle Einwilligung zu People Analytics mittels einer Klausel im Arbeitsvertrag ein. Dies ist kritisch zu sehen, weil bei der Vertragsunterzeichnung eine erhebliche Drucksituation bestehen kann, wodurch die Freiwilligkeit der Einwilligung infrage gestellt ist. Auch droht eine allgemein gehaltene Einwilligungsklausel am Erfordernis der Informiertheit zu scheitern, wenn sie die Datenbearbeitung, der zugestimmt werden soll, nicht genügend bestimmt umschreibt. Bemerkenswert und in der Regel zu begrüssen ist, dass jedes zehnte Unternehmen keine Einwilligung einholt, weil es die Analysen anderweitig rechtfertigt (11 Prozent).
5.11.2 Öffentlich bekannt gewordene Datenskandale
Was die NFP75-Zahlen suggerieren, trifft auf Bestätigung in der Literatur: Es wird festgestellt, dass den hohen Erwartungen des Gesetzgebers eine «ziemlich unbedarfte betriebliche Praxis» gegenübersteht. Unternehmen handeln «nicht aus Erkenntnis, sondern aus Zwang» und bestenfalls «gerade einmal so, dass es keine Sanktionen gibt».
Oft kommt es aber zum öffentlichen Datenskandal: In der Schweiz hat sich die Grossbank Credit Suisse 2019 in die negativen Schlagzeilen manövriert, als sie in Zusammenarbeit mit einem Detektivbüro Beschattungen hochrangiger Mitarbeiter durchführte. Im gleichen Jahr ist in Südkorea der Verwaltungsratspräsident von Samsung Electronics zu 18 Monaten Gefängnis verurteilt worden, weil das Unternehmen die Gewerkschaftsmitglieder bespitzelt hatte. Ähnliches trug sich bei der Deutschen Telekom zu, die Telefonate von Aufsichtsratsmitgliedern abhörte, und bei der Deutschen Bank, die das persönliche Umfeld von Führungskräften recherchierte. Der Discounter Lidl kontrollierte 2008 die Häufigkeit und Dauer des Toilettengangs seiner Mitarbeitenden, montierte unzulässigerweise Videokameras in den Umkleidekabinen und heuerte zur systematischen Mitarbeiterüberwachung Detektive an; im Jahr darauf wurde bekannt, dass Lidl unrechtmässig detaillierte Informationen zu den Krankheitsgründen und dem Krankheitsverlauf seiner Mitarbeiter erfasste. Die Deutsche Bahn wiederum liess bis 2009 ohne konkreten Missbrauchsverdacht personenbezogene Daten von 173’000 Arbeitnehmern mit Daten von Lieferanten abgleichen. Zudem hat das Unternehmen in den Jahren 2006 und 2007 den E-Mail-Verkehr aller Beschäftigten, die einen externen E-Mail-Anschluss am Arbeitsplatz hatten, systematisch überwacht.
5.12 Zwischenfazit: hoher Fachwissens-bedarf bei gleichzeitigen Mängeln in der Datenschutzpraxis
Das vorliegende Kapitel 5 hat sich eingangs mit der ratio legis des DSG auseinandergesetzt. Der Gesetzeszweck des DSG besteht im privatrechtlichen Bereich im Schutz der Persönlichkeit bei Datenbearbeitungen. Während der Persönlichkeitsschutz das Endziel ist, werden als Mittel zur Zielerreichung die zulässigen Bearbeitungsprozesse definiert. In der Gesetzgebungstechnik äussert sich dies dadurch, dass einerseits risikoorientierte Normen den Schutz der Persönlichkeit im privatrechtlichen Bereich statuieren, andererseits aber auch prozedurale Normen den Persönlichkeitsschutz in Bezug auf Datenbearbeitungen konkretisieren. Beide Normtypen haben ihre Defizite, entweder weil sie zu abstrakt sind (die risikoorientierten) oder zu starr und formalistisch (die prozessorientierten). Nach der vorliegend vertretenen Meinung sind die prozessbezogenen Normen notwendig, doch müssen sie in jedem Einzelfall risikoorientiert ausgelegt werden. Die datenschutzrechtlichen Bearbeitungsregeln gelten deshalb oft nicht absolut.
Die Flexibilität und Auslegungsbedürftigkeit zeigt sich bei verschiedenen Normen. Beispielsweise fallen gemäss der Auffassung des Autors Typisierungen nicht generell unter das DSG, sondern nur, wenn ihnen hohe Persönlichkeitsrisiken innewohnen. Das datenschutzrechtliche Prinzip der Zweckbindung lässt neue Bearbeitungszwecke zu, solange sie mit dem ursprünglichen vereinbar sind. Arbeitsrechtlich muss der Bearbeitungszweck einen Bezug zum Arbeitsplatz aufweisen; es besteht aber ein gewisser Spielraum zur Auslegung, welche Datenbearbeitungen objektiv zur Eignungsabklärung beitragen und welche Daten zur Durchführung des Arbeitsvertrags erforderlich sind. Die Erkennbarkeit ist nach der hier entwickelten restriktiven Auslegung so umzusetzen, dass die Arbeitnehmer die Datenbearbeitung verstehen, was individuell verschiedene Massnahmen bedingen kann. Das Prinzip der Richtigkeit darf nicht zu einer derart hohen Datenqualität führen, dass Persönlichkeitsdurchleuchtungen möglich sind. Die Pflichten zur Datenminimierung, Speicherbegrenzung und Löschung sind auszutarieren mit gegenläufigen Vorschriften wie beispielsweise der Pflicht zur Gewährleistung der Datensicherheit, der Auskunftspflicht, dem Diskriminierungsverbot und dem Schutz der Grundrechte Anderer.
Auch die Anwendung der Rechtfertigungsgründe veranlasst zu einer sorgfältigen Betrachtung jedes Einzelfalls. Entgegen dem Gesetzeswortlaut kann eine Datenbearbeitung gerechtfertigt werden, selbst wenn sie gegen die Grundsätze des DSG verstösst. Die gesetzliche Vermutung der Zulässigkeit der Bearbeitung allgemein zugänglich gemachter Daten ist im Arbeitsverhältnis relativ leicht widerlegbar. Zu einer Einwilligung des Arbeitnehmers als Rechtfertigungsgrund sollte höchstens als ultima ratio gegriffen werden. Zur Anwendung des Rechtfertigungsgrunds der überwiegenden Interessen fehlt eine einfache Methode; auch das gesetzlich privilegierte Interesse an der Forschung, Planung und Statistik untersteht strengen Voraussetzungen. Die meisten People Analytics-Projekte können ferner nicht mit generellen gesetzlichen Verpflichtungen gerechtfertigt werden.
Es bedarf somit eines hohen Masses an Fachwissen in den Betrieben vor Ort, um die Datenbearbeitungsregeln und Rechtfertigungsgründe im Einzelfall korrekt anzuwenden und geeignete Schutzmassnahmen anzuordnen. Dass sich die Technik und das Recht in diesem Bereich ständig entwickeln, trägt zu den Rechtsunsicherheiten bei. Diese können Unternehmen davon abhalten, People Analytics einzusetzen.
In der betrieblichen Praxis fehlt das nötige Fachwissen aber oft. Die empirischen Daten des NFP75-Projekts fördern Ungereimtheiten zwischen dem gesetzlichen Ideal und der Umsetzung zu Tage. Auch kommen Datenskandale vor. Insgesamt ist festzuhalten, dass Probleme bei der Umsetzung des Datenschutzrechts durch die Arbeitgeberinnen verbreitet sind.
Das Bedürfnis nach mehr Fachwissen wird ein zentraler Punkt sein bei der späteren Beantwortung der Forschungsfrage. Diese sucht nach den Möglichkeiten, wie eine Neuausrichtung des Datenschutzrechts aussehen könnte, bei welcher die Rechtsdurchsetzung ex ante gewährleistet ist. Damit die Arbeitgeberin die Datenschutznormen von vornherein korrekt anwendet, benötigt sie genügend fachliche Ressourcen, die sie etwa durch die Anstellung eines Datenschutzberaters und durch Schulungen ihres Personals erlangt. Auch sollte sie die möglichen Folgen der Datenbearbeitungen frühzeitig abschätzen und jederzeit in der Lage sein, Rechenschaft über ihre Bearbeitungstätigkeiten abzulegen.
6 Rechtsdurchsetzung
6.1 Übersicht: Individualrechtsschutz und weitere Rechtsbehelfe
Im vorhergehenden Kapitel 5 wurde festgestellt, dass für eine korrekte Anwendung des DSG ein hohes Mass an Fachwissen vorausgesetzt wird, das in den Betrieben jedoch nicht überall vorhanden ist, weswegen Datenschutzverstösse in der Praxis nicht selten vorkommen. Es besteht ein Problem bei der arbeitgeberseitigen Umsetzung des Datenschutzrechts bei People Analytics. Um dieser Tendenz entgegenzuwirken, ist zu prüfen, mit welchen Kontrollinstrumenten die Gegenseite auf die Rechtsdurchsetzung hinwirken kann. Einerseits kommen individualrechtliche Klagen infrage, andererseits sind auch kollektive Instrumente der Rechtsdurchsetzung zu prüfen.
Das DSG stellt für die Durchsetzung des privatrechtlichen Datenschutzes zu einem wesentlichen Teil auf die individuell betroffenen Arbeitnehmer ab. Sie sind zunächst berufen, den Datenschutz ex ante zu steuern, indem sie ihre Einwilligung erteilen, beschränken oder verweigern (vgl. Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG). Sie müssen aber auch ex post, im Nachgang einer Datenschutzverletzung, ihre Rechtsansprüche mittels zivilrechtlicher Klage zum Schutz der Persönlichkeit durchsetzen (vgl. Art. 15 Abs. 1 DSG bzw. Art. 28 Abs. 2 E-DSG bzw. Art. 32 Abs. 2 rev-DSG i.V.m. Art. 28 ZGB). Der Datenschutz ist hier mehr oder weniger dem zivilrechtlichen Persönlichkeitsschutz gemäss Art. 28 ZGB gleichgestellt. Der Grund dafür ist darin zu finden, dass der Gesetzgeber im Jahr 1992 bei Erlass des DSG bzgl. der Datenbearbeitung durch Private (noch) keine ähnlichen Risiken wie in der staatlichen Datenbearbeitung eruiert hat. Als Folge davon kommt der Datenschutz im privatrechtlichen Bereich im Konzept des DSG faktisch als rein individuelles Anliegen zum Tragen.
Im Grundsatz verfolgt das DSG einen «eindimensionalen» Ansatz. Auch die Datenschutz-Rechtsordnungen der EU und der USA weisen eine «atomistische» Struktur auf, indem sie primär die Individualrechte schützen und sich weitgehend auf das Zweipersonenverhältnis zwischen der betroffenen und der verantwortlichen Person konzentrieren.
Im Folgenden ist zunächst zu untersuchen, inwieweit die Individualklage zur Durchsetzung des Datenschutzrechts im privatrechtlichen Umfeld taugt. Nach der hier vertretenen Ansicht besteht keine Möglichkeit zur effizienten Kontrolle der Einhaltung des Datenschutzes durch die betroffenen Arbeitnehmer. Die Defizite sind sogleich zu erläutern.
Wegen der Mängel der Individualklage ist anschliessend zu fragen, ob das Rechtssystem dem Individuum Verbündete zur Seite stellen kann, die es bei der Rechtsdurchsetzung (indirekt) unterstützen könnten. Würden Dritt- oder öffentliche Interessen einfliessen, die sich mit den Individualinteressen teilweise überschneiden, so könnte der unzureichende Individualrechtsschutz zu einem gewissen Grad kompensiert werden. Der EDÖB könnte allenfalls im Interesse von Gruppen wirken, weil er insbesondere einschreitet, wenn eine grössere Anzahl von Personen betroffen ist (vgl. Art. 29 Abs. 1 lit. a DSG). Zu suchen ist auch nach datenschutzentfernteren Steuerungsansätzen, insbesondere in den Rechtsgebieten, die in Kapitel 4 über die relevanten Rechtsbestimmungen genannt worden sind: Anzuschauen sind somit die ArG-Aufsicht, das Strafrecht, das Mitwirkungsrecht, das Gesellschaftsrecht sowie die arbeitsrechtlichen Mittel der Arbeitsverweigerung, des Streiks und der Kündigung (dazu Unterkapitel 6.3–6.8).
6.2 Zivilrechtliche Individualklagen
6.2.1 Zivilrechtliche Ansprüche der Arbeitnehmer
Der Arbeitnehmer kann bei unrechtmässigem Betrieb von People Analytics die arbeitsvertraglichen Ansprüche aus einer Verletzung der Fürsorgepflicht (Art. 328 OR) geltend machen. Zunächst kommt ein Anspruch auf Schadenersatz (Art. 97 Abs. 1 i.V.m. Art. 328 OR) infrage. Führt People Analytics beispielsweise zu einer erheblichen Beeinträchtigung der psychischen Integrität und zur Arbeitsunfähigkeit, so kann der Schaden in einer Lohneinbusse bestehen. Bei einer schweren Persönlichkeitsverletzung, die nicht anders wiedergutgemacht worden ist, besteht ein Anspruch auf Genugtuung (Art. 49 Abs. 1 i.V.m. Art. 99 Abs. 3 i.V.m. Art. 328b OR). Denkbar ist ferner eine Konventionalstrafe, falls die Parteien eine solche vereinbart haben (vgl. Art. 160 OR). Die Arbeitgeberin haftet für den Schaden, den ihre Hilfsperson oder andere Arbeitnehmer in Ausübung ihrer Verrichtungen verursachen (Art. 97 Abs. 1 i.V.m. Art. 101 Abs. 1 OR).
Das öffentlich-rechtliche Arbeitnehmerschutzrecht kann zivilrechtliche Ansprüche vermitteln: Wenn Vorschriften des Bundes oder der Kantone über die Arbeit der Arbeitgeberin oder dem Arbeitnehmer eine öffentlich-rechtliche Verpflichtung auferlegen und die Verpflichtung Inhalt des Einzelarbeitsvertrags sein könnte, so steht der jeweils anderen Vertragspartei ein zivilrechtlicher Anspruch auf Erfüllung zu (Art. 342 Abs. 2 OR). Der Arbeitnehmer kann auf diesem Weg beispielsweise verlangen, dass ein Überwachungssystem mit gesundheitsschädigenden Auswirkungen abgeschaltet werde (vgl. Art. 6 ArG, Art. 26 ArGV 3).
Kumulativ zu den vertraglichen kann der Arbeitnehmer ausservertragliche Ansprüche geltend machen. Vorderhand ist an die Ansprüche aufgrund einer Persönlichkeitsverletzung durch eine unzulässige Datenbearbeitung zu denken (Art. 15 Abs. 1 Satz 1 DSG i.V.m. Art. 28 und Art. 28a ZGB; Art. 28 Abs. 2 Satz 1 E-DSG, Art. 32 Abs. 2 Satz 1 rev-DSG). Mit der Klage auf Unterlassung einer drohenden Verletzung (Art. 28a Abs. 1 Ziff. 1 ZGB) kann der Arbeit-nehmer beispielsweise die Sperrung der Datenbearbeitung verlangen oder dass keine Daten an Dritte bekanntgegeben werden (Art. 15 Abs. 1 Satz 2 DSG, Art. 28 Abs. 2 lit. a–c E-DSG, Art. 32 Abs. 2 lit. a–c rev-DSG), gegebenenfalls unter Anordnung vorsorglicher Massnahmen (Art. 261 ff. ZPO). Der Arbeitnehmer kann die Beseitigung einer bestehenden Verletzung verlangen (Art. 28a Abs. 1 Ziff. 2 ZGB), was durch die Vernichtung der Daten geschehen kann (Art. 15 Abs. 1 Satz 2 DSG, Art. 28 Abs. 2 lit. c E-DSG, Art. 32 Abs. 2 lit. c rev-DSG). Der Anspruch auf Feststellung der Widerrechtlichkeit einer Verletzung besteht dann, wenn sich diese weiterhin störend auswirkt (Art. 28a Abs. 1 Ziff. 3 ZGB). Auch die Berichtigung der Daten (Art. 28a Abs. 2 ZGB; Art. 15 Abs. 1 Satz 2 DSG) und die Mitteilung des Urteils an Dritte oder die Veröffentlichung des Urteils (Art. 28a Abs. 2 ZGB, Art. 28 Abs. 4 E-DSG, Art. 32 Abs. 4 rev-DSG) können verlangt werden. Neben diesen spezifischen Rechtsbehelfen des Persönlichkeitsschutzes sind allgemeine vermögensrechtliche Ansprüche möglich (Art. 28a Abs. 3 ZGB: Schadenersatz, Genugtuung, Gewinnherausgabe nach den Bestimmungen über die Geschäftsführung ohne Auftrag), die der Arbeitnehmer auf vertraglicher Basis geltend machen muss.
Unter dem europäischen Datenschutzrecht hat jede Person, der wegen eines Verstosses gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegenüber dem Verantwortlichen oder dem Auftragsbearbeiter (Art. 82 Abs. 1 DSGVO).
6.2.2 Persönlichkeitsschutz als Abwehrrecht (privacy-as-secrecy)
a) Abwehrrecht im Zivilgesetzbuch
Es bestehen Schwierigkeiten, die Ansprüche des Arbeitnehmers auf dem Weg der Individualklage durchzusetzen. Dies begründet sich zunächst mit der Konzeption des Persönlichkeitsschutzes als Abwehrrecht. Der schweizerische zivilrechtliche Persönlichkeitsschutz (Art. 28 ZGB) ist ein Abwehrrecht, das den Schutz vor Eingriffen Dritter bezweckt. Der Persönlichkeitsschutz vermittelt keinen Entfaltungsanspruch; die Nutzung der Persönlichkeitsattribute steht nicht im Vordergrund. Somit wirkt das Persönlichkeitsrecht negativ, repressiv und defensiv.
b) Geheimsphäreschutz im Common Law
Zur Illustration des Abwehrcharakters des Persönlichkeitsschutzes dient ein Vergleich mit dem amerikanischen Common Law. Dort lautet die Leitidee, dass Probleme rund um Personendaten letztlich die Geheimhaltung von persönlicher Information betreffen (privacy-as-secrecy). Das Recht auf Privatsphäre schützt das Interesse, in Ruhe gelassen zu werden (right to be let alone). Darunter sind vier konkretisierbare Teilinteressen zu verstehen: Schutz vor verletzendem Eindringen in die Zurückgezogenheit oder die privaten Angelegenheiten (intrusion upon seclusion), Schutz vor Veröffentlichung peinlicher privater Tatsachen (public disclosure), Schutz vor Publizität, die einen in den Augen der Öffentlichkeit in einfalsches Licht rückt (publicity), und Schutz vor unrechtmässiger Aneignung des Namens oder der Identität (appropriation of name or likeness).
Eine konkrete technische Umsetzung des Privatsphäreschutzes durch Geheimhaltung des Common Law besteht darin, Information gegenüber den Datenbearbeitern zu verschleiern. Die Verschleierung (obfuscation) soll durch absichtliches Verheimlichen von Information vor der Überwachungswirtschaft und durch das Einspeisen von fehlerhaften, unbrauchbaren Daten in die Analysesysteme gelingen. Eine Verschleierungstaktik behindert jedoch den Informationsfluss, der für die Informationswirtschaft essenziell ist, und kann somit «höchstens die zweit beste Lösung» zur Gewährleistung der Privatsphäre darstellen. Insgesamt ist der Schutz der Privatsphäre im amerikanischen Verfassungsrecht im Vergleich zum europäischen Datenschutzrecht schwach ausgebildet.
- Sphärentheorie in der bundesgerichtlichen Rechtsprechung
Zur Beurteilung, ob eine Information vor Einblicken geschützt werden soll, unterteilt das Bundesgericht das gesamte Leben eines Menschen in die drei Bereiche Geheim-, Privat- und Gemeinsphäre (sog. Drei-Sphären-Theorie oder Sphärentheorie). Demnach sind der Geheim- (oder Intim-)Sphäre Tatsachen zuzuordnen, die niemandem oder nur ganz bestimmten Personen zugänglich sein sollen. Zur Privatsphäre im Sinne der Sphärentheorie gehören Tatsachen, die nur einem bestimmten, nahe verbundenen Personenkreis zugänglich sein sollen. Die Gemein- (oder Öffentlichkeits-)Sphäre umfasst Tatsachen, die sich an allgemein zugänglichen Orten abspielen oder denen die betroffene Person eine gewisse Publizität verleiht. In der Schweiz wurde die Sphärentheorie, der deutschen Lehre entstammend, soweit ersichtlich, durch JÄGGI im Jahr 1960 und ausschliesslich im Zusammenhang mit Persönlichkeitsverletzungen durch personenbezogene Informationen eingeführt.
d) Ungenügen der Sphärentheorie
Die Sphärentheorie wird kritisiert, weil sie mit der Gemeinsphäre einen vollständig ungeschützten Bereich aussondert, dies in Abweichung von der Doktrin und Praxis vor Einführung der Sphärentheorie. Die Persönlichkeit bedarf des Schutzes, auch wenn sie den Privatbereich verlässt und sich in die Öffentlichkeit begibt. Die Sphärentheorie unterschätzt die Bedeutung der Öffentlichkeit und der sozialen Interaktion für das Individuum. Dass die Gemeinsphäre ohne Schutz bleibt, lässt sich mit Blick auf die deutsche Herkunft der Sphärentheorie nachvollziehen: In Deutschland leitet sich das allgemeine Persönlichkeitsrecht aus dem Verfassungsrecht ab (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) und ist im Sinne einer allgemeinen Handlungsfreiheit ausserordentlich weit gefasst. Somit stellt sich dort unweigerlich die Frage nach einer vernünftigen Begrenzung dieses Rechts, womit die Sphärentheorie auf fruchtbaren Boden fällt. Demgegenüber wurzelt der Persönlichkeitsschutz in der Schweiz im Privatrecht (Art. 27 ff. ZGB). Für die Schweiz eignet sich jedenfalls im privatrechtlichen Bereich eine Rezeption der Sphärentheorie nur beschränkt und nicht mit dem deutschen umfassenden, auf den gesamten Bereich der Persönlichkeit bezogenen Gehalt. Der schweizerische Gesetzgeber hat die Schutzlücke, die sich durch die Erfindung der Gemeinsphäre ergibt, mit dem Erlass des DSG und den darin aufgestellten, immer geltenden Datenbearbeitungsgrundsätzen teilweise wieder geschlossen.
Die Sphärentheorie bietet des Weiteren keine allgemeingültige Abgrenzung der Privatsphäre im Sinne der Sphärentheorie: Der Arbeitsplatz zählt zur Privatsphäre im Sinne der Sphärentheorie. Angesichts der ubiquitären Datenerfassungen und der Tendenz zum Arbeiten aus dem Homeoffice verschwimmt aber die Trennlinie zwischen dem Büro und dem Zuhause und somit zwischen Privat- und Geheimsphäre. Auch ist die Privatsphäre, wie bereits besprochen, je nach Person verschieden: Eine identische Tatsache kann für einen Menschen in den Privatbereich, für einen anderen in die Geheimsphäre fallen.
Schwierigkeiten bereitet die Sphärentheorie auch, weil selbst hinsichtlich Tatsachen der Geheimsphäre stets ein überwiegendes Interesse Dritter bestehen kann. Zu denken ist etwa an das Recht auf Kenntnis der eigenen Abstammung, das die Aufdeckung intimster Sachverhalte aus dem Sexualleben der Eltern bedingt.
Das Hauptproblem der Sphärentheorie besteht somit darin, dass die Einordnung in eine bestimmte Persönlichkeitssphäre keine Hilfe leistet, um über die Rechtswidrigkeit des Eingriffs zu entscheiden. Für die Feststellung der Widerrechtlichkeit ist immer eine Abwägung zwischen dem Geheimhaltungs- und dem Informationszugriffs-Interesse erforderlich. Es braucht Kriterien, um zu beurteilen, ob ein Privatsphäreneingriff schwerer oder weniger schwer wiegt. Aus all diesen Gründen wird geltend gemacht, dass die Sphärentheorie im DSG nicht anwendbar sein soll.
6.2.3 Persönlichkeitsschutz durch informationelle Selbstbestimmung (privacy-as-control)
a) Deutsches Konzept der informationellen Selbstbestimmung
Das Ungenügen der Sphärentheorie verlangte nach einer inhaltlich «radikal» neuen Betrachtungsweise des Privaten. Dies war die Stunde des Konzepts der informationellen Selbstbestimmung (im angelsächsischen Rechtsraum häufig als privacy-as-control bezeichnet). Mit der informationellen Selbstbestimmung imZentrum verpufft die unter der Sphärentheorie begründete schutzlose Gemeinsphäre vollständig: Grundsätzlich können keine Daten mehr unabhängig vom Willen des Betroffenen bearbeitet werden. Nach dem Konzept der informationellen Selbstbestimmung ist Schutzobjekt nicht eine Geheimsphäre, sondern die informationelle Selbstbestimmung, ein Teil der Autonomie des Menschen. Die Geheimsphäre ist demnach nicht ein Rechtsgut, sondern bloss die Folge dessen, dass eine Person gewisse Sachverhalte geheim halten will und darf.
Das Konzept der informationellen Selbstbestimmung ist in Deutschland entwickelt worden. Das Bundesverfassungsgericht hat das Recht auf informationelle Selbstbestimmung im Volkszählungsurteil vom 15.12.1983 erstmals in aller Deutlichkeit formuliert: Das Grundrecht der informationellen Selbstbestimmung (abgeleitet aus dem allgemeinen Persönlichkeitsrecht, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Das Recht auf informationelle Selbstbestimmung hat seither in Deutschland eine Vorrangstellung erlangt, hinter der die allgemeinen Datenschutzprinzipien zurückstehen.
Im Volkszählungsurteil hat das Bundesverfassungsgericht das allgemeine Persönlichkeitsrecht rechtsdogmatisch aus dem Grundgesetz und somit aus dem öffentlich-rechtlichen Verfassungsrecht abgeleitet. Dies ergibt eine besondere Nähe zum grundrechtlichen Persönlichkeitsschutz. Trotzdem orientieren sich auch private deutsche Unternehmen wegen der mittelbaren Drittwirkung der Grundrechte an den Grundsätzen, die das Bundesverfassungsgericht 1983 aufgestellt hat.
Der grundrechtliche Persönlichkeitsschutz in Deutschland geht von der allgemeinen Handlungsfreiheit aus. Die deutsche Rechtsprechung legt den grundrechtlichen Entfaltungsschutz extensiv aus, sodass «jedes menschliche Verhalten» geschützt wird, «ohne Rücksicht darauf, welches Gewicht ihm für die Persönlichkeitsentfaltung zukommt». Geschützt werden soll der Selbstbestimmungswille, unabhängig davon, ob die Respektierung dieses Willens im konkreten Fall für die Persönlichkeitsentfaltung wesentlich ist. Das Recht auf informationelle Selbst-bestimmung ist somit «nichts anderes als eine Neufassung der allgemeinen Handlungsfreiheit unter den Bedingungen der modernen Datenverarbeitung».
b) Schweizerische Rezeption der informationellen Selbstbestimmung
Das schweizerische Recht hat den der deutschen Lehre und Rechtsprechung entstammenden Schutz des informationellen Selbstbestimmungsrechts rezipiert. Dies ergibt sich aus dem DSG, auch wenn der Begriff der informationellen Selbstbestimmung darin fehlt: Eine widerrechtliche Persönlichkeitsverletzung liegt immer vor, wenn jemand Daten einer Person gegen deren ausdrücklichen Willen ohne Rechtfertigungsgrund bearbeitet (Art. 12 Abs. 2 lit. b DSG, Art. 26 Abs. 2 lit. b E-DSG, Art. 30 Abs. 2 lit. b rev-DSG). Zudem kann die betroffene Person die Bearbeitung ihrer Daten selbst dann untersagen, wenn sie sie zuvor allgemein zugänglich gemacht hat (Art. 12 Abs. 3 DSG, Art. 26 Abs. 3 E-DSG, Art. 30 Abs. 3 rev-DSG e contrario). Das Bundesgericht hat bereits 1987 anerkannt, dass das damals noch ungeschriebene Grundrecht der persönlichen Freiheit punktuell auch Schutz vor unbefugtem Bearbeiten von personenbezogenen Daten bietet. Der Ausdruck «informationelle Selbstbestimmung» taucht erstmals 1994 in einem veröffentlichten Bundesgerichtsurteil auf, in dem ein Recht des Arbeitnehmers auf Einsicht in seine Personalakte aus Art. 328 OR abgeleitet wurde.
Das Bundesgericht zeigte jedoch eine gewisse Zurückhaltung in der Anerkennung eines informationellen Selbstbestimmungsrechts und verneinte 1998 ein «generelles Recht […], jederzeit zu wissen, wer was über [einen] weiss». Auch das von der informationellen Selbstbestimmung hergeleitete Einsichtsrecht des Arbeitnehmers versteht das Bundesgericht nicht als umfassend. Das Einsichtsrecht hat lediglich instrumentalen Charakter für den Fall, dass die in der Personalakte vorhandenen Angaben die Persönlichkeitsrechte des Arbeitnehmers verletzen, weil sie falsch sind oder keinen Bezug zum Arbeitsverhältnis haben. Es wird ein berechtigtes Interesse an der Einsichtnahme vorausgesetzt. Das Bundesgericht gewährt dem Arbeitnehmer keinen unbedingten Anspruch auf Einsicht in sämtliche Dokumente über Geschäftsvorgänge der Arbeitgeberin, an denen der Arbeitnehmer in irgendeiner Weise beteiligt war. Die Arbeitgeberin muss keine Auskunft über interne Dokumente zur Willensbildung erteilen, wie beispielsweise E-Mails zwischen Vorgesetzten. Ausserdem ist das DSG und damit auch das Auskunftsrecht nicht anwendbar auf Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt (Art. 2 Abs. 2 lit. a DSG, vgl. Art. 2 Abs. 2 lit. a E-DSG, vgl. Art. 2 Abs. 2 lit. a rev-DSG). Hierunter sind etwa persönliche Notizen eines Vorgesetzten als Gedächtnisstütze für ein Mitarbeitergespräch zu subsumieren. Im Übrigen besteht von Gesetzes wegen kein Anspruch des Arbeitnehmers auf physische Einsichtnahme vor Ort in das Original der Personalakte (vgl. Art. 3 Satz 1 VDSG). In der Regel genügt eine schriftliche Auskunftserteilung in der Form eines Ausdrucks oder einer Fotokopie (Art. 8 Abs. 5 Satz 1 DSG).
Die Einschränkung des Rechts auf informationelle Selbstbestimmung im Fall des Einsichtsrechts des Arbeitnehmers in die Personalakte vermag zu erstaunen angesichts des Umstands, dass der Arbeitnehmer in einem persönlichkeitsrechtlich besonders schutzbedürftigen Sonderverhältnis zur Arbeitgeberin steht. Die limitierte Geltung des Rechts auf informationelle Selbstbestimmung in der Schweiz lässt sich aber mit Blick auf dessen geschichtliche Entwicklung und systematische Einordnung in zweifacher Hinsicht erklären: Erstens leitet sich für schweizerische privatrechtliche Arbeitsverhältnisse der Anspruch auf informationelle Selbstbestimmung direkt aus dem privatrechtlichen Persönlichkeitsschutz ab. Die Schweiz war der internationalen Entwicklung weit voraus, als sie 1907 einen umfassenden privatrechtlichen Persönlichkeitsrechtsschutz verankerte (Art. 28 ZGB), der nicht nur einzelne, sondern alle wesentlichen Ausprägungen der menschlichen Persönlichkeit schützte. Dieser privatrechtliche Persönlichkeitsschutz ist älter als der grundrechtliche Persönlichkeitsschutz. Da das schweizerische Recht im Unterschied zum deutschen keine eigentliche Verfassungsgerichtsbarkeit kennt, wird über die verfassungskonforme Gesetzesauslegung von Art. 28 ZGB wie auch über die Einhaltung der grundrechtlichen Kerngehaltsschranke (Art. 36 Abs. 4 BV) im Zivilprozess entschieden. Der zivilrechtliche Persönlichkeitsschutz folgt in der Schweiz eigenen, spezifisch auf das Privatrechtsverhältnis zugeschnittenen Regeln.
Zweitens kennt die Schweiz kein Grundrecht der allgemeinen Handlungsfreiheit: Das Grundrecht auf persönliche Freiheit (Art. 10 Abs. 2 BV) schützt nur elementare Erscheinungsformen der Persönlichkeitsentfaltung. Auch das Grundrecht auf Schutz vor Missbrauch der persönlichen Daten (Art. 13 Abs. 2 BV) sieht keine allgemeine Handlungsfreiheit vor, weshalb bei der Übernahme der informationellen Selbstbestimmung in die Schweizer Rechtsordnung Vorsicht geboten ist. Dieses Grundrecht ist nicht verhaltensbezogen in dem Sinne, dass die betroffene Person völlig frei handeln oder über etwas, an dem sie Eigentumsrechte hat, nach Belieben verfügen könnte. Der Schutzzweck ist stattdessen informationsorientiert in dem Sinne, dass es auf den Schutz vor allumfassender, unbegrenzter und intransparenter Daten- und Informationsbearbeitung abzielt. Das Grundrecht auf Information und Meinungsbildung (Art. 16 BV) ist grundsätzlich gleichwertig wie der informationelle Selbstbestimmungswille, sodass nicht von vornherein von einem Verfügungsrecht des Betroffenen die Rede sein kann.
c) Zwei Stossrichtungen der Kritik am Recht auf informationelle Selbstbestimmung
aa) Übersicht
Die schweizerische Rezeption des Rechts auf informationelle Selbstbestimmung stösst auf Kritik. Diese zielt in zwei Richtungen: Einerseits wird bemängelt, dass der Einzelne ungeachtet seines Rechtschutzbedürfnisses jederzeit Datenbearbeitungen untersagen kann (dazu sogleich). Nach der vorliegend vertretenen Auf-fassung muss andererseits ergänzt werden, dass die heute ubiquitären Datenbearbeitungen die Kontrollressourcen von Einzelpersonen übersteigen, sodass eine Ausübung des Selbstbestimmungsrechts de facto unmöglich geworden ist.
bb) Informationsverbot infolge ausufernder Kontrollrechte
AEBI-MÜLLER, RUDIN, GÄCHTER und BELSER kritisieren ein weites Verständnis des informationellen Selbstbestimmungsrechts. Die Erstgenannte stösst sich am «völlig konturlosen» Anspruch, der jedes personenbezogene Datum zum absoluten Recht erhebe und dem begriffsimmanente Schranken fehlten, sodass «praktisch ein Informationsverbot» bestehe. Sachverhalte würden als Verletzungstatbestände fingiert, obwohl bei näherem Hinsehen keine (wesentlichen) Beeinträchtigungen der Persönlichkeit vorlägen. Für jeden Verstoss gegen den geäusserten Willen der betroffenen Person müsse die Datenbearbeiterin ein rechtserhebliches und überwiegendes Interesse vorweisen. RUDIN will den Ausdruck «informationelle Selbstbestimmung» durch denjenigen der «informationellen Integrität» ablösen, um den Eindruck zu verhindern, jedes Individuum würde ein «Verfügungsmonopol» über «seine» Daten besitzen.
Die Befürchtung ist berechtigt, dass das Recht auf informationelle Selbstbestimmung zu einem eigentlichen Herrschaftsrecht an den eigenen Daten hochstilisiert werden könnte. Eine derart starke Betonung des Willens der Betroffenen wäre jedoch aus drei Gründen nicht mit dem geltenden Recht vereinbar: Erstens ist persönlichkeitsrechtlich zu berücksichtigen, dass sich die Persönlichkeit in der sozialen Gemeinschaft entfaltet. Somit sind Eingriffe im Rahmen des sozialüblichen Handelns zu dulden, ohne dass eine Anrufung des Persönlichkeitsschutzes (Art. 28 ZGB) möglich ist. Ein Modell, das auf persönlicher Herrschaft über die Daten beruht, stösst spätestens dann an seine praktischen Grenzen, wenn die Daten eine Mehrzahl von Personen betreffen und es unklar ist, wem das Selbstbestimmungsrecht zustehen soll. Zweitens besteht datenschutzrechtlich kaum Raum für ein Herrschaftsrecht an Daten, weil Datenbearbeitungen unter Privaten grundsätzlich zulässig sind. Damit stellt das DSG einen Gegenpol zur DSGVO dar, nach welcher die Datenbearbeitung grundsätzlich verboten ist, ausser einer der abschliessend aufgezählten Rechtfertigungsgründe (Art. 6 Abs. 1 DSGVO) treffe zu (sog. Verbot mit Erlaubnisvorbehalt). Drittens dürfte wegen des arbeitsrechtlichen Weisungsrechts der Arbeitgeberin (Art. 321d OR) die Ausübung des Rechts auf informationelle Selbstbestimmung im Arbeitsverhältnis faktisch eine begrenzte Tragweite haben.
Die Idee der Herrschaft an Daten steht derjenigen von Dateneigentum nahe. Ein Eigentumsrecht an Daten ist aber aus drei Gründen ebenfalls abzulehnen: Erstens kann aus sachenrechtlicher Sicht kein Eigentum an Daten bestehen, weil Daten keine Sachen (im Sinne von Art. 641 ZGB) sind. Der Grund dafür liegt in der Nichtrivalität im Konsum von Daten (und nicht etwa in ihrer fehlenden Körperlichkeit). Zweitens ist persönlichkeitsrechtlich ein Eigentum an Daten unvorstellbar, weil Eigentum veräusserlich ist, Persönlichkeitsrechte aber unveräusserlich sind. Ein kompletter Verkauf der eigenen Persönlichkeitsrechte würde dem persönlichkeitsrechtlichen Verbot der übermässigen Bindung zuwiderlaufen (vgl. Art. 27 ZGB). Zudem besteht Eigentum an Objekten, während der Persönlichkeitsschutz die Eigenschaften von Menschen zum Gegenstand hat. Ferner geniesst jeder Mensch den privatrechtlichen Persönlichkeitsschutz, auch wenn die Fähigkeiten zur Herrschaft, Kontrolle und Selbstbestimmung teilweise oder ganz fehlen – etwa bei Kleinkindern, Bewusstlosen oder geistig behinderten Personen. Drittens spricht aus wirtschaftlicher Sicht gegen die Einführung eines Dateneigentums das Bedürfnis der Datenwirtschaft, Daten zum Fliessen zu bringen. Eigentumsrechte würden den Datenfluss behindern, weil sie auf Behalten statt auf Teilen fokussieren. Die Geschäftsmodelle vieler unentgeltlicher Datendienstleistungen wären infrage gestellt.
Aufgrund der geäusserten Bedenken fügt sich das dem deutschen Rechtssystem entsprungene Konzept der informationellen Selbstbestimmung nicht nahtlos in das schweizerische Rechtssystem ein. AEBI-MÜLLER postuliert daher in Abkehr vom voluntativen Primat der informationellen Selbstbestimmung, dass das Private in-sofern begründungspflichtig sei, als auch das menschliche Dasein (zwar nicht ausschliesslich, aber auch) gemeinschaftsbezogen sei – ebenso wie die Rechtsordnung als solche nicht primär auf das einzelne Individuum, sondern auf eine angemessene Koordination der Interessen angelegt sei. Nach dieser Konzeption stehen Information, Transparenz, Bildung und Wahrheit dem Anspruch auf Privatheit von vornherein entgegen. Der Betroffene muss demnach ein konkretes und wesentliches Interesse daran zeigen, dass eine fragliche Datenbearbeitung unterbleibt. Er muss nachweisen, dass seine Persönlichkeit (in ihrem ganzen Entfaltungs- und Entwicklungspotenzial, d.h. in ihren körperlichen, geistig-seelischen und sozialen Anlagen) durch die Bearbeitung von personenbezogenen Informationen so wesentlich beeinträchtigt wird, dass von einer eigentlichen Verletzung auszugehen und entsprechender Schutz zu gewähren ist.
Durch die Begründungspflicht tritt das mit der Privatsphäre zu schützende Interesse, nämlich das Interesse an individueller Autonomie, in den Fokus. Bildlich gesprochen geht es bei der Privatsphäre nicht mehr um drei konzentrische Kugeln bzw. «Sphären» im Sinne der Sphärentheorie, sondern um drei Vektoren: Die Autonomie findet ihre Ausprägung in drei «Dimensionen der Privatheit»: lokale, dezisionale und informationelle Privatheit. Die lokale Privatheit bezeichnet die Möglichkeit, sich räumlich zurückzuziehen, um in Ruhe gelassen zu werden. Die dezisionale Privatheit umfasst Freiräume für persönliche Entscheidungen. Sie wird im Arbeitsrecht durch das Weisungsrecht der Arbeitgeberin eingeschränkt, beispielsweise durch Kleider-, Frisur- oder Hygienevorschriften. Die informationelle Privatheit sichert die freie Selbstdarstellung im Hinblick auf die autonome Gestaltung von Beziehungen. Sie schützt die Fähigkeit des Subjekts, den Informationsstand anderer über es zu kontrollieren.
Nach vorliegend vertretener Meinung weist die vorgestellte Theorie der Privatheit jedoch zwei Schwachpunkte auf. Einerseits erodieren die Grenzen zwischen den beschriebenen drei Dimensionen. Beispielsweise verschmelzen die lokale und die informationelle Privatheit im Online-Bereich. Somit vermag die Theorie von den drei Dimensionen der Privatheit das zu schützende Private nicht klar zu beschreiben. Andererseits sind die Individuen mit der fortwährenden Begründungspflicht überfordert. Darauf ist sogleich einzugehen.
cc) Überforderung durch informationelle Selbstbestimmung
i. Last der informationellen Selbstbestimmung
Würde man der Forderung, dass das Private begründungspflichtig sein soll, stattgeben, so erhielte das Recht auf informationelle Selbstbestimmung eine neue Färbung. Es würde gleichsam zur Last und Pflicht, die eigenen Interessen geltend zu machen und zu begründen. Hier setzt der vorliegend vertretene zweite Kritikpunkt betreffend die informationelle Selbstbestimmung an: In einer Welt von People Analytics, in der Datenbearbeitungen ubiquitär erfolgen, Daten über interoperable Systeme im ganzen Unternehmen und rund um den Erdball verteilt werden und die Prozesse infolge der künstlichen Intelligenz immer komplexer werden, ist der Einzelne mit der Kontrolle der ihn betreffenden Datenflüsse völlig überfordert. Individuen sind zusehends ausser Stande, die sie betreffenden Informationsströme in informationeller Selbstbestimmung zu kontrollieren. Stattdessen bestimmen die Arbeitgeberinnen, die die Überwachungen durchführen, das Geschehen. Das liberale Leitbild des (informationell) selbstbestimmten Individuums scheitert aus ähnlichen Gründen, aus denen es unsinnig wäre, dem Nutzer die Verantwortung für sauberes Wasser, gesunde Lebensmittel oder sichere Produkte zu überlassen. Der Primat der informationellen Selbstbestimmung ist somit «überkommen».
Das Phänomen der Überforderung der Individuen hat sich bereits am Beispiel des Rechtfertigungsgrunds der Einwilligung, die zumindest im Arbeitskontext selten in informationell selbstbestimmter Weise erteilt wird, bemerkbar gemacht. Nun ist aufzuzeigen, dass auch im zivilrechtlichen Verfahren Hürden für die Ausübung der informationellen Selbstbestimmung gestellt sind.
ii. Materiell-rechtliche Beweisschwierigkeiten von Persönlichkeitsschutzklagen
Im Zivilprozess haben die Parteien dem Gericht die Tatsachen, auf die sie ihre Begehren stützen, darzulegen und die Beweismittel anzugeben (Verhandlungsgrundsatz, Art. 55 Abs. 1 ZPO). In erster Linie trägt der klagende Arbeitnehmer die materiell-rechtliche Beweislast (Art. 8 ZGB). Da viele Algorithmen geheim sind, muss er zur Beweisführung das Auskunftsrecht (Art. 8 DSG, Art. 23 E-DSG, Art. 25 rev-DSG) nutzen. Ein Recht auf Übertragung der Daten in einem strukturierten, gängigen und maschinell lesbaren Format, wie es das EU-Recht kennt (Art. 20 DSGVO), gesteht ihm das schweizerische DSG nicht zu. Wird die Auskunft erteilt, bietet die technisierte Datenbearbeitung «oft unüberwindliche Hindernisse, um sich einen Überblick und Klarheit zu verschaffen».
Der Kläger muss eine Persönlichkeitsverletzung (Art. 12 DSG, Art. 26 E-DSG, Art. 30 rev-DSG) nachweisen. Eine Persönlichkeitsverletzung ist eine durch menschliches Verhalten herbeigeführte Störung fremder Persönlichkeitsgüter, bestehend aus der Missachtung von Rechten, welche die Persönlichkeit schützen. Es handelt sich um eine negative Zustandsänderung des Persönlichkeitsguts, welche durch einen Vergleich des entsprechenden Zustands vor und nach der Eingriffshandlung festgestellt wird. Der Begriff «Verletzung» kann sich sowohl auf die menschliche Handlung, die eine (schwerwiegende) Beeinträchtigung der Persönlichkeit einer anderen Person nach sich zieht, als auch auf den Erfolg als (negatives) Resultat der verletzenden Handlung beziehen. Der Nachweis einer Persönlichkeitsverletzung durch People Analytics ist schwierig, weil mit der Privatsphäre und der psychischen Integrität zwei Persönlichkeitsaspekte zur Diskussion stehen, die sich kaum in messbaren Grössen ausdrücken lassen: Während der Arbeitnehmer bei einer Beeinträchtigung der Privatsphäre mit einer Einschränkung oder Verkleinerung eines bestimmten Freiheits- und Entfaltungsraums argumentieren muss, geht es bei der psychischen Integrität um die Veränderung eines (seelischen) Zustandes. Die negativen Folgen von People Analytics sind oft immateriell und diffus.
Rechtserheblich ist nicht jede noch so leichte Veränderung des Persönlichkeitsguts. Der Rechtsschutz kommt erst bei einer erheblichen Beeinträchtigung der Persönlichkeit zum Tragen (vgl. Art. 49 Abs. 1 OR). People Analytics tangiert nicht immer elementare Lebensäusserungen. Bei einer Video- oder Telefonüberwachung, die das Erscheinungsbild und die Stimme erfasst, ist dies schon eher zu bejahen als bei der Überwachung von Internet- und E-Mail-Aktivitäten.
Scheitern wird auch die Berufung auf das verfassungsrechtliche Willkürverbot (vgl. Art. 9 i.V.m. Art. 35 Abs. 3 BV), etwa weil sich das algorithmische Analyseresultat unsorgfältig nur auf wenige Parameter stütze und andere ausser Acht lasse. Die Arbeitgeberin wählt den Algorithmus gerade deswegen aus, weil er einen wesentlichen statistischen Zusammenhang zwischen den Daten und der Leistung des Arbeitnehmers erkannt hat. Wäre es nicht der beste, würde sie einen anderen Algorithmus wählen.
Am Rande sei vermerkt, dass auch die Arbeitgeberin mit Beweisproblemen zu kämpfen haben kann, wenn sie das Datenschutzrecht verletzt. Rechtswidrig beschaffte Beweismittel sind grundsätzlich nicht verwertbar (vgl. Art. 152 Abs. 2 ZPO). Allerdings ist hierauf nicht näher einzugehen, weil die Durchsetzung des Datenschutzrechts auf dem Wege des Zivilprozesses aufgrund der vorstehend erwähnten Bedenken als nicht zielführend erscheint.
iii. Verfahrensrechtliche Hürden von Persönlichkeitsschutzklagen
Der Streitwert und damit das Interesse an der Klage werden gering sein, weil Einzelpersonen in der Regel nur einen Streuschaden erleiden und sich daher mit der Persönlichkeitsschutzklage nicht viel gewinnen lässt. Ist ein Schaden an den Daten selbst entstanden, so ist zu vergegenwärtigen, dass der Datensatz einer Person einen Wert von wenigen Rappen hat. Wenn auf weiteren Schadenersatz geklagt werden sollte, etwa wegen angefallener Kosten aus gesundheitlichen Beeinträchtigungen, sieht das Zivilprozessrecht keine mit den angloamerikanischen punitive damages vergleichbaren Schadenersatzhöhen vor. Eine streitige missbräuchliche Kündigung, die gestützt auf einen Vorschlag des Algorithmus ausgesprochen wird, ist gültig; der Entschädigungsanspruch ist auf sechs Monatslöhne beschränkt (Art. 336a OR). Sie zieht nicht die für rechtsmissbräuchliche Handlungen grundsätzlich vorgesehene Rechtsfolge der Ungültigkeit (Art. 2 Abs. 2 ZGB) nach sich. Klagen wegen einer Verletzung der Persönlichkeit müssen in der Regel auf eine Genugtuung lauten (vgl. Art. 49 Abs. 1 OR). Doch ist die Bezifferung des Streitwerts schwierig, weil es kaum möglich ist, abzuschätzen, welche weiteren Folgen sich aus einer Datenschutzverletzung ergeben können, etwa was passiert, wenn die Daten in die Hände unbekannter Dritter gelangen.
Die tiefen möglichen finanziellen Ersatzansprüche des Arbeitnehmers stehen in keinem vernünftigen Verhältnis zu den potenziellen Risiken. Hierzu gehören die Verfahrenskosten. Auch die lange Dauer der Verfahren zur Durchsetzung des Datenschutzrechts ist einzuberechnen. Im Arbeitsbereich kommt ferner das Risiko einer Kündigung des Arbeitsverhältnisses hinzu, wenn der Arbeitnehmer gegen seine Arbeitgeberin klagt.
Einem kollektiven Vorgehen der Arbeitnehmer in Form der einfachen Streitgenossenschaft (auch subjektive Klagenhäufung, Art. 71 ZPO) und der Nebenintervention (Art. 74 ZPO) steht im Weg, dass die Arbeitgeberin den Algorithmus periodisch ändern kann (und sollte), sobald sich eine neue Korrelation als zutreffender erweist als die alte. Wenn Angestellte zu verschiedenen Zeiten befördert werden, wird sich der Entscheid auf unterschiedliche Algorithmen stützen. Dadurch sind die geforderte Gleichartigkeit der Tatsachen (Art. 71 Abs. 1 ZPO) und das rechtliche Interesse des Nebenintervenienten (Art. 74 Abs. ZPO) infrage gestellt. Möglich wäre zudem eine objektive Klagenhäufung (Art. 90 ZPO). Hierfür müssten die Betroffenen vorgängig ihre Forderungen an eine Person oder einen Verband abtreten (Art. 164 OR). Doch dieses Vorgehen hat in der Praxis kaum Bedeutung erlangt. Auf die Möglichkeit einer Verbandsklage wird später eingegangen.
Angesichts der materiell- und verfahrensrechtlichen Klagehindernisse treten die Vorteile aus dem Umstand, dass sämtliche Bestimmungen des DSG über Art. 328b Satz 2 OR vertragliche Natur erlangen, in den Hintergrund. Diese Vorteile bestehen darin, dass der Arbeitnehmer von der Verschuldensvermutung (Art. 97 Abs. 1 OR), der Haftung für Hilfspersonen (Art. 101 OR), der längeren Verjährungsfrist (Art. 127 f. OR) und dem kostenlosen arbeitsrechtlichen Verfahren (Art. 113 Abs. 2 lit. d und Art. 114 lit. c ZPO) profitiert.
iv. Diskriminierungsklagen
Für diskriminierungsrechtliche Klagen stellen sich Probleme, die mit den geschilderten Problemen beim zivilrechtlichen Persönlichkeitsschutz vergleichbar sind, weil in der Schweiz ein Diskriminierungsschutz nur ansatzweise vorhanden ist und kaum abschreckende Sanktionen gegen diskriminierendes Verhalten vorgesehen sind. Klagen wegen Diskriminierung sind schwierig zu gewinnen und dementsprechend auch rar. Der Bundesrat hat am 25.05.2016 festgestellt, dass die geringe Zahl der Gerichtsfälle zu Diskriminierungsproblemen darauf hindeuten könne, dass die bestehenden Rechtsinstrumente für Betroffene entweder zu wenig bekannt oder zu kompliziert seien oder dass verfahrensrechtliche Hindernisse bestünden. Der Bundesrat lehnt jedoch die Einführung einer expliziten Diskriminierungsnorm im Privatrecht in Ergänzung zum geltenden Persönlichkeitsschutz (Art. 27 ZGB) ab.
Einem Beweisproblem sieht sich der Kläger ausgesetzt, wenn er geltend macht, dass die Annahmen des Algorithmus falsch seien. Beispielsweise könnte sich die Klage gegen die Funktion Talent Match von LinkedIn richten, welche der Arbeitgeberin gestützt auf deren eigenes Nutzerverhalten Stellenkandidaten vorschlägt. Um die Kandidatenauswahl als falsch zu widerlegen, müsste der Kläger Daten zu den nicht erkorenen Lebensläufen haben und den hypothetischen Beweis erbringen, dass er bzw. die Abgewiesenen mit ebenso hoher Wahrscheinlichkeit leistungsstarke Mitarbeiter geworden wären. Dies ist naturgemäss unmöglich. Dessen ungeachtet stuft der Bundesrat die Einführung einer generellen Beweislasterleichterung in Diskriminierungsfällen als nicht realistisch ein.
6.2.4 Zwischenfazit zu den Individualklagen
Zusammenfassend weisen sowohl die Konzeption des Persönlichkeitsschutzes als Abwehrrecht (privacy-as-secrecy) als auch der Persönlichkeitsschutz durch informationelle Selbstbestimmung (privacy-as-control) Defizite auf. Die Vorstellung des Gesetzgebers, der das DSG 1992 – in den Anfängen des WWW-Zeitalters – verabschiedet hat, dass die Betroffenen das Datenschutzrecht eigenständig durchsetzen würden, entspricht nicht der heutigen Realität. Die Durchsetzung des Datenschutzrechts auf dem Wege der Individualklage (Art. 15 DSG, Art. 28 E-DSG, Art. 32 rev-DSG) durch einzelne Arbeitnehmer ist im Umfeld von ubiquitären Datenerhebungen, interoperablen Systemen und steigender künstlicher Intelligenz realitätsfern (geworden). Sowohl materiell-rechtliche als auch verfahrensrechtliche Hürden schrecken den einzelnen Arbeitnehmer ab. Deshalb sind Persönlichkeitsschutzklagen nach Art. 15 DSG (bzw. Art. 28 E-DSG bzw. Art. 32 rev-DSG) «sehr selten». Zum Vergleich sei erwähnt, dass die Durchsetzung der individuellen Rechte selbst in den USA, wo das Verfahrensrecht die Individuen mehr als in Festlandeuropa zur Prozessführung befähigt, schwierig ist.
6.3 Datenschutzrechtliche Aufsicht
6.3.1 Abklärungen und Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten
Wegen der geringen Wirkungskraft der zivilrechtlichen Individualklagen ist nach anderen Möglichkeiten zur Durchsetzung des Datenschutzrechts zu suchen. Der EDÖB stellt neben der Individualklage den zweiten zentralen Wirkungsmechanismus des DSG im privatrechtlichen Bereich dar.
Das DSG vermittelt dem EDÖB die Kompetenz zu Abklärungen und Empfehlungen im Privatrechtsbereich (Art. 29 DSG). Der EDÖB interveniert im öffentlichen Interesse (vgl. Art. 5 Abs. 2 BV), wenn die Verteidigung einer Vielzahl von Personen angezeigt ist. Es handelt sich um eine öffentlich-rechtliche Bestimmung im DSG, das ansonsten in der systematischen Rechtssammlung des Bundes als Privatrecht klassifiziert ist (SR 235.1).
Von sich aus oder auf Meldung Dritter hin klärt der EDÖB den Sachverhalt näher ab, insbesondere wenn die Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler, Art. 29 Abs. 1 lit. a DSG). Bei einem Systemfehler geht es um konzeptionell falsch bzw. rechtswidrig angelegte Datenbearbeitungen, nicht um einmalige Datenschutzpannen. Die Kompetenz des EDÖB zur Sachverhaltsabklärung ist erforderlich, weil Einzelpersonen mit gerichtlichen Klagen jeweils nur ihre eigenen Daten verändern, nicht aber einen Systemfehler, der eine ganze Reihe anderer Personen tangiert, beheben können. Ein Systemfehler kann bei People Analytics auftreten, da es sich um Systeme der Überwachung und Kontrolle handelt. Eine Sachverhaltsabklärung ist zudem möglich, wenn Datensammlungen registriert werden müssen (Art. 29 Abs. 1 lit. b DSG) und wenn eine Informationspflicht betreffend die grenzüberschreitende Bekanntgabe von Daten besteht (Art. 29 Abs. 1 lit. c DSG). Der EDÖB kann bei einer Sachverhaltsabklärung die Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen (Art. 29 Abs. 2 Satz 1 DSG). Für die Sachverhaltsabklärungen hat der EDÖB keine Zwangsmittel.
Der EDÖB kann aufgrund seiner Abklärungen empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Die Empfehlungen des EDÖB enthalten konkrete Anweisungen zur Anpassung oder (teilweisen) Einstellung der Datenbearbeitung unter Ansetzung einer Frist zur Einhaltung der Empfehlung. Eine Empfehlung ist nicht bindend. Der EDÖB hat keine Kompetenz zum Erlass von Verfügungen. Somit kommt das Verwaltungsverfahrensrecht nicht (direkt) zur Anwendung. Die Empfehlungen des EDÖB werden grossmehrheitlich umgesetzt. Beispielsweise hat der EDÖB im Jahr 2006 der Aldi Suisse AG empfohlen, die Videoüberwachung zum Schutz des Verkaufspersonals anzupassen, worauf der Detailhändler datenschutzfreundliche Technologien (Privacy-Filter) eingeführt hat.
Bei Nichtbefolgung oder Ablehnung einer Empfehlung des EDÖB kann dieser die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 Satz 1 DSG). Ein Verbot oder eine vorgeschriebene Änderung des Bundesverwaltungsgerichts gilt typischerweise für alle von der Verantwortlichen bearbeiteten Daten. Dieser Umstand kann für die Datenbearbeiterin weitreichendere Konsequenzen haben als eine zivilprozessuale Klage, bei der lediglich die Daten des Klägers betroffen sind. Verbote des Bundesverwaltungsgerichts können zeitlich unbefristet, d.h. bis auf Weiteres, gelten. In persönlicher Dimension treffen die Verbote des Bundesverwaltungsgerichts nur die adressierte Datenbearbeiterin. Konkurrenten, die eine vergleichbare Datenbearbeitung praktizieren, können diese weiterführen und einen gewichtigen Wettbewerbsvorteil erlangen. Stellt der EDÖB im Rahmen einer Sachverhaltsabklärung in einem Unternehmen Mängel fest, verzichtet er häufig aus Ressourcengründen bei ähnlichen Bearbeitern auf stichprobenartige Kontrollen. Das Rechtsrisiko eines Verfahrens des EDÖB ist somit nicht gleichmässig auf die Unternehmen verteilt, sondern konzentriert sich bei den auf irgendeine Weise besonders exponierten Datenbearbeitern. Dies hat eine gewisse Rechtsungleichheit und -unsicherheit zur Folge. Manche Unternehmen beugen einem Verfahren des EDÖB dadurch vor, dass sie ihre geplante Datenbearbeitung dem EDÖB vorgängig konsultativ unterbreiten.
Prozessual gesehen handelt es sich vor dem Bundesverwaltungsgericht um ein verwaltungsrechtliches Verfahren. Das Verfahren stellt eine Art «Popularklage» des EDÖB gegen die betreffende Datenbearbeiterin dar, d.h. mit dem EDÖB als Kläger anstelle der (potenziell) betroffenen Personen und der Datenbearbeiterin als beklagter Partei. Der EDÖB ist berechtigt, gegen den Entscheid des Bundesverwaltungsgerichts Beschwerde zu führen (Art. 29 Abs. 4 Satz 2 DSG).
Insgesamt ist die Sensibilisierungs- und Schutzwirkung, die vom EDÖB ausgeht, zwar stärker als diejenige der einklagbaren Individualrechte. Jedoch erscheinen die Möglichkeiten des EDÖB zur Intervention bei People Analytics begrenzt. Das DSG verwehrt dem EDÖB jede Kompetenz zum Erlass von Zwangsmassnahmen, Verfügungen und Verwaltungssanktionen. Verfahren nach Art. 29 DSG sind vergleichsweise selten. Dies ist auf die beschränkten Ressourcen des EDÖB zurückzuführen. Den künftig erweiterten Kompetenzen des EDÖB gemäss rev-DSG widmet sich diese Arbeit zu einem späteren Zeitpunkt.
6.3.2 Aufsichtskompetenzen nach der Datenschutz-Grundverordnung
Fällt ein People Analytics-Sachverhalt in den Anwendungsbereich der DSGVO, muss die Arbeitgeberin mit Interventionen der zuständigen ausländischen Aufsichtsbehörde rechnen, welche griffiger als diejenigen des EDÖB sind. Zunächst verfügen die Aufsichtsbehörden ähnlich wie der EDÖB über Untersuchungsbefugnisse (Art. 58 Abs. 1 DSGVO) zur Wahrnehmung ihrer Aufgaben (Art. 57 DSGVO). Die Untersuchungsbefugnisse umfassen sowohl Anweisungen zur Bereitstellung von Informationen als auch Datenschutzüberprüfungen, Überprüfungen von Zertifizierungen, Hinweise auf Verstösse gegen die DSGVO sowie den Zugang zu allen personenbezogenen Daten und zu den Geschäftsräumen des Verantwortlichen und des Auftragsbearbeiters (Art. 58 Abs. 1 lit. a–f DSGVO).
Die Aufsichtsbehörden haben aber auch eine Kompetenz zum Erlass von Verfügungen zur Durchsetzung ihrer Aufgaben (Art. 58 Abs. 2 DSGVO). Die sog. Abhilfebefugnisse umfassen Warnungen vor beabsichtigten Bearbeitungsvorgängen, Verwarnungen bei Verstössen gegen die DSGVO und Anweisungen. Sodann bestehen die Befugnisse in der vorübergehenden oder endgültigen Beschränkung der Bearbeitung einschliesslich eines Verbots, in der Anordnung der Berichtigung oder Löschung von personenbezogenen Daten und im Widerruf einer Zertifizierung. Die Aufsichtsbehörde kann schliesslich Geldbussen verhängen und die Aussetzung der Übermittlung von Daten anordnen (Art. 58 Abs. 2 lit. a–j DSGVO).
Schliesslich können die Aufsichtsbehörden im EU-Raum ein rechtswidriges Verhalten mit Geldbussen sanktionieren. Diese werden bei Verstössen gegen die DSGVO und bei Nichtbefolgung einer Anweisung der zuständigen Aufsichtsbehörde je nach den Umständen des Einzelfalls zusätzlich oder anstelle von Massnahmen verhängt (Art. 83 Abs. 2 Satz 1 DSGVO). Die Geldbussen betragen bis zu EUR 20 Mio. oder im Fall eines Unternehmens bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5–6 DSGVO). Von der Bussenkompetenz wurde bereits intensiv Gebrauch gemacht. Zudem sind andere Sanktionen für DSGVO-Verstösse, insbesondere solche, die keiner Geldbusse (Art. 83 DSGVO) unterliegen, möglich (Art. 84 DSGVO).
6.4 Arbeitsgesetzliche Aufsicht
Die Vollzugsbehörden des ArG können von der Arbeitgeberin Einsicht in sämtliche Unterlagen und Daten der betriebenen Überwachungs- und Kontrollsysteme verlangen. Das Einsichtsrecht der Aufsichtsbehörde geht weiter als das Auskunftsrecht von Individuen (nach Art. 8 DSG, Art. 23 E-DSG bzw. Art. 25 rev-DSG): Die Arbeitgeberin und ihre Arbeitnehmer sowie Personen, die im Auftrag der Arbeitgeberin Aufgaben nach dem ArG wahrnehmen, haben den Vollzugs- und Aufsichtsbehörden alle Auskünfte zu erteilen, die diese zur Erfüllung ihrer Aufgaben benötigen (Art. 45 Abs. 1 ArG). Darüber hinaus hat die Arbeitgeberin den Vollzugs- und Aufsichtsorganen den Zutritt zum Betrieb, die Vornahme von Feststellungen und die Entnahme von Proben zu gestatten (Art. 45 Abs. 2 ArG). Die Arbeitgeberin hat die Verzeichnisse oder andere Unterlagen, aus denen die für den Vollzug des ArG und seiner Verordnungen erforderlichen Angaben ersichtlich sind, den Vollzugs- und Aufsichtsorganen zur Verfügung zu halten, wobei die Bestimmungen des DSG gelten (Art. 46 ArG; insbesondere die Mitwirkungspflicht, vgl. Art. 34 DSG, Art. 54 E-DSG, Art. 60 rev-DSG).
In einem weiteren Schritt können die Vollzugsbehörden die Arbeitgeberin darauf aufmerksam machen, dass eine People Analytics-Anwendung gegen das ArG verstösst, und sie können eine Reduktion auf ein zulässiges Mass (z.B. Anonymisierung der Daten) verlangen (Art. 51 Abs. 1 ArG). Leistet die Arbeitgeberin dem Verlangen keine Folge, erlässt die kantonale Vollzugsbehörde eine entsprechende Verfügung, unter Androhung einer Busse im Widerhandlungsfall (Art. 51 Abs. 2 ArG i.V.m. Art. 292 StGB). Missachtet die Arbeitgeberin die Verfügung, ergreift die kantonale Behörde als äusserstes Mittel die zur Herbeiführung des rechtmässigen Zustands erforderlichen Massnahmen des Verwaltungszwangs, bis zur vorübergehenden Betriebsschliessung (Art. 52 ArG). Bei People Analytics fällt die Beschlagnahmung einer Überwachungsanlage als Massnahme zur direkten Vollstreckung in Betracht.
Für den Vollzug des ArG sind grundsätzlich die kantonalen Arbeitsinspektorate zuständig (vgl. Art. 41 ArG) und für die Oberaufsicht über den Vollzug hauptsächlich das SECO (Art. 42 Abs. 3 ArG). Das Verfahren wird auf Anzeige hin eingeleitet (vgl. Art. 54 ArG) und ist öffentlich-rechtlich. Der Arbeitnehmer hat gegenüber den Vollzugsorganen des ArG einen Anspruch auf Durchsetzung der notwendigen Gesundheitsschutz-Massnahmen (vgl. Art. 54 ArG). Vor allem in kleineren Betrieben, in denen die Arbeitnehmer nicht organisiert sind und der Einzelne mit einer Klage gegen die Arbeitgeberin sein faktisches Interesse an einer Weiterbeschäftigung gefährden würde, kann eine Anzeige ein passendes Mittel zur Durchsetzung der arbeitsrechtlichen Schutzvorschriften sein.
Die Mittel der ArG-Vollzugsbehörden sind insgesamt besonders aufgrund der Kompetenz zum Erlass von Verfügungen und zur Anwendung von Verwaltungszwang stärker als diejenigen des EDÖB im Bereich Datenschutz. Nach der besprochenen bundesgerichtlichen Rechtsprechungsänderung zu den Systemen der Verhaltensüberwachung (Art. 26 ArGV 3) werden die Arbeitsinspektorate hingegen erst sanktionierend einschreiten, wenn es effektiv zu einer Gesundheitsbeeinträchtigung kommt. Dies stellt eine relativ hohe Schwelle dar, sodass Datensicherheitsverletzungen und geringere Datenschutzverletzungen arbeitsschutzrechtlich in den meisten Fällen folgenlos bleiben werden.
6.5 Strafverfolgung
Die Strafverfolgungsbehörden können einschreiten bei einer Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten durch private Personen (Art. 34 DSG, vgl. Art. 54 E-DSG, Art. 60 rev-DSG) sowie bei einer Verletzung der beruflichen Schweigepflichten (Art. 35 DSG, Art. 56 E-DSG, Art. 62 rev-DSG). Hierbei handelt es sich um Sonderdelikte, sodass die Unternehmensvertreter (insbesondere die vorgesetzte Führungsperson und die Organe) bestraft werden können (vgl. Art. 29 StGB). Die Delikte sind grundsätzlich nur auf Antrag der verletzten Person (d.h. des Arbeitnehmers) strafbar (vgl. Art. 34 Abs. 1 und Art. 35 Abs. 1 DSG; Art. 54 Abs. 1 und Art. 56 Abs. 1 E-DSG; Art. 60 Abs. 1 und Art. 62 Abs. 1 rev-DSG; Art. 30 StGB). Jedoch kann der EDÖB bei unterlassenen Meldungen an ihn, bei falschen Auskünften und bei einer Mitwirkungsverweigerung (Art. 34 Abs. 2 DSG, Art. 54 Abs. 2 E-DSG, Art. 60 Abs. 2 rev-DSG) Strafanzeige (Art. 301 Abs. 1 StPO) erstatten; diese Straftaten sind keine Antragsdelikte.
Der EDÖB kann die Strafverfolgungsbehörden zudem einschalten, indem er ein Rechtsbegehren um Androhung einer Ungehorsamsstrafe (Busse nach Art. 292 StGB) stellt. Dieses Begehren kann er vor Bundesverwaltungsgericht anbringen für den Fall, dass seine Empfehlung nicht befolgt werden sollte (vgl. Art. 29 Abs. 4 DSG).
Bei sämtlichen Delikten handelt es sich um Übertretungen (vgl. Art. 103 ff. StGB). Eine Strafbarkeit des Unternehmens fällt daher ausser Betracht (Art. 102 Abs. 1 Satz 1 i.V.m. Art. 10 StGB e contrario). Die höchstmögliche strafrechtliche Sanktion für Widerhandlungen gegen das DSG ist eine Busse von CHF 10’000 (Art. 106 Abs. 1, Art. 333 Abs. 1 StGB).
Ferner sind Strafverfahren bei Zuwiderhandlungen gegen die Vorschriften über den Gesundheitsschutz (vgl. Art. 59 Abs. 1 lit. a ArG) und über genetische Untersuchungen möglich (Art. 36 ff. GUMG). Hierbei handelt es sich im Gegensatz zur Mehrheit der DSG-Tatbestände um Offizialdelikte. Insgesamt aber spielen strafrechtliche Sanktionen im Schweizer Datenschutzrecht in der Praxis keine wesentliche Rolle. Dies kann zur Folge haben, dass dem Datenschutz im unternehmensinternen Verteilkampf der Ressourcen im Vergleich zu anderen Themen wie etwa der Korruptionsbekämpfung oder dem Kartellrecht kein besonders hohes Gewicht beikommt.
6.6 Mitwirkungsrechtliche Behelfe
6.6.1 Grosses Potenzial für die Durchsetzung des Datenschutzrechts
Die betriebsverfassungsrechtlichen Instrumente, die das MitwG vorsieht, können eine zentrale Rolle für die Rechtsdurchsetzung einnehmen, weil hier das rechts konforme Verhalten durch das Kollektiv eingefordert wird, wobei einzelne Arbeitnehmer anonym bleiben können. Demgegenüber ist das persönliche Einfordern durch die Arbeitnehmer, die im Berufsleben Datenschutzverstösse ihrer Arbeitgeberin erkennen, problematisch: Selbst wenn ihnen im gerichtlichen oder aufsichtsrechtlichen Verfahren Erfolg beschieden sein sollte, kann die Arbeitgeberin in der Praxis anschliessend das Arbeitsverhältnis unter anderen Vorwänden kündigen. Aufgrund solcher Probleme sollte gemäss Direktauskunft des SECO an den Autor der vorliegenden Arbeit die Gesundheitsvorsorge am Arbeitsplatz, wozu die Überwachung zählt (vgl. Art. 26 ArGV 3), primär über kollektive Wege erfolgen. Zu individuellen Ansätzen sollte nur dann gegriffen werden, wenn die gemeinschaftlichen untauglich sind.
Die Mitsprache bei People Analytics muss nicht zwingend betriebsverfassungsrechtlich durch den Gesetzgeber auf dem Wege des MitwG initiiert werden. Alternativ könnten kollektivrechtliche Instrumente gewählt werden (z.B. Interaktion der Sozialpartnerschaft, Abschluss von Betriebsvereinbarungen, Tarifverträgen und Gesamtarbeitsverträgen, vgl. Art. 2 MitwG i.V.m. Art. 356 ff. OR). Die Möglichkeit zum sozialpartnerschaftlichen Austausch basierend auf dem Grundsatz der Vertragsfreiheit führt in der Schweiz zu einem im internationalen Vergleich flexiblen Arbeitsrecht, das eine schnelle Anpassung an strukturelle Veränderungen sowie an die Bedürfnisse der Wirtschaft erlaubt. Vorteile einer kollektivrechtlichen Regelung wären die Rücksichtnahme auf Branchenverhältnisse und eine im Verhältnis zum schwerfälligen Gesetzgebungsprozess agile Anpassung an die sich schnell ändernden Technologien. Jedoch zeigte eine Untersuchung von 15 Gesamtarbeitsverträgen, dass von dieser Gelegenheit zur Präzisierung und Einschränkung wenig Gebrauch gemacht wird: Die Bestimmungen zur Arbeitssicherheit und zum Gesundheitsschutz (vgl. Art. 26 ArGV 3) verweisen lediglich auf die rechtlichen Grundlagen. Daher werden im Folgenden primär die Instrumente des betriebsverfassungsrechtlichen Mitwirkungsrechts analysiert. Wenn aber später künftige Verbesserungsmöglichkeiten des Mitwirkungsrechts thematisiert werden, so ist im Kopf zu behalten, dass nicht nur der Gesetzgeber, sondern auch die Sozialpartner diese Reformen herbeiführen könnten.
6.6.2 Öffentlich-rechtliches Anzeigeverfahren
Für die Durchsetzung des MitwG stehen die zwei Wege über eine öffentlich-rechtliche Anzeige oder eine privatrechtliche Klage frei. Die öffentlich-rechtliche Anzeige wegen eines Verstosses gegen das Mitspracherecht geht an die zuständige Vollzugsstelle des ArG (vgl. Art. 54 Abs. 1 lit. a i.V.m. Art. 48 ArG). Auch die Verletzung des Informationsrechts ist ein tauglicher Anzeigegrund. Anzeigeberechtigt ist jedermann. Weder eine Rechtsmittellegitimation noch eine Prozess- oder Rechtsfähigkeit sind für eine Anzeige vorausgesetzt. Somit können die Arbeitnehmer, ihre Vertretungen, aber auch Dritte eine Anzeige erstatten.
Für Verstösse gegen das MitwG sind keine Sanktionen (z.B. Bussen) vorgesehen. Das Fehlen der Sanktion stellt eine vom Gesetzgeber beabsichtigte Gesetzeslücke dar. Das MitwG wird deshalb als zahnloser «Papiertiger» verspottet.
6.6.3 Privatrechtliche Klage
a) Zuständigkeit und Verfahren
Alternativ zur Anzeige besteht die Möglichkeit einer privatrechtlichen Klage (Art. 15 MitwG). Zuständig sind die für Streitigkeiten aus dem Arbeitsverhältnis kompetenten Instanzen (arbeitsrechtliche Schlichtungsbehörde, vgl. Art. 197, Art. 34 ZPO); vorbehalten bleiben vertragliche Schlichtungs- und Schiedsstellen (Art. 15 Abs. 1 MitwG).
Weder im Schlichtungs- (Art. 113 Abs. 2 lit. e ZPO i.V.m. Art. 15 Abs. 1 MitwG) noch im Entscheidverfahren (Art. 114 lit. d ZPO i.V.m. Art. 15 Abs. 1 MitwG) werden Gerichtskosten gesprochen. Es gilt ohne Rücksicht auf den Streitwert das vereinfachte Verfahren (Art. 243 Abs. 2 lit. e ZPO). Oft bestehen Beweisschwierigkeiten. Urkunden über Leistungen nach dem MitwG sind nicht direkt vollstreckbar (Art. 348 lit. c ZPO).
b) Aktivlegitimation
Klageberechtigt sind zunächst die beteiligten Arbeitnehmer (ebenso die Arbeitgeberin: Art. 15 Abs. 2 Satz 1 MitwG). Ihnen steht ein direkter Anspruch auf die Informations- und Mitspracherechte zu, wenn keine Arbeitnehmervertretung bestellt worden ist (Art. 4 MitwG). Der Anspruch steht den Arbeitnehmern gesamthänderisch zu, da die Mitwirkungsrechte nicht individualisiert sind und der Belegschaft als nicht rechtsfähigem Verband keine Parteifähigkeit zukommt. Die Arbeitnehmenden bilden somit eine notwendige Streitgenossenschaft, was bedeutet, dass sämtliche Arbeitnehmende gemeinsam klagen müssen (vgl. Art. 70 Abs. 1 ZPO). Für grosse Belegschaften wird damit eine Klageerhebung illusorisch. Zur Klage legitimiert sind auch die Verbände der Arbeitnehmer und der Arbeitgeber (Art. 15 Abs. 2 MitwG).
Ob ein (nicht positiviertes) Klagerecht der Arbeitnehmervertretung besteht, sofern eine solche bestellt ist (vgl. Art. 3 MitwG), ist umstritten. Die Arbeitnehmervertretung wird nicht namentlich als klageberechtigte Partei aufgeführt (vgl. Art. 15 Abs. 2 MitwG). Doch suggeriert das Gesetz, dass die Mitwirkungsrechte der Arbeitnehmervertretung zustehen, sofern eine bestellt ist, und nicht direkt den Arbeitnehmern (Art. 4 e contrario; vgl. Art. 9–10 MitwG). Die Arbeitnehmervertretung ist verpflichtet, aktiv mitzuwirken (vgl. Art. 8 MitwG), während in Betrieben ohne Arbeitnehmervertretung die einzelnen Arbeitnehmer frei wählen, ob sie die Mitwirkungsrechte wahrnehmen oder darauf verzichten. Ob ein Klagerecht der Arbeitnehmervertretung zu befürworten ist, hängt davon ab, wie die Rechtsnatur der Arbeitnehmervertretung eingeschätzt wird. Richtigerweise ist mit WILDHABER und PORTMANN eine praktikable Lösung im Hinblick auf eine effiziente Mitwirkung der Arbeitnehmerschaft zu fordern. Der Arbeitnehmervertretung ist daher die Partei- und Prozessfähigkeit oder gar partielle Rechtsfähigkeit zuzugestehen, d.h., sie sollte im eigenen Namen oder im Namen der Belegschaft handeln können, nicht nur im Namen der einzelnen Arbeitnehmer. Solange ein höchstrichterlicher Entscheid betreffend das Klagerecht der Arbeitnehmervertretung fehlt, empfiehlt es sich, im Falle eines Streits mittels Prozessabrede unter den Parteien den Auftritt der Arbeitnehmervertretung als Prozesspartei zu vereinbaren.
Eine Arbeitnehmervertretung existiert jedoch nicht überall: Nur in Betrieben mit mindestens 50 Arbeitnehmern besteht ein Anspruch auf Vertretung (Art. 3 MitwG). People Analytics findet vorwiegend in grossen Betrieben Anwendung, sodass ein Anspruch auf Vertretung in der Regel besteht. Arbeitnehmervertretungen können auch für einzelne Betriebsbereiche (vgl. Art. 4 MitwG) oder Standorte bestellt werden. Dies kann sinnvoll sein, wenn die Arbeitgeberin ein People Analytics-Pilotprojekt nur in einem Betriebsbereich lanciert.
Schwierigkeiten können bei der erstmaligen Bestellung der Arbeitnehmervertretung (Art. 5 MitwG) auftreten. Denn es braucht von den Betroffenen Freiwilligenarbeit und gehörigen Mut, sich zu exponieren, um die Unterschriften von einem Fünftel der Arbeitnehmer oder von 100 Beschäftigten (vgl. Art. 5 Abs. 1 MitwG) zu sammeln. Solange die Arbeitnehmervertretung nicht bestellt ist, geniessen die Arbeitnehmer den Schutz hinsichtlich der Ausübung des Mitwirkungsrechts (vgl. Art. 12 MitwG) noch nicht. Bei relativ schwachem Kündigungsschutz bleiben auch missbräuchliche Kündigungen (vgl. Art. 336 Abs. 2 lit. b OR) wirksam, wobei sie eine Entschädigungspflicht auslösen.
c) Rechtsbegehren
Die Klage der Arbeitnehmer wird in der Regel eine Leistungsklage sein (vgl. Art. 84 ZPO). Das Rechtsbegehren kann lauten, dass die geschuldete Information geliefert und die versäumte Anhörung nachgeholt werden.
Für die Arbeitnehmerverbände geht der Anspruch hingegen nur auf Feststellung (Art. 15 Abs. 2 Satz 2 MitwG). Die Feststellung der Verletzung der Mitwirkungsrechte kann für eine vertragliche oder ausservertragliche Haftung der Arbeitgeberin Relevanz erlangen, sofern das Unterbleiben der Mitwirkung für eine Gesundheitsschädigung kausal war. Ein Anspruch auf Veröffentlichung eines Urteils könnte ein Unternehmen empfindlich treffen, ist aber nicht gesetzlich vorgesehen. Insgesamt spielen die Verbände eine subsidiäre Rolle bei der Durchsetzung der Mitwirkungsordnung.
6.6.4 NFP75-Daten zur Mitwirkung
Wie die empirischen Daten des NFP75-Projekts suggerieren, wird das Potenzial des Mitwirkungsrechts für die Rechtsdurchsetzung nicht ausgeschöpft. Die Belegschaft wird nicht einmal in jedem zehnten Unternehmen vor dem Entscheid über die Beschaffung eines Analysetools konsultiert (Arbeitnehmervertretung, Einkauf und Fachstellen auf Konzernstufe zusammen 9 Prozent). Stattdessen sind am Entscheid über den Kauf von Analyse-Produkten in erster Linie die Personalabteilung (in 90 Prozent aller Fälle), die Unternehmensführung (81 Prozent) und die IT (64 Prozent) beteiligt. Des Weiteren werden die Rechtsabteilung (44 Prozent) sowie die Compliance- (36 Prozent), Finanz- (27 Prozent) und Ethik-Verantwortlichen beigezogen (11 Prozent). Bei der darauffolgenden Gestaltung und Anwendung des Analysetools wird die Meinung von Gewerkschaften (nur) in rund jedem zehnten Fall (11 Prozent) abgeholt. Das grosse Potenzial, das dem MitwG innewohnt, wird insgesamt unzulänglich ausgeschöpft.
6.7 Gesellschaftsrechtliche Haftung der exekutiven Organe
Die Mitglieder des Verwaltungsrats und alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind sowohl der Gesellschaft als auch den einzelnen Aktionären und Gesellschaftsgläubigern gegenüber für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen (Art. 754 Abs. 1 OR). Eine Haftung des Verwaltungsrats setzt eine Pflichtverletzung, einen kausal resultierenden Schaden und ein Verschulden voraus.
Unübertragbare und unentziehbare Pflicht des Verwaltungsrats ist die Oberaufsicht über die mit der Geschäftsführung betrauten Personen, namentlich im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen (Art. 716a Abs. 1 Ziff. 5 OR). Hierzu gehört die Einhaltung der rechtlichen Bestimmungen beim Einsatz von People Analytics. Diese Aufgabe müssen die Mitglieder des Verwaltungsrats sowie Dritte, die mit der Geschäftsführung befasst sind, mit aller Sorgfalt erfüllen und die Interessen der Gesellschaft in guten Treuen wahren (Art. 717 Abs. 1 OR). Nur drei von zehn Führungskräften (30 Prozent) sind aber zuversichtlich, dass ihr Unternehmen mit Arbeitnehmerdaten verantwortungsvoll umgeht. Nicht einmal jedes fünfte Unternehmen weltweit (weniger als 20 Prozent) betraut ein Verwaltungsrats- oder Geschäftsführungsmitglied mit der Aufgabe der verantwortungsbewussten und ethisch vertretbaren Verwendung von arbeitsplatzbezogenen Daten und Technologien. Der Verwaltungsrat ist in der Regel nicht nahe genug an den komplexen Datenbearbeitungsprozessen, um diese lückenlos erklären zu können.
Zur Pflicht des Verwaltungsrats gehört ferner das Management der Rechtsrisiken, die aus People Analytics fliessen. Dies ergibt sich sowohl aus der Pflicht zur Oberleitung der Gesellschaft (Art. 716a Abs. 1 Ziff. 1 OR) als auch aus der Pflicht zur Erstellung des Geschäftsberichts (Art. 716a Abs. 1 Ziff. 6 OR), der bei grösseren Unternehmen, die von Gesetzes wegen zu einer ordentlichen Revision verpflichtet sind (vgl. Art. 727 Abs. 1 Ziff. 1–3 OR), einen Lagebericht (Art. 961 Ziff. 3 i.V.m. Art. 958 Abs. 2 Satz 3 OR) mit Angaben über die Durchführung einer Risikobeurteilung enthält (Art. 961c Abs. 2 Ziff. 2 OR). Die Pflicht zum Rechtsrisiko-Management ergibt sich ferner aus der Organisationspflicht (Art. 716a Abs. 1 Ziff. 2 OR). Somit kann der Verwaltungsrat das Management von Rechtsrisiken nicht an eine Stabsstelle, Compliance Officers oder Anwälte delegieren (vgl. Art. 716b OR).
Insgesamt besteht ein reales Risiko einer Haftung der exekutiven Organe der Gesellschaft, vorausgesetzt, dass auch ein entsprechender Schaden, ein Kausalzusammenhang und ein Verschulden nachgewiesen werden können.
6.8 Arbeitsverweigerung, Streik und Kündigung
Kann die Arbeit infolge Verschuldens der Arbeitgeberin nicht geleistet werden oder kommt diese aus anderen Gründen mit der Annahme der Arbeitsleistung in Verzug, so bleibt sie zur Entrichtung des Lohns verpflichtet, ohne dass der Arbeitnehmer zur Nachleistung verpflichtet ist (Art. 324 Abs. 1 OR). Von einem Annahmeverzug und Recht auf Verweigerung der individuellen Arbeitsleistung ist auszugehen, wenn sich die Arbeitgeberin weigert, Massnahmen zum Schutz von Leben und Gesundheit zu treffen und beispielsweise ein unverhältnismässiges Überwachungs- und Kontrollsystem nicht demontiert (Art. 26 Abs. 1 ArGV 3). Grundsätzlich gefährdet erst eine länger andauernde Überwachung die psychische Gesundheit des Arbeitnehmers. Daher darf dieser die Arbeit nicht sofort verweigern, sondern muss alles in seinen Möglichkeiten Stehende unternehmen, um die Situation zu verbessern (z.B. Vorwarnung der Arbeitgeberin, Verlangen von Abhilfe).
Streik und Aussperrung sind zulässig, wenn sie Arbeitsbeziehungen betreffen und wenn keine Verpflichtungen entgegenstehen, den Arbeitsfrieden zu wahren oder Schlichtungsverhandlungen zu führen (Art. 28 Abs. 3 BV). Das verfassungsmässige kollektive Streikrecht entfaltet direkte Horizontalwirkung und ist somit in privatrechtlichen Arbeitsverhältnissen anwendbar. In der Schweiz kommen Streiks zwar selten vor. Aber in den Amazon-Warenlagern in Deutschland und Spanien, in denen Mitarbeiter überwacht werden, gehören sie zur Realität. Bereits 1911 streikten Arbeitnehmer in einer Giesserei bei Boston gegen die früher verbreitete Praxis des «Taylorismus», bei der ein Aufseher mit einer Stoppuhr die Arbeitnehmer bei den Arbeitsvorgängen begleitete.
Zu bedenken ist das Risiko einer Kündigung durch den Arbeitnehmer, falls People Analytics das Vertrauensverhältnis am Arbeitsplatz zerstören sollte. Der Arbeitnehmer kann unter Einhaltung der Kündigungsfrist (Art. 335b–335c OR) und des zeitlichen Kündigungsschutzes (Art. 336d Abs. 1 OR) ordentlich kündigen (Art. 335 OR). Aus wichtigen Gründen kann der Arbeitnehmer jederzeit das Arbeitsverhältnis fristlos kündigen; als wichtiger Grund gilt namentlich jeder Umstand, bei dessen Vorhandensein dem Kündigenden nach Treu und Glauben die Fortsetzung des Arbeitsverhältnisses nicht mehr zugemutet werden darf (Art. 337 Abs. 1–2 OR).
6.9 Zwischenfazit: mühevolle Rechtsdurchsetzung
Das Datenschutzrecht wird in der Praxis nicht konsequent durchgesetzt. Für die Rechtsdurchsetzung ex post sind hauptsächlich die Betroffenen persönlich verantwortlich. Jedoch stehen einer Individualklage zahlreiche materiell- und verfahrensrechtliche Hürden im Wege.
Die Hoffnung, der aufwendigen Individualrechtsdurchsetzung mit der Mobilisierung von Gruppeninteressen zu begegnen, zerschlägt sich mehrfach: Der EDÖB kann unverbindliche Empfehlungen, aber keine Verfügungen erlassen, geschweige denn Verwaltungssanktionen, wie z.B. Bussen, aussprechen. Die Arbeitsinspektorate schreiten grundsätzlich erst ein, wenn People Analytics gesundheitsschädliche Auswirkungen zeitigt. Strafverfolgungen wegen People Analytics spielen eine untergeordnete Rolle. Eine mitwirkungsrechtliche Anzeige zieht keine Sanktionen nach sich und eine Klage scheitert in der Regel an prozessrechtlichen Barrieren. Ein solches Verfahren ist auch nicht attraktiv, weil materiell-rechtlich kein Mitentscheidungsrecht in Aussicht steht. Gegebenenfalls wirkt das Risiko einer gesellschaftsrechtlichen Haftung regulierend. Arbeitsverweigerung, Streik und Kündigung verkörpern nur Notlösungen, die wenn immer möglich zu verhindern sind.
Ein gegensätzlicher Befund ergibt sich bei Sachverhalten, die in den Anwendungs-bereich der DSGVO fallen. Die Aufsichtsbehörden der EU-Mitgliedstaaten können Verfügungen erlassen und Bussen bis zu EUR 20 Mio. oder vier Prozent des weltweiten Jahresumsatzes verhängen. Diese wirken abschreckend, sodass das Risiko von Persönlichkeitsverletzungen sinkt. Auf die Annäherung des schweizerischen Rechts an den europäischen Standard im Rahmen der Totalrevision des DSG ist zu einem späteren Zeitpunkt noch zurückzukommen.
Die im schweizerischen Recht gegenwärtig gehemmte Rechtsdurchsetzung bedeutet für die Arbeitgeberin, dass sie geringe Rechtsrisiken bei einem Verstoss gegen die Bestimmungen des DSG und des Diskriminierungsschutzrechts zu befürchten hat. Das Recht lässt somit die durch den technischen Fortschritt angestossene Machtverschiebung im Arbeitsverhältnis tatenlos zu, ohne die Opposition mit wirksamen Kontrollrechten auszustatten. Dies ist, gepaart mit dem fehlenden Fachwissen auf Seiten der Arbeitgeberin, eine gefährliche Mischung, weil das DSG zum toten Buchstaben zu verkümmern droht. Die Glaubwürdigkeit des gesamten Datenschutz-Rechtssystems ist infrage gestellt. Im folgenden Kapitel ist daher ein Konzept zu entwerfen, das dem Datenschutz Leben einhauchen und Systemstabilität verleihen wird.
7 Neuausrichtung des Datenschutzrechts
7.1 Rekapitulation der gegenwärtigen Probleme
In diesem Kapitel soll aufgezeigt werden, dass das gegenwärtige Datenschutzrecht der Schweiz einer Erneuerung bedarf und wie dieselbe umgesetzt werden könnte. Somit wird die Forschungsfrage beantwortet, die lautet: Wie könnte eine künftige Neuausrichtung des privatrechtlichen Datenschutzrechts aussehen, bei welcher die Rechtsdurchsetzung ex ante und ex post im Zusammenhang mit People Analytics besser gewährleistet wäre als heute?
Wer aber mit dem Vorschlag einer Neuausrichtung gegen den Strom schwimmen will, muss Atem holen. Deshalb sind die früheren Gedankengänge noch einmal vorzuspielen: In Kapitel 2 wurde festgestellt, dass People Analytics ein neues Phänomen ist, das die arbeitsvertragliche Beziehung beeinflusst. Rechtsrelevant ist dies, weil es zu einer Machtverschiebung im Arbeitsverhältnis und dadurch zu möglichen Einschränkungen der Persönlichkeits-, der Diskriminierungsschutz- und der Mitwirkungsrechte der Arbeitnehmer kommt. Die korrekte Anwendung der datenschutzrechtlichen Bearbeitungsregeln und Rechtfertigungsgründe ex ante setzt ein hohes Reflexionsniveau der Arbeitgeberin voraus, das jedochnicht immer erreicht wird. Gleichzeitig stattet das auf People Analytics anwendbare Recht die Gegenseite der Arbeitgeberin weder auf Individual- noch auf Gruppenebene mit hilfreichen Kontrollmechanismen aus, um das Datenschutzrecht ex post durchzusetzen.
Im gegenwärtigen datenschutzrechtlichen Persönlichkeitsschutz, der als Abwehrrecht und Recht zur informationellen Selbstbestimmung aufgebaut ist, sind zudem hauptsächlich die betroffenen Individuen zur Durchsetzung der Rechte an den sie betreffenden Daten verantwortlich. Die einzelnen Arbeitnehmer sind jedoch mit dieser Aufgabe überfordert, weil sie in einer Zeit ubiquitärer Datenbearbeitungen nicht über genügende individuelle Kontrollressourcen verfügen. Der Mangel an Fachkompetenz bei gleichzeitig ausbleibenden Kontrollen führt zu einer Instabilität des gesamten Datenschutz-Rechtssystems. Zusammenfassend sollte mit dem gegenwärtigen System nicht fortgefahren werden. Es braucht eine neue Konzeption des datenschutzrechtlichen Persönlichkeitsschutzes.
7.2 Neuausrichtung auf das Teilen von Information und die Stärkung des Vertrauens in das Datenschutzrecht
7.2.1 Überblick
Um die beschriebenen Probleme des gegenwärtigen Datenschutzrechts zu überwinden, wird in der Literatur geltend gemacht, dass sich das Datenschutzrecht vermehrt darauf konzentrieren solle, das Teilen von Information zu fördern (dazu sogleich). Gleichzeitig bestehen Vorschläge, das Vertrauen in das Datenschutzrecht zu stärken. Diese beiden Ideenstränge gehören nach der vorliegend vertretenen Auffassung zusammen. Sie allein können jedoch nicht zur wirksamen Reformierung des Datenschutzrechts genügen, wie in der anschliessenden Kritik aufzuzeigen ist.
7.2.2 Förderung des Teilens von Information
- Bedeutung des Teilens für die Informationsgesellschaft
Mit dem Aufkommen eines wirtschaftlichen, soziokulturellen und rechtlichen Gesellschaftssystems auf dem Boden von Datenbearbeitungen und Austausch von Wissen wird das Teilen von Daten mindestens so bedeutsam wie deren Schutz: «We are a society of sharers.» Freiheit ist nicht nur die Freiheit von anderen,sondern entsteht auch durch andere Der Gedanke der Selbstentfaltung in der Gemeinschaft reicht historisch weit zurück. Bereits in der Antike beschreibt Aristoteles (384–322 v.Chr.) die Rolle des Subjekts in der staatlichen Gemeinschaft (altgr. πόλις, «polis») und der Hausgemeinschaft (altgr. οἶκος, «oikos»). In der römischen Zeit wirkt dieses Begriffspaar fort (lat. res publica: Staat, Gemeinwesen; und lat. domus: Haus, Hausgenossenschaft). Primär interessiert die Interaktion zwischen der Person und ihrem Umfeld. Bezeichnend für dieses Menschenbild ist beispielsweise die folgende Stelle beim römischen Staatsmann und Rechtsanwalt CICERO (106–43 v.Chr.) zur Rolle des Privatmanns (lat. privatus): «Für den Privatmann aber gehört es sich, auf der Grundlage der Rechtsgleichheit mit den Bürgern zu leben […] und in der Politik friedliche und anständige Ziele zu verfolgen. Denn einen solchen Menschen pflegen wir als guten Bürger zu erleben und zu bezeichnen.» Zwar entsteht bei den Römern die terminologische Unterscheidung zwischen öffentlich (lat. publicus) und privat (lat. privatus). Bis ins Mittelalter bleibt aber die Vorstellung vom Privaten nicht mit Individualität verbunden, sondern wird im Wesentlichen mit dem Familienleben gleichgesetzt. Die Existenz des Menschen definiert sich durch seine Zugehörigkeit zu Gemeinschaften wie etwa Sippen, Zünften, klösterlichen Gemeinschaften oder Vasallenverbindungen.
Der Individualismus und die Vorstellung, dass jeder frei von äusseren Zwängen sein soll, entstammen erst der Renaissance. Ende des 17. Jh. setzen sich im Bürgertum das Einzelzimmer und das Einzelbett immer mehr durch. Die Privatsphäre erhält ihre heutige Ausprägung im Bürgertum des 18. und 19. Jh., als das Private zum Synonym für Glück wird.
Mit der Digitalisierung haben sich die Bedingungen des Privaten gegenüber der Zeit zwischen Renaissance und 19. Jh. grundlegend gewandelt. Zu hinterfragen ist daher die prominente Stellung des Persönlichkeitsschutzes als Abwehrrecht und der informationellen Selbstbestimmung in der Form eines Vetorechts. Nach der vorliegend vertretenen Auffassung ist eine Rückbesinnung auf die Antike und das Mittelalter angezeigt. Es braucht (auch) ein Konzept für den Menschen in der Informations- und Kommunikationsgesellschaft. Hierbei ist das heutzutage unvermeidliche Teilen von Informationen mit dem Persönlichkeitsschutz in Einklang zu bringen. Diesen Spagat hat die Rechtsordnung bisher nicht geschafft. People Analytics kann den versprochenen Fortschritt nur bringen, wenn auch Daten verfügbar sind, d.h., wenn die Mitarbeiter ihre Daten mit der Arbeitgeberin teilen.
b) Schranken des Teilens
aa) Richtiges Mass an Teilen
Wenn das erneuerte Datenschutzrecht sich am Teilen orientieren soll, muss das richtige Mass dafür gefunden werden. Sowohl ein Unter- als auch ein Übermass davon sind zu vermeiden, wie sogleich erklärt wird.
bb) Untermass an Teilen
Der Zielwert der Abwehr von Einflüssen auf die Persönlichkeit ist ein Stück weit zu relativieren. Ein Abschottungszustand, in dem keine Informationen geteilt werden, ist nicht erstrebenswert. Ein Individuum kann nicht die informationelle Selbstbestimmung (wieder-)erlangen, indem es den Weg der digitalen Keuschheit beschreitet. Diese Alternative wäre nicht zumutbar. Sich von der Informationsgesellschaft auszuklinken, käme einem kümmerlichen Leben als sozialer Eremit gleich, weil so viele Aspekte des modernen Lebens – von der Kommunikation bis zum Online-Einkauf – digital erfolgen. Vernetzte Technologien sind eine Tatsache des modernen Lebens, und wir sind ein Stück weit von ihnen abhängig geworden. Werden ganze Infrastrukturen digitalisiert, weil die gesellschaftliche Mehrheit dies begrüsst, beispielsweise durch die Einführung elektronischer Bezahlsysteme, kann sich ein Einzelner dem nicht mehr entziehen.
Am Arbeitsplatz ist es besonders schwierig, sich den Datenbearbeitungen zu entziehen. Wer auf Datenabstinenz beharrt, riskiert, seine Stelle zu verlieren. Der Arbeitnehmer fügt sich in eine fremde Arbeitsorganisation ein. Die Arbeitgeberin diktiert, welche Datenbearbeitungen für die Erledigung der Arbeit erforderlich sind.
Selbst wenn jemand auf die Technik verzichten würde, wäre er nicht vor Datenanalysen gefeit: Tragen Personen aus dem Umfeld intelligente Brillen, so wird auch der Verzichtende digital erfasst. Ferner sind, wie dargelegt, Ableitungen über ihn möglich, wenn genügend viele Personen um ihn herum ihre Daten freiwillig zur Verfügung stellen.
Schliesslich führt Isolation nicht notwendig zu mehr Autonomie, wie das Beispiel des schiffbrüchigen Bewohners einer einsamen Insel zeigt: Auch wenn dieser sich völlig aus dem Bewusstsein anderer verabschiedet, geniesst er keine informationelle Selbstbestimmung, da er seine Positionsdaten niemandem kommunizieren kann.
cc) Übermass an Teilen
Zu viel Informationsteilung ist nicht förderlich. Man könnte vielleicht meinen, der Arbeitnehmer könne ja die Datenbearbeiter gewähren lassen, denn solange er sich gesetzestreu verhalte, habe er nichts zu verbergen. Diese Haltung würde aber verkennen, dass es bei der durch den liberalen Staat zugesicherten Privatsphäre nicht um etwas Verbotenes oder Unanständiges geht, sondern um etwas, das man für sich behalten oder nur mit einem ausgewählten Kreis teilen möchte. Zudem zeigt die sozialwissenschaftliche Forschung, dass Personen, die unter Beobachtung stehen, weniger produktiv und weniger offen sind: Arbeitnehmer sind eher gewillt, ihre neuen Ideen zu teilen, wenn sie einen gewissen Grad an Privatsphäre am Arbeitsplatz geniessen und von den Arbeitskollegen erwarten können, dass sie sich an die anerkannten Normen halten. In einem Experiment stieg die Produktivität eines Betriebs um 10–15 Prozent, als die Arbeitsteams ihre Arbeit hinter Vorhängen, frei von überwachenden Blicken verrichten durften.
c) Regulierungsgefäss für die am Teilen ausgerichtete Neuordnung
Der datenschutzrechtliche Persönlichkeitsschutz eignet sich als Regulierungsgefäss für die geplante Ausrichtung am Teilen von Information, weil er (auch) auf eine soziale Kommunikationsordnung abzielt und die dialektische Gegenseitigkeit fördert. Nach der Rechtsprechung des EGMR umfasst das Recht auf Achtung des Privat- und Familienlebens (Art. 8 EMRK) bis zu einem gewissen Grad auch das Recht, Beziehungen zu anderen Menschen zu knüpfen und zu vertiefen, insbesondere Beziehungen im Arbeitsleben. Die mit dem Persönlichkeitsschutz erstrebte Autonomie entsteht nur auf der Basis eines gut informierten und an den gesellschaftlichen Prozessen teilnehmenden Individuums. Dieses schottet sich nicht egozentrisch von den vernetzten sozialen Lebensräumen ab, sondern setzt sich bewusst den neuen Gefahren aus, geniesst dafür aber zugleich auch die unermesslichen Möglichkeiten. Beispielsweise geht der Arbeitnehmer, der zum Zweck der besprochenen Stimmungsanalyse intime Informationen zu seinen Emotionen an die Arbeitgeberin preisgibt, das Risiko ein, dass die Daten missbraucht werden. Doch bietet sich auch die Chance, dass die Arbeitgeberin dank dem Wissen um die Gefühlslage im Unternehmen Verbesserungsmass-nahmen trifft, etwa Anreizprogramme zur Verhinderung von Personalfluktuationen.
7.2.3 Stärkung des Vertrauens in das Datenschutzrecht
a) Datenschutz mit Vertrauenskomponente (privacy-as-trust)
Die vorstehend beschriebene Idee, das Teilen von Informationen zu begünstigen, gewinnt nicht nur in Europa an Boden. In der amerikanischen Rechtslehre ist ein ähnlicher Gedanke anzutreffen. Dort verschafft sich eine Meinung Gehör, die den Wert «Vertrauen» in den Persönlichkeitsschutz integrieren will (privacy-as-trust). Namentlich WALDMAN sowie RICHARDS und HARTZOG, aber auch BAMBERGER und MULLIGAN vertreten diese These. Aufgabe des Datenschutzes ist es demnach, das Vertrauen zu schützen, welches zur Pflege von Informationsbeziehungen mit anderen Menschen, mit Unternehmen oder mit dem Staat vorausgesetzt wird. Wegzurücken ist von der Einstellung, Persönlichkeitsschutz diene allein Individuen zur Abwehr von Bedrohungen (privacy pessimism). Stattdessen ist der Persönlichkeitsschutz auf positive Werte auszurichten, die das System der Datenwirtschaft als Ganzes stärken, wie beispielsweise auf Vertrauen (privacy in positive terms). Auch das Teilen von Daten soll aktiv geschützt und gefördert werden. Diese Einstellung dürfte den präventiven Datenschutz begünstigen und den repressiven Rechtsschutz entlasten.
Die Lehre vom Datenschutz mit Vertrauenskomponente anerkennt im Ausgangspunkt, dass das Vertrauen in einen robusten Persönlichkeitsschutz und die Bereitschaft zum Teilen von Information in einer funktionalen Beziehung zueinander stehen: Der Schutz der Privatsphäre ermöglicht Vertrauen, und je grösser das Vertrauen ist, desto eher werden Informationen preisgegeben. Umgekehrt kommt es zu einem Teufelskreis: Je geringer das Vertrauen ist, desto eher versuchen Arbeitnehmer, sich unsichtbar zu machen. Dies erschwert für Unternehmen das Mitverfolgen der Geschehnisse im Betrieb, weshalb sie eher zu Überwachungsmassnahmen greifen und dadurch auch Rechtsverletzungen möglich werden.
Privacy-as-trust geht zum bisherigen Datenschutzrecht, das sich auf die Individualrechte wie Einwilligung und Verweigerung konzentriert, ein Stück weit auf Distanz. Mit dem Schritt zurück erweitert der Vertrauensansatz den Blick auf die Informationsbeziehungen, die die Datenoffenlegungen veranlassen. Informationsbeziehungen sind Beziehungen, in denen Informationen vertraulich geteilt werden. Die dabei geltenden Regeln für den Informationsaustausch schaffen für die Parteien einen Mehrwert, sodass diese Beziehungen im Laufe der Zeit vertieft werden. Persönlichkeitsschutz, insbesondere Datenschutz, besteht (auch) aus den Normen, die für Informationsbeziehungen gelten. Diese Sichtweise führt eine soziale Dimension in den Persönlichkeitsschutz ein. Ziel des Datenschutzes ist es, nicht mehr bloss Dritte von Informationen auszuschliessen, sondern den Informationsfluss zu regulieren, d.h. zu definieren, wann eine Informationsquelle für jemanden versiegen soll und wann Schleusen für andere Personen geöffnet werden sollen.
Das Datenschutz-Rechtssystem als Ganzes kann Schaden nehmen, wenn das Vertrauen leidet und dadurch die Informationsflüsse ins Stocken geraten. Die Privatsphäre wandelt sich somit von einem individuellen Recht zu einem öffentlichen, kollektiven, sozialen Gut.
Die Vertreter des Datenschutzes mit Vertrauenskomponente beklagen den Zustand, dass das US-amerikanische Recht die Beziehung zwischen Persönlichkeitsschutz und Vertrauen nicht widerspiegle bzw. das Vertrauen sich nicht als zentrale Rechtfertigung dafür entwickelt habe, warum Datenschutz wichtig ist. Zur rechtlich-theoretischen Umsetzung der Vertrauenskomponente schlägt BALKIN deshalb vor, den Datenbearbeitern, denen Informationen anvertraut werden, dieselben Pflichten wie einem Treuhänder (fiduciary des angloamerikanischen Common Law) aufzuerlegen.
In der US-amerikanischen Praxis wird, wie die empirische Forschung von BAMBERGER und MULLIGAN zeigt, die Vertrauenskomponente hingegen bereits vielerorts gelebt: Die Arbeitgeber interpretieren den Begriff privacy extensiv. Datenschutz wird als Grundwert verstanden, der eng mit Vertrauen, Integrität und Respekt vor dem Menschen verbunden ist. Die befragten Chief Privacy Officers (CPO) geniessen eine unabhängige und einflussreiche, unternehmensweite Rolle, in der sie sowohl als Stimme für den Datenschutz als auch als generelle Vertrauensperson auftreten. Die US-amerikanische Bank JPMorgan Chase geht aufgrund der Komplexität der Datenschutz-Sachverhalte so weit, den jeweiligen Projektverantwortlichen mit einer ganzen Gruppe von Führungskräften aus den drei Abteilungen Personal, Risiko und Recht zu unterstützen. Die Unternehmen orientieren sich an einer Definition von Datenschutz, die über das hinausgeht, was die Fair Information Practice Principles (FIPP) des Ministeriums für Innere Sicherheit (Department of Homeland Security) der Vereinigten Staaten verlangen. Die FIPP entsprechen im Wesentlichen den schweizerischen und europäischen Datenbearbeitungsgrundsätzen. Die amerikanische Aufsichtsbehörde FTC sanktioniert heute ganz allgemein unlautere Praktiken (unfair practices), was eine Erweiterung des Fokus beim Datenschutzvollzug im Vergleich zufrüheren Fällen bedeutet.
b) Begriff des Vertrauens
Um die Vertrauenskomponente zu verstehen, ist der Begriff des Vertrauens zu erklären. Es handelt sich hierbei nicht primär um einen rechtlichen Terminus, auch fehlt es an einer Legaldefinition. Gleichwohl tritt der Begriff des Vertrauens an verschiedenen Orten in der Rechtswissenschaft in Erscheinung. Im Zusammenhang mit People Analytics besteht durch den Arbeitsvertrag eine Verpflichtung beider Parteien zu gegenseitiger Treue (Treuepflicht des Arbeitnehmers, Art. 321a OR; Fürsorgepflicht der Arbeitgeberin, Art. 328 OR). Das DSG bestätigt ausdrücklich die Verpflichtung zu Treu und Glauben beim Bearbeiten von arbeitsbezogenen Personendaten (Art. 4 Abs. 2 DSG bzw. Art. 5 Abs. 2 E-DSG bzw. Art. 6 Abs. 2 rev-DSG i.V.m. Art. 328b Satz 2 OR).
Eine allgemeine Begriffsdefinition lautet: Vertrauen ist der Wille, sich verletzlich zu zeigen. Ähnlich klingt die folgende Definition: Vertrauen ist die Absicht einer Partei, in einer risikoreichen Situation von der andern Partei abhängig zu sein.
Vertrauen impliziert eine wohlwollende Erwartung an das Handeln und die Absichten anderer Menschen oder den Glauben, dass sich andere in einer vorhersehbaren Weise verhalten werden. Somit beginnt Vertrauen dort, wo der Wissensstand aufhört. Die wohlwollenden Erwartungen bilden ein gesellschaftliches Kapital, das angemessen zu würdigen ist. Vertrauen entsteht nicht durch Beschluss; das Heranwachsen von Vertrauen kann Jahrzehnte dauern. Es wird zum Bestandteil der Marke und Reputation eines Unternehmens. Um etwas plastischer zu werden: Unternehmen riskieren angeblich sechs Prozent Umsatzverlust, wenn sie das Vertrauen ihrer Mitarbeiter verlieren. Umgekehrt führt eine Steigerung von Vertrauen dazu, dass der Umsatz um mehr als sechs Prozent wächst.
Vertrauen ist auch ein Mechanismus der Reduktion sozialer Komplexität. Die Komplexität besteht vorliegend darin, dass die Arbeitgeberin zur Implementierung von People Analytics auf die Daten des Arbeitnehmers angewiesen ist, dieser aber grundsätzlich kein Interesse haben kann, Informationen preiszugeben, weil er sich dadurch in eine immer verletzlichere Position hineinmanövrieren würde. Vertrauen kann das drohende Machtungleichgewicht, das dem Austausch von Daten mit anderen innewohnt, ausgleichen, sodass der Schwächere sich bereit erklärt, Informationen zu teilen. Die Schaffung einer Vertrauenskultur dürfte (primär) im Interesse der Arbeitgeberin liegen, da Vertrauen es ihren Angestellten ermöglicht, sich auf die Arbeit zu konzentrieren statt die Datenbearbeitungsprozesse zu kontrollieren. Der grösste Teil des beschriebenen Aufwands zur Prüfung von Datenschutzerklärungen und Informationsflüssen entfällt in einem Klima von Ver-trauen.
Je nach Rechtsbeziehung kann Vertrauen zwischen verschiedenen Akteuren entstehen. Denkbar ist neben dem Vertrauen zwischen zwei Einzelpersonen (wie dem Angestellten und dem Vorgesetzten) auch ein solches zwischen Einzelpersonen und Institutionen (etwa zwischen dem Angestellten und der Arbeitgeberin als Unternehmensorganisation) oder zwischen Einzelpersonen und dem Rechtssystem. Diese letztgenannte Dimension von Vertrauen schliesst auch den Aspekt der Rechtssicherheit ein. Sie ist besonders wichtig angesichts der Tendenz, dass sich das Datenschutzrecht mit der zunehmenden Informationsbearbeitung zu einer Querschnitt-Rechtsmaterie entwickelt, die alle Sachverhalte des Lebens betrifft. Nur wenn die Betroffenen sich sicher wähnen, dass das «System Datenschutzrecht» ihre Persönlichkeit effektiv schützt, werden sie bereit sein, Daten über sich selbst in allen Lebenssituationen zu teilen, was wiederum Grundvoraussetzung der Digitalisierung der Gesellschaft ist. Dass den Möglichkeiten, gegenüber wem oder was Menschen Vertrauen entwickeln können, keine Grenzen gesetzt sind, verdeutlichen die Geschichten von emotionalen Beziehungen zu sozialen Robotern, Plüschtieren oder gar zu einem Volleyball.
c) Hohes bestehendes Vertrauen
Gemäss dem Edelman Trust Barometer war im Jahr 2019 die Arbeitgeberin die Institution, die weltweit das höchste Vertrauen genoss. Drei von vier Befragten (75 Prozent) vertrauten ihrer Arbeitgeberin, dass sie das Richtige tut, deutlich mehr als gegenüber Nichtregierungsorganisationen (57 Prozent), der Wirtschaft (56 Prozent), der Regierung (48 Prozent) und den Medien (47 Prozent). Dabei belegt die Schweiz bzgl. des Vertrauens in Unternehmen einen Spitzenplatz. Einer anderen Umfrage zufolge sollen 88 Prozent der schweizerischen Arbeitnehmer offen sein für die Erhebung von Daten über sie selbst und ihre Arbeit, sofern die Analyse der Steigerung ihrer Leistung oder ihres Wohlbefindens dient oder andere persönliche Vorteile bietet. Das hohe Vertrauensklima am Arbeitsplatz bzgl. Datenbearbeitungen scheint seit Längerem stabil zu sein: Eine Umfrage von 1993 ergab eine weltweit hohe Zufriedenheit der Arbeitnehmer der Privatwirtschaft im Umgang mit Informationen durch ihre Arbeitgeberin. Nicht einmal jeder Fünfte (weniger als 20 Prozent) vertrat die Meinung, dass die Arbeitgeberin gegen verschiedene, in der Umfrage vorgestellte Rechte zum Schutz der Privatsphäre der Arbeitnehmer verstosse.
Das beschriebene hohe und stabile Vertrauensklima könnte der Arbeitgeberin die Tore öffnen, um mit People Analytics zu experimentieren. Jedoch könnte das wertvolle Vertrauen auch schnell zerbröckeln. Über die Hälfte (54 Prozent) der Unternehmen, die das Beratungsunternehmen Accenture befragt hat, hat im Jahr 2018 einen erheblichen Vertrauensverlust erlitten. Im Jahr 2016 glaubten zwei von fünf Arbeitnehmern in Grossbritannien (38 Prozent) nicht, dass ihre Arbeitgeberin die gesammelten Daten in der Weise verwendet, dass die Arbeitnehmer davon profitieren würden. Knapp die Hälfte (48 Prozent) der Arbeitnehmer glaubte gemäss einer Umfrage des HR Metrics & Analytics Summit von 2018 nicht, dass ihre Arbeitgeberin ihre Daten genügend schütze. Verschiedene Datenskandale haben den Beschäftigten vor Augen geführt, dass ihre Daten nur sehr begrenzt gesichert sind. Die Gefahr des Vertrauensverlusts im Arbeitsverhältnis lässt sich anhand der Entwicklung im Verhältnis zwischen Konsumenten und Anbietern nachzeichnen: Hier nahmen die öffentlichen Bedenken bzgl. der Privatsphäre in der zweiten Hälfte der 1990er-Jahre mit der Ausbreitung der Internetnutzung dramatisch zu. Im Jahr 2010 sorgten sich weltweit fast neun von zehn Konsumenten wegen der Fragen, wer Zugang zu ihren Personendaten hat (88 Prozent) und wo die Daten gespeichert werden (84 Prozent).
d) NFP75-Daten zum Vertrauen
Die empirischen Daten aus der Online-Umfrage des NFP75-Projekts suggerieren insgesamt ein leicht stärkeres Vertrauensklima in Unternehmen mit People Analytics-Anwendungen als in solchen ohne dieselben. Drei Viertel der Antwortenden aus Unternehmen mit People Analytics glauben, dass die Arbeitnehmer ein starkes Vertrauen in die Führungskräfte hätten (siehe Abb. 11: 74 Prozent mit einer Punktzahl von 4 oder 5 auf einer Skala von 1 bis 5, wobei 1 ein schwaches und 5 ein starkes Vertrauen bedeuten), wogegen dies nur drei Fünftel der Antwortenden aus Unternehmen ohne People Analytics glauben (59 Prozent).
Drei von fünf Antwortenden aus Unternehmen mit People Analytics sagen, dass andersherum die Vorgesetzten den Arbeitnehmern zutrauten, gute Entscheidungen zu treffen (siehe Abb. 12: 60 Prozent mit einer Punktzahl von 4 oder 5 auf einer Skala von 1 bis 5, wobei 1 ein schwaches und 5 ein starkes Vertrauen bedeuten), wogegen es bei den Unternehmen ohne People Analytics etwas weniger als drei Fünftel sind (55 Prozent).
Die Unternehmen wurden gefragt, wie sich die Mitarbeiter verhalten, wenn jemand im Unternehmen etwas verspricht. In drei von vier Unternehmen mit People Analytics ist es so, dass andere im Unternehmen praktisch immer darauf vertrauen, dass die Person ihr Bestes geben werde, um das Versprechen zu halten (73 Prozent mit einer Punktzahl von 4 oder 5 auf einer Skala von 1 bis 5, wobei 1 ein schwaches und 5 ein starkes Vertrauen bedeuten). Dagegen vertrauen auf dieselbe Charaktereigenschaft nur zwei Drittel in den Unternehmen ohne People Analytics (67 Prozent, siehe Abb. 13).
Ausgeglichen fallen die Antworten aus auf die Frage, ob ein sehr hoher Grad an Vertrauen im gesamten Unternehmen herrsche (in Unternehmen mit People Analytics: 65 Prozent mit einer Punktzahl von 4 oder 5 auf einer Skala von 1 bis 5, wobei 1 ein schwaches und 5 ein starkes Vertrauen bedeuten; in Unternehmen ohne People Analytics: 64 Prozent, siehe Abb. 14).
Die vorstehenden Zahlen aus der Online-Umfrage des NFP75-Projekts vermögen zu überraschen: Sie besagen, dass ein gutes Vertrauensklima bestehen kann in Unternehmen, die People Analytics betreiben. Teilweise deuten die Antwortwerte sogar auf ein leicht stärkeres Vertrauen in den befragten Betrieben, die People Analytics anwenden, als in denen, die keine Personalanalysen vornehmen (siehe Abb. 11, Abb. 12 und Abb. 13).
Im Kontrast zu den empirischen Resultaten der Online-Umfrage äussert sich die konsultierte Lehre überwiegend kritisch zur zunehmenden Überwachung am Arbeitsplatz. Skeptiker könnten daher die überraschenden Ergebnisse des NFP75-Projekts auf ein voreingenommenes Design der Online-Umfrage zurückführen: Die befragten Personen gehörten der Personalverwaltung der betreffenden Unternehmen an. Als Personalverantwortliche waren sie in der Regel nicht persönlich von den Aufzeichnungen betroffen. Im Gegenteil, sie dürften eher dazu geneigt haben, vorzugeben, in Personalangelegenheiten stehe alles zum Besten.
Um der potenziellen Kritik von vornherein zu begegnen, wurden die Ergebnisse der quantitativen Online-Umfrage anschliessend in fünf qualitativen Fallstudien hinterfragt. Als Fallstudienpartner wurden fünf Unternehmen auserkoren, die gemäss eigenen Angaben in der Online-Umfrage besonders intensiv People Analytics betreiben. Anders als bei der Online-Umfrage, bei der nur eine Person stellvertretend für das ganze Unternehmen antwortete, wurden bei den Fallstudien pro Unternehmen zwischen 15 und 25 Mitarbeiter zu People Analytics befragt. Unter den Interviewpartnern waren zum grössten Teil (43 Prozent) direkt die überwachten Mitarbeiter (einschliesslich Arbeitnehmervertreter). Die restlichen Interviews (57 Prozent) verteilten sich über verschiedene Funktionen der Führungsebene: Befragt wurden die operativ tätigen Linienvorgesetzten (Teamleiter) und das höhere, strategische Management (Geschäftsleitung und Verantwortliche des betreffenden People Analytics-Projekts), aber auch der jeweilige Datenschutzverantwortliche des Unternehmens, eine Person aus der HR-Abteilung, jemand aus der Rechtsabteilung und schliesslich ein IT-Verantwortlicher.
Die fünf Fallstudien bestätigen den obigen Befund, dass ein gutes Vertrauensklima bestehen kann in Unternehmen, die People Analytics betreiben. Viele Mitarbeiter sagten sogar aus, das People Analytics-System habe kaum einen Einfluss auf ihr Vertrauen in das Unternehmen. In allen fünf Unternehmen bewegt sich das Vertrauen auf einem hohen Niveau (zwischen 8 und 8,5 Punkten auf einer Skala von 1 bis 10, wobei 1 ein tiefes und 10 ein hohes Vertrauen bedeuten; aufgrund der Anzahl der Interviews sind diese Zahlen jedoch nicht repräsentativ für das ganze Unternehmen). Die überwachten, in der Regel subalternen Arbeitnehmer beziffern ihr Vertrauen in das Unternehmen jeweils etwas tiefer als die Angestellten auf der (überwachenden) Führungsebene, doch ist dieser Unterschied vernachlässigbar (zwischen 0,2 und 0,4 Punkten auf der besagten Skala von 1 bis 10).
Es ist jedoch auf die richtige Umsetzung des jeweiligen People Analytics-Projekts zu achten. Gemäss den Eindrücken, die der Autor zusammen mit dem NFP75-Forschungsteam persönlich in den Fallstudieninterviews gewonnen hat, schätzen die Mitarbeiter vor allem die folgenden drei Punkte: Erstens, vertrauensfördernd wirkt sich aus, wenn das Unternehmen bestrebt ist, aus den Analysen zu lernen (durch Pflege einer sog. Lernkultur). Es sollte darauf verzichtet werden, einzelne Arbeitnehmer auf schikanöse Weise für Fehler zu sanktionieren. Zweitens, es braucht eine Möglichkeit zur Mitsprache. Verschiedene Unternehmen haben einzelne Mitarbeiter in die Pilotphase des People Analytics-Projekts einbezogen, um bereits dann ihre Einwände in die Gestaltung der Software einfliessen zu lassen. Die gleichen Mitarbeiter – sog. «Poweruser» – nahmen später die Rolle eines Sprachrohrs für die restliche Belegschaft ein. Die Arbeitskollegen konnten sich mit Fragen und Anliegen zum System an die Poweruser wenden. Diese kommunizierten die Verbesserungsvorschläge weiter an die IT-Abteilung, die die Vorschläge umsetzte. Drittens ist es ratsam, auf eine sorgfältige Information und Kommunikation zu achten und insbesondere nicht zu viel zu versprechen. Es gab bei allen befragten Unternehmen bei der Einführung der neuen Technologie technische Probleme. Diese lösten bei den einen Arbeitnehmern Frustration aus, während andere, die darauf vorbereitet waren, gelassen reagierten.
Auch wenn die beschriebenen drei Ratschläge zum Gelingen von People Analytics-Projekten beitragen, garantieren sie alleine noch nicht ein stabiles Vertrauensklima im Unternehmen. Wichtig für das Vertrauen waren gemäss den Befragten auch gute Löhne und Sozialleistungen, ehrliche Vorgesetzte, die Rücksichtnahme der Arbeitgeberin auf eine gesunde Work-Life-Balance, ein konstruktiver Umgang mit leistungsschwächeren Arbeitnehmern und interne Aufstiegschancen. Ein Unternehmen muss somit mehrere Ansätze verfolgen, um das Vertrauen der Belegschaft zu gewinnen.
7.2.4 Kritik zur Ausrichtung auf das Teilen und zum Datenschutz mit Vertrauenskomponente
Es hat sich gezeigt, dass eine wichtige Voraussetzung für den Erfolg von People Analytics darin besteht, dass die betroffenen Arbeitnehmer dazu bereit sind, Informationen über sich selbst mit der Arbeitgeberin zu teilen und ihr zu vertrauen. Die Lehre vom Datenschutz mit Vertrauenskomponente verlangt, dass dieses Vertrauen aktiv gefördert werden muss. In der Schweiz besteht generell und auch in den im NFP75-Projekt untersuchten Unternehmen, die besonders intensiv People Analytics betreiben, ein stabiles Vertrauensklima. Eine wesentliche Erkenntnis der vorliegenden Arbeit besteht somit darin, dass People Analytics mit den beschriebenen Konzepten des Teilens von Information und des Datenschutzrechts mit Vertrauenskomponente vereinbar ist. People Analytics zerstört nicht per se das Vertrauen der analysierten Arbeitnehmer in das Unternehmen.
Zu kritisieren ist an den zitierten Lehrmeinungen aber zum einen, dass sie recht abstrakt bleiben. Weder eine Auflistung der notwendigen Anreize für das Teilen von Information noch eine konkrete Beschreibung der Vertrauenskomponente sind auffindbar, sodass der Gesetzgeber nicht weiss, wie er diese Forderungen verwirklichen soll. Das Common Law-Institut der fiduciary relationship kann nicht ohne Weiteres auf die schweizerische Rechtsordnung, die zum kontinental-europäischen Civil Law gehört, übertragen werden. Das Vertrauen ist, soweit ersichtlich, höchstens als Ideenansatz für die Schweiz vorgeschlagen worden.
Zum andern besteht ein Kritikpunkt darin, dass ein Rechtssystem, das nur auf Teilen und Vertrauen setzt, unvollständig ist. Die problematische Machtasymmetrie wird nicht behoben, wenn die schwächere Partei der stärkeren einfach vertraut und in beliebigem Umfang Daten über sich an sie liefert. Blindes Vertrauen kann ausgenutzt werden.
Im Folgenden ist ein Lösungskonzept zu erarbeiten, das eine wirksame Durchsetzung des Datenschutzrechts bei People Analytics gewährleistet. Die Ideen der Förderung des Teilens von Information und der Stärkung des Vertrauens in das Datenschutzrecht sind in das Konzept zu integrieren, weil ja festgestellt wurde, dass People Analytics und der Datenschutz mit Vertrauenskomponente miteinander vereinbar sind. Jedoch ist auch den beiden beschriebenen Kritikpunkten (fehlende Konkretisierung und Fortbestand der Machtasymmetrie) Rechnung zu tragen. Das vorliegend entwickelte Lösungskonzept besteht in einer Professionalisierung und Demokratisierung des Datenschutzrechts (dazu sogleich).
Gabriel Kasper in: People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts; 2021; Dike Verlag, Zürich
https://creativecommons.org/licenses/by-nc-nd/3.0/ch/
DOI: https://doi.org/10.3256/978-3-03929-009-3
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.