02/2023
Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts
7.3 Professionalisierung und Demokratisierung als Mittel zur Umsetzung des neu ausgerichteten Datenschutzrechts
7.3.1 Vorbemerkungen
a) Herleitung der Begriffe «Professionalisierung» und «Demokratisierung»
Der erste Kritikpunkt zu den Ideen betreffend die Förderung des Teilens von Information und betreffend den Datenschutz mit Vertrauenskomponente verlangt nach einer konkreten Beantwortung der Frage, wie Vertrauen generiert werden kann. Vorliegend wird vertreten, dass das Vertrauen steigt und Informationen eher geteilt werden, wenn sich die Arbeitgeberin bei der Bearbeitung von Daten professionell verhält. Voraussetzung dafür, dass sich jemand verletzlich zeigen will, ist, dass das Gegenüber imstande und gewillt ist, die Interessen des Verletzlichen zu beschützen. Die Fähigkeit, die Interessen der Betroffenen wahrzunehmen, steigt, wenn das Recht bestimmte Mindestanforderungen an die Professionalität der Verantwortlichen stellt (etwa zur Abwehr von Dritten, die in die Datenbearbeitungssysteme eindringen wollen).
Unter dem Begriff der Professionalisierung wird vorliegend jede Massnahme verstanden, die die Arbeitgeberin dazu veranlasst, das Datenschutzrecht ab Beginn der Datenbearbeitung zu befolgen, sodass die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist. Hierbei ist hauptsächlich nach Mitteln zur Rechtsdurchsetzung ex ante zu suchen (z.B. die Pflicht zu datenschutzfreundlichen Voreinstellungen nach Art. 6 E-DSG bzw. Art. 7 rev-DSG). Doch auch im Nachgang einer allfälligen Datenschutzverletzung soll die Arbeitgeberin auf die Rechtsdurchsetzung ex post hinwirken (z.B. durch die Meldung von Verletzungen der Datensicherheit, Art. 22 E-DSG, Art. 24 rev-DSG).
Der regulatorische Ansatz, die Arbeitgeberin zu einem professionellen Umgang mit den Daten zu verpflichten, erscheint sachgerecht, weil der Arbeitgeberin bei People Analytics eine wesentlich aktivere Rolle zukommt als dem Arbeitnehmer und sie am meisten Vorteile daraus zieht. Der Prozess der Datenerhebung erfolgt auf einer Einbahn-, nicht aber auf einer Gegenverkehrsstrasse. In der Regel läuft die Datenextraktion ohne Dialog ab oder aber nach einer (bestreitbaren) Einwilligung. Es folgen daher entsprechende Professionalisierungsvorschläge zur Konkretisierung des Privacy-as-trust-Ansatzes und der Massnahmen zur Förderung des Teilens von Information.
Der zweite Kritikpunkt an der Lehre betreffend die Förderung des Teilens von Information und Datenschutz mit Vertrauenskomponente beinhaltet das Problem, dass der informationelle Schwächezustand der Arbeitnehmer beendet werden muss. Es sind wirksame Kontrollrechte erforderlich, um gegen einen Missbrauch von Daten einzuschreiten. Für die Kontrolle sollte das privatrechtliche Datenschutzrecht seine Hoffnung nicht mehr hauptsächlich auf die Individuen setzen, weil diese mit der Führung von Individualklagen überfordert sind. Stattdessen muss eine breitere Abstützung auf verschiedene Kontrollinstanzen (etwa Arbeitnehmervertretungen und Behörden) der datenschutzrechtlichen Ordnung zu mehr Stabilität verhelfen.
Der Einbezug vieler Kontrollstellen führt zur Polykratisierung oder – weniger genau, aber als Begriff vertrauter – zur Demokratisierung des Datenschutzrechts im Arbeitskontext. Der Begriff der Demokratisierung bedeutet vorliegend jede Massnahme, welche den der Arbeitgeberin entgegengesetzten Parteien Kontrollrechte einräumt, um auf die Einhaltung des Datenschutzrechts hinzuwirken, sodass die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist. Es geht hierbei überwiegend um die Rechtsdurchsetzung ex post (z.B. durch ein aufsichtsrechtliches Verfahren im Anschluss an eine Datenschutzverletzung), doch ist auch an die Rechtsdurchsetzung ex ante zu denken (z.B. durch Stärkung der Mitwirkungsrechte schon in der Planungsphase eines People Analytics-Projekts). Es werden somit Demokratisierungsvorschläge ausgearbeitet.
Die beiden regulatorischen Stossrichtungen der Professionalisierung und Demokratisierung werden vorliegend nicht von ungefähr zusammen eingeführt. Zwischen ihnen besteht die gleiche Beziehung wie zwischen Vertrauen und Kontrolle. Weder ein Datenschutz-Rechtssystem, in dem allein darauf vertraut wird, dass die Verantwortlichen professionell agieren, noch eines, das unablässige Überprüfungen basierend auf demokratischen Kontrollrechten bedingt, sind sinnvoll. Vertrauen und Kontrolle sind miteinander verbundene Konzepte, die gemeinsam betrachtet werden müssen. Ebenso sind die Professionalisierung und die Demokratisierung gemeinsam in das Datenschutzrecht einzuführen.
b) Regulierungsumfang, Bewahrung der Flexibilität im System
Bei der Prüfung der Professionalisierungs- und Demokratisierungsmöglichkeiten des schweizerischen Datenschutzrechts werden im Folgenden die absehbaren Neuerungen gemäss rev-DSG einbezogen. Die vorliegende Arbeit geht aber bewusst über die dortigen Vorschläge hinaus. Zur Sicherstellung der Einhaltung des Datenschutzrechts in der privatrechtlichen People Analytics-Praxis sind breit angelegte Massnahmen erforderlich. Schon jetzt wird vorweggenommen, dass beispielsweise die folgenden hier vorgeschlagenen Schritte über das Minimum gemäss rev-DSG hinausgehen: Im Bereich der Professionalisierung sind dies die Einführung einer Rechenschaftspflicht, Lösungsvorschläge gegen algorithmische Diskriminierungen und Schulungen. Hinsichtlich der Demokratisierung sind es insbesondere die Förderung technologischer «Werkzeuge» zur Befähigung der einzelnen Arbeitnehmer, die Stärkung der Mitwirkungsrechte, die Einführung einer staatlich geführten Diskursmoderation, die Schaffung eines datenschutzrechtlichen ideellen Verbandsklagerechts, sodann Begutachtungsverfahren für Algorithmen und nicht zuletzt Investitionen in die Bildung und Digitalkompetenz der Zivilgesellschaft.
Gleichzeitig ist beim Erlass neuer genereller Rechtsregeln Zurückhaltung geboten. Bei der Gesetzgebungstechnik ist darauf zu achten, dem System eine gewisse Flexibilität zu belassen. Dies ist für den Bereich People Analytics, der auf eine unerschöpfliche Vielfalt von Betriebsverhältnissen trifft, offensichtlich. Es braucht Möglichkeiten, um auf die Besonderheiten von Wirtschaftszweigen oder Unternehmensgrössen Rücksicht zu nehmen. Zudem verändern sich die Geschäftsabläufe dank der adaptiven KI-Techniken stetig. Aus diesem Grund werden Dynamik- und Kontextberücksichtigungen an Bedeutung gewinnen, wogegen generelle Datenschutzregeln immer mehr Ausnahmen erfahren werden.
c) Gesundheitssystem als Inspirationsquelle
Auf der Suche nach konkreten Mitteln zur Umsetzung der Professionalisierung und Demokratisierung sind den Möglichkeiten des Gesetzgebers kaum Grenzen gesetzt. Zur Inspiration lohnt sich ein Blick auf andere vertrauenssensible soziale Systeme. Zwischen Arzt und Patient besteht eine Vertrauensbeziehung, in der das Teilen von Information sogar lebenswichtig ist. Wir vertrauen, dass die Ärzte «professionell» handeln, weil sie eine langjährige Ausbildung durchlaufen. Es besteht ein einzigartig traditionsreiches Berufsethos, das bis zum Eid des Hippokrates von Kos (460–370 v.Chr.) zurückreicht. Sollte es dennoch zu einer Sorgfaltspflichtverletzung kommen, sind die Schadenersatzansprüche durch die Berufshaftpflichtversicherung des Arztes abgedeckt.
Auch das, was vorliegend unter dem Stichwort «Demokratisierung» gefordert wird, findet sich im Gesundheitssystem wieder: Verschiedene Stakeholder sind an der Aufsicht beteiligt. Zunächst bedürfen Ärzte einer kantonalen Berufsausübungsbewilligung, die bei Wegfall der gesetzlichen Voraussetzungen wieder entzogen werden kann. Die Verletzung des ärztlichen Berufsgeheimnisses kann strafrechtlich verfolgt werden (Art. 321 StGB). Der Berufsverband FMH Verbindung der Schweizer Ärztinnen und Ärzte kann Verbandsmitglieder sanktionieren, die sich nicht an die Standesordnung halten (Art. 47 SO FMH). Ferner sprechen bei gesetzgeberischen Weichenstellungen die Sozialversicherungen und der Dachverband der Schweizerischen Patientenstellen mit. Nicht zuletzt vertrauen wir uns dem Gesundheitssystem an, weil dieses ein Eigeninteresse an unserer Gesundheit hegt – je gesünder die Bevölkerung, desto weniger Kosten belasten das System. Vergleichbare Vertrauensbeziehungen, in denen sich die schwächere Partei freiwillig in die Hände der stärkeren begibt, bestehen zwischen Anwalt und Klient, Architekt und Auftraggeber oder Autohersteller und Fahrer.
7.3.2 Professionalisierungsvorschläge
a) Professionalisierungstendenzen im Entwurf zum revidierten Datenschutzgesetz
aa) Vorbemerkungen zum Datenschutz durch Technik und zur Datenschutz-Folgenabschätzung
Das rev-DSG statuiert neu die Pflichten sowohl zum Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 6 E-DSG, Art. 7 rev-DSG) als auch zur Datenschutz-Folgenabschätzung (Art. 20 E-DSG, Art. 22 rev-DSG). Beide Pflichten gelten auch im europäischen Datenschutzrecht (data protection by design and by default, Art. 25 DSGVO; data protection impact assessment, Art. 35 DSGVO). Sie sind in einem inneren Zusammenhang zu sehen. Die Datenschutz-Folgenabschätzung ist die Methode, um die Prinzipien, die für den Datenschutz durch Technik gelten, in einem frühen Projektstadium zu kommunizieren und zu verwirklichen. Die Datenschutz-Folgenabschätzung ist ein umfassender Compliance-Prozess, der über die Ausgestaltung der technischen Infrastruktur hinausgeht.
Der Zusatz «durch Technik» bzw. «by design» findet sich in verschiedenen Kombinationen. Der Datenschutz durch Technik ist Teil der übergeordneten, umfassenderen Idee eines Persönlichkeitsschutzes durch Technik (privacy by design). Den Begriff «privacy by design» verwenden vor allem Behörden in Kanada, den USA und Australien; gerade im transatlantischen Diskurs darf er nicht mit dem Begriff «data protection by design» gleichgesetzt werden. Aus dem Stammkonzept eines allgemeinen Persönlichkeitsschutzes durch Technik spriessen mittlerweile verschiedene Zweige hervor, sodass von einem eigentlichen Trend in Richtung «X durch Technik» bzw. «X by design» gesprochen werden kann. WILDHABER, LOHMANN und KASPER fordern einen «Diskriminierungsschutz durch Technikgestaltung». Auch kursieren eine «Ethik durch Technik» (ethics by design), eine «Sicherheit durch Technik» (security by design) sowie, etwas weiter gegriffen, Technologien zum Privatsphäreschutz (privacy-enhancing technologies, PET) und zur Transparenzförderung (transparency-enhancing technologies, TET).
Ähnlich wie im Verhältnis zwischen privacy by design und data protection by design ist zwischen dem Oberbegriff einer Persönlichkeitsschutz-Folgenabschät-zung (privacy impact assessment, PIA) und einer Datenschutz-Folgenabschätzung (data protection impact assessment, DPIA) zu unterscheiden. Eine Persönlichkeitsschutz-Folgenabschätzung gestaltet sich komplexer als eine Datenschutz-Folgenabschätzung, weil sie neben den Daten auch die übrigen Persönlichkeitsaspekte einbezieht. So wie es verschiedene Konzepte des «X durch Technik» gibt, bilden sich auch verschiedene Konzepte der Folgenabschätzungen heraus.
bb) Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
i. Rechtsgrundlage
Die bisherige Verpflichtung zur Gewährleistung der Datensicherheit (Art. 7 DSG, Art. 7 E-DSG, Art. 8 rev-DSG) wird künftig erweitert werden. Die Verantwortliche wird verpflichtet sein, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden, insbesondere die Grundsätze nach Art. 5 E-DSG bzw. Art. 6 rev-DSG. Sie hat dies ab der Planung zu berücksichtigen (Art. 6 Abs. 1 E-DSG, Art. 7 Abs. 1 rev-DSG). Der Datenschutz durch Technik ist während des gesamten Lebenszyklus des technologischen Systems fortzuführen. Die technischen und organisatorischen Massnahmen müssen insbesondere sowohl dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung als auch den Risiken, welche die Bearbeitung für die Persönlichkeit und Grundrechte der betroffenen Personen mit sich bringt, angemessen sein (Art. 6 Abs. 2 E-DSG, Art. 7 Abs. 2 rev-DSG).
Die Verantwortliche ist zudem verpflichtet, mittels geeigneter Voreinstellungen zu gewährleisten, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt (Art. 6 Abs. 3 E-DSG, Art. 7 Abs. 3 rev-DSG).
ii. Entstehungsgeschichte
Erste Vorläufer eines Datenschutzes durch Technik gehen auf die 1950er-Jahre zurück. In den 1970er-Jahren kamen Technologien zum Privatsphäreschutz (PET) auf, die auf einen Ex-ante-Datenschutz anstelle der Ex-post-Rechtsmittel abzielten. Um die Jahrtausendwende entstand unter dem Terminus «privacy by design» das systematische Konzept zur persönlichkeitsschutzfreundlichen Gestaltung von jeglichen Technologien. Allen voran hat CAVOUKIAN, damalige Datenschutzbeauftragte der kanadischen Provinz Ontario, den Begriff geprägt. Im Jahr 2010 hat die 32. Internationale Konferenz der Datenschutzbeauftragten in Jerusalem Datenschutz durch Technik einstimmig als internationalen Datenschutzstandard verabschiedet.
Der EGMR hat in seiner Rechtsprechung von 2008 implizit eine Pflicht zum Datenschutz durch Technik statuiert: In dem betreffenden Fall liess sich eine Arbeitnehmerin eines finnischen Spitals im selbigen Spital auf einer anderen Abteilung behandeln und wurde als HIV-positiv diagnostiziert. Ihr befristeter Arbeitsvertrag wurde danach nicht verlängert, und zwar, wie sie vermutete, weil ihre Arbeitskollegen von ihrer Krankheit erfahren hatten. Damals hatten sämtliche Spitalangestellten freien Zugriff auf die Patientenakten und das System zeichnete nicht auf, wer auf die Akten zugegriffen hatte. Der EGMR erachtete in dieser ungenügenden technischen Infrastruktur eine Verletzung des Rechts auf Achtung der Privatsphäre (Art. 8 EMRK). Der Grundsatz des Datenschutzes durch Technik ist mittlerweile im Recht des Europarats (vgl. Art. 10 Abs. 3 revidiertes Übereinkommen 108) positiviert.
iii. Normzweck und Norminhalt
Datenschutz durch Technik bedeutet einen Paradigmenwechsel in dem Sinne, dass die Technologie nicht mehr (nur) als Gefahr für den Persönlichkeitsschutz, sondern als Teil der Lösung betrachtet wird. Der Datenschutz durch Technik bezweckt ein Stück weit eine Abkehr vom rein selbstbestimmten hin zu einem (auch) designbasierten Datenschutz. Ziel dabei ist es, dass die Kontrolle der Einhaltung von Bearbeitungsregeln nicht die permanente persönliche Aufmerksamkeit erfordern soll, was vorliegend als eines der Hauptprobleme des gegenwärtigen Datenschutzrechts enthüllt worden ist, sondern automatisiert erfolgen muss. Die Architektur eines Systems soll reguliert werden, nicht aber das Verhalten der Systembenutzer. Der Datenschutz ist dadurch zunehmend nicht mehr nur ein rechtliches, sondern wird auch ein technisches Konzept. Menschliche Werte, wie beispielsweise Transparenz, Autonomie, Privatsphäre, Sicherheit, Gerechtigkeit oder Rechenschaftspflicht, finden eine Konkretisierung in der Technologie.
Die Pflicht, bereits in der Planung den Datenschutz durch Technik umzusetzen, bewirkt einen Wechsel von einem reaktiven zu einem präventiven Rechtsschutz. Der Datenschutz durch Technik veranlasst somit die Arbeitgeberin, das Datenschutzrecht ab Beginn der Datenbearbeitung zu befolgen, was zur Professionalisierung im vorliegend verstandenen Sinne beiträgt.
iV. Norminhalt und Umsetzungsmassnahmen
CAVOUKIAN definiert den Normgehalt des Datenschutzes durch Technik über sieben Prinzipien. Datenschutz durch Technik bedeutet demnach (1) ein proaktives Konzept (proactive not reactive; preventative not remedial). Dieses Konzept folgt (2) dem Leitmotiv der datenschutzfreundlichen Voreinstellungen (privacy by default) und (3) ist in Informationssysteme eingebaut (embedded into design).
- Sowohl für Betroffene als auch für Verantwortliche muss der Datenschutz durch Technik einen Mehrwert bringen (full functionality – positive-sum, not zero-sum). (5) Der Datenschutz durch Technik muss über den gesamten Lebenszyklusvon Information wirksam sein (end-to-end security – full lifecycle protection),
- für alle Beteiligten transparent erfolgen (visibility and transparency) und
- stets nutzerzentriert umgesetzt werden (user-centric).
Es gibt unzählige kreative Möglichkeiten, um die sieben Prinzipien in die Datenbearbeitungsabläufe und -produkte zu integrieren. Der Kontext der Datenbearbeitung beeinflusst massgeblich die Antwort auf die Frage, welche technischen Massnahmen angezeigt sind. Beispielhaft seien ein paar Umsetzungsmöglichkeiten aufgeführt: Hierzu zählen die Pseudonymisierung (vgl. Art. 25 Abs. 1 DSGVO) und Reduzierung der Menge der erhobenen personenbezogenen Daten, des Umfangs ihrer Bearbeitung, ihrer Speicherfrist und ihrer Zugänglichkeit (vgl. Art. 25 Abs. 2 DSGVO). Eine Markierung der Daten mittels Metadaten (tagging) kann zur Einhaltung des Zweckbindungsgebots den ursprünglichen Bearbeitungszweck festhalten und zur Befolgung des Verhältnismässigkeitsprinzips Sperr- oder Löschfristen vorsehen. Als datenschutzfreundliche Voreinstellung ist zu fordern, dass Einwilligungen durch positive Zustimmungen eingeholt werden (Opt-in-Modell) und nicht durch bereits angekreuzte Kästchen, die zur Verhinderung der Datenbearbeitung angeklickt werden müssen (Opt-out-Modell). Zu den systemischen Schutzvorkehrungen gehören sowohl die Reduktion globaler Vernetzung als auch, für besonders sensible Daten, die Einrichtung dezentraler und in sich geschlossener Clouds. Diverse weitere technische Massnahmen sind realisierbar.
Bezeichnend für das Bemühen, mit mathematischer Sprache den Beweis zu erbringen, dass die Persönlichkeit angemessen geschützt wird, ist zudem der sog. Differenzial-Persönlichkeitsschutz (differential privacy). Dies ist ein auf das mathematische Teilgebiet der Analysis bezugnehmender Ansatz, um Risiken für den Persönlichkeitsschutz zu quantifizieren und zu kontrollieren. Es besteht jedoch Uneinigkeit darüber, wie bestimmte Werte oder Rechtsbegriffe in eine mathematische Formel übersetzt werden sollen.
Der Datenschutz durch Technik erfordert auch organisatorische Massnahmen (vgl. Art. 6 Abs. 1 E-DSG, Art. 7 Abs. 1 rev-DSG), etwa eine organisatorische Priorisierung des Datenschutzes. Es braucht eine datenschutzfreundliche Mentalität. Eine Dokumentation aller Bearbeitungsschritte steigert die Reflexion und das Verantwortungsbewusstsein der bearbeitenden Person. Beispielsweise ist auch ein Prozess einzuspielen, damit die Arbeitgeberin erforderliche Daten vom E-Mail-Konto eines austretenden Arbeitnehmers noch in dessen Gegenwart bezieht und das Konto nach seinem Austritt umgehend sperrt.
V. Grenzen des Datenschutzes durch Technik
Der Datenschutz durch Technik ist kein Allerheilmittel. Er versagt in Situationen, in denen sämtliche Umstände zu berücksichtigen sind. Zahlreiche rechtliche Normen sind in einer flexiblen, abstrakten Sprache formuliert. Die Entscheidungsfindung bei der Anwendung solcher Normen erfordert die Anwendung von Ermessen und situativen Werturteilen. Algorithmen beschränken sich aber in der Regel auf die Analysen von Daten, für die sie programmiert sind. Der Datenschutz durch Technik kann kaum bei der Anwendung des Verhältnismässigkeitsprinzips helfen, weil dieses eine Interessenabwägung vorschreibt, für welche ein Ermessensentscheid erforderlich ist. Der Datenschutz durch Technik stösst auch an Grenzen bei der Beurteilung, ob eine Einwilligung freiwillig erfolgt ist, weil hier alle situativen Umstände einzubeziehen sind.
Datenschutz durch Technik kann gesellschaftliche Probleme, deren Ursachen nicht in der Technik liegen, nur begrenzt zu beseitigen helfen. Beispielsweise wird eine Arbeitsstelle, die flexible Verfügbarkeit und Arbeit in den Abendstunden voraussetzt, alleinerziehende Eltern systematisch benachteiligen, unabhängig davon, wie die Datenbearbeitungen am Arbeitsplatz technisch ausgestaltet sind. Jedoch kann der Datenschutz durch Technik beispielsweise helfen, Mobbing von Arbeitskollegen im Netz einzudämmen, indem das Teilen von Beiträgen in Foren limitiert wird.
cc) Datenschutz-Folgenabschätzung
i. Rechtsgrundlage und Normzweck
Die Pflicht zur Datenschutz-Folgenabschätzung sehen sowohl das künftige Datenschutzrecht (Art. 20 E-DSG, Art. 22 rev-DSG) als auch der Europarat (Art. 10 Abs. 2 revidiertes Übereinkommen 108) und die EU vor (Art. 35 DSGVO). Zahlreiche europäische Rechtsordnungen waren bereits vor Inkrafttreten der DSGVO mit der Idee einer (zumeist freiwilligen) Persönlichkeitsschutz-Folgenabschätzung vertraut. Im Madrider Übereinkommen von 2009 (Art. 22 lit. h) wurde diese Idee erstmals global festgehalten. International propagiert besonders Kanada das Konzept der Persönlichkeitsschutz-Folgenabschätzung.
Die Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden (Art. 20 Abs. 1 E-DSG). Dabei muss die Arbeitgeberin systematisch die möglichen Risiken eines Projekts für die Persönlichkeit des Betroffenen evaluieren und Massnahmen finden, um die Auswirkungen auf ihn zu mildern. Es handelt sich bei der Pflicht zur Datenschutz-Folgenabschätzung um eine Professionalisierungsmassnahme, weil sie die Arbeitgeberin dazu veranlasst, den Datenschutz schon ab Beginn der Datenbearbeitung umzusetzen. Zudem trägt die Norm zufolge ihrer expliziten Bezugnahme auf ein allfällig «hohes Risiko» einer Datenbearbeitung dazu bei, die vorliegend geäusserte Forderung nach mehr Risikoorientierung zu erfüllen.
ii. Voraussetzungen
Eine Datenschutz-Folgenabschätzung muss vorgenommen werden, «wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann» (Art. 20 Abs. 1 Satz 1 E-DSG, Art. 22 Abs. 1 Satz 1 rev-DSG), dies im Unterschied zum Datenschutz durch Technik und zu den datenschutzfreundlichen Voreinstellungen, die jederzeit einzuhalten sind. Das hohe Risiko ergibt sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung (Art. 20 Abs. 2 Satz 1 E-DSG, Art. 22 Abs. 2 Satz 1 rev-DSG). Wann die Relevanzschwelle des hohen Risikos erreicht ist, definiert das Gesetz nicht. Es empfiehlt sich daher, für die Abschätzung des Risikos die vorliegend erarbeiteten Parameter auf den Einzelfall anzuwenden.
Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht nicht nur, wenn eine Einzelfallprüfung ergibt, dass hohe Risiken voraussehbar sind, sondern namentlich auch, wenn eines der beiden Regelbeispiele (vgl. Art. 20 Abs. 2 lit. a–c E-DSG, Art. 22 Abs. 2 lit. a–b rev-DSG) verwirklicht ist. Hierzu zählt, erstens, die umfangreiche Bearbeitung besonders schützenswerter Personendaten (Art. 20 Abs. 2 lit. a E-DSG, Art. 22 Abs. 2 lit. a rev-DSG). Für die Bedeutung des Merkmals «umfangreich» kann auf die bereits gemachten Ausführungen verwiesen werden.
Zweitens, eine systematische umfangreiche Überwachung öffentlicher Bereiche birgt ebenfalls ein hohes Risiko (Art. 20 Abs. 2 lit. c E-DSG, Art. 22 Abs. 2 lit. b rev-DSG). Hierzu zählt beispielsweise die Videoüberwachung des Empfangsraums in einer Arztpraxis. Offen ist, ob im Umkehrschluss die Videoüberwachung in nicht öffentlich zugänglichen Bereichen oder eine Videoüberwachung öffentlich zugänglicher Bereiche, die nur einen begrenzten Bereich erfasst (z.B. eine Kamera, die nur bei Nutzung einer Türklingel aktiviert wird), keiner Folgenabschätzung bedarf. Nach der hier vertretenen Ansicht, die von einer risikoorientierten Auslegung des DSG ausgeht, besteht in solchen Fällen oft ein geringeres Verletzungsrisiko, weshalb eine Datenschutz-Folgenabschätzung in der Regel nicht notwendig ist.
iii. Umsetzung
Die Datenschutz-Folgenabschätzung muss zum frühestmöglichen Zeitpunkt bereits in der Entwicklungsphase der Bearbeitungstätigkeiten beginnen, selbst wenn einige der Bearbeitungsvorgänge noch nicht bekannt sind. Während des folgenden Projektablaufs muss sie kontinuierlich aktualisiert werden.
In persönlicher Hinsicht sollte die jeweilige Projektverantwortliche darüber entscheiden, ob, in welchem Umfang und mit welchen Beteiligten eine Datenschutz-Folgenabschätzung durchgeführt wird. Damit sich die Datenschutz-Folgenabschätzung in der Praxis erfolgreich durchsetzt, ist zudem erforderlich, dass sie von der Führungsebene unterstützt wird und ein hochrangiger Datenschutzexperte im Unternehmen existiert.
Der Prozess einer Datenschutz-Folgenabschätzung gliedert sich entsprechend der allgemeinen Doktrin zum Risikomanagement in die folgenden fünf Schritte: Definition einer Risikopolitik, Identifizierung und Analyse der Risiken, Risikobewertung, Ergreifung von Massnahmen zur Risikosteuerung sowie Risikoüberwachung und Reporting (vgl. Art. 20 Abs. 3 E-DSG, Art. 22 Abs. 3 rev-DSG). Die Resultate sind in einem Bericht festzuhalten.
Der Prüfradius der Datenschutz-Folgenabschätzung ist – entsprechend dem Gesetzeszweck (Art. 1 E-DSG, Art. 1 rev-DSG) – grundsätzlich auf den Schutz personenbezogener Daten der jeweils betroffenen Person beschränkt. Jedoch wäre es erstrebenswert, in der Datenschutz-Folgenabschätzung auch die Folgeerscheinungen einer Persönlichkeitsverletzung für Gruppen und die Gesellschaft sowie für das Gesamtunternehmen zu beurteilen.
iv. Konsultationen des EDÖB und der Arbeitnehmer
Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hätte, wenn die Verantwortliche keine Massnahmen träfe, so holt sie vorgängig die Stellungnahme des EDÖB ein (Art. 21 Abs. 1 E-DSG, Art. 23 Abs. 1 rev-DSG). Auch die EU sieht eine entsprechende obligatorische vorherige Konsultation der Aufsichtsbehörde vor (Art. 36 Abs. 1 DSGVO), und der Europarat empfiehlt eine solche Konsultation.
Die private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn sie den Datenschutzberater konsultiert hat (Art. 21 Abs. 4 E-DSG, Art. 23 Abs. 4 rev-DSG). Es gibt somit keine Pflicht, den Datenschutzberater bei einer Datenschutz-Folgenabschätzung zu konsultieren. Im Gegensatz dazu verpflichtet die DSGVO die Verantwortliche bei der Durchführung der Datenschutz-Folgenabschätzung zum Einholen des Rates des Datenschutzbeauftragten, sofern ein solcher vorgängig benannt wurde (Art. 35 Abs. 2 DSGVO).
Die DSGVO statuiert zudem eine Pflicht, gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Datenbearbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Bearbeitungsvorgänge einzuholen (Art. 35 Abs. 9 DSGVO). Der Einbezug der Individuen bedeutet, dass sich nicht nur Experten, wie die Aufsichts-behörde und der interne Datenschutzbeauftragte, mit der Datenbearbeitung auseinandersetzen. Im vorliegenden Kontext bedeutet dies, dass die Arbeitnehmervertretung und/oder die Gewerkschaft zu Rate zu ziehen ist. Eine derartige Konsultationspflicht verordnet der E-DSG nicht. Jedoch verleiht das Mitwirkungsrecht der Belegschaft ein Mitspracherecht. Dieses gilt umfassend bzgl. aller Fragen des Arbeitnehmer-Gesundheitsschutzes; es dürfte tendenziell grosszügiger sein als das unter europäischem Datenschutzrecht vorgesehene Mitspracherecht, das nur bei Datenbearbeitungen mit hohen Risiken gilt.
Die Verantwortliche wird nicht ausdrücklich verpflichtet, die eingeholten Vorschläge umzusetzen. Soweit jedoch den Empfehlungen des betrieblichen Datenschutzberaters nicht gefolgt wird, ist davon auszugehen, dass allfällige Datenschutzverletzungen vorsätzlich begangen werden. Deshalb empfiehlt es sich, zumindest die Gründe für die Handlungen oder Unterlassungen der Verantwortlichen zu dokumentieren, dies in Anlehnung an das Arbeitsrecht, das eine Begründungspflicht statuiert, falls die Ratschläge der Arbeitnehmer ignoriert werden.
Die verschiedenen mit der Datenschutz-Folgenabschätzung verbundenen Konsultationspflichten vermitteln den konsultierten Parteien die Informationen, die sie benötigen, um die Einhaltung des DSG zu kontrollieren. Dies ist auch für die vorliegend verlangte Demokratisierung förderlich.
v. Fehlende Publizität des Berichts zur Datenschutz-Folgenabschätzung
Der E-DSG enthält keine Anweisung, den Bericht über die Datenschutz-Folgen-abschätzung zu veröffentlichen. Zwar bringt der Umstand, dass die Verantwortliche selbst oder von ihr beauftragte Personen die Folgenabschätzung durchführen, den Vorteil mit sich, dass Geschäftsgeheimnisse geschützt bleiben. Doch sollte die Folgenabschätzung in einem «Geist der Offenheit» angegangen werden. Ideal wäre es daher, auch mit Blick auf den Transparenzgrundsatz, die wesentlichen Teile der Folgenabschätzung den interessierten Parteien zugänglich zu machen.
dd) Datenschutzberater
Private Verantwortliche können einen Datenschutzberater ernennen (Art. 9 Abs. 1 E-DSG, Art. 10 rev-DSG). Bereits unter dem bisherigen Recht besteht die Möglichkeit, einen sog. «Datenschutzverantwortlichen» zu bezeichnen, der unabhängig die betriebsinterne Einhaltung der Datenschutzvorschriften überwacht und ein Verzeichnis der Datensammlungen führt (Art. 11a Abs. 5 lit. e DSG). Die Begriffe des Datenschutzberaters gemäss E-DSG und des Datenschutzverantwortlichen gemäss DSG werden vorliegend gleichbedeutend verwendet.
Die Ernennung des Datenschutzberaters ist in der Schweiz freiwillig. Dabei wird kritisiert, dass Unternehmen rechtlich keinen Vorteil davon tragen, wenn sie eine Stelle für einen betrieblichen Datenschutzberater schaffen. Es bräuchte mehr Anreize, beispielsweise könnten im öffentlich-rechtlichen Beschaffungswesen Bearbeiterinnen bevorzugt werden, die über einen unabhängigen Datenschutzberater verfügen. Auch könnten Unternehmen mit einem Datenschutzberater von gewissen Berichts- oder Registrierungspflichten befreit werden. Beispielsweise ist es zu begrüssen, dass künftig Unternehmen mit einem Datenschutzberater von der Pflicht befreit werden, den EDÖB zu konsultieren, wenn eine Datenschutz-Folgenabschätzung auf ein hohes persönlichkeitsschutzrechtliches Risiko hindeutet (vgl. Art. 21 Abs. 4 i.V.m. Art. 9 E-DSG; Art. 23 Abs. 3 i.V.m. Art. 10 rev-DSG).
Der hauptsächliche Unterschied des europäischen zum Schweizer Recht bzgl. des Datenschutzberaters besteht in der Verbindlichkeit. Im Rahmen der DSGVO ist ein sog. «Datenschutzbeauftragter», das Pendant zum schweizerischen Datenschutzberater, unter gewissen Voraussetzungen «auf jeden Fall» zu benennen (vgl. Art. 37 Abs. 1 DSGVO). 2002 beschäftigte erst jedes fünfte Schweizer Unternehmen (21 Prozent) einen eigenen Datenschutzberater. Durch die DSGVO sind indessen 3’682 zusätzliche Datenschutzberater für Schweizer Unternehmen erforderlich geworden.
Im Übrigen sind die Anforderungen an den Datenschutzberater gemäss rev-DSG und an den Datenschutzbeauftragten gemäss DSGVO ähnlich: Erstens, er muss seine Funktion fachlich unabhängig ausüben können und darf gegenüber der Verantwortlichen nicht weisungsgebunden sein (Art. 9 Abs. 2 lit. a E-DSG, Art. 10 Abs. 3 lit. a rev-DSG, Art. 38 Abs. 3 DSGVO). Es ist nach vorliegender Auffassung zu konkretisieren, dass die Weisungsfreiheit in Bezug auf Fragen des Datenschutzes und der Datensicherheit beschränkt ist. Ist der Datenschutzberater ein interner Mitarbeiter, sollte das Unternehmen ihn direkt der Geschäftsleitung unterstellen, um ihm die unabhängige Ausübung seiner Beratungs- und Kontrollfunktion zu ermöglichen. Nicht vorgesehen ist ein Sonderkündigungsschutz, wie ihn etwa der betriebliche Datenschutzbeauftragte unter deutschem Recht geniesst. Zweitens, der Datenschutzberater darf keine Tätigkeit ausüben, die mit seinen Aufgaben als Datenschutzberater unvereinbar sind (Art. 9 Abs. 2 lit. b E-DSG, Art. 10 Abs. 3 lit. b rev-DSG, Art. 38 Abs. 6 DSGVO). Es darf somit nicht zu Interessenkonflikten kommen. Drittens, der Datenschutzberater muss über die erforderlichen Fachkenntnisse verfügen (Art. 9 Abs. 2 lit. c E-DSG, Art. 10 Abs. 3 lit. c rev-DSG, Art. 37 Abs. 5 DSGVO) – eine Tugend, die vorliegend bereits mehrfach inständig reklamiert wurde. Bei der Fachkenntnis handelt es sich um einen unbestimmten Rechtsbegriff. Einerseits wird rechtliche Kenntnis der Datenschutzgesetzgebung erwartet, andererseits technische Kenntnisse, welche dazu befähigen, die Umsetzung des Datenschutzrechts wirksam zu begleiten und zu überwachen. Viertens, die Kontaktdaten des Datenschutz-beraters sind zu veröffentlichen und dem EDÖB mitzuteilen (Art. 9 Abs. 2 lit. d E-DSG, Art. 10 Abs. 3 lit. d rev-DSG, Art. 37 Abs. 7 DSGVO).
Ein Unternehmen, das einen Datenschutzberater anstellt, unternimmt einen Schritt in Richtung Professionalisierung, da der Datenschutzberater mit seiner Fachkenntnis darauf hinwirken kann, dass die Arbeitgeberin das Datenschutzrecht laufend einhält. Es wäre deswegen zu begrüssen, wenn die Zusammenarbeit mit einem Datenschutzberater in gewissen Fällen für verbindlich erklärt würde oder wenn wenigstens konkretere Anreize zur freiwilligen Ernennung eines Datenschutzberaters gesetzt würden.
ee) Förderung der regulierten Selbstregulierung
Die regulierte Selbstregulierung muss gefördert werden. Bei der regulierten Selbstregulierung stellt der Staat den Privaten einen strukturierten regulativen Rahmen bereit, der die spezifischen Regulierungsziele, -instrumente und -instanzen festlegt. Durch diesen Rahmen steht den selbstregulierenden Privaten zwar ein Spielraum für die Optionenkonkretisierung und -wahl zur Verfügung, doch dieser wird zugleich dadurch eingeengt, dass der Staat selbst die verfügbaren Optionen strukturiert. Der grösste Vorteil der Selbstregulierung besteht darin, dass die Datenschutz-Expertise direkt in den Unternehmen wächst. Die Arbeitgeberin setzt sich dank der Möglichkeit zur legislatorischen Mitgestaltung proaktiv mit dem Datenschutzrecht auseinander, wodurch die vorliegend verlangte Professionalisierung zunimmt. Zudem entstehen kontextrelevante, branchenspezifische Präzisierungen, die Rechtssicherheit schaffen. Diese Vorteile sind für eine sektorspezifische Datenschutzregulierung charakteristisch, wie sie etwa in den USA existiert. Sie könnten aber auf dem Wege der regulierten Selbstregulierung auch unter dem schweizerischen DSG und der europäischen DSGVO genutzt werden. Das DSG und die DSGVO stellen Omnibus-Erlasse dar, die auf alle Datenbearbeitungen anwendbar und daher abstrakter formuliert sind. Selbstregulierungsnormen, die die Branchenvertreter persönlich ausgehandelt haben, dürften ferner in der Branche auf höhere Akzeptanz stossen. Ein weiterer Vorteil der Selbstregulierung besteht in einem flexiblen Normsetzungsverfahren. Anreize wie diese sind erforderlich, um das Datenschutzrecht zu beleben.
Eine Möglichkeit zur regulierten Selbstregulierung sind Verhaltenskodizes. Berufs- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, sowie Bundesorgane können dem EDÖB einen Verhaltenskodex zur Stellungnahme vorlegen (Art. 10 Abs. 1 E-DSG, Art. 11 Abs. 1 rev-DSG). Da der Verhaltenskodex vom Berufs- oder Wirtschaftsverband ausgearbeitet wird, reicht seine Geltung weiter als unternehmensinterne Datenschutzrichtlinien, die bereits eine deutliche Mehrheit der Schweizer Unternehmen besitzt. Es gibt bereits erste Beispiele von Verhaltenskodizes betreffend das Datenschutzrecht.
Ebenfalls in die Richtung einer Selbstregulierung zielt die Möglichkeit, dass die Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen können (Art. 12 Abs. 1 E-DSG, Art. 13 Abs. 1 rev-DSG, vgl. Art. 11 Abs. 1 DSG). Die Zertifizierung ist freiwillig. Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen (Art. 12 Abs. 2 E-DSG, Art. 13 Abs. 2 rev-DSG). Wegweisend können dabei die Empfehlungen der ENISA für Zertifizierungen gemäss Art. 42 DSGVO sein. Des Weiteren können private, nicht offiziell anerkannte Standards konsultiert werden, wie beispielsweise die Normen des schweizerischen Vereins ISO, das deutsche EuroPriSe (European Privacy Seal), die nordamerikanischen TRUSTe, BBBOnLine des Better BusinessBureau und WebTrust oder das PrivacyMark aus Japan. Im EU-Raum gibt es, soweit ersichtlich, noch keine DSGVO‐konformen Zertifizierungen. Zertifizierungen könnten stärker gefördert werden mit Anreizen, wie vorstehend bzgl. der Förderung der Datenschutzberaterstellen diskutiert wurde. Einen solchen Anreiz wird es gemäss rev-DSG bald geben: Unternehmen, die über ein Zertifikat verfügen oder einen Verhaltenskodex befolgen, werden unter gewissen Bedingungen von der Erstellung einer Datenschutz-Folgenabschätzung befreit sein (vgl. Art. 20 Abs. 5 E-DSG, Art. 22 Abs. 5 rev-DSG).
ff) Verzeichnis-, Informations- und Meldepflicht
Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten (Art. 11 Abs. 1 E-DSG, Art. 12 Abs. 1 rev-DSG). Diese Pflicht statuiert auch das europäische Datenschutzrecht (vgl. Art. 30 DSGVO). Der Bundesrat sieht jedoch Ausnahmen für Unternehmen vor (Art. 11 Abs. 5 E-DSG, Art. 12 Abs. 5 rev-DSG). Das Parlament hat beschlossen, dass die Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern gelten sollen, d.h. für 99,73 Prozent der Schweizer Unternehmen. Es ist daher davon auszugehen, dass die Verzeichnispflicht selten anwendbar sein wird. Immerhin gilt die Verzeichnispflicht auch bei kleinen Unternehmen, sofern ihre Datenbearbeitung mehr als ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringt (Art. 11 Abs. 5 E-DSG bzw. Art. 12 Abs. 5 rev-DSG e contrario).
Die Verantwortliche informiert die betroffene Person über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden (Art. 17 Abs. 1 E-DSG, Art. 19 Abs. 1 rev-DSG). Die Arbeitgeberin sollte in einem internen, für alle Arbeitnehmer zugänglichen Reglement offenlegen, welche Daten sie bei People Analytics verwendet. Transparenz, Erklärungen und Verzeichnisse der Bearbeitungstätigkeiten können das Vertrauen der Arbeitnehmer in das Unternehmen erhöhen. Da die Vermittlung der komplexen Sachverhalte von People Analytics aber nicht immer sinnvoll ist, sollte die Informationspflicht im vorstehend beschriebenen Sinn restriktiv ausgelegt werden.
Die Verantwortliche meldet eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt, dem EDÖB so rasch als möglich (Art. 22 Abs. 1 E-DSG, Art. 24 Abs. 1 rev-DSG). Die Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt (Art. 22 Abs. 4 E-DSG, Art. 24 Abs. 4 rev-DSG). Eine entsprechende Meldung (data breach notification, Art. 33 DSGVO) und eine Benachrichtigung (Art. 34DSGVO) sieht auch die DSGVO vor.
Die Verzeichnis-, Informations- und Meldepflicht stellen Professionalisierungsmassnahmen dar: Sie verpflichten die Arbeitgeberin, von Anfang an den Überblick über die eigenen Datenbearbeitungstätigkeiten und die Datensicherheit zu behalten, sowie dazu, gegebenenfalls die Betroffenen oder den EDÖB zu benachrichtigen. Die Pflichten dienen indirekt aber auch der Demokratisierung, weil beispielsweise die Meldung dem EDÖB die nötigen Grundlagen verschafft, um gegebenenfalls gegen die Datenbearbeitung einzuschreiten.
b) Weitere Professionalisierungsvorschläge
aa) Rechenschaftspflicht
Die europäische Datenschutzordnung sieht neu explizit eine sog. Rechenschaftspflicht (accountability) vor, sodass die Arbeitgeberin für die Einhaltung der Datenschutz-Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss (vgl. Art. 5 Abs. 2 DSGVO). Die systematische Stellung der Rechenschaftspflicht in einem gesonderten Absatz (Art. 5 Abs. 2 DSGVO) verdeutlicht, dass es sich dabei um ein übergeordnetes Prinzip von besonderer Wichtigkeit handelt, das gleichermassen in Bezug auf alle restlichen sechs Grundsätze der DSGVO (vgl. Art. 5 Abs. 1 DSGVO) gilt.
Es fällt schwer, den Begriff «accountability» in einem Wort ins Deutsche zu übersetzen. Die in der deutschsprachigen DSGVO-Version bezeichnete «Rechenschaftspflicht» ist ganz allgemein die Pflicht zur Rechnungslegung. Diese wiederum ist eine Auskunft über die näheren Umstände oder Gründe eines Sachverhalts, wofür man verantwortlich ist.
Im rechtlichen Sinn ist unter der Rechenschaft zunächst die Verantwortlichkeit bzw. die Haftung (liability) zu verstehen. Sie ist bereits Bestandteil des geltenden Datenschutzrechts (vgl. Art. 82 DSGVO, vgl. aber auch Art. 15 DSG bzw. Art. 28 E-DSG bzw. Art. 32 rev-DSG i.V.m. Art. 28a Abs. 3 ZGB).
Zusätzlich aber impliziert die Rechenschaftslegung eine Dokumentationspflicht und einen Prozess der transparenten Interaktion mit jemandem, der die Datenbearbeitung überprüfen will. Es genügt somit nicht, die Regeln einzuhalten; Unternehmen müssen die Einhaltung des Gesetzes jederzeit nachweisen können. Dies veranlasst die Arbeitgeberin dazu, das Datenschutzrecht ab Beginn der Bearbeitung zu befolgen, und ist somit als Professionalisierungsmassnahme zu begrüssen. Die Dokumentationspflicht führt letztlich dazu, dass die Verantwortliche bzw. im Fall von People Analytics die Arbeitgeberin die Beweislast für die Einhaltung der datenschutzrechtlichen Pflichten trägt. Dies gilt sowohl gegenüber der Aufsichtsbehörde als auch im Zivilverfahren. Folgerichtig wird für Schadenersatzklagen eine Verschuldensvermutung statuiert (siehe Art. 82 Abs. 3 DSGVO). Der Kläger bleibt aber für den Eintritt des Schadens und den Kausalzusammenhang beweispflichtig. Die explizite Verankerung des Grundsatzes der Rechenschaftspflicht und damit einer Beweislastumkehr ist eine der wichtigsten Neuerungen des EU-Rechts gegenüber der Vorgängerrichtlinie 95/46/EG. Die Rechenschaftspflicht verlagert die Verantwortung für den Schutz der Privatsphäre vom informationell selbstbestimmt handelnden Betroffenen auf die Datenbearbeiterin.
Eine vorstellbare Umsetzungsform der Rechenschaftspflicht besteht in einem personalisierten Übersichtsfenster (dashboard), das für den Anfragenden grafisch aufarbeitet, welche Daten über ihn das Unternehmen wie lange speichert. Zusätzlich braucht es eine Verpflichtung der Organisation zur Rechenschaftslegung mittels eines internen Reglements und Schulungen.
Das rev-DSG sieht nicht explizit eine Rechenschaftspflicht mit genereller Beweislastumkehr vor. Dies ist zu bedauern, da sich Persönlichkeitsschutz- und Diskriminierungsklagen erheblichen Beweisschwierigkeiten ausgesetzt sehen. Im Bereich der Grundrechte ist die Beweislastumkehr aber international vorgegeben: Die EGMR-Rechtsprechung zum Recht auf Achtung des Privat- und Familienlebens (Art. 8 EMRK) anerkennt eine Beweislast der Arbeitgeberin. Da sich die Schweiz zur Einhaltung der EMRK verpflichtet hat, muss in der Konsequenz in der Schweiz zumindest in öffentlich-rechtlichen Arbeitsverhältnissen die Arbeitgeberin die Beweislast für die Einhaltung des Grundrechts auf Achtung des Privat- und Familienlebens tragen. Nach der hier vertretenen Meinung sollte auch die privatrechtliche Arbeitgeberin die Einhaltung des Datenschutzgesetzes beweisen müssen, da sie als Datenbearbeiterin über die notwendigen Informationen verfügt. Zudem wirkt es professionell und vertrauensfördernd, wenn sie imstande ist, darzulegen, wie sie bei der Datenbearbeitung vorgeht, und dass sie dabei das Gesetz einhält.
bb) Lösungen gegen algorithmische Diskriminierungen
Zur Professionalisierung gehört auch, dass sich die Arbeitgeberin der beschriebenen komplexen diskriminierungsrechtlichen Probleme annimmt. Vorab ist klarzustellen, dass es keine taugliche Lösung ist, einfach alle diskriminierungssensiblen Variablen (z.B. Geschlecht, Alter, Religion) zu löschen. Denn durch das Weglassen dieser Einzelheiten kann es zu einer ungerechtfertigten Gleichbehandlung von Ungleichem kommen. So kann es beispielsweise für die gerechte Beurteilung der Arbeitsleistung angezeigt sein, das Lebensalter zu berücksichtigen und zwischen Jung und Alt zu unterscheiden. Zudem wird der Datensatz selbst bei einer Löschung der Daten über die verpönten Merkmale noch Informationen enthalten, die mit den geschützten Attributen korrelieren, wodurch die Gefahr einer Proxy-Diskriminierung nicht gebannt ist. Ein Analysesystem muss die Daten zu den diskriminierungssensiblen Persönlichkeitsmerkmalen somit erfassen und speichern, um darauf Rücksicht nehmen zu können. Denkbar ist jedoch, dass, nachdem ein Modell unter Einbezug der diskriminierungssensiblen Daten erstellt worden ist, die Information zum geschützten Merkmal nicht mehr als Eingabe für die Entscheidfindung erforderlich ist.
Technische Lösungen zur Behebung von Diskriminierungsrisiken bestehen etwa in der Aufnahme bestimmter Quotierungsziele in die Algorithmenprogrammierung (z.B. bevorzugte Einstellung von Angehörigen einer Minderheit bei gleicher Qualifikation, vorausgesetzt es liegt kein atypischer Fall vor). Auch weitere Techniken zur Abwendung von Diskriminierungen stehen bereit.
Technische Lösungen allein genügen aber nicht zur Bekämpfung von Diskriminierungen. Ein rechtliches Mittel gegen Diskriminierungen wäre die Einführung eines arbeitsrechtlichen Diskriminierungsverbots, das auch vor Lifestyle-Diskriminierungen schützt, welches jedoch wie erwähnt kaum politische Chancen hat. Das Recht könnte zur Minimierung von Diskriminierungsrisiken zudem rassistisch motivierte Absagen bei Bewerbungen als Straftat behandeln (vgl. Art. 261bis Abs. 5 StGB), wie von PÄRLI vorgeschlagen. Ferner könnte der Urheberrechtsschutz für die Analytik-Industrie gelockert werden, sodass die Verzerrungen wegfallen, welche dadurch entstehen, dass ein Algorithmus urheberrechtlich geschützte Daten nicht bearbeiten darf.
cc) Schulungen
People Analytics bringt neue Probleme hervor, die aufgrund der verschiedenen betroffenen Rechtsgebiete, des technischen Hintergrunds und möglicherweise zwischenmenschlicher Reibungen äusserst komplex sein können. Zu fordern ist daher, dass alle Angestellten, die Daten auf risikoreiche Art bearbeiten, insbesondere die Führungskräfte, Schulungen durchlaufen. Nur wenn die mit den Daten umgehenden Menschen das nötige Wissen mitbringen, kann ein Unternehmen das Datenschutzrecht im Sinne der Professionalisierung schon ab Beginn der Bearbeitungstätigkeiten einhalten. Es bräuchte entweder eine gesetzliche Pflicht zur Schulung oder aber genügend Anreize, damit Schulungen freiwillig besucht werden.
Ein wesentliches Ziel einer Schulung sollte darin bestehen, dass die Verantwortlichen die Hoheit über die Technik behalten, sodass ein Algorithmus Personalentscheide nicht über Gebühr beeinflusst. Zu einem sorgfältigen Umgang mit Algorithmen gehört es, dass die Selektionskriterien wie in einem Polizeiverhör möglichst eng gehalten werden; man kann einen Algorithmus nicht wie einen fachkundigen Unternehmensberater einfach befragen: «Was sollen wir in unserer Organisation besser machen?» Die Arbeitgeberin wird nützliche Resultate nur erhalten, wenn sie spezifische Fragen stellt, die sich in eine Programmiersprache übersetzen lassen.
Schulungs-, Seminar- und Weiterbildungsangebote finden sich zuhauf im Internet. Besonders praxisorientierte (Fach-)Hochschulen sind in diesem Bereich aktiv. Beispielhaft sei es gestattet, an die Tagung «Big Data am Arbeitsplatz – Arbeits- und datenschutzrechtliche Fragen rund um Workforce Analytics» vom 16.10.2018 in Zürich zu erinnern, die der Autor zusammen mit seiner Doktormutter organisieren und durchführen durfte. Die Tagung zog Personen an, die die Weiterbildung zum Fachanwalt Arbeitsrecht absolvierten, sowie Datenschutz- und Compliance-Verantwortliche, Unternehmensjuristen, die mit Personalfragen konfrontiert sind, und HR-Verantwortliche.
7.3.3 Demokratisierungsvorschläge
a) Befähigung der einzelnen Arbeitnehmer
aa) Technologische «Werkzeuge»
Nach der Diskussion der Professionalisierungsmassnahmen ist nun zu prüfen, welche Kontrollrechte die der Arbeitgeberin entgegengesetzte Seite benötigt, um effektiv auf die Einhaltung des Datenschutzrechts bei People Analytics hinzuwirken. Auf der Ebene der einzelnen betroffenen Arbeitnehmer ist hier ganz praktisch zu beginnen: Gemäss Apple-CEO Tim Cook genügen Gesetze allein nicht, damit die Individuen von ihrer Privatsphäre im digitalen Zeitalter Gebrauch machen können: «We also need to give people tools that they can use to take action.» Jederbraucht einfache (nicht rechtliche, sondern technologische) «Werkzeuge», um die eigenen Datenbearbeitungspräferenzen ohne Zeitverlust zu kommunizieren und durchzusetzen. Die beschriebenen, simplen Menüs zur Steuerung der Cookies sind ein erster Ansatz hierfür. Einen Schritt weiter gehen Lösungen, bei denen der Benutzer durch einmaliges Setzen genereller Einstellungen steuern kann, von wem er wie «getrackt» werden darf. Beispielsweise können solche Einstellungen im Browser oder über eine dafür spezialisierte Plattform vorgenommen werden. Die Entwicklung weiterer solcher Werkzeuge sollte durch die Technologieunternehmen vorangetrieben und durch den Staat mittels geeigneter Rahmenbedingungen gefördert werden.
bb) Rechtliche Verbesserungen für Individuen
Die rechtliche Stellung der Individuen soll gemäss rev-DSG verbessert werden. Mit der Umsetzung des rev-DSG ist eine Änderung der ZPO verbunden, um die zivilrechtlich klagende Partei bei Streitigkeiten nach dem DSG von der Leistung einer Sicherheit für die Parteientschädigung und von den Gerichtskosten zu befreien. Ferner wäre es eine Überlegung wert, ob für Auskunftsbegehren (Art. 8 DSG, Art. 23 E-DSG, Art. 25 rev-DSG) das summarische Verfahren (Art. 248 ZPO) an die Stelle des derzeit vorgesehenen vereinfachten Verfahrens (Art. 243 Abs. 2 lit. d ZPO) treten könnte, weil es einen einfacheren und schnelleren Rechtsschutz bietet. Wenn man der hier vertretenen Auffassung folgt, dass die Arbeitgeberin jederzeit nachweisen können muss, dass sie das Datenschutzrecht einhält, müssten in der Regel auch die Beweismittel liquide sein, sodass ein summarisches Verfahren möglich wird. Insgesamt aber gelten für die vorliegend interessierenden Streitigkeiten im Schnittbereich zwischen Datenschutz- und Arbeitsrecht bereits bislang erleichterte Bedingungen, und trotzdem kommt es selten zu Individualklagen. Deshalb dürfte den genannten rechtlichen Verbesserungsvorschlägen ein geringes Potenzial innewohnen.
b) Stärkung der Arbeitnehmervertretungen und -verbände
aa) Stärkung der Mitwirkung
Unter der Berücksichtigung, dass die Arbeitnehmer die wesentlichen Datenlieferanten von People Analytics sind, ist im Rahmen der hier vorgeschlagenen Demokratisierung eine Stärkung der Rechte der Arbeitnehmervertretungen und -verbände naheliegend. Dies wird auch im nationalrätlichen Postulat «Mitbestimmung und Mitarbeitendenrechte bei der Digitalisierung der Arbeitswelt» vorgeschlagen.
Zunächst könnte die institutionelle Stellung der Arbeitnehmervertretungen und -verbände verbessert werden. Erinnert sei an die möglichen Schwierigkeiten bei der Konstitution der Arbeitnehmervertretung. Eine obligatorische Arbeitnehmervertretung für Betriebe ab hundert Angestellten könnte dieses Problem abdämpfen. In grösseren Betrieben könnte die Zusammenarbeit zwischen der Arbeitgeberin und der Belegschaft institutionalisiert werden in Form einer aus Mitgliedern der Arbeitnehmervertretung und der Unternehmensleitung paritätisch zusammengesetzten Kommission für Arbeitssicherheit und Gesundheitsschutz. Zudem gäbe es die Option, dem Personal eine angemessene Vertretung im Verwaltungsrat zu gewähren. Bei der Schweizerischen Post haben zwei Gewerkschaften, die auch GAV-Parteien der Post sind, je einen Sitz im Verwaltungsrat (vgl. Art. 8 Abs. 3 POG).
Sodann ist eine Verbesserung der eigentlichen Mitwirkung möglich. Es könnte ein Anspruch festgehalten werden, dass die Arbeitgeberin nur im Beisein eines Arbeitnehmervertreters auf die Überwachungsdaten zugreift. Des Weiteren kann die wirksame Vertretung der Interessen aufgrund der komplexen Sachverhalte von People Analytics erhöhte Fachkenntnis voraussetzen, die die Arbeitnehmervertretung nicht immer hat. Deshalb ist ein Recht der Arbeitnehmervertretung auf Beizug eines internen oder externen Sachverständigen, wie dies das deutsche Recht vorsieht, prüfenswert. Sind diese beiden Vorschläge umgesetzt, ist zu reflektieren, ob die Einführung eines Mitentscheidungsrechts sachgerecht wäre.
Schliesslich ist zu überlegen, ob ein Verstoss gegen die Mitwirkungsrechte sanktioniert werden sollte. Als Sanktionen könnten verwaltungsstrafrechtliche Bussen gesetzlich vorgesehen werden. Dies würde einen rechtssystematischen Wandel weg von einem privatrechtlich, hin zu einem öffentlich-rechtlich konzipierten MitwG bedeuten.
Es handelt sich bei der Stärkung der Mitwirkungsrechte der Arbeitnehmervertretungen und -verbände um eine Demokratisierungsmassnahme, da eine der Arbeitgeberin entgegengesetzte Partei Kontrollinstrumente erhält, um indirekt via Mitwirkungsrecht auf die Einhaltung des Datenschutzrechts hinzuwirken. Das Mitwirkungsrecht erscheint besonders vielversprechend, weil es den Arbeitnehmern ermöglicht, schon in der Planungsphase eines People Analytics-Projekts, d.h. ex ante, das Datenschutzrecht durchzusetzen.
bb) Finanzielle Mitarbeiterbeteiligung
People Analytics kann die Betriebseffizienz und den Unternehmensgewinn steigern. Dies kann bei den Mitarbeitern die Begehrlichkeit nach einem Anteil am gesteigerten Gewinn wecken, da sie neu neben Arbeit auch ihre Daten beitragen. Ein Interesse an einer solchen Bezahlung könnten insbesondere schlecht bezahlte Arbeitnehmer haben. In einem kreativen Gedankenspiel setzen sich POSNER und WEYL dafür ein, das Gewähren der Datenerhebung als Arbeit zu entschädigen (data as labor). Erfolgsabhängige Mitarbeiterbeteiligungen, beispielsweise ein Anteil am Geschäftsergebnis (Art. 322a OR), eine Provision (Art. 322b–c OR) oder eine Gratifikation (Art. 322d OR), sind dem schweizerischen Arbeitsrecht bereits vertraut. Sie werden vor allem mit leitenden Arbeitnehmenden vereinbart, welche aufgrund ihrer Position in der Gesellschaft einen unmittelbaren Einfluss auf das Geschäftsergebnis ausüben können und damit ein eigenes Interesse am Erfolg haben. Die Idee einer Entlohnung ist jedoch aus den gleichen Gründen zu verwerfen, aus denen auch Eigentums- und andere Herrschaftsrechte an Daten abzulehnen sind. Ein kalifornisches Gericht hat eine Klage abgewiesen, in der eine Nutzerin von Google eine Entschädigung mit der Begründung forderte, der Identifizierungsdienst reCAPTCHA zwinge sie zu unbezahlter Arbeit. Das Bedürfnis nach einer finanziellen Abgeltung relativiert sich insofern weiter, als der Bundesrat ohnehin mit steigenden Einkommen infolge höherer Arbeitsproduktivität als Folge der Digitalisierung rechnet. Eine Entschädigung überlässt den Mitarbeitern zudem eine passive Rolle; zum Schutz der Persönlichkeit ist es für die Arbeitnehmer nach hier vertretener Einschätzung wertvoller, sich aktiv an der Datenbearbeitungspolitik des Unternehmens beteiligen zu können. Eine finanzielle Mitarbeiterbeteiligung kann somit kaum auf das hier verfolgte Ziel der Demokratisierung, d.h. der wirksamen Durchsetzung des Datenschutzrechts durch die der Arbeitgeberin entgegengesetzten Parteien, hinwirken.
c) Stärkung des Staats
aa) Stärkung der Datenschutzaufsicht
Damit der EDÖB im Sinne der Demokratisierung auf die Einhaltung des Datenschutzrechts hinwirken kann, müssen seine gegenwärtig beschränkten Möglichkeiten verbessert werden. Der Rat der EU hat im Jahr 2018 die Anwendung des Schengen-Besitzstands in der Schweiz im Bereich des Datenschutzes evaluiert und Defizite festgestellt. Er empfahl darum der Schweiz, die Datenschützer mit mehr Personal und Kompetenzen zu versehen. Auch in der Schweiz ist verschiedentlich der Ruf nach einer besseren personellen und finanziellen Ausstattung des EDÖB und der kantonalen Datenschutz- und Öffentlichkeitsbeauftragten zu vernehmen. Der Bereich «Arbeit» verursacht gegenwärtig rund vier Prozent des Aufwands des EDÖB. Angesichts der steigenden Verbreitung von People Analytics könnte dieser Anteil künftig zunehmen. Das Problem akzentuiert sich angesichts der Tatsache, dass die meisten EU- und EWR-Mitgliedstaaten die Mittel ihrer jeweiligen Datenschutz-Aufsichtsbehörden zwischen 2018 und 2019 angesichts des Inkrafttretens der DSGVO erhöht haben. Eine starke finanzielle Basis ist aber erforderlich, weil der EDÖB sowohl von den Privaten als auch vom Staat unabhängig sein muss.
Nach der vorgesehenen Totalrevision des DSG werden die Kompetenzen des EDÖB gestärkt. Zwar entspricht die Kompetenz zur Führung von Untersuchungen (Art. 43 E-DSG, Art. 49 rev-DSG) noch weitgehend dem bisherigen Recht (vgl. Art. 29 DSG). Doch wenn das Bundesorgan oder die private Person den Mitwirkungspflichten nicht nachkommt, kann der EDÖB im Rahmen der Untersuchung Anordnungen treffen, die über das bisher Mögliche (vgl. Art. 29 Abs. 2 DSG) hinausgehen, nämlich insbesondere: Verschaffung des Zugangs zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkeiten und Personendaten, die für die Untersuchung erforderlich sind; Verschaffung des Zugangs zu den Räumlichkeiten und Anlagen; Zeugeneinvernahmen; sowie Begutachtungen durch Sachverständige (Art. 44 Abs. 1 lit. a–d E-DSG, Art. 50 Abs. 1 lit. a–d rev-DSG).
Der EDÖB kann für die Dauer der Untersuchung zudem vorsorgliche Massnahmen anordnen und sie durch eine Bundesbehörde oder die kantonalen oder kommunalen Polizeiorgane vollstrecken lassen (Art. 44 Abs. 2 E-DSG, Art. 50 Abs. 3 rev-DSG).
Liegt eine Verletzung von Datenschutzvorschriften vor, so kann der EDÖB verfügen, dass die Bearbeitung ganz oder teilweise angepasst, unterbrochen oder abgebrochen wird und die Personendaten ganz oder teilweise gelöscht oder vernichtet werden (Art. 45 Abs. 1 E-DSG, Art. 51 Abs. 1 rev-DSG). Eine nicht abschliessende («namentliche») Aufzählung von möglichen Anordnungen findet sich in Art. 45 Abs. 3 E-DSG bzw. Art. 51 Abs. 3 rev-DSG. Mit der Kompetenz, Verfügungen zu erlassen (Art. 46 Abs. 1 E-DSG bzw. Art. 52 Abs. 1 rev-DSG i.V.m. Art. 5 VwVG), ist der EDÖB nicht mehr auf ein Gericht angewiesen, das an seiner Stelle entscheidet, dass einer Empfehlung des EDÖB Folge geleistet werden muss (vgl. Art. 29 Abs. 4 DSG).
Hat das Bundesorgan oder die private Person während der Untersuchung die erforderlichen Massnahmen getroffen, um die Einhaltung der Datenschutzvorschriften wiederherzustellen, so kann der EDÖB sich darauf beschränken, eine Verwarnung auszusprechen (Art. 45 Abs. 4 E-DSG, Art. 51 Abs. 5 rev-DSG).
Die Position des EDÖB wird auch dadurch gestärkt, dass er zwingend konsultiert werden muss, wenn sich aus einer Datenschutz-Folgenabschätzung ergibt, dass die geplante Bearbeitung ein hohes Risiko birgt (Art. 21 Abs. 1 E-DSG, Art. 23 Abs. 1 rev-DSG) und kein Datenschutzberater konsultiert wird (Art. 21 Abs. 4 E-DSG, Art. 23 Abs. 4 rev-DSG).
bb) Stärkung der Strafbehörden
Die Tatbestände der Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten (Art. 54 E-DSG, Art. 60 rev-DSG) sowie der beruflichen Schweigepflicht (Art. 56 E-DSG, Art. 62 rev-DSG) sind bereits bisher unter Strafe gestellt. Neu werden auch die Verletzung der Sorgfaltspflicht (Art. 55 E-DSG, Art. 61 rev-DSG), das Missachten von Verfügungen (Art. 57 E-DSG, Art. 63 rev-DSG) und Widerhandlungen in Geschäftsbetrieben (Art. 58 E-DSG, Art. 64 rev-DSG) strafbar sein.
Der Strafrahmen wird um das 25-Fache erweitert. Die maximale Busse beträgt neu CHF 250’000 (Art. 54–57
E-DSG, Art. 60–63 rev-DSG).
Zuständig für die Verfolgung und Beurteilung strafbarer Handlungen in der Schweiz sind die kantonalen Strafverfolgungsbehörden (Art. 59 Abs. 1 E-DSG, Art. 65 Abs. 1 rev-DSG). Der EDÖB kann (lediglich) Strafanzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen (Art. 59 Abs. 2 E-DSG, Art. 65 Abs. 2 rev-DSG). Diese Kompetenzaufteilung widerspricht zwar der Grundregel der DSGVO, wonach für die Verhängung von Geldbussen die jeweiligen Aufsichtsbehörden der EU-Mitgliedstaaten zuständig sind (Art. 83 Abs. 1 i.V.m. Art. 4 Nr. 21 DSGVO). Jedoch ist eine Umsetzung der DSGVO dahingehend möglich, dass die Geldbusse von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird (Art. 83 Abs. 9 Satz 1 DSGVO). Damit ist die schweizerische Kompetenzzuweisung DSGVO-konform.
Insgesamt können die Strafbehörden vor allem ex post auf die Einhaltung des DSG hinwirken, da ein Strafverfahren erst eröffnet wird, wenn es bereits zur Datenschutzverletzung gekommen ist. Die höheren, abschreckenden Bussen dürften zudem eine gewisse präventive Wirkung zeigen. Nach der Meinung des Autors muss sich der Vorteil der schweizerischen Zweiteilung der Kompetenzen zwischen dem EDÖB und den Strafbehörden aber erst noch beweisen. Da die Sachverhalte und die rechtliche Beurteilung bei Datenschutzverletzungen oft komplex sind, erscheint es aufwendig, mit dem EDÖB in Bern und den jeweiligen Strafbehörden in den Kantonen zahlreiche Kompetenzzentren parallel zu betreiben. Im Kartellrecht, das sich ebenfalls durch vielschichtige Sachverhalte auszeichnet, verfügt die Wettbewerbskommission über die Kompetenz zur Verhängung von Verwaltungsbussen (Art. 18 Abs. 3 Satz 1 i.V.m. Art. 49a ff. KG). Eine solche Konzentration der Aufsichtstätigkeit wäre auch für das Datenschutzrecht prüfenswert.
cc) Staat als Diskursmoderator
Angesichts der tiefgreifenden Neuerungen, die People Analytics ins Arbeitsleben bringen wird, ist eine Aufklärung der Gesellschaft erforderlich. Besonders wertvoll wäre die Entwicklung einer rechtsstaatlich begleiteten Dialogkultur zwischen den Verantwortlichen, Betroffenen und übrigen Anspruchsgruppen bzw. Stakeholdern, einschliesslich der breiten Öffentlichkeit.
Einen lebhaften Austausch zwischen Experten fördert die US-amerikanische Behörde FTC: Sie engagiert sich nicht nur in der Rechtsdurchsetzung, sondern schart um sich herum mittels Workshops ein soziales Netzwerk, in dem hochrangige privatwirtschaftliche Datenschutzberater verkehren. Dadurch gelingt es der FTC, sowohl die Schwächen einer rein staatlichen Top-down-Regulierung als auch einer puren Bottom-up-Selbstregulierung auszumerzen. Das Zusammenspiel der Interessenvertreter ist auch für die Formulierung neuer Datenschutzregeln wichtig, weil in der Analytik nichtstaatliche Hersteller und Anwender sowie die Wissenschaft oft einen Informationsvorsprung vor der Politik und der Aufsicht haben. Die vielseitige Tätigkeit der FTC kann als Inspiration dienen, um die Rolle des EDÖB zu überdenken. Es ist allerdings festzuhalten, dass die FTC keine eigentliche Datenschutz-Aufsichtsbehörde, sondern die Wettbewerbs- und Verbraucherschutzbehörde der USA ist. Insofern kann das «Modell FTC» nicht telquel auf die Schweiz übertragen werden.
Vorab sind die drei Hauptaufgaben des EDÖB zu vergegenwärtigen: Aufsicht (Art. 27 und Art. 29 DSG, Art. 43–47 E-DSG, Art. 49–53 rev-DSG), Beratung (Art. 28 DSG, Art. 52 Abs. 1 lit. a und g E-DSG, Art. 58 Abs. 1 lit. a und g rev-DSG) und Information respektive Sensibilisierung (Art. 30 DSG; Art. 51 und Art. 52 Abs. 1 lit. c–d E-DSG; Art. 57 und Art. 58 Abs. 1 lit. c–d rev-DSG). Würde nun der EDÖB als staatlicher Diskursmoderator auftreten, so müsste er verstärkt in den beiden Aufgabenbereichen der Beratung und Information aktiv werden. Bereits heute stehen die Beratung bzw. die fachliche Unterstützung bei der Umsetzung der gesetzlichen Vorschriften im vorliegend gegenständlichen privatrechtlichen Umfeld im Vordergrund. Die beratende Funktion des EDÖB verträgt sich aber nicht gut mit seinen Aufsichtskompetenzen, die nach der Totalrevision des DSG zunehmen werden. Es wird geargwöhnt, dass der EDÖB wegen dieser Doppelrolle als Ratgeber gemieden werden könnte.
Der (potenzielle) Interessenkonflikt des EDÖB veranlasst dazu, über eine verstärkte organisatorische Trennung der Aufsichtsfunktion einerseits sowie der Beratungs- und Informationstätigkeit andererseits nachzudenken. RUDIN schlägt vor, eine zentrale Behörde für die Kontrolle und Überwachung zu behalten, während regionale Kompetenzzentren, die vorgeschrieben oder durch ein Anreizsystem gefördert werden, die Beratungsfunktion übernehmen sollten. Statt regionaler könnten auch branchenspezifische Kompetenzzentren geschaffen werden. Jedenfalls hätte die Dezentralisierung im Beratungsbereich das Potenzial, mehr Personen näher und gezielter anzusprechen und somit zu einer Demokratisierung beizutragen.
d) Einbezug der Zivilgesellschaft
aa) Ideelle Verbandsklage
i. Übersicht
Vereinigungen der Zivilgesellschaft könnten sich mittels ideeller Verbandsklage an der demokratischen Durchsetzung des Datenschutzrechts beteiligen. Vorliegend ist zunächst zu prüfen, ob es sinnvoll wäre, im DSG eine spezialgesetzliche Grundlage für die ideelle Verbandsklage zu schaffen (dazu sogleich). Sodann ist auf die Möglichkeiten der allgemeinen zivilprozessualen Verbandsklage einzugehen.
ii. Datenschutzrechtliche Verbandsklage
Die Einführung einer Verbandsklage im privatrechtlichen Datenschutzrecht ist in der Lehre mehrfach erwogen worden. Auch der Gesetzgeber hat bei der Erschaffung des DSG ein Verbandsklagerecht diskutiert; dies als Kompensations-massnahme, nachdem er zuvor die Funktion des EDÖB im privatrechtlichen Bereich «auf jene eines reinen Ombudsmanns gestutzt» hatte und dieser daher «nichts mehr zu sagen» hatte. Die Idee der Verbandsklage war im Parlament jedoch umstritten und wurde relativ knapp abgelehnt. In der Vorbereitung zur Totalrevision des DSG hat der Bundesrat im Jahr 2017 erneut festgehalten, dass ein Verbandsklagerecht im DSG «nicht opportun» sei.
Nach der hier vertretenen Ansicht sprechen indes wichtige Gründe für die Einführung eines Verbandsklagerechts im DSG. Verbandsklagerechte sind für Querschnittsthemen, die zahlreiche Personen betreffen, geeignet. Dies trifft auf das Datenschutzrecht zu, denn die Digitalisierung geht jedermann an. Zudem bezwecken Verbandsklagerechte die Prävention in Bereichen, in denen Streuschäden vorkommen. Das Datenschutzrecht ist ein solcher Bereich: Denn einerseits ist der Schaden aus Datenschutzverletzungen oft über eine Vielzahl von nur minimal betroffenen Personen verstreut. Andererseits ist der Vorsorgegedanke im DSG präsent, was sich darin äussert, dass die Datenbearbeitungsregeln unabhängig davon gelten, ob es zu einer eigentlichen Persönlichkeitsverletzung kommt. Schliesslich ist das Datenschutzrecht ein äusserst abstraktes Gebiet: Das DSG ist im Vergleich zur europäischen Datenschutz-Gesetzgebung sehr dicht gehalten und beschränkt sich auf die Formulierung von Grundsätzen. Deshalb bedarf es der gerichtlichen Auslegung, um den wahren Gesetzesgehalt auszuloten. Dies gilt umso mehr, als es sich um eine vergleichsweise junge Rechtsmaterie handelt. Wenn keine Verbandsklagen und nur selten Individualklagen möglich sind, kann das Datenschutzgesetz von der Praxis kaum richtig ausgearbeitet werden. Es gibt in der Schweiz «viel zu wenige» Gerichtsentscheide zum DSG. Insgesamt würden also die Rahmenbedingungen für die Einführung eines Verbandsklagerechts im DSG stimmen.
Im Folgenden ist daher darauf einzugehen, wie eine Verbandsklage im DSG ausgestaltet werden könnte. Vorwegzunehmen ist, dass das Bundesgericht das privatrechtliche Verbandsklagerecht ursprünglich aus dem öffentlich-rechtlichen Verbandsbeschwerderecht abgeleitet hat. Dort wird zwischen der egoistischen und der ideellen Verbandsbeschwerde unterschieden. Bei Ersterer geht der Verband im Interesse seiner eigenen Mitglieder vor. Letztere dient dagegen der Wahrung bestimmter öffentlicher Interessen der Allgemeinheit; die zu schützenden Personen müssen nicht Mitglieder des Verbands sein. Das durch die Rechtsprechung anerkannte privatrechtliche Verbandsklagerecht lehnt sich an die egoistische Verbandsbeschwerde an. Es kann sich jedoch der ideellen Verbandsbeschwerde annähern, wenn etwa das Gesetz vom Erfordernis der Betroffenheit und selbständigen Klageberechtigung der Mitglieder absieht oder wenn mit der Verbandsklage nicht zwingend die Wahrung der Interessen von Mitgliedern, sondern auch ideelle Interessen verfolgt werden können. Vorliegend ist eine Verbandsklage mit ideeller Zwecksetzung zu prüfen. Einerseits könnte diese auch dem grossen Teil der schweizerischen Arbeitnehmer dienen, der nicht einem (Personal-)Verband angeschlossen ist. Andererseits würde sie zur Wahrung der erwähnten öffentlichen Interessen beitragen.
Somit sind die allgemeinen rechtlichen Voraussetzungen einer ideellen Verbandsklage zu beschreiben. Die erste Voraussetzung ist eine explizite Rechtsgrundlage in einem Spezialgesetz. Ein ideelles Verbandsklagerecht existiert beispielsweise in Fragen der Mitwirkung (Art. 15 Abs. 2 MitwG), der Gleichstellung von Mann und Frau (Art. 7 GlG) sowie von Behinderten (Art. 9 BehiG), der Schwarzarbeit (Art. 15 BGSA) oder der Entsendung von Arbeitnehmern (Art. 11 EntsG). Gegen Verfügungen der Arbeitsaufsichtsbehörden steht die Verbandsbeschwerde offen (Art. 58 ArG). Doch weder das DSG noch das rev-DSG sehen ein spezialgesetzliches Verbandsklagerecht vor. Eine solche Norm müsste erst geschaffen werden. Zum Vergleich: Die DSGVO lässt den EU-Mitgliedstaaten Raum für die Einführung einer ideellen Verbandsklage (vgl. Art. 80 Abs. 2 DSGVO).
Zweitens bedarf die auftretende Organisation zur Führung einer ideellen Verbandsklage der juristischen Persönlichkeit. Diese Voraussetzung geht einher mit derjenigen der Parteifähigkeit. In der Regel klagen Vereine, aber auch Stiftungen und Genossenschaften sind zugelassen. Das DSG könnte somit Vereine, Stiftungen und Genossenschaften als Kläger zulassen.
Die dritte Voraussetzung einer ideellen Verbandsklage besteht darin, dass sich der Verband statutengemäss dem Rechtsbereich widmet, um den es im Verbandsklageprozess geht. Gemäss HÄNER mangelte es noch um die Jahrtausendwende an geeigneten Organisationen, die die Wahrung von Datenschutzinteressen explizit in ihren Statuten führten. Seither haben sich jedoch einige solche Verbände gebildet. Zudem können in der kleinräumigen Schweiz relativ schnell Leute zusammenfinden und Vereine gründen, wie sich bei andern durch die Digitalisierung aktuell gewordenen Gesellschaftsthemen gezeigt hat. Im Entstehungsprozess des DSG wurde die Befürchtung laut, dass sich zu viele Ad-hoc-Gruppierungen als Verbände formieren könnten, um in querulatorischer Absicht Verbandsklagen zu führen. Dieser Sorge könnte der Gesetzgeber begegnen, indem er nur jene Organisationen zur Führung einer Verbandsklage berechtigt, die schon seit einer bestimmten Zeit bestehen und sich geografisch weit herum etabliert haben. Zudem sollte die klagelegitimierte Organisation mit ihrer statuten- oder satzungsmässigen Tätigkeit keinen Gewinn anstreben, d.h., ein allfälliger Prozessgewinn sollte entweder überwiegend derjenigen Personengruppe zukommen, für die die klagende Organisation tätig wird, oder von der klagenden Organisation ausschliesslich im Interesse dieser Personengruppe verwendet wer-den. Eine weitere sinnvolle Hürde bestünde darin, vorauszusetzen, dass der Verbandskläger zur Interessenwahrung geeignet ist, d.h., dass er sowohl über die fachlichen Kenntnisse als auch die organisatorischen und finanziellen Möglichkeiten und Ressourcen verfügt, welche die angemessene Interessenwahrung zu-gunsten der betroffenen Personengruppe im konkreten Einzelfall objektiv erfordert.
Für eine ideelle Verbandsklage wird nicht vorausgesetzt, dass die klagende Organisation in ihren eigenen Interessen betroffen ist. Ihre Legitimation ergibt sich daraus, dass die individuelle Rechtsdurchsetzung nicht funktioniert; ein Mangel, der sich bei Datenschutzverletzungen bewahrheitet hat. Es genügt somit, dass Personen, für die sich die Organisation gemäss ihrem statutarischen Zweck einsetzt, betroffen sind. Die Personen müssen nicht aktuell betroffen sein, aber zumindest muss eine virtuelle Betroffenheit dargetan werden, die besteht, wenn mögliche künftige Rechtsnachteile drohen. Das Verbandsklagerecht kann per Gesetz derart eingeschränkt werden, dass die Betroffenheit einer grösseren Zahl von Personen verlangt wird. Mit der Aufnahme dieser zusätzlichen Voraussetzung kann sichergestellt werden, dass die Verbandsklage nicht allein zugunsten eines einzelnen Arbeitnehmers geführt wird.
Der Ständerat hat im Jahr 1990 das Verbandsklagerecht auch mit dem Argument abgelehnt, dass Dritte (d.h. die Verbände) sich nicht in eine private Arbeitsbeziehung einmischen und bestehende Vertrauensverhältnisse stören sollten. Das ideelle Verbandsklagerecht könnte aber in einer Weise ausgestaltet werden, dass der Dispositionsfreiheit der betroffenen Person der Vorrang zukommt, soweit diese auf den Vorteil, welcher der Verband für sie erkämpfen soll, verzichten will. Beispielsweise könnte der Verband verpflichtet werden, von den einzelnen Angehörigen der betroffenen Personengruppe eine Klagebeitrittserklärung einzuholen, sei es schriftlich oder auf eine andere Art, die den Nachweis durch Text erlaubt (sog. opt in). Alternativ könnte die Dispositionsfreiheit durch die Statuierung eines Vetorechts für direkt Betroffene sichergestellt werden (sog. opt out), d.h., die Ermächtigung des Verbands zur Prozessführung würde so lange vermutet, als der Betroffene nicht aktiv widerspricht. Eine dritte Variante wäre, eine Behörde dazwischenzuschalten; beispielsweise könnte festgelegt werden, dass die Empfehlung oder Verfügung des EDÖB das Anfechtungsobjekt einer Verbandsbeschwerde bildet und nicht unmittelbar das vertragliche Verhältnis. Diese dritte Option brächte jedoch kaum nennenswerte Vorteile für die betroffenen Arbeitnehmer, da der EDÖB ohnehin in ihrem Interesse tätig wird (vgl. Art. 29 Abs. 1 lit. a DSG) und sich somit die Tätigkeiten der Verbände und des EDÖB überschneiden würden.
iii. Zivilprozessrechtliche Verbandsklage
Alternativ zur vorstehend beschriebenen spezialgesetzlichen Verbandsklagebestimmung könnte eine wirksame allgemeine zivilprozessrechtliche Verbandsklagemöglichkeit in der ZPO vorgesehen werden. Eine solche Norm existiert in Art. 89 ZPO. Dieses Verbandsklagerecht ist jedoch praktisch irrelevant, was in der starken Einschränkung auf Verletzungen von Persönlichkeitsrechten und auf bloss negatorische und nichtmonetäre reparatorische Ansprüche begründet liegt (vgl. Art. 89 Abs. 2 ZPO). Zudem bestehen hohe formelle Anforderungen: Ein Verband kann die Widerrechtlichkeit einer Verletzung nur feststellen lassen, wenn sich diese weiterhin störend auswirkt (Art. 89 Abs. 2 lit. c ZPO). Zur Auslegung dieser Bestimmung kann auf die Rechtsprechung zum Persönlichkeitsschutz und zum unlauteren Wettbewerb gegriffen werden, weil dort Normen mit dem identischen Wortlaut bestehen (siehe Art. 28a Abs. 1 Ziff. 3 ZGB und Art. 9 Abs. 1 lit. c UWG). Eine auf das UWG gestützte Verbandsklage der Stiftung für Konsumentenschutz betraf den VW-Abgasskandal. Das Handelsgericht des Kantons Zürich ist auf diese Klage nicht eingetreten, weil im Zeitpunkt der Urteilsfällung kein täuschendes Verhalten der Autohersteller und Autohändler mehr bestand. Das Bundesgericht hat diesen Entscheid bestätigt. Aus demselben Grund dürften allfällige Verbandsklagen scheitern, die sich gestützt auf Art. 89 Abs. 2 lit. c ZPO gegen eine People Analytics-Praxis wenden: Die potenziell beklagte Arbeitgeberin könnte die störende Datenbearbeitung ändern, sobald sich ein Gerichtsverfahren abzeichnet. Damit liefe die Verbandsklage ins Leere.
Die beschriebenen Probleme haben den Bundesrat dazu bewogen, eine Verbesserung der ZPO im Bereich des kollektiven Rechtsschutzes und in anderen Punkten auszuarbeiten. Am 02.03.2018 schickte er den Vorentwurf der geänderten ZPO in die Vernehmlassung. Dieser sah eine Stärkung des kollektiven Rechtsschutzes in dreierlei Hinsicht vor. Erstens sollte die Verbandsklage nicht mehr nur auf Persönlichkeitsverletzungen beschränkt sein, sondern für das gesamte Privatrecht geöffnet werden (z.B. auch für arbeitsrechtliche Ansprüche, Art. 89 Abs. 1 VE-ZPO). Zweitens war neu eine reparatorische Verbandsklage vorgesehen, die es dem Verband ermöglicht hätte, finanzielle Ansprüche (Schadenersatz, Gewinnherausgabe, Herausgabe einer ungerechtfertigten Bereicherung) geltend zu machen (Art. 89 Abs. 2 lit. d i.V.m. Art. 89a VE-ZPO). Der Unterschied zwischen diesen beiden Klagen bestand darin, dass die klagende Organisation im ersteren Fall einen eigenen Anspruch des Verbands geltend machen sollte (Art. 89 VE-ZPO), wohingegen sie im letzteren Fall als Prozessstandschafterin handeln sollte, d.h., sie sollte als Partei auftreten und in eigenem Namen finanzielle Ansprüche geltend machen, die materiell-rechtlich den einzelnen Angehörigen der repräsentierten Personengruppe zugestanden hätten. Die dritte Neuerung bestand in der Schaffung eines allgemeinen Gruppenvergleichsverfahrens zur Geltendmachung von Massenschäden (Art. 352a ff. VE-ZPO).
Die Verbesserungsvorschläge des Bundesrats bzgl. des kollektiven Rechtsschutzes waren in der Vernehmlassung jedoch umstritten. Deshalb hat der Bundesrat die entsprechenden Ideen nicht in die Botschaft zur Revision der ZPO und den entsprechenden ZPO-Entwurf aufgenommen. Sie sollen stattdessen zu einem späteren Zeitpunkt separat behandelt werden, wie in der Medienmitteilung vom 26.02.2020 bekanntgegeben worden ist. Somit kann das zivilprozessrechtliche Verbandsklagerecht bis auf Weiteres nicht wirksam zur Durchsetzung des Datenschutzrechts beitragen. Möglicherweise ist es politisch ohnehin einfacher, ein spezialgesetzliches Verbandsklagerecht für den privatrechtlichen Teil des DSG zu schaffen, das auf die konkreten Umstände im Datenschutzrecht zugeschnitten ist. Eine Aufwertung des allgemeinen zivilprozessrechtlichen Verbandsklagerechts in der ZPO dürfte auf höheren politischen Widerstand stossen, weil dies Auswirkungen auf das gesamte Privatrecht hätte. Aus diesem praktischen Grund ist die im vorhergehenden Unterkapitel vorgeschlagene datenschutzrechtliche ideelle Verbandsklage gegenüber einer Revision von Art. 89 ZPO vorzuziehen.
bb) Begutachtung von Algorithmen
Es ist nach vorliegend vertretener Meinung ein freiwilliges oder gesetzlich vorgeschriebenes Kontrollverfahren für private Softwareanwendungen vorzuschlagen, die in besonders persönlichkeits- und diskriminierungssensiblen Bereichen zum Einsatz kommen sollen oder schwere Schäden verursachen können. Ziel dabei ist es, dass eine neutrale Drittpartei das Modell, das der Entwickler entworfen hat, auf die Rechtsprobleme der Persönlichkeitsverletzungen und Diskriminierungen hin testet. Zum Prüfradius müsste einerseits die Validität der algorithmischen Ergebnisse, andererseits aber auch der Trainingsprozess der lernfähigen Systeme gehören. Als Methode wäre beispielsweise eine explorative oder kontrafaktische Analyse der algorithmischen Modelle auf Gerechtigkeit hin geeignet. Nach bestandenem Test bekommt der Algorithmus ein Gütesiegel.
Das Kontrollverfahren müsste kontinuierlich stattfinden; eine einmalige Zulassungskontrolle genügt nicht, da sich Algorithmen im Laufe ihres Einsatzes wie ein Chamäleon verändern – sei es durch Updates oder aufgrund eines maschinellen Lernverfahrens. Einer Regelmässigkeit bedarf die Prüfung auch, um dem Wandel der gesellschaftlichen Normen Rechnung zu tragen: Ein Datensatz zur Geschlechterverteilung am Arbeitsplatz kann beispielsweise das früher akzeptierte Rollenbild des Ehemanns als Alleinverdiener abbilden; jedoch haben sich die Formen des Zusammenlebens und der Arbeitsverteilung inzwischen vervielfältigt. Demzufolge müssen die Annahmen, die dem Modell zugrunde liegen, aufs Neue begründet werden.
Die Prüfung kann durch verschiedene Kontrollinstanzen erfolgen. Denkbar ist ein externes Audit durch eine privatrechtliche Organisation nach dem Vorbild des deutschen TÜV (eingetragener Technischer Überwachungsverein) oder des amerikanischen Unternehmens ORCAA (O’Neil Risk Consulting and Algorithmic Auditing). Unabhängiger Auditor könnte auch der Staat sein. Auch eine Mischform ist nicht ausgeschlossen, bei der die Behörde nicht selbst Auditierungen durchführt, sich aber daran beteiligt, etwa durch die Akkreditierung eines Auditors. In den Fällen, in denen sich eine zusätzliche externe Kontrollinstanz einschaltet, trägt die Begutachtung zur Demokratisierung der Datenbearbeitungsprozesse bei. Möglich ist aber auch ein internes Audit, wie es beispielsweise im Unternehmen Pymetrics institutionalisiert ist, welches Persönlichkeitstests zur Rekrutierung entwickelt. Im letzteren Fall führt die Massnahme mehr zu einer Professionalisierung, weil die Arbeitgeberin ihre eigenen Ressourcen verstärkt, aber keine aussenstehenden natürlichen oder juristischen Personen in die Kontrolle der Datenbearbeitung einbezogen werden.
Denkbar ist, die Prüfresultate zu veröffentlichen. Die Prüfungsgrundlagen, insbesondere der Algorithmus selbst, sollten jedoch als privatwirtschaftliche Geschäftsgeheimnisse geschützt bleiben. Hierfür braucht es prüfverfahrensrechtliche Geheimhaltungspflichten, die gesetzlich oder vertraglich geregelt werden müssen, je nachdem, ob die Prüfinstanz eine staatliche Behörde oder eine privatrechtliche Institution ist.
cc) Bildung
Bildung, Aufklärung und die Entwicklung einer Digitalkompetenz (digital literacy) müssen im politischen Programm zur Verbesserung des Datenschutzes einezentrale Rolle einnehmen. Die Bildung dient dem Zweck, Ungleichheiten, die durch den technologischen Fortschritt entstehen können, zu beseitigen. Nicht nur die Arbeitnehmer benötigen Digitalkompetenzen, sondern auch die Politiker und Rechtsanwälte sowie bereits die Kinder. Beim Vorantreiben der Sensibilisierung für den Datenschutz spielen Schulen und Medien eine wichtige Rolle, weil sie als Multiplikatoren wirken. Die Bildung der breiten Bevölkerung stellt die «Demokratisierungsmassnahme» schlechthin dar, weil dadurch das ganze «Volk» (altgr. δῆμος, «dēmos») am Diskurs über die Datenbearbeitungen und an deren Kontrolle partizipieren kann.
7.4 Zwischenfazit: effektiverer Datenschutz basierend auf Professionalisierung und Demokratisierung
Das vorliegende Kapitel hat sich der Beantwortung der Forschungsfrage gewidmet, die lautet: Wie könnte eine künftige Neuausrichtung des privatrechtlichen Datenschutzrechts aussehen, bei welcher die Rechtsdurchsetzung ex ante und ex post im Zusammenhang mit People Analytics besser gewährleistet wäre als heute?
Die Ausgangslage ist diejenige, dass People Analytics grosse Chancen bietet, dass es aber immer wieder zu Datenskandalen kommt, weil das Datenschutzrecht von der Arbeitgeberin nicht korrekt angewendet wird. Da die Gegenseite das Recht nicht effektiv durchsetzen kann, droht deren Vertrauen in die Rechtsordnung zu zerbröckeln. Das Schrifttum äussert Ideen, das Datenschutzrecht vermehrt auf das Teilen von Information auszurichten und das Vertrauen in das Datenschutzrecht zu stärken. Arbeitnehmer, die auf den Schutz ihrer Daten vertrauen können, sind eher gewillt, Informationen über sich preiszugeben, was wiederum für den Erfolg von People Analytics förderlich ist. Doch die bestehenden Ideenansätze sind abstrakt und unvollständig.
Deshalb präsentiert die vorliegende Arbeit ein eigenes Konzept für einen effektiven Datenschutz. Aufbauend auf der Erkenntnis, dass das Vertrauen der Arbeitnehmer gewonnen werden muss, wird einerseits eine Professionalisierung des Datenschutzes vorgeschlagen. Komplementär dazu müssen andererseits die Kontrollrechte gestärkt werden, was mittels einer Demokratisierung gelingen kann. Die vom Autor ausgearbeiteten Vorschläge gehen deutlich über die Reformen gemäss rev-DSG hinaus.
Unter dem Begriff der Professionalisierung wird vorliegend jede Massnahme verstanden, die die Arbeitgeberin dazu veranlasst, das Datenschutzrecht ab Beginn der Datenbearbeitung zu befolgen, sodass die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist. Es kommen hauptsächlich Mittel zur Rechtsdurchsetzung ex ante infrage, aber auch Mittel zur Einwirkung ex post sind nicht ausgeschlossen. Professionalisierend wirken etwa die im rev-DSG vorgesehenen Pflichten zum Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 6 E-DSG, Art. 7 rev-DSG) sowie zur
Datenschutz-Folgenabschätzung (Art. 20 E-DSG, Art. 22 rev-DSG), ebenso die Pflichten sowohl zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (Art. 11 E-DSG, Art. 12 rev-DSG) als auch zur Information bei der Beschaffung von Personendaten (Art. 17 E-DSG, Art. 19 rev-DSG) und zur Meldung von Verletzungen der Datensicherheit (Art. 22 E-DSG, Art. 24 rev-DSG). Die Ernennung eines Datenschutzberaters (Art. 9 E-DSG, Art. 10 rev-DSG) sowie die Schaffung von anerkannten Verhaltenskodizes (Art. 10 E-DSG, Art. 11 rev-DSG) und anerkannten Zertifizierungsstellen (Art. 12 E-DSG, Art. 13 rev-DSG) erfolgen auf freiwilliger Basis. Diese drei freiwilligen Massnahmen könnten dazu beitragen, dass die Arbeitgeberin ihre personellen Ressourcen betreffend Datenschutz aufstockt und sich proaktiver mit dem Datenschutz auseinandersetzt. Im schweizerischen Recht sollten die nötigen Anreize geschaffen werden, damit die Arbeitgeberin diesen Zusatzaufwand freiwillig auf sich nimmt.
Das vorliegend erarbeitete Teilkonzept der Professionalisierung bedeutet aber mehr als bloss die Neuerungen gemäss rev-DSG: Erstens könnte eine zusätzliche Rechenschaftspflicht, wonach die Arbeitgeberin jederzeit die Einhaltung des Gesetzes nachweisen können muss (vgl. Art. 5 Abs. 2 DSGVO), bewirken, dass sich die Arbeitgeberin bewusster mit den Datenbearbeitungen und deren Folgen auseinandersetzt. Die Rechenschaftspflicht würde zudem zu einer Beweislastumkehr führen, sodass die Durchsetzung des Datenschutzrechts auf dem Gerichtsweg einfacher werden würde. Zweitens könnte die Aufnahme bestimmter Quotierungsziele in die Algorithmenprogrammierung der algorithmischen Diskriminierungsgefahr entgegenwirken. Drittens sollten Schulungen des Personals dazu beitragen, dass sich die Angestellten aller Stufen von Anfang an Gedanken darüber machen, wie das Datenschutzrecht bei People Analytics eingehalten werden kann.
Der Begriff der Demokratisierung bedeutet vorliegend jede Massnahme, welche den der Arbeitgeberin entgegengesetzten Parteien Kontrollrechte einräumt, um auf die Einhaltung des Datenschutzrechts hinzuwirken, sodass die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist. Hier geht es primär um die Rechtsdurchsetzung ex post, doch auch Mittel zur präventiven Kontrolle sind zu erwägen. Das rev-DSG sieht eine Stärkung der Datenschutzaufsicht (etwa durch das Verfügungsrecht des EDÖB, Art. 45 Abs. 1 E-DSG, Art. 51 Abs. 1 rev-DSG) und der Strafbehörden (etwa durch die Erhöhung des Strafrahmens, Art. 54–57 E-DSG, Art. 60–63 rev-DSG) vor.
Das vorliegend ausgefertigte Teilkonzept der Demokratisierung schliesst zusätzlich zu den im rev-DSG vorgesehenen eine Reihe weiterer Massnahmen mit ein. Das Ziel der Demokratisierung besteht darin, das Wissen und die Eingriffskompetenzen im Zusammenhang mit People Analytics möglichst breit zu verteilen, denn je mehr Kontrollakteure auf Fehler in der Rechtspraxis hinweisen, desto eher kann gewährleistet werden, dass diese Fehler korrigiert werden. Zur Befähigung der einzelnen Arbeitnehmer sind unkomplizierte technologische «Werkzeuge» erforderlich, mit denen sie ihre Datenbearbeitungspräferenzen ohne Zeitverlust kommunizieren und durchsetzen können (z.B. einfache Browsereinstellungen; oder ein simpler «Do not sell my personal information»-Button, wie unter kalifornischem Recht verlangt, 1798.135 (a) (1) CCPA). Die Arbeitnehmervertretung kann gestärkt werden (z.B. durch Sanktionierung von Verstössen gegen das MitwG). Würde der Staat vermehrt als Diskursmoderator auftreten, könnte er zahlreiche Arbeitgeberinnen und Arbeitnehmer für die rechtlichen Aspekte von People Analytics sensibilisieren. Für diese Aufgabe ist über eine Reorganisation des EDÖB nachzudenken (z.B. Aufteilung in eine zentrale Aufsichtsbehörde sowie dezentrale Beratungs- und Informationsstellen). Schliesslich sollte die Zivilgesellschaft stärker einbezogen werden durch die Schaffung eines datenschutzrechtlichen ideellen Verbandsklagerechts, durch Begutachtungsverfahren für Algorithmen (wobei als Begutachtungsinstanz neben zivilrechtlichen Vereinen auch Unternehmen oder staatliche Stellen infrage kommen) und nicht zuletzt durch Investitionen in die Bildung und Digitalkompetenz der Zivilgesellschaft.
Die aufgezeigten Vorschläge gehen teilweise über das Rechtliche hinaus und beinhalten auch eine technische und eine soziale Seite, die etwa beim Datenschutz durch Technik und bei den technologischen «Werkzeugen» für die Individuen einerseits oder aber bei den Schulungen und der Bildung andererseits herausstechen. Insgesamt ist mit dem Konzept der Professionalisierung und Demokratisierung, wie es sich der Autor vorstellt, auch ein allgemeiner Mentalitätswandel verbunden. Zur wirksamen Durchsetzung des Datenschutzes muss diesem in den Köpfen der Verantwortlichen und Betroffenen eine höhere Priorität zukommen als bislang. Nur auf diese Weise werden die Arbeitgeberinnen ihre Sorgfaltspflichten erfüllen und die Gegenseite ihre Kontrollrechte ausüben.
Der Mehrwert des vorgeschlagenen Konstrukts der Professionalisierung und Demokratisierung liegt schliesslich darin, dass es auf das gesamte Datenschutzrecht angewendet werden kann. Sein möglicher Anwendungsbereich ist nicht auf den vorliegend untersuchten arbeitsrechtlichen Kontext beschränkt. Es handelt sich um ein gedankliches Gerüst, das stets weiterentwickelt werden kann. Das theoretische Konzept ist offen dafür, neue praktische Ideen zur Verbesserung der Durchsetzung des Datenschutzrechts aufzunehmen, auch wenn diese andere Bereiche als das Arbeitsrecht betreffen.
8 Ergebnisse
Es gilt nun, die eingangs gestellten acht Vorfragen und anschliessend die Forschungsfrage zu beantworten.
(1) Was ist People Analytics und was ist daran neu im Vergleich zu früheren Überwachungspraktiken an den Arbeitsplätzen?
People Analytics bezeichnet die Personalentwicklungspraxis, bei der digitale Daten aus unternehmensinternen und -externen Quellen, die sich auf das Humankapital beziehen, mit Informationstechnologie systematisch ausgewertet werden, um Entscheidungen zur Steigerung des Unternehmenswerts zu treffen. Dabei kontrolliert die Arbeitgeberin den gesamten Daten-Lebenszyklus, angefangen bei der Beschaffung, über die Analyse und Nutzung bis hin zur allfälligen Wiederverwertung der Daten. Sie greift auf eine umfangreiche Apparatur zurück bestehend aus Hardware (z.B. Sensoren, Wearables, Roboter) und Software (Algorithmen). Die Datenbearbeitungen finden im Verlauf des gesamten Arbeitnehmer-Lebenszyklus statt, insbesondere zu den Zwecken der Rekrutierung, der Leistungssteuerung, des Compliance-Managements, der Arbeits- und Arbeitsplatzgestaltung sowie der Mitarbeiterbindung. People Analytics wird bereits grossflächig angewendet und wird sich künftig weiter ausbreiten. Im Unterschied zu älteren Überwachungsformen am Arbeitsplatz zeichnet sich People Analytics durch Ubiquität, Interoperabilität und steigende KI aus. Ubiquität meint, dass die Datenbearbeitungen überall und immer stattfinden. Interoperabilität bedeutet, dass die Datenquellen zusammengeführt und daraus Erkenntnisse von neuer Qualität gewonnen werden können. Die steigende KI weist auf den Umstand hin, dass eine zunehmend autonom handelnde, intelligente Infrastruktur im Interesse der Arbeitgeberin das Arbeitsverhältnis beeinflusst.
(2) Welche Rechtsprobleme ergeben sich aus People Analytics?
Das Grundproblem von People Analytics ist ein Informations- und Machtgefälle zugunsten der Arbeitgeberin und zulasten des Arbeitnehmers, welches die ohnehin bestehende Asymmetrie im Arbeitsverhältnis verschärft. Daraus leiten sich die Rechtsprobleme ab: People Analytics kann zu Persönlichkeitsverletzungen führen, wenn Eingriffe sowohl in die Privatsphäre und psychische Integrität als auch in das Recht am eigenen Wort und Bild stattfinden. Zudem drohen Diskriminierungen sowie Verletzungen der mitwirkungsrechtlichen Ansprüche auf Information und Mitsprache.
(3) Welche Rechtsgebiete sind für People Analytics relevant?
People Analytics ist eine Querschnittsmaterie. Einzuhalten sind insbesondere der arbeitsrechtliche Persönlichkeitsschutz (Art. 328 OR und Art. 28 ZGB), der datenschutzrechtliche Persönlichkeitsschutz (Art. 328b OR und das DSG), der öffentlich-rechtliche Arbeitnehmer-Gesundheitsschutz (Art. 26 ArGV 3 i.V.m. Art. 342 OR), verschiedene Bestimmungen zum Diskriminierungsschutz, das Mitwirkungsrecht (nach dem MitwG, gegebenenfalls auch Kollektivregelungen in Gesamtarbeitsverträgen und Betriebsvereinbarungen) und strafrechtliche Bestimmungen. Auch verfassungsrechtliche und internationale Normen können anwendbar sein (insbesondere Art. 13 BV, Art. 8 EMRK und gegebenenfalls die DSGVO). Erst durch die Wechselwirkung all dieser Bestimmungen kann ein Auffangnetz entstehen, das die Arbeitnehmer vor Rechtsverletzungen weitgehend zu schützen vermag.
(4) Welchen Zweck verfolgt das DSG im Hinblick auf People Analytics?
Das DSG bezweckt im privatrechtlichen Bereich den Schutz der Persönlichkeit von Personen, über die Daten bearbeitet werden (Art. 1 DSG, Art. 1 E-DSG, Art. 1 rev-DSG). Dabei bildet der Persönlichkeitsschutz das Endziel, während als Mittel zur Zielerreichung die zulässigen Bearbeitungsprozesse definiert werden. Das DSG enthält deshalb einerseits risikoorientierte Normen, die den privatrechtlichen Persönlichkeitsschutz statuieren. Andererseits existieren prozessorientierte Normen, die den Persönlichkeitsschutz in Bezug auf Datenbearbeitungen konkretisieren. Beide Normtypen sind erforderlich, haben aber ihre Defizite, weil sie entweder zu abstrakt (die risikoorientierten) oder zu starr und formalistisch (die prozessorientierten) sind. Die prozessbezogenen Normen müssen nach der vorliegend vertretenen Meinung risikoorientiert ausgelegt werden, damit die ratio des DSG erfüllt werden kann. Diese Interpretationsweise bringt mehr Flexibilität ins Datenschutzrecht in dem Sinne, dass die Prozessnormen strikter oder lockerer angewendet werden können, je nachdem, welche konkreten Risiken einer fraglichen Datenbearbeitung innewohnen. Die vorgeschlagene Auslegungsart wird auch durch die Rechtsprechung getragen. So achtet das Bundesgericht zur Prüfung der Zulässigkeit von Überwachungssystemen am Arbeitsplatz (Art. 26 ArGV 3) darauf, ob von diesen eine gesundheitsschädigende Wirkung ausgeht, und nicht etwa darauf, welchem formalen Zweck die Systeme dienen.
(5) Welche People Analytics-Anwendungen erfasst das DSG und welche Datenbearbeitungsregeln stellt es für People Analytics in privatrechtlichen Arbeitsverhältnissen auf?
Das DSG erfasst diejenigen People Analytics-Anwendungen, bei denen Personendaten bearbeitet werden. Hingegen unterstehen Bearbeitungen anonymisierter Daten nicht dem DSG. Noch nicht höchstrichterlich entschieden ist, ob das Typisieren (auch Aussondern oder Singularisieren) datenschutzrechtlich relevant ist. Im Sinne einer risikoorientierten Auslegung sollten Typisierungen nach dem vorliegend vertretenen Standpunkt in den Anwendungsbereich des DSG fallen, wenn von ihnen ein hohes Risiko für die Persönlichkeit der Betroffenen ausgeht. Dies ist beispielsweise der Fall sowohl bei Typisierungen, durch die ein Mensch auf ein Profil reduziert wird, das als Grundlage für einschneidende Entscheidungen über ihn dient, obwohl es seiner Identität nicht entspricht, als auch bei Typisierungen, die das arbeitsrechtliche Frageverbot verletzen, sowie bei Typisierungen, bei denen genetische Daten bearbeitet werden.
Wird die Anwendbarkeit des DSG auf People Analytics bejaht, gelten zunächst die allgemeinen Rechtsgrundsätze der Rechtmässigkeit (Art. 4 Abs. 1 DSG, Art. 5 Abs. 1 E-DSG, Art. 6 Abs. 1 rev-DSG), des Handelns nach Treu und Glauben und der Verhältnismässigkeit (Art. 4 Abs. 2 DSG, Art. 5 Abs. 2 E-DSG, Art. 6 Abs. 2 rev-DSG). Sodann muss sich People Analytics an die spezifischen Datenbearbeitungsregeln halten. Von diesen wurden die Zweckbindung (Art. 4 Abs. 3 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG), die Erkennbarkeit (Art. 4 Abs. 4 DSG, Art. 5 Abs. 3 E-DSG, Art. 6 Abs. 3 rev-DSG), die Richtigkeit (Art. 5 DSG, Art. 5 Abs. 5 E-DSG, Art. 6 Abs. 5 rev-DSG), die Datensicherheit (Art. 7 DSG, Art. 7 E-DSG, Art. 8 rev-DSG) sowie die Datenminimierung, die Speicherbegrenzung und die Löschpflicht näher behandelt. Es hat sich gezeigt, dass die Bearbeitungsregeln oft nicht absolut gelten können, da sie einen bestimmten Auslegungsspielraum lassen oder einander zu einem gewissen Grad widersprechen. Die Arbeitgeberin bedarf somit eines hohen Masses an Fachwissen und Reflexionskompetenz, um das DSG bei People Analytics korrekt anzuwenden.
(6) Welche Rechtfertigungsmöglichkeiten bestehen für allfällige Datenschutzverletzungen?
Verstösse gegen das DSG kommen in der People Analytics-Betriebspraxis gehäuft vor. Eine Rechtfertigung ist aber nicht ausgeschlossen. Zunächst ist festzuhalten, dass – entgegen dem Gesetzeswortlaut von Art. 12 Abs. 2 lit. a DSG (bzw. Art. 26 Abs. 2 lit. a E-DSG bzw. Art. 30 Abs. 2 lit. a rev-DSG) – Verstösse gegen die Datenschutz-Grundsätze gerechtfertigt werden können. Als Rechtfertigungsgründe kommen die Einwilligung, ein überwiegendes privates oder öffentliches Interesse sowie eine gesetzliche Bearbeitungspflicht infrage (Art. 13 Abs. 1 DSG, Art. 27 Abs. 1 E-DSG, Art. 31 Abs. 1 rev-DSG). Die Einwilligung sollte im arbeitsrechtlichen Kontext nur im Notfall als Rechtfertigungsgrund hinhalten müssen. Es ist kritisch zu hinterfragen, ob sie freiwillig und informiert erfolgt; zudem droht jederzeit der Widerruf der Einwilligung.
(7) Warum hat die zivilrechtliche Individualklage ihre Rolle bei der Durchsetzung des Datenschutzrechts bis heute nicht erfüllen können?
Für die Durchsetzung des privatrechtlichen Datenschutzes ex post sind hauptsächlich die individuell betroffenen Arbeitnehmer verantwortlich, die eine zivilrechtliche Persönlichkeitsschutzklage führen müssen (vgl. Art. 15 DSG, Art. 28 E-DSG, Art. 32 rev-DSG). Dies ist darauf zurückzuführen, dass die Vorstellungen des Persönlichkeitsschutzes als Abwehrrecht und der informationellen Selbstbestimmung tief im (datenschutzrechtlichen) Persönlichkeitsschutz verankert sind. Für eine zivilrechtliche Klage bestehen jedoch zu wenig Anreize. Die potenziellen Verfahrenskosten übertreffen die möglichen finanziellen Ersatzansprüche, und verfahrensrechtliche Hindernisse stehen einem kollektiven Vorgehen mehrerer Arbeitnehmer zusammen im Wege. Angesichts der oft komplexen datenschutzrechtlichen Sachverhalte und der fehlenden Transparenz können sich Einzelpersonen auch überfordert fühlen, was sie davon abhält, ihre Rechte selbstbestimmt wahrzunehmen.
(8) Wie können Gruppen und/oder Behörden ihre Interessen beim Datenschutz wirksam einbringen, um zur Rechtsdurchsetzung beizutragen?
Verschiedene Akteure könnten auf die Realisierung der datenschutzrechtlichen Ziele hinwirken, doch ist ihr Einfluss aus je unterschiedlichen Gründen begrenzt. Dem EDÖB sind die Hände gebunden, weil er nur unverbindliche Empfehlungen, aber keine Verfügungen erlassen, geschweige denn Verwaltungssanktionen aussprechen kann. Die Arbeitsinspektorate schreiten erst ein, wenn People Analytics die Gesundheit beeinträchtigt. Strafverfolgungen wegen People Analytics spielen eine untergeordnete Rolle. Die Arbeitnehmervertretung kann aktiv werden, aber ihre allfälligen Klagen scheitern am Verfahrensrecht und selbst bei Obsiegen drohen weder mitwirkungsrechtliche Sanktionen für die Arbeitgeberin noch steht ein materiell-rechtliches Mitentscheidungsrecht für die Arbeitnehmer in Aussicht. Allenfalls wirken die Risiken der gesellschaftsrechtlichen Haftung, der Arbeitsverweigerung, des Streiks und der Kündigung regulierend. Insgesamt können Gruppen und Behörden ihre Interessen unter der aktuellen Rechtslage nicht genügend einbringen, um den Datenschutz wirksam zu stärken.
Ein gegensätzlicher Befund ergibt sich bei Sachverhalten, die in den Anwendungsbereich der DSGVO fallen, da die Aufsichtsbehörden der EU-Mitgliedstaaten Verfügungen erlassen und hohe Bussen verhängen können. Auch für das künftige totalrevidierte schweizerische Datenschutzrecht sind eine entsprechende Verfügungskompetenz des EDÖB (Art. 45 E-DSG, Art. 51 rev-DSG) und ein erweiterter Strafrahmen geplant (Art. 54–57 E-DSG, Art. 60–63 rev-DSG), womit sich die Rechtsdurchsetzung ein Stück weit verbessern wird.
FORSCHUNGSFRAGE: Wie könnte eine künftige Neuausrichtung des privatrechtlichen Datenschutzrechts aussehen, bei welcher die Rechtsdurchsetzung ex ante und ex post im Zusammenhang mit People Analytics besser gewährleistet wäre als heute?
Die Defizite in der gegenwärtigen Rechtsdurchsetzung machen eine Neuausrichtung des Datenschutzrechts notwendig. Vorliegend wird vorgeschlagen, die Durchsetzung des Datenschutzes mittels einer Professionalisierung und Demokratisierung zu gewährleisten. Es handelt sich hierbei um ein umfassendes Konzept, das auch einen Mentalitätswandel in dem Sinne einschliesst, dass dem Datenschutzrecht allgemein ein höherer Stellenwert zugesprochen werden muss.
Unter dem Begriff der Professionalisierung wird jede Massnahme verstanden, die die Arbeitgeberin dazu veranlasst, das Datenschutzrecht ab Beginn der Datenbearbeitung zu befolgen, sodass die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist. Hauptsächlich geht es um die Rechtsbefolgung ex ante, aber auch Mittel zur Durchsetzung des Rechts im Anschluss an eine Datenschutzverletzung (ex post) werden im Rahmen der Professionalisierung vorgeschlagen. Mit der Professionalisierung wird das Vertrauen in die Datenwirtschaft und das Datenschutz-Rechtssystem gewonnen.
Im Sinne einer Professionalisierung kommt eine stärkere Inpflichtnahme der Arbeitgeberin als Datenbearbeiterin infrage. Im rev-DSG sind gewisse professionalisierende Schritte vorgezeichnet, etwa die Pflicht zum Datenschutz sowohl durch Technik als auch durch datenschutzfreundliche Voreinstellungen (Art. 6 E-DSG, Art. 7 rev-DSG), die Pflicht zur Datenschutz-Folgenabschätzung (Art. 20 E-DSG, Art. 22 rev-DSG) und die freiwillige Ernennung eines Datenschutzberaters (Art. 9 E-DSG, Art. 10 rev-DSG). Auch die Förderung von Verhaltenskodizes (Art. 10 E-DSG, Art. 11 rev-DSG) und Zertifizierungen (Art. 11 DSG, Art. 12 E-DSG, Art. 13 rev-DSG) wirkt sich professionalisierend aus. Zudem sind die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten (Art. 11 E-DSG, Art. 12 rev-DSG), eine Informationspflicht (Art. 17 E-DSG, Art. 19 rev-DSG) und die Pflicht zur Meldung von Verletzungen der Datensicherheit vorgesehen (Art. 22 E-DSG, Art. 24 rev-DSG).
Nach vorliegend vertretener Ansicht sind aber noch weitere Professionalisierungsmassnahmen geboten, die über das Minimum gemäss rev-DSG hinausgehen: Hierzu zählen die Einführung einer Rechenschaftspflicht, eine konkretere Diskriminierungsbekämpfung (z.B. durch Aufnahme von Quotierungszielen in der Algorithmenprogrammierung) und entweder verpflichtende oder gezielt geförderte freiwillige Schulungen.
Neben dem Vertrauen in das Rechtssystem ist auch eine stärkere Kontrolle der Rechtmässigkeit der Datenflüsse erforderlich, welche über eine Demokratisierung des Datenschutzrechts erreicht werden kann. Der Begriff der Demokratisierung bedeutet jede Massnahme, welche den der Arbeitgeberin entgegengesetzten Parteien Kontrollrechte einräumt, um auf die Einhaltung des Datenschutzrechts hinzuwirken, sodass die Rechtsdurchsetzung im Zusammenhang mit People Analytics gewährleistet ist. Demokratische Kontrollrechte betreffen vorwiegend die Rechtsdurchsetzung ex post, doch ist auch an die Rechtsdurchsetzung ex ante zu denken.
Hinsichtlich einer Demokratisierung könnten neben dem einzelnen Arbeitnehmer weitere Parteien, namentlich die Arbeitnehmervertretung, verschiedene Behörden und die Zivilgesellschaft, an der Rechtsdurchsetzung beteiligt werden. Damit könnte der Durchsetzungsmechanismus des Datenschutzrechts auf mehrere Säulen abgestützt werden, was dem System als Ganzem Stabilität verleihen würde. Es ist zu begrüssen, dass mit der Totalrevision des DSG die Kompetenzen des EDÖB (Art. 43 ff. E-DSG, Art. 49 ff. rev-DSG) und der Strafbehörden ausgeweitet werden (Art. 54 ff. E-DSG, Art. 60 ff. rev-DSG).
Doch Demokratisierung bedeutet mehr als das, was das rev-DSG vorsieht: Eine Stärkung der Mitwirkungsrechte der Arbeitnehmervertretung durch den Gesetzgeber und durch Gesamtarbeitsverträge sind erforderlich. Der Staat könnte seine Rolle noch aktiver ausgestalten, wenn er als Diskursmoderator die Interessenvertreter zusammenführen und die Gesellschaft über die Risiken der Datenbearbeitungen aufklären würde. Jedoch ist zu hinterfragen, ob der EDÖB für diese beratend-moderierende Tätigkeit die geeignete Behörde wäre oder ob hierfür nicht dezentralere Organisationen geschaffen werden sollten. Die Zivilgesellschaft könnte ins Boot geholt werden durch die Einführung einer ideellen Verbandsklage im Datenschutzrecht und durch Investitionen in die Bildung und die Digitalkompetenz der breiten Bevölkerung. Ferner sind Verfahren zur Begutachtung von Algorithmen denkbar, wobei als begutachtende Instanzen sowohl privatrechtliche Organisationen als auch eine staatliche Stelle infrage kommen.
Abschliessend ist festzuhalten, dass People Analytics nicht nur rechtlich, sondern wegen der vielen involvierten Personen auch zwischenmenschlich ein hochkomplexes Thema ist. Die Unternehmen, die People Analytics anwenden, sollten daher eine ganzheitliche Sicht einnehmen. Etwas, das rechtlich erlaubt ist, kann sozial inakzeptabel sein. Um abschätzen zu können, wie eine neue Datenbearbeitungspraxis bei den Arbeitnehmern ankommt, muss die Arbeitgeberin in regem Austausch mit der Belegschaft stehen. Es ist daher eminent wichtig, dass die Mitwirkungsrechte im Unternehmen aktiv gelebt werden. Von den Programmierern bis hinauf zu den Verwaltungsräten sollten alle darauf achten, verschiedene, auch kritische Meinungen zu People Analytics zuzulassen. Es muss sichergestellt werden, dass die Rechte der Arbeitnehmer nicht nur formell gewahrt werden, sondern dass sich die Menschen auch als vollberechtigte, autonom handelnde Subjekte fühlen. Nur auf diese Weise wird ein People Analytics-Projekt von allen im Unternehmen Unterstützung erfahren und letztlich Erfolg haben.
Gabriel Kasper in: People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts; 2021; Dike Verlag, Zürich
https://creativecommons.org/licenses/by-nc-nd/3.0/ch/
DOI: https://doi.org/10.3256/978-3-03929-009-3
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.