David Vasella
Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts
Dike Verlag, Zürich 2021, LXXI + 375 Seiten, CHF 104.00, ISBN 978-3-03891-273-6
Besprochen von David Vasella,
Dr. iur., Zürich.
Die von Gabriel Kasper bei Prof. Dr. Isabelle Wildhaber verfasste Basler Dissertation (Korreferent war Prof. Dr. Beat Rudin) wurde mit summa cum laude bewertet, und sie hat sowohl den Stefano Rodotà-Award als auch den Professor Walther Hug-Preis gewonnen (vgl. Vorwort, S. V). Sie kann dankenswerterweise im Open Access unter ‹www.alexandria.unisg.ch/262428› heruntergeladen werden.
Das Werk betrifft «People Analytics», d.h. systematische Datenauswertungen, «die sich auf das Humankapital beziehen, um den Unternehmenswert zu steigern». Nach einer Einleitung folgt das 2. Kapitel (S. 19 ff.; «Phänomenbeschreibung») mit einer rund 50-seitigen Erläuterung, worum es bei People Analytics geht und inwiefern sich People Analytics von herkömmlichen Formen der Überwachung unterscheidet. Kasper stützt sich dabei u.a. auf empirische Ergebnisse aus einem Forschungsprojekt des Nationalfonds (NFP75), bei dem er mitwirkte. Manche der Methoden, die offenbar zum Einsatz kommen, sind harmlos, andere durchaus erschreckend; immerhin scheint die zweite Kategorie in der Schweiz nicht verbreitet zu sein. Dieses 2. Kapitel ist spannend, weil empirische Untersuchungen in diesem Bereich selten sind, das Datenschutzrecht ohne Verständnis der Datenbearbeitungen und ihres Kontexts nicht auskommt und Unterscheidungen wie jene zwischen Kausalität und Korrelation bedeutsam sind, aber oft vernachlässigt werden.
Das dritte Kapitel heisst «Rechtsprobleme», umfasst knapp dreissig Seiten und widmet sich dem Grundproblem bei People Analytics, der Machtverschiebung von Arbeitnehmern zur Arbeitgeberin, und den davon betroffenen Rechtsgebieten und -fragen. Kasper gruppiert diese in Persönlichkeitsverletzungen, Diskriminierungen und die Verletzung von Mitwirkungsrechten und erläutert dabei jeweils, inwiefern People Analytics hier zu Problemen führen kann (z.B. bei der Diskriminierung aufgrund mangelhafter Datenqualität, ungeeigneter Modelle oder ungeeigneter Variablen, die zu Fehlzuordnungen führen, etwa eine negative Bewertung von Mitarbeitern, die den Arbeitsplatz auffällig früh verlassen, und die deshalb besonders alleinerziehende Mütter trifft). Rechtlich geht Kasper hier noch nicht in die Tiefe, aber die Auslegeordnung ist hilfreich und interessant zu lesen.
Das vierte Kapitel betrifft «relevante Rechtsbestimmungen» und enthält auf rund 25 Seiten eine Übersicht besonders über arbeits- und datenschutzrechtliche, aber auch grundrechtliche und strafrechtliche Rechtsgrundlagen. Kasper nähert sich hier den rechtlichen Fragestellungen weiter an, bleibt verständlicherweise aber bei einer Übersicht. Das hat zur Folge, dass es den Ausführungen bisweilen an Tiefe fehlt (ein Beispiel ist Fn. 652: «Das DSG gilt […] nicht für Unternehmen mit Sitz ausserhalb der Schweiz, die Datenbearbeitungen mit Auswirkungen in der Schweiz vornehmen»; diese Aussage ist falsch. Auch der pauschale Hinweis, die Überwachung des Geschäftshandys eines Arbeitnehmers auf Dienstreise in der EU stelle eine Verhaltensbeobachtung i.S.v. Art. 3 Abs. 2 lit. b DSGVO dar, ist zumindest gewagt). Dieser Teil der Arbeit eignet sich aber gut für einen Überblick.
Das fünfte Kapitel, «Datenschutzrechtliche Rahmenbedingungen», rund 120 Seiten, widmet sich dem Datenschutzrecht und soll den Boden für das bereiten, worum es dem Autor ausweislich des Untertitels des Werks geht, um Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts. Der rote Faden ist hier die Orientierung des Datenschutzrechts am Risiko. Es gelingt Kasper gut, dieses Leitprinzip darzulegen, und bei der Revision des DSG war der risikobasierte Ansatz ja ausdrücklich eine von sieben Leitlinien des Gesetzgebers.
Für die risikoorientierte Auslegung des DSG arbeitet Kasper Kriterien aus, etwa durch den Ansatz, zwischen der Datenbeschaffung und der Nutzung von Daten zu unterscheiden, denn eine Persönlichkeitsverletzung könne erst entstehen, wenn Informationen vermittelt werden. Daraus könne folgen, dass die Zweckbindung relativ weit gefasst werden darf, wenn Daten erst analysiert werden, während die Anforderungen an die Umschreibung des Zwecks strenger werden, wenn Analyseergebnisse angewendet werden. Ein weiteres Beispiel für eine risikobasierte Auslegung ist die Grosszügigkeit, die man bei der Anwendung des Verhältnismässigkeitsgrundsatzes bei People Analytics walten lassen dürfe, wenn die Wissensasymmetrie zulasten des Arbeitnehmers durch Mitwirkung reduziert wird. Weiter seien abgeleitete Daten («derived data») etwas kritischer zu betrachten, ebenso wie Datenverknüpfungen. Weitere Faktoren seien der Umfang der Datenbearbeitung und der Zweck der Datenbearbeitung.
Anschliessend geht Kasper auf den Begriff des Personendatums ein. Kasper stellt zunächst die Rechtslage nach |den Logistep-Kriterien des Bundesgerichts dar. Interessant sind die anschliessenden Hinweise zur Singularisierung, also zur Theorie, Personenbezug könne schon dann vorliegen, wenn eine Person zwar nicht identifiziert, aber von anderen Personen unterschieden wird. Kasper stellt die wohl überwiegende Ansicht in Frage, dass eine Singularisierung noch nicht zur Anwendbarkeit des Datenschutzrechts führe. Er geht nicht ins Detail, vertritt aber die Auffassung, dass Typisierungen vom Datenschutzrecht erfasst seien, wenn eine besondere Gefahr für die Persönlichkeit droht, was der Fall sei, wenn ein Mensch auf ein Profil reduziert wird, das als Grundlage einschneidender Entscheidungen dient, wenn durch eine Datenanalyse auf Daten geschlossen wird, die einem arbeitsrechtlichen Frageverbot unterliegen (z.B. eine Schwangerschaft) und wenn genetische Daten bearbeitet werden. Im Ergebnis gibt es dagegen wenig einzuwenden, aber man fragt sich doch, ob hier nicht schon nach herkömmlichen Kriterien ein Personenbezug vorliegt. Wer auf die Schwangerschaft einer Angestellten schliesst, bearbeitet ohne Frage Personendaten, auch ohne eine neue Datenkategorie zwischen Personendaten und Sachdaten mit den (von Kasper nicht ausgeleuchteten) Folgeproblemen. Es mag dem Autor darum gehen, nicht nur die Schwangerschaft als Feststellung, sondern auch den zugrundeliegenden Analyseprozess datenschutzrechtlich zu erfassen, aber auch dies lässt sich problemlos mit traditionellen Kriterien lösen. Spannend wäre die Frage, wann in solchen Konstellationen ein Profiling oder gar ein Profiling mit hohem Risiko vorliegt; dazu äussert sich Kasper nicht.
Beim Zweckbindungsverbot sieht Kasper ebenfalls und sicher zu Recht einen Konflikt mit People Analytics. Hier könne eine risikoorientierte Auslegung der Zweckvereinbarkeit helfen, die das neue DSG ebenso wie die DSGVO genügen lässt.
Auf Art. 328b OR geht Kasper recht detailliert ein, wobei die Frage besonders interessant ist, ob Art. 328b OR eine Berücksichtigung von Daten erlaubt, deren Informationsgehalt in der Korrelation zwischen nicht arbeitsbezogenen Daten und der Arbeitsleistung liegt. Zumindest müsse die Arbeitgeberin auch die Stichhaltigkeit der Korrelation im Sinne einer Kausalität prüfen, wenn sie ein Kriterium bei der Selektion verwendet. Bei einem «Durchleuchten» durch einen Algorithmus seien ferner die Anforderungen an graphologische Gutachten anzuwenden, was eine Einwilligung voraussetze. Das ist datenschutzrechtlich schwer zu begründen, wenn keine Verletzung eines Bearbeitungsgrundsatzes vorliegt. Schliesslich erlaube Art. 328b OR Bearbeitungen, wenn sie für das Arbeitsverhältnis nicht zwingend notwendig, aber doch mehr als bloss nützlich sind; eine willkommene Aussage, weil in der Literatur auch strengere Auffassungen vertreten werden.
Kasper stellt im Anschluss die weiteren Bearbeitungsgrundsätze der Erkennbarkeit, der Datenrichtigkeit und der Datenminimierung und Speicherbegrenzung dar, ebenso wie die Löschpflicht und Rechtfertigungsgründe. Bei den Rechtfertigungsgründen diskutiert er u.a. die Bearbeitungsfreiheit veröffentlichter Daten und die Möglichkeit einer freiwilligen Einwilligung im Arbeitsverhältnis (die er nicht ausschliesst). Ebenfalls im 5. Kapitel stellt Kasper die Ergebnisse der genannten Nationalfonds-Studie zur Umsetzung des Datenschutzrechts in der Praxis – bezogen auf People Analytics – dar. Es ergab sich, dass die Anwendung des Datenschutzrechts ein hohes Mass an Reflexionskompetenz und vor allem auch Fachwissen erfordert und nicht immer gelingt.
Im 6. Kapitel widmet sich Kasper auf 40 Seiten sodann der Rechtsdurchsetzung, d.h. den Instrumenten, die zur Durchsetzung des Datenschutzrechts zur Verfügung stehen. Er beurteilt sie insgesamt so, dass für die Arbeitgeberinnen geringe Rechtsrisiken bestehen – das ist unter dem heutigen DSG der Fall; beim revidierten Gesetz kann man das nicht unbesehen unterschreiben.
Das 7. Kapitel enthält unter dem Titel «Neuausrichtung des Datenschutzrechts» die Synthese aus den vorangehenden Überlegungen – Kasper macht hier unter dem Titel «Professionalisierung und Demokratisierung als Mittel zur Umsetzung des neu ausgerichteten Datenschutzrechts» Vorschläge zur Verbesserung des Datenschutzes de lege ferenda. Er stellt zunächst relativ knapp wesentliche Instrumente des revidierten DSG dar, die auf eine Professionalisierung hinwirken, z.B. Datenschutz-Folgenabschätzungen (bei der das Profiling mit hohem Risiko unerwähnt bleibt), die Pflicht, Bearbeitungsverzeichnisse zu führen oder die Informationspflicht. Diese Instrumente genügen aus Sicht von Kasper allerdings nicht. Er schlägt daher weitere Professionalisierungen vor:
Zum einen sei eine Accountability-Pflicht nach dem Vorbild der DSGVO (Art. 5 Abs. 2) einzuführen, mit der damit verbundenen Beweislastumkehr im Zivil- und Verwaltungsverfahren und mit einer Pflicht zu einem internen Reglement und zu Schulungen. Ferner müsse die Arbeitgeberin Massnahmen gegen algorithmische Diskriminierungen treffen. Zu bedenken wäre laut Kasper etwa die Einführung eines arbeitsrechtlichen Diskriminierungsverbots, eine Bestrafung rassistisch motivierter Absagen bei Stellenbewerbungen oder eine Lockerung des Urheberrechtsschutzes, damit Algorithmen «urheberrechtlich geschützte Daten» bearbeiten dürfen. Ebenso sollten Schulungen für Personen verpflichtend sein, die Analysen durchführen.
Auch Kontrollrechte der Arbeitnehmenden seien zu stärken. Dafür schlägt Kasper etwa die Einführung des summarischen Verfahrens für Auskunftsbegehren und eine Stärkung von Mitwirkungsrechten z.B. durch eine obligatorische Arbeitnehmervertretung in grösseren Betrieben vor, ferner eine Vertretung der Arbeitnehmerschaft im Verwaltungsrat. Und auch die Durchsetzung von staatlicher Seite sei zu stärken. Prüfenswert sei eine Dezentralisierung der Beratung im Datenschutzrechtbereich, um den Interessenkonflikt des EDÖB zwischen beratender und vollziehender Behörde zu schwächen – ein guter Vorschlag. Kasper spricht sich weiter für die Einführung einer datenschutzrechtlichen Verbandsklage aus, ebenso wie für ein freiwilliges oder vorgeschriebenes Kontrollverfahren für private Softwareanwendungen vorzuschlagen, die in heiklen Bereichen eingesetzt werden sollen, und schliesslich für Investitionen in die Bildung.
|Das Verdienst der Dissertation von Kasper liegt sicher in der Breite der Betrachtung, für die er auf Ergebnisse der Nationalfonds-Studie zurückgreifen konnte (und eine frühere Publikation mit Prof. Wildhaber auf deren Basis), ebenso wie in der Verbindung der datenschutz- mit der arbeitsrechtlichen Perspektive und den Querverweisen auf die DSGVO und Literatur insbesondere auch aus Deutschland und den USA, der geglückten Auswahl des Themas der Dissertation und dem Beitrag zur Diskussion, wie das Datenschutzrecht zu verbessern wäre.
Dies Breite führt aber auch dazu, dass die rechtlichen Ausführungen mehrheitlich an der Oberfläche bleiben. Für die Lösung praktischer Probleme eignet sich diese Arbeit deshalb nicht uneingeschränkt. Aus dem gleichen Grund sind aber auch viele Verbesserungsvorschläge nicht überzeugend. Aus den Ergebnissen der Studie leitet Kasper zunächst zwar sicher mit Recht ab, dass die Umsetzung des Datenschutzrechts in der Praxis hapert. Das muss allerdings nicht dramatisch sein, denn wie die Studie ebenfalls ergeben hat, wird People Analytics in der Schweiz vor allem für relativ harmlose Zwecke eingesetzt. Bei Vollzugsdefiziten wäre die Frage indes zunächst, was die Ursache ist, was man sich von der Revision des DSG versprechen soll, mit welchen Defiziten weiterhin zu rechnen ist und, erst dann, wie diese zu beheben wären. Dazu wäre unter anderem eine vertiefte Analyse des revidierten Rechts erforderlich, die nicht mit dem Umfrageergebnis ersetzt werden kann, dass die Anwendung des Datenschutzrecht komplex ist. Diese Analyse fehlt weitgehend, etwa eine Auseinandersetzung mit dem Begriff des Profilings, die im Kontext von Analytics wichtig wäre, oder mit den Betroffenenrechten, die im Arbeitsbereich heute schon missbrauchsanfällig sind und insbesondere durch die Generalklausel beim Auskunftsrecht verstärkt werden.
Dadurch ist die Diagnose unvollständig, und die Berechtigung des Rufs nach weiteren Verschärfungen ist zumindest in Frage gestellt. So schlägt Kasper vor, den Accountability-Grundsatz in der Schweiz einzuführen. Nicht nur würde das Datenschutzrecht, das zu komplex sei und deshalb professionalisiert werden solle, noch erheblich komplexer. Aus eigener Erfahrung zweifelt der Rezensent auch, dass sie zu einer echten Professionalisierung des Datenschutzes führen würde. Unternehmen, die den Datenschutz ernst nehmen, tun es bereits, und die anderen wird auch eine Accountability-Pflicht nicht bekehren. Wahrscheinlicher wäre ein Ausbau der Schein-Compliance durch weitere Formulare und oberflächliche Abwägungen, ein noch grösseres Unverständnis der Unternehmen gegenüber dem Datenschutz allgemein und damit vielleicht eine Schwächung des Datenschutzes. Diese Meinung muss man nicht teilen, aber eine Auseinandersetzung mit solchen Fragen hätte man sich gewünscht.