• Keine Ergebnisse gefunden

Datenschutz 1~

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Datenschutz 1~"

Copied!
136
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 136 Seite )

Volltext

(1)

Schriftenreihe des

Instituts für Rechtswissenschaft und Rechtspraxis

1!._.

1~ Universität St.Gallen

Ueli Kieser / Kurt Pärli (Hrsg.)

Datenschutz im Arbeits-,

Versicherungs- und Sozialbereich:

Aktuelle Herausforderungen

Band 80

(2)
(3)

UELI KIESER / KURT PÄRLI (Hrsg.)

Datenschutz im Arbeits-,

Versicherungs- und Sozialbereich:

Aktuelle Herausforderungen

(4)

Schriftenreihe des

Instituts für Rechtswissenschaft und Rechtspraxis

IRP-HSG

Herausgegeben von

Prof. Dr. Bernhard Ehrenzeller Prof. Dr. Vito Roberto

PD Dr. iur. Ueli Kieser

Band 80

(5)

DELI KIESER / KURT PÄRLI

(Herausgeber)

Datenschutz im Arbeits-,

Versicherungs- und Sozialbereich:

Aktuelle Herausforderungen

mit Beiträgen von Dr. iur. Bruno Baeriswyl

Matthias Horschik, Rechtsanwalt PD Dr. iur. Ueli Kieser

Prof. FH Peter Mösch Payot, lic. iur. LL.M.

Prof. Dr. iur. Kurt Pärli

lic. iur./exec. MBA HSG Ursula Uttinger

Referate der Tagung vom 29. November 2011 in Luzern

St. Gallen 2012

he Fc!lr.

liothek it

/,((J~(~

A - (;Otf7_S-//2_

Katalog

(6)

Satz: IRP-HSG

Umschlaggestaltung+ Druck: Prisma Druck GmbH, Buttikon

ISBN 978-3-906049-01-4 EAN 9783906049014 Alle Rechte vorbehalten

(7)

Vorwort

Mit Datenschutz sollen die Personen vor missbräuchlicher Verwendung ihrer Personendaten geschützt werden; Datenschutz ist deshalb in erster Linie Persönlichkeitsschutz. Im Arbeits-, Sozial- und Privatversicherungsbe- reich sowie in der Sozialhilfe stellen sich heikle Abwägungsfragen. Den Inte- ressen der Arbeitnehmenden, Versicherten oder Sozialhilfeempfänger/innen am Schutz ihrer sensiblen Persönlichkeitsdaten stehen die Interessen der Versicherungsgemeinschaft am Schutz des Versichertenvermögens vor un- rechtmässigem Leistungsbezug gegenüber. Für die Arbeitgeber dient ein möglichst weitgehender Anspruch auf Daten der Arbeitnehmenden sowohl zur Selektion im Bewerbungsverfahren als auch für die Durchführung des Arbeitsverhältnisses. Vor dem Hintergrund politisierter Missbrauchsdebat- ten sind diese Interessengegensätze im Bereich der Sozialhilfe noch ausge- prägter.

Im Rahmen einer Tagung des IRP-HSG wurde der Stand der Datenschutz- gesetzgebung und der relevanten Probleme aus rechtspolitischer und prak- tischer Sicht reflektiert. Auf einige besonders aktuelle und brisante Themen wurden vertieft eingegangen. Aus dieser Tagung ist der vorliegende Band hervorgegangen. Die Herausgeber danken den Referierenden herzlich für die grosse, fruchtbare Arbeit, die in der vorliegenden Publikation ihren Nie- derschlag gefunden hat.

St. Gallen, im Juni 2012

UELIK!ESER KURTPÄRLI

(8)
(9)

Inhaltsübersicht

Bruno Baeriswyl

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

Kurt Pärli

Evaluieren, kontrollieren, überwachen:

Datenschutz in Arbeitsverhältnissen

Ueli Kieser

Datenschutz in der Krankenversicherung - ein Blick auf einige aktuelle Fragestellungen

Ursula Uttinger

Datenschutzüberprüfungen: Zertifizierungen sowie andere Möglichkeiten oder: Was hat Art. 11 DSG verändert?

Matthias Horschik

Datenschutz und Einsatz von Privatdetektiven in der Sozial- und Privatversicherung

Peter Mösch Payot

Datenschutz im Sozialbereich: Aktuelle Herausforderungen

9

29

55

69

81

109

(10)
(11)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

Dr. iur. BRUNO BAERISWYL, Datenschutzbeauftragter des Kantons Zürich, Zürich

Inhaltsübersicht

1 Ausgangslage .................. 10

2 Gesetzgebung ... 11

2.1 Begriffliches ... 11

2.2 Gesetzgebungskonzept ... 12

2.3 Grundrechtsschutz ............ 13

2.4 Föderale Datenschutzgesetzgebung ...... 14

2.5 Datenschutzrechtliche Prinzipien ............ 15

2.6 Transparenz ... 16

2.7 Aufsicht ... 17

3 Weiterentwicklungen der Gesetzgebung ...... 18

4 Rechtsprechung ......... 19

4.1 Transparenz der Datenbearbeitung ............ 20

4.2 Verhältnismässige Datenweitergabe ... 20

4.3 Zweckbindung und Rechtfertigungsgrund ... 21

4.4 Schutz der Individualrechte ... 22

4.5 Fehlender Technikbezug ... 23

5 Ausblick ... 23

5.1 Wirkung der Gesetzgebung ... 23

5.2 Evaluation DSG ...... 24

5.3 Rechtsentwicklung in der EU ... 24

5.4 Grundrechtsschutz ... 25

5.5 Neue Ansätze ......... 25

6 Fazit ............ 28

(12)

BRUNO BAERISWYL

1 Ausgangslage

Die Standortbestimmung zur Datenschutzgesetzgebung in der Schweiz er- folgt rund 20 Jahre nach Inkrafttreten des eidgenössischen Datenschutzge- setzes1 und rund 35 Jahre nach Erlass des ersten kantonalen Datenschutzge- setzes2. Wie die Zeitspanne zwischen dem ersten Datenschutzgesetz (1976) und dem Erlass des eidgenössischen Datenschutzgesetzes (1992) zeigt, lös- ten die in den USA und in Europa in den 1960er Jahren geführten Diskus- sionen in der Schweiz eine nachhaltige, aber lang andauernde Debatte zur Datenschutzgesetzgebung aus3Erst aufgrund des Sehengen Assoziierungs- abkommen haben alle Kanton eine formelle Datenschutzgesetzgebung erlas- sen4.

Als in den 1960er Jahren die Diskussion um den Datenschutz startete, stand im Vordergrund, die Risiken, welche die moderne Informationstechnologie für die Persönlichkeitsrechte beinhaltete, durch gesetzliche Rahmenbedin- gungen einschränken zu wollen. Mitte der 1990er Jahre, als das eidgenössi- sche Datenschutzgesetz und zahlreiche kantonale Datenschutzgesetze in Kraft traten, vollzog sich in Bezug auf die Informationsbearbeitungen ein fundamentaler Wandel - Stichwort Internet-, der heute noch andauert.

Auf der einen Seite entwickelte sich die Technologie von der zentralen Da- tenbearbeitung zu einem vernetzten und allgegenwärtigen Austausch von Daten und Informationen; auf der anderen Seite hat sich Information als eigenständiges und nachgefragtes Gut in der so genannten "Informations- und Kommunikationsgesellschaft" entwickelt. Dessen Bearbeitung und Aus-

3

10

Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992, in Kraft seit 1. Juli 1993.

Loi sur Ja protection des informations traitees automatiquement par ordinateur du 24 juin 1976.

Siehe: PETER FORSTMOSER, 10 Jahre Gesetz - 30 Jahre Diskussion, in: digma 2003, 50 ff.;

FRANK SEETHALER, Entstehungsgeschichte des Datenschutzgesetzes N 1 ff., in: Urs Mau- rer-Lambrou / Nedim Peter Vogt [Hrsg.), Basler Kommentar zum Datenschutzgesetz, 2. Aufl., Basel 2006.

Vgl. zu den Auswirkungen des Sehengen Assoziierungsabkommens: BEAT RUDIN / BRUNO BAERISWYL, "Sehengen" und der Datenschutz in den Kantonen: Anforderungen - Beurteilung - Handlungsbedarf, in: Astrid Epiney / Sarah Theuerkauf (Hrsg.), Daten- schutz in Europa und die Schweiz, Zürich 2006, 169 ff.

(13)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

tausch ist dank der neuen "Informations- und Kommunikationstechnologie"

immer schneller und umfassender möglich und beinhaltet zukünftig die Verselbständigung des Computers5•

Eine Standortbestimmung und ein Ausblick in Bezug auf die Datenschutz- gesetzgebung zum jetzigen Zeitpunkt muss sich deshalb des "volatilen" Um- felds in Bezug auf die Datenbearbeitungen bewusst sein. Ein Rückblick auf Entstehung und Konzept der schweizerischen Datenschutzgesetzgebung bringt wichtige Hinweise auf die aktuelle Umsetzung und Praxis des Daten- schutzes. Aus einer Betrachtung der Rechtsprechung und der aktuellen Ge- setzgebung und Praxis lassen sich sodann in einem Ausblick Herausforde- rungen der Datenschutzgesetzgebung aus heutiger Sicht benennen und in einem Fazit mögliche Lösungsansätze diskutieren.

2 Gesetzgebung 2.1 Begriffliches

Die "Datenschutzgesetzgebung" in der Schweiz umfasst das Datenschutzge- setz des Bundes und die Datenschutzgesetze der Kantone. Diese auch als

"formelles Datenschutzrecht" 6 bezeichneten Gesetze bilden zusammen mit den materiellen Bestimmungen in bereichsspezifischen Erlassen das "Daten- schutzrecht". Die Unterscheidung zwischen formellem und materiellem Datenschutzrecht ist im öffentlich-rechtlichen Bereich von Belang im Ver- hältnis zu den kompetenzgemäss erlassenen Datenschutzbestimmungen von Bund und Kantonen7• Im privatrechtlichen Bereich ist die Unterscheidung nicht von Relevanz, da dem Bund hier eine umfassende Rechtsetzungskom- petenz zukommt.

5 Vgl. hierzu die Beiträge in: ALBERT KÜNDIG / DANIELLE BüTSCHI (HRSG.), Die Verselb- ständigung des Computers, Zürich 2008.

Vgl. zu den Begriffen "formelles'" und "materielles" Datenschutzrecht: BEAT RUOIN, Verfassungswidrige Anwendbarkeit des Bundesdatenschutzgesetzes, in: SJZ 105/2009, 2.

Vgl. BEATRUDIN (Fn 6), 2 ff.

(14)

BRUNO BAERISWYL

Aufgrund der verfassungsrechtlichen Kompetenzordnung8 kann der Bund formelles Datenschutzrecht im Bereich der Bundesverwaltung und des Pri- vatrechts erlassen. Dies hat er mit dem DSG getan, das für beide Bereiche gilt9• Die Kantone wiederum regeln in ihren Datenschutzgesetzen das for- melle Datenschutzrecht für die kantonalen und kommunalen öffentlichen Organe.

Das formelle Datenschutzrecht setzt - summarisch gesprochen - die Rah- menbedingungen, unter denen Datenbearbeitungen den verfassungsrechtli- chen und rechtsstaatlichen Anforderungen genügen.

Dagegen finden sich in den bereichsspezifischen Erlassen, die wiederum kompetenzmässig ergehen, inhaltliche Regelungen, wie mit Personendaten umzugehen ist. Diese Bestimmungen sind unterschiedlich konkret: Für den Arbeitsbereich hält beispielsweise Art. 328b OR fest, dass Arbeitgeber Daten über Arbeitnehmende nur so weit bearbeiten dürfen, wie sie zur Eignungs- abklärung oder zur Durchführung des Arbeitsverhältnisses notwendig sind.

Weitere präzisere Bestimmungen beispielsweise zur Videoüberwachung im Arbeitsbereich enthält dabei Art. 26 der Verordnung 3 zum Arbeitsgesetz 10.

Auch im Sozialversicherungsbereich bestehen zahlreiche mehr oder weniger präzise Bestimmungen über die Datenbearbeitungen und insbesondere die Datenweitergaben 11•

2.2 Gesetzgebungskonzept

Die Entstehung des schweizerischen Datenschutzkonzepts ist geprägt von der technologischen und gesellschaftlichen Situation der 1960er und 1970er Jahre: Einerseits die Verbreitung der elektronischen Datenverarbeitung durch Grosscomputer und andererseits das Gefühl der damit verbundenen Bedrohung der liberalen Grundwerte - insbesondere der persönlichen Frei-

10 11

Art. 122 Abs. 1 BV; Art. 47 BV.

Art. 2 Abs. 1 DSG.

Vgl. aber BGer Urteil 6B_536/2009 vom 12. November 2009 (Ziff. 41 unten).

Z.B. Art. 32 A TSG, Art. 42 KVG.

(15)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

heit und der Privatsphäre - waren ausschlaggebend für Überlegungen12 zu einer spezifischen Gesetzgebung über das Bearbeiten von Personendaten13 Das Konzept basiert auf fünf prägenden Elementen, die im Folgenden dar- gestellt und in Bezug auf die Standortbestimmung bewertet werden.

2.3 Grundrechtsschutz

In Art. 8 EMRK ist der Anspruch auf Privatsphäre als Menschenrecht festge- legt worden: "Jede Person hat das Recht auf Achtung ihres Privat- und Fami- lienlebens, ihrer Wohnung und ihrer Korrespondenz"14Staatliche Eingriffe in diesen Bereich sind nur erlaubt, wenn hierfür ein Rechtfertigungsgrund gegeben ist15• In der schweizerischen Bundesverfassung wurde der Schutz der Privatsphäre zunächst als Teil des (ungeschriebenen) Rechts auf persön- liche Freiheit vom Bundesgericht anerkannt, bevor in der neuen Bundesver- fassung das Recht auf Privatsphäre in Art. 13 BV eine explizite Regelung erfuhr. Allerdings greift diese Bestimmung zu kurz und benennt nicht alle Aspekte der Privatheit als Teil der persönlichen Freiheit16•

Der Schutz der persönlichen Freiheit, der Privatsphäre und der Persönlich- keitsrechte ist Ausgangspunkt für die Konzeption der Datenschutzgesetze.

In der elektronischen Datenverarbeitung wurde eine konkrete Bedrohung für die Privatsphäre und die Persönlichkeitsrechte gesehen, die durch eine normative Regelung abgewendet werden sollte. Die Datenschutzgesetze sollten die verfassungsmässigen Ansprüche in Bezug auf Datenbearbeitun- gen konkretisieren, indem Voraussetzungen für das rechtmässige Bearbeiten von Personendaten festgelegt werden. Das Ziel war es, das von der Bundes-

12 13 14 15 16

PETER FORSTMOSER (Fn 3), 50 f.

Zum Begriff der Personendaten: Art. 3 lit. a DSG.

Art. 8 Abs. 1 EMRK.

Art. 8 Abs. 2 EMRK.

Vgl. RAINER J. SCHWEIZER, Art. 13 N 39, in: Bernhard Ehrenzeller / Philippe Mastronardi / Rainer J. Schweizer/ Klaus A. Vallender [Hrsg.], St. Galler Kommentar zur schweizeri- schen Bundesverfassung, Band 1, 2. Aufl., Zürich 2008.

(16)

BRUNO BAERISWYL

verfassung gewährte Schutzniveau für die persönliche Freiheit auch bei der elektronischen Datenverarbeitung beizubehalten.

Das Datenschutzrecht ist daher als eigentliches Technikfolgenrecht17 zu ver- stehen: Die verfassungsmässigen Rechte sollten auch bei einer diese bedro- henden technologischen Entwicklung gewährleistet bleiben. Das normative Konzept blieb dabei technikneutral. Es setzt lediglich Rahmenbedingungen für die Datenbearbeitungen, ohne jedoch auf die Technikgestaltung einzu- wirken.

2.4 Föderale Datenschutzgesetzgebung

Für den Erlass von Datenschutzbestimmungen besteht keine allgemeine Bundeskompetenz. In der Debatte um eine eidgenössische Datenschutzge- setzgebung wurde der Antrag auf eine diesbezügliche Verfassungsänderung abgelehnt18• Neben dem Bund hatten deshalb auch die Kantone für ihre Be- reiche Datenschutzgesetze zu erlassen. Letztere stützten sich mehrheitlich auf ein 1983 veröffentlichtes Musterdatenschutzgesetz, sofern die Kantone vor dem Sehengen Assoziierungsabkommen überhaupt Datenschutzgesetze erliessen19•

Die verfassungsrechtliche Ausgangslage führte zu einer Zersplitterung des Datenschutzrechts in der Schweiz. Zwar sind aufgrund der verfassungsmäs- sigen Grundlage keine tiefgreifenden materiellen Unterschiede auszu- machen, doch der Gesetzgebungsprozess bei Erlass und Revisionen im for- mellen Datenschutzrecht ist mehrgleisig und aufwändig20 •

17

18 19

20

BRUNO BAERISWYL, Vom eindimensionalen zum mehrdimensionalen Datenschutz, in:

Bruno Baeriswyl / Beat Rudin (Hrsg.), Perspektive Datenschutz, Zürich 2002, 51 FRANK SEETHALER (Fn 3), N 13, 18.

Im Einzelnen: BEAT RUDIN, Datenschutzkonzept auf dem Prüfstand, in: digma 2010, 131, 135 f. (mit weiteren Hinweisen).

Vgl. zu den Anpassungen in den Kantonen aufgrund des Schengen-Assozüerungs- Abkommens: BEAT RUDIN, Die datenschutzrechtliche Umsetzung von Sehengen in den Kantonen, in: Breitenmoser / Gless / Lagodny (Hrsg.), Sehengen in der Praxis, Zürich/

St. Gallen 2009, 213 ff.; BEAT RUDIN, Datenschutzgesetze - fit für Europa, Zürich 2007.

(17)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick 2.5 Datenschutzrechtliche Prinzipien

Die formellgesetzlichen Rahmenbedingungen wurden mittels generalsklau- selartiger Prinzipien geschaffen. Diese so genannten "Datenschutzprinzi- pien" finden sich heute mehr oder weniger ausgeprägt in allen schweizeri- schen Datenschutzgesetzen. Sie definieren die formellen Voraussetzungen, unter denen eine Datenbearbeitung als rechtmässig gilt. Das DSG legt die folgenden Grundprinzipien fest:

Rechtmässigkeit (Art. 4 Abs. 1 DSG);

Treu und Glauben sowie Verhältnismässigkeit (Art. 4 Abs. 2 DSG);

Zweckbindung (Art. 4 Abs. 3 DSG);

Integrität (Art. 5 DSG);

Sicherheit (Art. 7 DSG).

Für den öffentlich-rechtlichen Bereich bringen diese Grundsätze wenig Neues. Rechtmässigkeit und Verhältnismässigkeit sind Grundlagen jegli- chen Verwaltungshandelns. Aber auch aus den Anforderungen an die Integ- rität und Sicherheit der Daten lassen sich keine wesentlichen neuen Grund- sätze ableiten, da diese auch im Eigeninteresse der Verwaltung zu deren Grundsätzen zählen. Einzig das Erfordernis der Zweckbindung der Daten- bearbeitung beinhaltet einen Einschnitt, insbesondere für den Bereich der elektronischen Datenbearbeitung, wo das elektronische Datum sich leicht weitergeben lässt.

Im privatrechtlichen Bereich ist eine Datenbearbeitung nicht widerrechtlich, wenn die Grundprinzipien eingehalten werden21 • Diese Prinzipien sind aber nur einzuhalten, soweit kein Rechtfertigungsgrund für eine Abweichung besteht. Ihre Bedeutung ist deshalb zu relativieren; im Vordergrund steht der Rechtfertigungsgrund.

Die datenschutzrechtlichen Prinzipien verlagern damit den Schutz der Pri- vatsphäre auf eine andere Ebene.

Im öffentlich-rechtlichen Bereich sind gesetzliche Grundlagen zu schaffen, welche die Datenbearbeitungen rechtfertigen. Im Rahmen dieser Gesetzge-

21 Art. 12 DSG.

(18)

BRUNO BAERISWYL

bungen sind die Datenschutzprinzipien zu berücksichtigen. Dabei ist das Risiko gross, dass die Gesetzgebungen der eigentliche Motor für die Aus- dehnung der Datenbearbeitungen sind und Beschränkungen im Sinne des Schutzes der persönlichen Freiheit der betroffenen Personen weitgehend vernachlässigt werden, da andere Interessen im Vordergrund stehen22.

Im privatrechtlichen Bereich kann mit stillschweigenden oder expliziten Einwilligungen auf das individuelle Recht auf Privatsphäre verzichtet wer- den. Im Internet wird beispielsweise mittels Allgemeinen Geschäftsbedin- gungen (AGB) systematisch das Recht auf Privatheit beschnitten23Die Frage des Schutzes der Privatsphäre verlagert sich dabei auf die Problematik der Gültigkeit von AGBs oder auf die Frage der Aufklärung und Freiwilligkeit bei Einwilligungserklärungen beispielsweise im Arbeitsverhältnis oder im V ersicherungsbereich24.

2.6 Transparenz

Konzeptionell setzt die Datenschutzgesetzgebung auf die Transparenz der Datenbearbeitungen. Die Beschaffung von Personendaten soll erkennbar sein25 und jeder Person steht das Recht zu, bei einem Datenbearbeiter Aus- kunft über die sie betreffenden Daten zu verlangen26 • Weitere Rechtsansprü- che sind im Privatrechtsbereich gestützt auf Art. 28, 28a und 281 ZGB auf dem Weg des Zivilprozesses geltend zu machen, im öffentlich-rechtlichen Bereich gestützt auf das Verwaltungsverfahrensrecht. Die Datenschutzge- setzgebung schafft damit Transparenz für die betroffene Person, stärkt in- dessen die weitere Durchsetzung der Individualrechte (z.B. Berichtigung, Löschung) nicht. Damit besteht bei Verletzungen von datenschutzrechtli- chen Prinzipien für das Individuum eine hohe Hürde, da mehrheitlich keine

22 23 24

25 26

Siehe auch BEATRUDIN (Fn 19), 137 f.

Vgl. BRUNO BAERISWYL, Kleingedrucktes unter der Lupe, in: digma 2010, 56 ff.

Art. 4 Abs. 5 DSG.

Art. 4 Abs. 4 DSG.

Art.SDSG.

(19)

Datenschutzgesetzgebung in der Schweiz -Standortbestimmung und Ausblick

finanziellen Forderungen aus Datenschutzverletzungen entstehen, aber das volle Prozessrisiko getragen werden muss27.

2.7 Aufsicht

Sämtliche Datenschutzgesetze sehen Aufsichtsbehörden vor, wie sie auch aufgrund der verbindlichen europarechtlichen Vorgaben gefordert wer- den28. Nach den Gesetzen kommen diesen Aufsichtsbehörden mehrfache Rollen zu: Sie haben sowohl eine Beratungsfunktion als auch eine Kontroll- funktion. Sie beraten dabei nicht nur die Datenbearbeiter, sondern auch betroffene Personen. Und sie informieren die Öffentlichkeit über die Anlie- gen des Datenschutzes.

Bei der Kontrolltätigkeit haben sie Eingriffsmöglichkeiten, indem sie Emp- fehlungen abgeben können, die sie aber aufwändig auf dem Rechtsweg durchsetzen müssen.

Zusätzlich sind einzelne Behörden auch noch mit der Beratung und Vermitt- lung im Bereich des Informationszugangs beauftragt.

In der Praxis stehen der eidgenössischen wie den kantonalen Aufsichtsbe- hörden keine angemessenen Ressourcen zur Verfügung, so dass ihr Wirken in einzelnen Bereichen faktisch inexistent ist29•

Die verschiedenen und sich teilweise widersprechenden Rollen der Auf- sichtsbehörden macht ihre Aufgabenerfüllung schwierig. Sind sie nun (un- verbindliche) Beratungsstellen oder (wirkungsvolle) Aufsichtsbehörden?

27

28 29

Vgl. dazu: Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011, 9. Die Evaluation kommt zum Schluss, dass die ge- ringe Nutzung der Durchsetzungsrechte auf die geringe Bekanntheit derselben, den be- trächtlichen Aufwand, den diffusen nicht gesicherten Nutzen sowie spezifische Risiken (z.B. Risiko der Kündigung im Arbeitsverhältnis) zurückzuführen ist.

BEAT RUDIN / BRUNO BAERISWYL (Fn 4), 180 ff.

BEAT RUDIN (Fn 20, 1. Beitrag), 254 f.

(20)

BRUNO BAERISWYL

Ihre "Unberechenbarkeit" ist deshalb vor allem im privatrechtlichen Bereich teilweise irritierend30

3 Weiterentwicklungen der Gesetzgebung

Das DSG hat seit dem Inkrafttreten am 1. Juli 1993 einige Änderungen erfah- ren, die aber keine Anpassungen des Grundkonzepts beinhalten. In einer ersten Revision, die am 1. Januar 2008 in Kraft trat, wurden insbesondere Bestimmungen zur Transparenz eingefügt, so insbesondere zur Erkennbar- keit der Beschaffung31, zur Informationspflicht bei der Beschaffung beson- ders schützenswerter Personendaten32 und zu den Anforderungen an die Einwilligung33. Darüber hinaus wurden ein Zertifizierungsverfahren34, eine Klausel für Pilotprojekte öffentlicher Organe35 und Vereinfachungen für den grenzüberschreitenden Datenverkehr36 sowie die Registrierung von Daten- sammlungen - verbunden mit der Möglichkeit, einen betrieblichen Daten- schutzberater zu bestimmen37 - eingefügt. In einer späteren Anpassung, wel- che am 1. Dezember 2010 in Kraft trat, wurde die Unabhängigkeit des Eid- genössischen Datenschutz- und Öffentlichkeitsbeauftragten konkreter ge- regelt38.

30 Vgl. das Vorgehen des EDÖB gegenüber Google Inc.: Am Tag der Lancierung des Pro- duktes "StreetView" liess der EDÖB in einer Medienmitteilung verkünden, dass er das Produkt einer vertieften Prüfung unterzogen habe und als konform mit dem Daten- schutzgesetz bezeichne (Medienmitteilung vom 18. August 2009), am 11. September 2009 erlässt er eine Empfehlung gegenüber Google Inc. und anschliessend erhebt er Klage vor dem Bundesverwaltungsgericht (BVerwGer Urteil A-7040/2009 vom 30. März 2011; BGer Urteil 1C_230/2011 vom 31. Mai 2012).

31 Art. 4 Abs. 4 DSG.

32 Art. 7a (heute 14) DSG.

33 Art. 4 Abs. 5 DSG.

34 Art.11 DSG.

35 Art. 17a DSG.

36 Art. 6 DSG.

37 Art. lla DSG.

38 Art. 26 ff. DSG.

18

(21)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

Auf kantonaler Ebene wurden ebenfalls Anpassungen aufgrund der Vorga- ben des Sehengen Assoziierungsabkommens vorgenommen; diese erfolgten nicht durchwegs konform zu den europarechtlichen Vorgaben39 •

Die Kantone Solothurn40 und Aargau41 haben Gesetze geschaffen, die neben dem Datenschutz auch den Informationszugang und im Aargau zusätzlich die Archivierung regeln. Konzeptuell einen neuen Weg wählten die Kantone Zürich42 und Basel-Stadt43: Die Materie Datenschutz und Öffentlichkeits- prinzip wurden nicht einfach nebeneinander in einem Gesetz geregelt, son- dern der Blickwinkel ist konsequent auf den Informationsprozess gerichtet, von der Entstehung der Information bis zu deren Archivierung. Auf den allgemeinen Grundsätzen bauen spezifische Bestimmungen im Umgang mit Personendaten auf44. Die bisherigen Datenschutzgesetze dieser Kantone wurden mit dem Inkrafttreten der Informations- und Datenschutzgesetze (IDG) ausser Kraft gesetzt.

4 Rechtsprechung

In der Rechtsprechung sind Grundsatzfragen des Datenschutzes kaum Thema45 • Es sind keine wirklichen Leitentscheide auszumachen, welche die Auslegung der Datenschutzgesetzgebung bestimmen würden. Vielmehr lassen zahlreiche Entscheide eine eingehende Auseinandersetzung mit den Grundprinzipien des Datenschutzes vermissen. Sie werden daher in der Lehre und Praxis sehr kontrovers aufgenommen. Die im Folgenden ausge- wählten Entscheide zu den datenschutzrechtlichen Grundlagen zeigen diese Ausgangslage deutlich.

39 40

41 42

43 44

45

Vgl. BRUNO BAERISWYL, Entwicklungen im Datenschutzrecht, SJZ (104) 2008, 459 f.

InfoDG vom 21. Februar 2001.

IDAG vom 24. Oktober 2006.

Gesetz über die Information und den Datenschutz (IDG) vom 12. Februar 2007.

Gesetz über die Information und den Datenschutz (IDG) vom 9. Juni 2010.

Siehe zum IDG Zürich: BRUNO BAERISWYL / BEAT RUDIN (HRSG.), Praxiskommentar zum Informations- und Datenschutzgesetz des Kantons Zürich, Zürich 2012.

ROLF H. WEBER, Rechtsprechung im Datenschutz, in: digma 2003, 76.

(22)

BRUNO BAERISWYL

4.1 Transparenz der Datenbearbeitung

Im Rahmen eines Strafverfahrens hatte das Bundesgericht zu beurteilen, ob die heimliche Videoüberwachung des Kassenraumes eines Juweliergeschäf- tes rechtmässig sei46Das Bundesgericht stellte fest, dass die einschlägige arbeitsrechtliche Bestimmung47 über die Videoüberwachung keine genü- gende gesetzliche Grundlage habe und deshalb eine Videoüberwachung gestützt auf Art. 328b OR verhältnismässig sei. Die datenschutzrechtlichen Grundprinzipien werden dabei im Einzelnen nicht berücksichtigt. Der Grundsatz von Treu und Glauben48 und das Erfordernis der Transparenz und Erkennbarkeit49 dürften indessen auch bei einem legitimen Interesse des Arbeitgebers eine Videoüberwachung ohne Information der Angestellten kaum rechtfertigen50. Für eine (freiwillige) Einwilligung der betroffenen Personen besteht im Rahmen des Arbeitsverhältnisses wenig Raum.

4.2 Verhältnismässige Datenweitergabe

Im Rahmen eines umstrittenen Tarifvertrages im Gesundheitswesen hatte das Bundesverwaltungsgericht zu beurteilen, ob die Weitergabe von medi- zinischen Daten (Diagnosen) des Leistungserbringers an den Versicherer verhältnismässig sei51 • Dabei stellte das Gericht fest, dass das KVG52 eine genügende formell-gesetzliche Grundlage für die tarifvertragliche Vereinba- rung der systematischen ("in jedem Einzelfall") Weitergabe der Diagnose und des Eingriffscodes mit der Rechnungsstellung verkörpere53 • In Bezug auf die Verhältnismässigkeit hielt es fest, dass sich die Auskunftspflicht der

46

47 48 49

50 51 52 53

BGer Urteil 6B_536/2009 vorn 12. November 2009.

Art. 26 ArGV 3.

Art. 4 Abs. 2 DSG.

Art. 4 Abs. 4 DSG.

Vgl. KVRTPÄRLI, Videoüberwachung am Arbeitsplatz zulässig, in: digma 2010, 78.

BVerwGer Urteil C-6570/2007 vom 29. Mai 2009. Art. 42 Abs. 3 und 4 i.V.m. Art. 84 und Art. 84a KVG.

E. 3.3.4.

(23)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

Leistungserbringer gegenüber den Versicherern nur auf Angaben erstrecken könne, die objektiv geeignet und erforderlich sind, um die Leistungspflicht und die Wirtschaftlichkeit der erbrachten Leistungen überprüfen zu können, und sie muss ferner zu diesem Zweck in einer vernünftigen Relation ste- hen54. Es obliege deshalb den Tarifpartnern, im Vertrag "die Art und den Detaillierungsgrad der Diagnosen( ... ) umfassend zu regeln". Und: "Je höher der Detaillierungsgrad einer Diagnose, desto höhere Anforderungen auch an die 'flankierenden Massnahmen' wie beispielsweise die Weitergabe der Daten an den Vertrauensarzt zu stellen sind"55.

Das Urteil lässt die Parteien zurück mit dem Fazit, dass die systematische Bekanntgabe der Diagnosen möglich sei, wenn das Prinzip der Verhältnis- mässigkeit eingehalten wird, wobei gerade der Detaillierungsgrad hohe Anforderungen an die Verhältnismässigkeit stelle. Gerade hier hätten sie eine konkrete Auslegung des datenschutzrechtlichen Verhältnismässigkeits- prinzips erwartet. Dies kann in der Praxis eben gerade gegen die systemati- sche Weitergabe ("in jedem Einzelfall") sprechen. Auch in weiteren Urteilen ist festzustellen, dass die Frage der Verhältnismässigkeit in Bezug auf das Ziel der Datenbearbeitung kaum überprüft wird56.

4.3 Zweckbindung und Rechtfertigungsgrund

In einem weiteren Urteil57 stellte das Bundesgericht fest, dass Kommunika- tionsparameter - IP-Adressen, die in der Regel als Personendaten zu qualifi- zieren sind58 - nicht erfasst werden dürften, um Urheberrechtsverletzungen

54

55 56

57

58

E.4.

E.5.3.4.

Vgl. BGE 130 II 425. Bei der Frage der Überwachung von Mitarbeitenden mittels GPS ging das BGer davon aus, dass damit auch die verbrachte Zeit beim Kunden erfasst werde, was sich aber mit einem in einem Fahrzeug installierten GPS so gar nicht fest- stellen lässt, weshalb bereits die Geeignetheit der Massnahme zu hinterfragen wäre. Hierzu: AMEDEO WERMELINGER, GPS-Überwachung von Mitarbeitenden, in: digma 2005, 96 ff.

BGE 136 II 508.

BGE 136 II 508, E. 3.

21

(24)

BRUNO BAERISWYL

zu verfolgen. Dies widerspräche dem Prinzip der Zweckbindung und der Transparenz. Ein Rechtfertigungsgrund liege nicht vor, da keine überwie- genden öffentlichen oder privaten Interessen vorhanden seien. Die Verwen- dung der IP-Adresse ist ein relativ geringfügiger Eingriff in die Persönlich- keitsrechte. In diesem Zusammenhang erstaunt, dass für die Verfolgung von Urheberrechtsverletzungen kein öffentliches Interesse gegeben sein soll:

Weit schwerwiegendere Eingriffe - die Überwachung durch Privatdetektive mittels Video - müssen Versicherte über sich ergehen lassen, da ein öffentli- ches Interesse der (Sozial)versicherten bestehe, keine nicht geschuldeten Leistungen zu erbringen59• Und im Arbeitsrecht wird ein privates Interesse an der Verfolgung von potentiellen Diebstählen mittels Videoüberwachung bejaht, ohne dass das Transparenzprinzip zu erfüllen ist60. Das Urteil gibt aber auch noch zu weiteren Bemerkungen Anlass61.

4.4 Schutz der Individualrechte

Während die Rechtsprechung mit der Konkretisierung des materiellen Ge- halts der datenschutzrechtlichen Prinzipien offensichtlich Mühe hat, zeigt sich, dass das individuelle Recht auf Auskunft über die eigenen Daten einen hohen Schutz geniesst62"Kann der Betroffene nach dem anwendbaren kan- tonalen Recht die Berichtigung oder die Löschung unrichtiger Daten in Poli- zeiakten verlangen, muss er auch die Möglichkeit haben, Einsicht in diese Akten zu nehmen, sofern kein überwiegendes, von der Behörde nachzuwei- sendes öffentliches Interesse entgegensteht"63. Die Betonung des Rechts auf Auskunft steht dabei in einem gewissen Widerspruch zur aufwändigen Durchsetzbarkeit der materiellen Ansprüche64 •

59 60 61

62 63

64

BGer Urteil 8C_239/2008 vom 17. Dezember 2009; BGE 136 III 340.

BGer Urteil 6B_536/2009 vom 12. November 2009 (siehe Ziff. 41 oben).

Siehe BRUNO BAERISWYL, Entwicklungen im Datenschutzrecht, in: SJZ (107) 2011, 441.

ROLF H. WEBER (Fn 45), 77.

BGE 126 I 7. Vgl. zur Einsicht in die Krankengeschichte: BGer Urteil 2P.202/2006 vom 22. November 2006.

Siehe Fn 27.

(25)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

4.5 Fehlender Technikbezug

Die besonderen Risiken der Technologie - der Ausganspunkt für die Daten- schutzgesetzgebung - haben in der Rechtsprechung noch kaum Nieder- schlag gefunden. Das Risiko der Verbreitung von Personendaten - bei- spielsweise im Internet - wird sogar ignoriert. Bei Handelsregisterdaten, die von Drittfirmen in eigenen Dateien aufbereitet und über die dreijährige Frist der offiziellen Publikation im Schweizerischen Handelsamtsblatt hinaus im Internet verbreitet werden, gesteht das Bundesverwaltungsgericht der be- troffenen Person keine Berichtigung oder Löschung von handelsregister- rechtlich nicht mehr relevanten Daten zu65 • Damit können unrichtige Daten öffentlich verbreitet werden mit dem Risiko für die betroffene Person, dass falsche Schlüsse gezogen werden und die Daten mit anderen Informationen im Internet verknüpft werden.

5 Ausblick

5.1 Wirkung der Gesetzgebung

Die Entwicklung der Datenschutzgesetzgebung zeigt, dass die datenschutz- rechtlichen Prinzipien in der Praxis wenig materielle Konturen erhalten ha- ben. Datenschutzrechtliche Weiterentwicklungen bewegen sich im Rahmen der Grundkonzeption. Sie sind weitgehend von (verbindlichen) europa- rechtlichen Vorgaben ausgelöst, die mehr oder weniger konsequent umge- setzt werden.

Die formelle Datenschutzgesetzgebung beeinflusst das materielle Recht we- nig: Im öffentlich-rechtlichen Bereich werden zur Legitimation der Eingriffe in die Persönlichkeitsrechte Gesetze geschaffen, die immer weiter gehende Datenbearbeitungen ermöglichen; im privatrechtlichen Bereich leisten die Rechtfertigungsgründe - insbesondere die Einwilligung - einer breiten Ab- weichung von den datenschutzrechtlichen Prinzipien Vorschub.

Auch die Rechtsprechung bietet keine wirkliche Weiterentwicklung des Datenschutzrechts, indem sie die datenschutzrechtlichen Prinzipien mit

65 BVerwG Urteil A--4086/2007 vom 26. Februar 2008.

(26)

BRUNO BAERISWYL

Gehalt füllen würde. Die Entscheide haben kaum Bedeutung über den Ein- zelfall hinaus und werden in Lehre und Praxis kontrovers aufgenommen.

Über die wirkliche Bedeutung der datenschutzrechtlichen Prinzipien herrscht Rechtsunsicherheit. Generell kann der dem Gesetzgebungskonzept inhärente Konflikt - Technikfolgemecht ohne Technikgestaltung - nicht überwunden werden.

5.2 Evaluation DSG

In einer durchgeführten Evaluation66 des DSG stellte der Bundesrat fest, dass das DSG zwar in den 1990er Jahren eine spürbare Schutzwirkung erreicht habe, dass diese aber seither am Sinken sei. Im Bericht wird anhand der Betrachtung einzelner Bereiche aufgezeigt, dass das DSG die angestrebte Wirkung nur teilweise erzielt. Die Feststellung, dass die Datenbearbeiter das DSG "in pragmatischer Art und Weise" berücksichtigen würden, weist auf eine hohe Ignorierung der rechtlichen Bestimmungen hin. Ebenso wird auf der anderen Seite festgestellt, dass die Individualrechte nur eine beschränkte Wirkung erzielen würden, da für das Individuum der Aufwand und das Prozessrisiko gegenüber einem diffusen Nutzen zu hoch blieben. Auch der Aufsichtsbehörde wird aufgrund beschränkter Ressourcen nur eine be- schränkte Wirkung mit kaum Breitenwirkung attestiert. Die Schlussfolge- rungen dieser Evaluation sind damit ernüchternd. Dabei wurde lediglich das formelle Datenschutzrecht evaluiert, ohne zu untersuchen, wie die Ein- griffe in die Persönlichkeitsrechte aufgrund legitimitierender materieller Gesetze oder durch Einwilligungserklärungen in Allgemeinen Geschäftsbe- dingungen (AGB) zugenommen haben.

5.3 Rechtsentwicklung in der EU

Am 25. Januar 2012 hat die EU-Kommission eine Datenschutzvorlage67 ver- öffentlicht, welche die bestehende Datenschutzrichtlinie und den Rahmen-

66

67

Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011.

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

(27)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

beschluss in der EU ablösen wird. Gleichzeitig unterzieht auch der Europa- rat seine Datenschutzkonvention einer Modernisierung68. Beide Gesetzes- vorhaben werden Auswirkungen auf die schweizerische Datenschutzgesetz- gebung haben. Der Bundesrat hat bereits im Evaluationsbericht darauf hin- gewiesen, diese Entwicklungen bei einer Weiterentwicklung des DSG berücksichtigen zu wollen.

5.4 Grundrechtsschutz

Unabhängig davon stellt sich aber die Frage, wie die Gesetzgebung der fort- schreitenden technologischen Entwicklung angepasst werden soll und wie der Schutz der Privatheit und der informationellen Selbstbestimmung ge- währt werden kann. Die Verwirklichung des Grundrechtsschutzes steht dabei im Vordergrund. Der Schutz der Privatheit ist nicht nur ein individu- alrechtliches Anliegen, sondern auch Teil der liberalen Rechts- und Wirt- schaftsordnung. Die Datenschutzgesetzgebung weist aber wenig konkreti- sierende Bestimmungen auf, die diesen Grundrechtsschutz gewährleisten würden. Insbesondere im privatrechtlichen Bereich ist ein Abweichen von datenschutzrechtlichen Grundprinzipien leicht möglich69 • Des Weiteren zeigt sich bei der Rechtsdurchsetzung, dass die Datenschutzgesetzgebung kaum wirksame Durchsetzungsmöglichkeiten aufweist. Das formelle Date~- schutzrecht ist uneinheitlich, und im materiellen Datenschutzrecht fehlen in sensitiven Bereich - beispielsweise im Arbeitsbereich oder im Gesundheits- wesen - konkretisierende Bestimmungen.

5.5 Neue Ansätze

Es wird zu prüfen sein, ob in der Schweiz weiterhin an unterschiedlichen Datenschutzgesetzen in den Kantonen und im Bund festzuhalten sein wird oder ob nicht mittels einer Verfassungsänderung die Kompetenz zur Daten-

68 69

http://www.coe.int/t/dghl/standardsetting/dataprotection/Modemisation_en.asp.

BRUNO BAERISWYL, Neuer Datenschutz für die digitale Welt, in: digrna 2011, 8 f.

(28)

BRUNO ßAERISWYL

schutzgesetzgebung dem Bund übertragen werden sollte70. Einerseits würde hiermit mehr Rechtssicherheit in Bezug auf das anwendbare Datenschutz- recht geschaffen, und andererseits könnten auch Rechtsänderungen, die sich beispielsweise aus der europäischen Rechtsentwicklung ergeben, zentral umgesetzt werden.

Im Gegenzug könnte die Wirkung der Datenschutzaufsicht gestärkt werden, indem die Aufsichtsbehörden weiterhin dezentral (kantonal) organisiert bleiben würden, aber mit der zusätzlichen Kompetenz zur Aufsicht im pri- vatrechtlichen Bereich eine Nähe zu diesen Datenbearbeitern schaffen wür- den, welche bereits dadurch die Wirkung der heutigen Aufsicht übertreffen dürfte71 •

Geht es um die materiellen Datenschutzbestimmungen, wird es vermehrt darum gehen, die Risiken der Datenbearbeitungen für die Persönlichkeits- rechte zu evaluieren und entsprechende Bestimmungen zu schaffen72 • Be- sondere Risiken bestehen beim Einsatz bestimmter Technologien - bei- spielsweise Überwachungstechnologien oder Ortungstechnologien - oder in bestimmten Bereichen wie im Gesundheitswesen beim Umgang mit geneti- schen Daten. Indessen sind auch weitere Kriterien wie die Anzahl der be- troffenen Personen und/oder die fehlende Möglichkeit der informationellen Selbstbestimmung und Kontrolle - wie dies beispielsweise bei sozialen Netzwerken der Fall ist - als Anlass für bereichsspezifische Datenschutzbe- stimmungen in Betracht zu zu ziehen. Die bereichsspezifischen Bestimmun- gen haben aber nicht nur den Einsatz der verschiedenen Technologien zu regeln, sondern sollten auch auf die Technikgestaltung einwirken können.

Das Bearbeiten von Personendaten ist im technischen Umfeld zur Normali- tät geworden, da jedes Datum, das sich auf eine bestimmte oder bestimmba- re Person bezieht, als Personendatum zu bezeichnen ist73 und folglich die

70

71 72 73

Vgl. im Einzelnen: BEAT RUDIN, Ein Datenschutzgesetz - eine neue Aufsicht, in: digrna 2011, 18 ff.

BEATRUDIN (Fn 70), 22 ff.

BRUNO BAERJSWYL (Fn 69), 9 f.

Art. 3 lit. a DSG.

(29)

Datenschutzgesetzgebung in der Schweiz - Standortbestimmung und Ausblick

vollständige Anwendbarkeit der datenschutzrechtlichen Bestimmungen zur Folge hat. Auch die weitere Unterscheidung in "besonders schützenswerte Personendaten"74 hilft nicht weiter, da damit eine Sensitivität der Datenbe- arbeitung für die Persönlichkeitsrechte nicht automatisch verbunden sein muss75Entscheidend sind vielmehr das Risiko in Bezug auf die Verletzung von Persönlichkeitsrechten respektive der Schutzbedarf der Daten und In- formationen. Dabei spielen das Umfeld der Verwendung und das Ziel der Bearbeitung derselben eine viel wesentlichere Rolle76: Erfolgt die Bearbei- tung nicht mit der Absicht, einen Personenbezug herzustellen - beispiels- weise die Verwendung der IP-Adresse - hat dies kaum Auswirkungen auf die Persönlichkeitsrechte. Dies wäre hingegen der Fall, wenn die IP-Adresse im Rahmen von Online-Marketing bewusst zum Personenbezug von Daten aus verschiedenen Quellen verwendet würde.

Auch aufgrund der heutigen technischen Möglichkeiten und der Verwen- dung von Daten ist grundsätzlich ein gleiches Datenschutzniveau für den öffentlich-rechtlichen wie den privatrechtlichen Bereich zu schaffen. Im pri- vatrechtlichen Bereich könnten dabei Selbstregulierungen zum Tragen kommen, sofern sie das gesetzliche Datenschutzniveau garantieren.

Mit einem Sanktionssystem ist dem Datenschutzrecht die notwendige Nach- achtung zu verschaffen. So könnten der Aufsichtsbehörde eigene Verfü- gungskompetenzen eingeräumt werden oder gewisse zweckwidrige Daten- bearbeitungen ("Missbrauch") könnten mit strafrechtlichen Sanktionsmög- lichkeiten abgesichert werden - beispielsweise die Verwendung von Or- tungsdaten zur Echtzeit-Überwachung.

Gleichzeitig sind auch die Individualrechte zu stärken, beispielsweise durch eine Beweislastumkehr bei Datenschutzverletzungen77 oder die automati- sche Löschung von Personendaten nach fünf Jahren, soweit für eine längere

74 75

76 77

Art. 3 Iit. c DSG.

"Der Papst ist katholisch": ALEXANDER ROSSNAGEL, Modernisierung des Datenschutzes, in: digma 2011, 165.

ALEXANDER ROSSNAGEL (Fn 75), 163 ff ..

BRUNO BAERISWYL {Fn 69), 10.

(30)

BRUNO BAERISWYL

Aufbewahrungsdauer keine gesetzliche Grundlage, kein Vertragsverhältnis oder keine explizite Einwilligung besteht.

6 Fazit

Die technologische und damit verbundene gesellschaftliche Entwicklung im Bereich von Daten- und Informationsbearbeitungen ist rasant. Die Daten- schutzgesetzgebung wurde von dieser Entwicklung regelrecht überrollt. Die Umsetzung zeigt wenig Konturen und die Rechtsprechung hat bisher keine grundlegenden Spuren hinterlassen. Die datenschutzrechtlichen Prinzipien haben sich nicht geschärft, sondern verlieren in diesem Umfeld schleichend ihre Wirkung. Die Folge ist eine hohe Rechtsunsicherheit im Bereich des Datenschutzes.

Die Abwertung des Schutzes der Privatsphäre durch die Macht des Fakti- schen - Internet - hat keine Diskussion um den Kerngehalt des Schutzes der Privatsphäre als Anliegen der Verfassung ausgelöst. Vielmehr zeigt die Rechtsentwicklung im Bereich des Datenschutzes wenig eigenständige Um- setzungskraft und -wille. Die gesetzgeberischen Änderungen seit Inkrafttre- ten der Datenschutzgesetzgebung sind weitgehend durch internationale Abkommen ausgelöst worden, deren verbindliche Vorgaben mehr oder weniger umgesetzt worden sind. Auch der Evaluationsbericht des Bundes- rates setzt primär auf das Abwarten von möglichen Veränderungen im eu- ropäischen Bereich. Hier hat die EU mit einem neuen Vorschlag eine Debatte ausgelöst, in der ernsthafte Vorschläge für eine Stärkung des Datenschutzes diskutiert werden. Noch ist aber fraglich, wie diese umgesetzt werden.

In der Literatur gibt es zahlreiche Hinweise, wie die Wirkung der Daten- schutzgesetzgebung verstärkt werden könnte. Dazu braucht es aber einen Willen zur Neugestaltung des Datenschutzes und der informationellen Selbstbestimmung in der Informations- und Kommunikationsgesellschaft, welche die Prüfung der verschiedenen Vorschläge und deren Umsetzungs- möglichkeiten beinhaltet und sie zeitlich priorisiert. Diese "Agenda Daten- schutz" wäre deshalb vordringlich anzugehen.

(31)

Evaluieren, kontrollieren, überwachen:

Datenschutz in Arbeitsverhältnissen

Prof. Dr. iur. KURT PÄRLI, PD für Arbeits- und Sozialversicherungsrecht an der Universität St. Gallen, Leiter Zentrum für Sozialrecht, School of Ma- nagement and Law, Zürcher Hochschule für angewandte Wissenschaften, Winterthur

Inhaltsübersicht

I) Einleitung ......... 30 1. Die Überwachung von Arbeitnehmenden im Zeitalter von PC

und Internet ............... 30 II) Eignungsabklärung der Arbeitnehmenden ... 32 1. Der rechtliche Rahmen ........... 32 2. Ausgewählte Gerichtspraxis ... 35 3. (Un)zulässiges Online-Screening von Stellenbewerber/innen ... 38 4. Zwischenfazit ....... 40 III) Kontrollieren und Überwachen ............. 40 1. Rechtlicher Rahmen ......... 40

1.1 Bestimmungen zum Schutze der Arbeitgeberinteressen

und der Öffentlichkeit. .... 40 1.2 Bestimmungen zum Schutze der Arbeitnehmenden ... 41 2. Gerichtspraxis zu Video- und GPS-Überwachung ......... 43 3. E-Mail, Internet, soziale Netzwerke .......... 47 4. Zwischenfazit ......... 49 N) Spannungsfelder und Widersprüche ............ 50 1. Datensammeln und Überwachen zum Schutze der Ethik? ...... 50 2. Speicherung von Daten im Interesse des Datenschutzes? ... 51 3. Compliance - Freund oder Feind des Datenschutzes? ... 5.2 V) Fazit und weiterführende Überlegungen ............ 53

(32)

KURT PÄRLI

1) Einleitung

1. Die Überwachung von Arbeitnehmenden im Zeitalter von PC und Internet

Die Überwachung von Beschäftigten ist kein neues Phänomen. Die Sklaven wurden durch Aufseher kontrolliert und mit Peitschenhieben zur Arbeit angehalten. In den Büros früherer Zeiten verfolgte der Bürovorstand von seinem erhöhten Pult aus die Aktivitäten der Bürolistinnen und Bürolisten.

Heute stehen den Unternehmen zahlreiche technische Überwachungsmög- lichkeiten zur Verfügung.

Besonders zentral ist die Überwachung im Zusammenhang mit den heute wohl wichtigsten Arbeitsinstrumenten, PC und Internet. Die Betriebssyste- me und Anwendungsprogramme an sich haben bereits Funktionen einge- baut, die es Interessierten möglich machen, zahlreiche Informationen über die Nutzer/innen und deren Surf- und e-Mail-Verhalten zu gewinnen. Log- Protokolle dienen der rationellen Verarbeitung der gewonnenen Informatio- nen. Sogenannte Cookies legen Informationen aus dem Internet auf dem lokalen PC ab. Zu erwähnen ist weiter der "Cache", ein Verzeichnis auf dem PC oder in Firmennetzwerken, in dem die Inhalte der besuchten Internetsei- ten zwischengespeichert werden. Log-Protokolle, Cookies und Cache sind Fundgruben für die Erkennung des individuellen Surfverhaltens. Das Kon- trollpotential bei der elektronischen Kommunikation ist immens. Überwacht werden kann nicht nur jede Form der e-Mail-Kommunikation, eine Kontroll- und Überwachungsfunktion haben auch Proxy-Server, Fernwartungszugrif- fe oder Formen der Desktopüberwachung1•

Ebenfalls zur Überwachung von Arbeitnehmenden eingesetzt werden kön- nen neuere Technologien wie die "Radio-Frequency-Identification" (RFID), die ein berührungsloses Auslegen von sogenannten "Tags" z.B. in Auswei-

Einen guten Überblick über heute gängige Kontrollmöglichkeiten der Aktivitäten der Arbeitnehmer/innen am PC und im Internet bietet der folgende Beitrag: GERRJT WfE- GAND/JENS MÖSINGER, Der Chef surft mit - Technjsche MögHchkeiten der Mitarbeite- rinnen- und Mitarbeiter-Kontrolle bei der Internet- und E-Mail Nutzung und wie man sich davor schützen kann, 2008, siehe: http://www.onHnerechte-fuer-beschaeftigte.

de/upload/s480elc9f6be9d_ verweisl.pdf (besucht: 1.5.2012).

(33)

Evaluieren, kontrollieren, überwachen: Datenschutz in Arbeitsverhältnissen

sen, Schlüsseln oder in der Kleidung ermöglicht. Jeder dieser "Tags" hat eine eindeutige Nummer und allenfalls weitere Daten. RFID wird bspw. für die Zeiterfassung oder das Öffnen von Türen eingesetzt. Mitarbeitende können ferner via GPS oder Handy geortet werden2•

Angeboten werden auf dem Markt auch spezielle Überwachungsprogram- me zur Überwachung von Mitarbeitenden in Echtzeit. So wirbt z.B. die Fir- ma "refog" für ihre Überwachungssoftware: "Nutzt die Personal-Über- wachung Threr Firma was? Nutzen all Thre Mitarbeiter die PCs und Internet ausschliesslich für Geschäftszwecke? Arbeiten sie gleich fleissig, egal, ob Sie über ihre Schulter schauen oder ausserhalb des Büros sind? In anderen Wör- tern - zweifeln Sie manchmal deren Produktivität an? Sie sollten daran den- ken, ein Überwachungssystem zu installieren, um sich mit dem Problem zu befassen. Überwachung in Echtzeit ist notwendig, um Mitarbeiter-Pro- duktivität zu erhöhen, jedoch löst sie nicht das Problem der Mitarbeiter- Loyalität"3. Der Einsatz der Refog-Software, so wirbt das Unternehmen wei- ter, sei für das Personal komplett unsichtbar und insbesondere könnten auch die Kommunikation der Mitarbeitenden in "Social Networks" kontrolliert werden. Ähnliche Produkte bietet auch eine Firma mit dem sinnigen Namen

"Orvell Network" an4• Automatisches Monitoring von Facebook- und Twit- ter-Aktivitäten der Mitarbeitenden verspricht das Produkt von "teneros.

com"5•

Nicht alles, was technisch möglich ist, ist in rechtlicher Hinsicht auch er- laubt; die folgenden Ausführungen setzen sich mit dem rechtlichen Rahmen auseinander. Daten- und persönlichkeitsschutzrechtliche Bestimmungen und Bestimmungen im Arbeitsgesetz setzen der Überwachung und Kontrol-

3 4 5

Zu den Möglichkeiten und Grenzen der Ortung von Mitarbeitenden siehe die aktuelle Studie der TA Swiss (Technology Assessment): LORENZ HILTY, BRITTA OERTEL, MICHAE-

LA WÖLK, KURT PÄRLI, Lokalisiert und identifiziert, Wie Ortungstechnologien unser Le- ben verändern, siehe: http://www.vdf.ethz.ch/service/3460/3477 _Lokalisiert-und-iden- tifiziert_OA.pdf (besucht: 16.5.2012).

http://www.refog.de (besucht: 1.5.2012).

http://www.protectcom.de/orvell/netzwerk.php (besucht: 1.5.2012).

http://www.teneros.com (besucht am: 1.5.2012).

(34)

KURT PÄRLI

le der Mitarbeitenden Grenzen (III) und beschränken bereits die zulässige Datenbearbeitung im Bewerbungsprozess (II). Für die Arbeitgeberseite be- steht regelmässig die Problematik, dass sie die Arbeitnehmer/innen nicht nur aus purem Eigeninteresse überwachen wollen, vielmehr sind sie aus rechtlichen Gründen, Sicherheit oder Compliance-Regelungen rechtlich da- zu verpflichtet. Es eröffnen sich hier Spannungsfelder und Widersprüche zwischen Compliance-Durchsetzung und Datenschutz (IV). Der Beitrag wird mit einem Fazit und weiterführenden Überlegungen abgeschlossen (V).

11) Eignungsabklärung der Arbeitnehmenden

1. Der rechtliche Rahmen

Datenschutz ist nicht Selbstzweck. Es sind nicht die Daten, die geschützt werden müssen; Sinn und Zweck des Datenschutzes ist vielmehr der Schutz der Persönlichkeit von Personen, über die Daten bearbeitet werden. Dieser Grundgedanke zeigt sich in der verfassungs-und menschenrechtlichen Ver- ankerung des Datenschutzes. In der Bundesverfassung (BV) bestimmt Art. 13 Abs. 2 den Anspruch jeder Person "auf Schutz vor Missbrauch ihrer persönlichen Daten". Weiter garantiert Art. 8 Abs. 1 EMRK jeder Person das Recht auf Achtung ihres Privatlebens (u.a.), und der Europäische Gerichts- hof für Menschenrechte hat wiederholt erkannt, dass darunter auch ein An- spruch auf Schutz vor missbräuchlicher Datenbearbeitung zu verstehen ist6 Auch in der Grundrechtscharta der Europäischen Union (GRCh) findet sich eine eigenständige Bestimmung zum Grundrecht auf Datenschutz (Art. 8 GRCh7). Zum übergeordneten rechtlichen Rahmen gehören ferner die Da-

Siehe z.B. EGMR, Urt. v. 6.9.1978, X ./. Vereinigtes Königreich, und in jüngerer Zeit EGMR, Urt. v. 17.7.2008, 1. ./. Finnland, Nr. 20511/03.

Nach Art. 8 Abs.l GRCh hat jede Person Anspruch auf Schutz der sie betreffenden personenbezogenen Daten und Abs. 2 legt bereits auf Grundrechtsstufe Bearbeitungs- grundsätze fest (Bearbeitung nach Treu und Glauben, Einwilligung, Auskunftsrecht).

(35)

Evaluieren, kontrollieren, überwachen: Datenschutz in Arbeitsverhältnissen

tenschutzkonvention des Europarates8 und die Datenschutzrichtlinie der Europäischen Union9 • Letztere ist für die Schweiz auch als Nicht-EU- Mitglied insofern relevant, als die Richtlinie vorschreibt, dass Daten nur in Staaten mit einem vergleichbaren Datenschutzniveau transferiert werden dürfen10 • Im Ergebnis muss deshalb schweizerisches Datenschutzrecht den EU-rechtlichen Schutzansprüchen entsprechen 11.

Dem Anspruch auf Schutz von Personendaten, vorliegend der Schutz von Personendaten der Arbeitnehmer/innen, stehen regelmässig divergierende Interessen gegenüber. Vorliegend sind dies die Arbeitgeberinteressen an möglichst umfassenden Informationen über die Arbeitnehmer/innen bezüg- lich deren fachlichen und persönlichen Eignung für die Einstellung oder Beförderung. Auf grundrechtlicher Ebene sind die Arbeitgeberinteressen im Grundrecht auf Wirtschaftsfreiheit, das auch die Vertragsfreiheit umfasst, geschützt12•

Die Konkretisierung des Datenschutzes auf Gesetzesstufe erfolgt auf sämtli- chen staatlichen Ebenen und in verschiedenen Rechtsgebieten13• Für private Arbeitsverhältnisse massgebend sind zum einen das Bundesgesetz über den Datenschutz (DSG) und zum anderen Art. 328b OR als datenschutzrechtli~

ehe Spezialnorm im Arbeitsvertragsrecht. Nach Art. 328b OR darf die Ar-

8 Konvention Nr. 108 zum Schutz des Einzelnen im Hinblick auf die automatische Verar- beitung von personenbezogenen Daten, Europäische Datenschutzkonvention, DSK, SR 0.235.1.

9

10 11

12

13

Datenschutzrichtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Siehe Art. 25 und 26 der Rl 95/46/EG.

FRANK SEETHALER, N 78 ff., Entstehungsgeschichte des DSG, in: Maurer-LambrouNogt (Hrsg.), Datenschutzgesetz, 2. Auflage, Basel 2006, S. 26 ff.

Zur Vertragsfreiheit als Teil der Wirtschaftsfreiheit von Art. 27 BV siehe statt vieler:

KLAUS V ALLENDER, N 37 zu Art. 27 BV, in: Ehrenzeller/Mastronardi/Schweizer/

Vallender (Hrsg.), Die schweizerische Bundesverfassung, Kommentar, 2. Auflage, Basel/

Zürich/St. Gallen 2008.

EVA MARIA BELSER/HUSSEIN NOUREDDINE, Datenschutzgesetz des Bundes, in: Belser/

Epiney/Waldmann (Hrsg.), Datenschutzrecht- Grundlagen und öffentliches Recht, Bern 2011, s. 412 f.

(36)

KURTPÄRLI

beitgeberin Personendaten des Arbeitnehmers nur bearbeiten, "soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind". In Art. 328b Satz 2 OR wird darauf hingewiesen, dass im Übrigen die Bestimmungen des DSG gelten.

Mit der Beschränkung der zulässigen Bearbeitung von Arbeitnehmerdaten auf die Eignungsabklärung und auf solche Arbeitnehmerdaten, die zur Durchführung des Arbeitsvertrages notwendig sind, konkretisiert der Ge- setzgeber das in Art. 4 DSG verankerte Verhältnismässigkeitsprinzip, ge- genüber dem DSG wird der Schutz im Arbeitsverhältnis durch Art. 328b OR erhöht14, was der Prämisse des Arbeitsrechts Rechnung trägt, wonach die Arbeitnehmenden als schwächere Vertragspartei zu schützen sind. Trotz ihrer systematischen Stellung im Vertragsrecht ist unbestritten, dass Art. 328b OR bereits im Bewerbungsverfahren Anwendung findet15. Im Be- werbungsverfahren sind zudem die weiteren Bearbeitungsgrundsätze des DSG wie das Prinzip der Rechtmässigkeit der Datenbearbeitung (Art. 4 Abs. 1 DSG), das Zweckbindungsgebot (Art. 4 Abs. 3 DSG), der Transpa- renzgrundsatz (Art. 4 Abs. 4 DSG), aber auch das Gebot der Datenrichtigkeit (Art. 5 DSG) zu beachten. Besondere Beachtung erfordert der im Zuge der ersten Revision des DSG im Jahre 2008 neu eingeführte Art. 4 Abs. 5 DSG:

"Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach an- gemessener Information freiwillig erfolgt. Bei der Bearbeitung von beson- ders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen". Im arbeitsrechtlichen Zusam- menhang bedeutet dies, dass bei Referenzauskünften (hier werden regel- mässig besonders schützenswerte Personendaten bearbeitet), die Bewer- ber/innen ihre ausdrückliche Zustimmung erteilen müssen. Das blosse Er- wähnen früherer Arbeitgeber dürfte dafür nicht ausreichen 16.

14

15 16

So auch DAVID ROSENTHAL, N 1 zu Art. 328b, in: David Rosenthal/Yvonne Jöhri, Hand- kommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008.

ROGER RUDOLPH, Stellenbewerbung und Datenschutz, Bern 1997, S. 18 ff.

ROGER RUDOLPH, Das revidierte Datenschutzgesetz im arbeitsrechtlichen Fokus: eine Übersicht, ARV online 2008, Nr.153.

Referenzen

Jetzt herunterladen ( PDF - 136 Seite - 38.70 MB )

Outline

Föderale Datenschutzgesetzgebung Rechtsprechung Ausblick Fazit

ÄHNLICHE DOKUMENTE

Daten und Daten über Daten

Beachte: Diese Definition bedeutet, dass Metadaten Daten sind, das Präfix Meta- wird nur durch den Kontext bestimmt und kann im Prinzip beliebig geschachtelt werden..

Technologische Entwicklung im Cleantech-Bereich: Wo steht die Schweiz?

Im folgenden Beitrag wird die technologische Entwicklung im Cleantech-Bereich in den letzten 30 Jahren auf der Basis von Patentstatistiken sowie die Posi- tionierung der

Nachschlagen von Daten in einer Liste mit Daten

Gibt den Wert eines Elements in einer Tabelle oder einer Matrix zurück, das innerhalb der Matrix (Matrix: Wird verwendet, um einzelne Formeln zu erstellen, die mehrere

Daten für Entwicklung: Eine Agenda für die deutsche Entwicklungszusammenarbeit

Zu der Mehrzahl der 230 Indikatoren der Sustainable Development Goals (SDGs) kann bisher nicht regelmäßig berichtet werden. Eine unabhängige Expertengruppe hat daher schon 2014 in

1 Sozialstruktur des Landkreises – Daten und Entwicklung

Die individuelle Teilhabeplanung, sozialplanerische und konzeptionelle Entscheidungen sowie in Kooperation mit den Städten und Gemeinden die sozialraumorientierte Ausrichtung

Informationen zum Datenschutz bei einer Erhebung von Daten bei der betroffenen Person nach Art. 13 Datenschutz-Grundverordnung (DSGVO) 1. Bezeichnung der Verarbeitungstätigkeit

Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. Sollten unrichtige

Zahlen, Daten, Fakten – die demografische Entwicklung im Bereich der Flächenpräsidien J LANDES OURNAL

Lasst uns gemeinsam den Druck auf die Landesregierung weiter ausüben, damit Benachteili- gungen für den öffentlichen Dienst in Hessen, wie nach der Wahl vor fünf Jahren,

ARGE DATEN ARGE DATEN - Österreichische Gesellschaft für Datenschutz

Gleichzeitig wird im selben § 1 die Annahme getroffen, dass ausschließlich nicht geimpfte Personen die ihren Hauptwohnsitz in Österreich haben die öffentliche Gesundheit