05 Digital Personality

«Privacy» ist das Key Issue der digitalen Welt; nicht nur wegen des Datenschutz-Hypes betreffend die Internet-Community Facebook. Privacy ist aber keine Erfindung des digitialen Zeitalters, sondern wurde bereits im ersten Zivilgesetzbuch (ZGB) der Schweiz von 1907 in den Art. 27 ff., dem Schutz der Persönlichkeit, reguliert. Gemäss Art. 31 ZGB beginnt die Persönlichkeit bei natürlichen Personen mit dem Leben nach der vollendeten Geburt und endet mit dem Tode. Vor der Geburt ist das Kind unter dem Vorbehalt rechtsfähig, dass es lebendig geboren wird. Eine juristische Person erlangt ihre Persönlichkeit durch einen juristischen Akt, gemäss Art. 52 ZGB durch den Eintrag ins Handelsregister. Keiner Eintragung bedürfen die öffentlich-rechtlichen Körperschaften und Anstalten sowie die Vereine, die nicht wirtschaftliche Zwecke verfolgen. Die Existenz einer juristischen Person endet mit ihrer (freiwilligen oder gesetzlich erzwungenen) Liquidation (Art. 57 ff. ZGB). Gemäss Duden versteht man unter Identity bzw. Identität die «Echtheit einer Person» bzw. eben einer Persönlichkeit nach ZGB. Man spricht auch von Authentizität. Diese, bereits Anfang des letzten Jahrhunderts im schweizerischen Recht verankerten Begriffe transferieren wir nachfolgend in die digitale Welt, und überlegen uns, wie eine Persönlichkeit im Rechtssinne in dieser Welt ensteht, welchen Gefahren sie dort ausgesetzt ist, wie sie von diesen rechtlich geschützt wird und was mit der digitalen Indentität passiert, wenn die natürliche oder juristische Person dahinter stirbt bzw. liquidiert wird.

Digital Identity

Aus juristischer Sicht kann eine Person nur eine Identität haben. Aber auch schon offline ist es möglich, dass eine Person verschiedene, andere Identitäten vorspiegelt. Online ist dies noch viel einfacher. Es ist sogar so, dass sich Personen weitere digitale Identitäten zulegen, die dies offline nie tun würde. Dabei geht es in der Regel um Privacy. Personen möchten z.B. nicht, dass Anbieter oder Dritte wissen, dass sie einen bestimmen digitalen Service nutzen.

Typen digitaler Identitäten

Es stellt sich für die Juristen also die Frage, wie man online sicher sein kann, dass das Gegenüber wirklich dasjenige ist, mit dem man kommunizieren möchte.

Dieses Problem haben Schweizer Banken bereits seit dem Jahre 1996, seit sie ihren Kunden Online-Dienstleistungen anbieten (s. Furrer/Dietrich, HSLU – W,  Geschichte des Online-Banking). Gelöst haben das die Banken mittels spezieller Vereinbarung für Online-Dienstleistungen bzw. heute E-Banking. Der Kunde wird von der Bank offline eindeutig indetifiziert. Ebenfalls erhält er offline einen Benutzer-Name sowie ein Passwort; in der Regel verbunden mit einer zusätzlichen Authetifizierung durch Zustellung eines Codes per SMS bei der Anmeldung oder Erfassung einer online angezeigten Grafik mit einem Smartphone. Juristisch handelt es sich dabei um eine mit dem spezifischen Geschäftsverhältnis vereinbarten und kreierten digitalen Identität, verbunden mit entsprechender digitaler Signatur (Benutzername, Passwort, evtl. zusätzlichem Code über Smartphone). Zum gleichen Typ einer digitalen Identität gehören auch die meisten anderen, im E-Commerce verwendeten Identitäten, z.B. für Facebook, Instagram, Amazon, Netflix, Tages-Anzeiger, LeShop.

Eine universale digitale Identität ist dagegen die qualifizierte digitale Signatur gemäss dem Bundesgesetz über die elektronische Signatur (ZertES; s. 04 Verträge in digitalen Projekten, s. auch Info auf der Website des BAKOM).

Identity Sharing, Identity Theft

Obwohl niemand darüber spricht, nicht einmal die betroffenen Anbieter, passiert es sehr wahrscheinlich sehr häufig. Insbesondere innerhalb einer Familie und unter Freunden werden die Zugangsdaten von Internetdiensten und damit die entsprechende digitiale Identität getauscht (in den USA bekannt unter dem Begriff des «Password Sharing»). Da fragt sich, ob dies zivilrechtlich, aber auch strafrechtlich überhaupt erlaubt ist. Dafür bestimmend sind die entsprechenden Nutzungsbedigungen. In der Regel verbieten diese die Weitergabe an unbefugte Dritte. Es gibt aber auch Lizenzen bzw. Abos, die eine Nutzung durch mehrere Personen zulassen. Die Anbieter lösen das Problem der Mehrfachnutzung häufig technisch, indem sie z.B. die gleichzeitige Nutzung auf eine bestimmte Anzahl von Geräten beschränken. Ein Login mit einem weiteren Gerät ist damit schon technisch nicht möglich. Werden die Zugangsdaten an unbefugte Dritte weitergegeben, ist dies eine Vertragsverletzung nach Art. 97 des Obligationenrechts (OR) und der Anbieter kann bei Verschulden Schadenersatz verlangen. Die Nutzungsbedigungen sehen für diesen Fall auch regelmässig die Sperrung des Accounts vor. Strafrechtlich ist die unbefugte Nutzung einer digitalen Leistung, die jedermann gegen Entgelt zugänglich ist, ein sogenanntes «Erschleichen einer Leistung» nach Art. 150 des Strafgesetzbuches (StGB) (BSK StGB, Weissenberger, Art. 150 StGB, N 41). Das Delikt befindet sich auf der gleichen strafrechtlichen Stufe, wie das Schwarzfahren bei öffentlichen Verkehrsmitteln (das im gleichen Artikel geregelt ist). Da die Anbieter wohl eine negative Publicity befürchten, kappen sie in einem solchen Fall sicherlich den Account, werden aber wohl eher keine Anzeige erstatten. Mir ist auf jeden Fall kein entsprechender Fall in der Schweiz bekannt. Bestraft wird zudem lediglich derjenige, der die fremde Identität nutzt, jedoch nicht derjenige, der diese weitergegeben hat.

Rechtlich weitaus problematischer ist die Weitergabe, der Diebstahl (Identity Theft) und das unbefugte Verwenden von Login-Daten zu digitalen Dienstleistungen und Datenbanken, die nur einem beschränkten Kreis von Nutzern zur Verfügung stehen. Dies trifft generell auf E-Mail-Server zu (insb. BGer 6B_615/2014, 6B_456/2007), m.E. aber auch auf Socialmedia-Plattformen, wie Facebook und Instagram, wie auch auf Zugänge zu Systemen von Arbeitgebern, bei denen sich sich Mitarbeitende einloggen können. Falls eine Bereicherungsabsicht besteht, ist dieses Verhalten m.E. nach Art. 143 StGB strafbar, und zwar von Amtes wegen, zum Nachteil von Angehörigen nur auf Antrag. Besteht keine Bereicherungsabsicht, kann die Tat nach Art. 143bis StGB (auch sog. Hacker-Tatbestand) nur auf Antrag bestraft werden. In diesem Kontext kann auch die Weitergabe von Login-Daten strafbar sein, und zwar von Amtes wegen.

Digitaler Tod

Jeden Tat sterben Tausende von Nutzern von digitalen Diensten, wie z.B. auch Facebook und Instagram. Digital leben sie weiter, solange ihre Accounts nicht gelöscht werden, also auch ihr digitaler Tod eintritt. Vielen Leuten dürfte es egal sein, was nach ihrem Tod mit ihren Daten in den verschiedenen Clouds und Social Media passiert. Viele möchte jedoch darüber bestimmen. Zudem gibt es auch Angehörige, die von einem Weiterbestehen von entsprechenden Social Media Accounts betroffen sind. Es fragt sich daher, was man in diesen Fällen tun bzw. wie man entsprechend vorsorgen kann und welches die Möglichkeiten für die Angehörigen sind, wenn der Erblasser nichts diebezügliches verfügt hat.

Das einfachste wäre, wenn der Erblasser verfügt, dass seine Erben Zugriff auf seine digitalen Daten bei digitalen Clouds und Diensten erhalten sollen und seiner Verfügung die entsprechenden Zugangsdaten beifügt oder diese anderweitig so deponiert, dass sie von den Erben nach seinem Tod einfach zugänglich sind. In diesem Fall können nämlichen die Erben ohne Kontaktnahme mit den entsprechenden Providern schlicht über die nämlichen Daten verfügen, insbesondere auch entsprechende Accounts von sich aus löschen. Damit eine solche Verfügung gültig ist, sollte sie nach Art. 498 ZGB öffentlich beurkundet oder vollständig eigenhändig (von Hand geschrieben) verfasst werden. Zudem könnte es sinnvoll sein, für das Handling der digitalen Daten einen mit den entsprechenden Medien (auch juristisch) vertraute Person zu bestimmen (Willensvollstrecker), z.B. einen im digitalen Recht spezialisierten Rechtsanwalt.

Liegt keine entsprechende Verfügung mit den entsprechenden Zugangsdaten vor, ist davon auszugehen, dass der digitale Nachlass gemäss Art. 560 ZGB im Rahmen einer Generalsukzession auf die gesetzlichen oder eingesetzten Erben übergeht. Damit erhalten die Erben auch einen eigenen Anspruch auf den Zugang zu diesen Daten. Solange die betroffenen Anbieter von Cloud-Services und anderen digitalen Dienstleistungen ihren Sitz in der Schweiz haben, sollte die Durchsetzung machbar sein. Problematisch ist es aber, wenn die nämlichen Provider, wie insb. Microsoft, Apple, WhatsApp, Facebook und Instagram ihren Sitz im Ausland haben, wie die meisten z.B. in den USA, ist eine Durchsetzung der entsprechenden Rechte komplizierter. Nicht gültig sein dürften jedoch gemäss Nutzungsbedigungen vereinbarte ausländische Gerichtsstände, soweit es sich bei den Erblassern um Privatpersonen handelt. Gemäss Art. 15 Lugano Übereinkommen (LugÜ, angewendet im Verhältnis Schweiz-EU) und Art. 120 des Gesetzes über das Internationale Privatrecht (IPRG; angewendet im Verhältnis Schweiz-«Rest der Welt») haben Konsumentinnen und Konsumenten immer das Anrecht auf den Gerichtsstand am Wohnsitz. Dort könnten dann auch ausländische Provider eingeklagt werden.

Eine Zusammenstellung der Nutzungsbedigungen der Provider beim Tod der Nutzer von Julia Hostettler findet sich unter folgendem Link: Hostettler, Nutzungsbedingungen der Provider beim Tod der Nutzer, 2018.

Ein detaillierter Darstellung der Problematik findet sich in einem Artikel von Prof. Dr. oec. Hans Rainer Künzle, Uni Zürich: Digitaler Nachlass nach schweizerischem Recht, successio 9, 2015, S. 39 ff..

Digital Privacy

Obwohl es den Schutz der Persönlichkeit und damit auch die Privacy (dt. Privatsphäre) bereits seit Einführung des Zivilgesetzbuches im Jahre 1907 gibt, ist es effektiv so, dass sich der Gedanke, dass man die Daten schützen muss, um damit indirekt die Persönlichkeit und Privatsphäre zu schützen, erst Ende der 80er-Jahre des 20. Jahrhunderts entwickelt hat, parallel zur Entwicklung der Informatik. Am 1. Juli 1993 ist dann das Datenschutzgesetz (DSG) in Kraft getreten.

Unter den gesetzlichen Datenschutz fallen lediglich Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen, sogenannte «Personendaten» (Art. 3 DSG). Unter «Person» ist sowohl eine natürliche, wie auch eine juristische zu verstehen.

Die Basis des Datenschutzrechts bilden dessen Prinzipien, die sich in Art. 4 ff. DSG finden. Auch wenn die Materie kompliziert zu sein scheint, geht es in der Praxis eigentlich einfach darum, die Datenschutzprinzipien auf den Data Lifecycle (dt. Dankreislauf) anzuwenden. Der Data Lifecycle beginnt beim Sammeln bzw. der Erhebung von Daten, geht weiter über jegliches Verarbeiten von Daten, bis zu deren Vernichtung bzw. Löschung. Von den nachfolgenden Prinzipien sind in der digitalen Praxis die Verhältnismässigkeit und die Zweckgebundenheit besonders wichtig.

Prinzip der Rechtmässigkeit

Das Erheben und Bearbeiten von Daten ist widerrechtlich, wenn es nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Diese Bestimmung findet sich in Art. 13 DSG, wo auch Beispiele für ein überwiegendes privates oder öffentliches Interesse aufgeführt sind.

Prinzip der Transparenz

Das Prinzip der Transparenz entspricht dem Grundsatz von Treu und Glauben (Art. 2 ZGB). Die Datenerhebung und die Datenbearbeitung muss grundsätzlich so erfolgen, dass sie der betroffenen Person bekannt ist. Dazu gehört auch, dass die betroffene Person über den Zweck der Datenerfassung informiert wird. Dieser darf dann ohne erneute Einwilligung der betroffenen Person nicht geändert werden (s. nachfolgend Prinzip der Zweckbindung).

Prinzip der Verhältnismässigkeit

Nach dem Prinzip der Verhältnismässigkeit dürfen insbesondere nur solche Daten erhoben werden, die für den entsprechenden, kommunizierten Zweck notwendig und geeignet sind. So braucht ein Anbieter bei einer Online-Bestellung eines E-Books lediglich den Namen (Identifzierung), evtl. das Geburtsdatum (Identifizierung, Vertragsfähigkeit), eine E-Mail-Adresse (Kommunikation) und die Kreditkarten-Daten (Zahlung). Die Angabe z.B. des Zivilstandes und des Berufes sind zur Abwicklung dieses Geschäftes weder notwendig, noch geeignet. In einem aktuellen Fall klärt der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte ab, ob der Sportartikel-Händler Decathlon von seinen Kunden bei einem reinen Offline-Kauf im Geschäft eine E-Mail-Adresse verlangen darf (s. Blick 07.05.2018). Voraussetzung wäre, dass eine E-Mail-Adresse für den reinen Offline-Kauf notwendig ist. Dies ist wohl nicht der Fall und damit eine Verletzung des Prinzips der Verhältnismässigkeit. Zum Prinzip der Verhältnismässigkeit gehört auch, dass Daten nur solange gespeichert werden dürfen, wie dies für den Zweck notwendig ist. Da in der Regel genügend Speicherkapazität vorhanden ist und damit keine technische Notwendigkeit zur Löschung besteht, gehört das Unterlassen des eigentlich gebotenen Löschens möglicherweise zu den häufigsten datenschutzrechtlichen Verletzungen.

Prinzip der Zweckbindung

Das Prinzip der Zweckbindung bedeutet einerseits, dass Daten ohne Zweck, d.h. auf Vorrat nicht gesammelt werden dürfen. Andererseits darf ein einmal der betroffenen Person bei der Datenerhebung kommunizierter Zweck der Datenerfassung ohne deren Einwilligung oder entsprechender gesetzlicher Grundlage nicht geändert werden. D.h. insbesondere auch, dass Daten nicht zweckentfremdet werden dürfen.

Prinzip der Integrität

Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden. Was dies in der Praxis u.a. bedeutet, illustriert ein neuerer Entscheid des Bundesverwaltungsgerichts i.S. moneyhouse.ch, kommentiert auf dem Blog «Juristenfutter»: https://wp.me/p8RKnD-2s.

Prinzip der Sicherheit

Unter dem Prinzip der Sicherheit versteht man den eigentlichen Schutz von Daten durch technische und organisatorische Massnahmen. Diese Massnahmen gewährleisten die Vertraulichkeit, die Verfügbarkeit, die Integrität und die Authentizität der Daten sowie die Nachvollziehbarkeit der Datenbearbeitung. Dabei gilt auch hier das Prinzip der Verhältnismässigkeit und die Massnahmen müssen dem Stand der Technik entsprechenn. Je sensibler die zu schützenden Daten sind, je höher sind die Anforderungen an diesen Datenschutz. Da der Mensch regelmässig das schwächste Glied in der Kette des Datenschutzes ist, sind neben technischen vor allem auch organisatorische Massnahmen wichtig. Die Nachvollziehbarkeit der Datenverarbeitung verlangt eine entsprechende Protokollierung. Beides sind auch Schwerpunkte der nachfolgend erläuterten neuen EU-Datenschutz-Grundverordnung.

Auskunftsrecht

Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie erfasst und bearbeitet werden. Gemäss Art. 1 der Datenschutzverordnung muss diese Auskunft spätestens nach 30 Tagen erteilt werden. Gemäss Art. 34 DSG ist das nicht oder nicht rechtzeitige Erteilen einer Auskunft eine der wenigen, strafrechtlich geahndeten Tatbestände (s. dazu auch nachfolgend). Für die Praxis ist darum dringend zu empfehlen, in einem Unternehmen eine Anlaufstelle für ensprechende Anfragen zu definieren und zu publizieren sowie die Systeme so vorzubereiten, dass die nämlichen Daten innert Kürze abgerufen werden können. Details dazu finden sich in Art. 8 DSG.

Übermittlung von Personendaten ins Ausland

Nach Art. 6 DSG dürfen Personendaten nur dann ins Ausland übermittelt werden, wenn das Datenschutzniveau im nämlichen Land ähnlich hoch ist, wie in der Schweiz. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erstellt dafür eine Liste mit den Staaten, die aus schweizerischer Sicht ein genügendes Datenschutzniveau aufweisen (s. www.edoeb.admin.ch/dam/edoeb/de/dokumente/2017/04/staatenliste.pdf.download.pdf/staatenliste.pdf).

Da insbesondere die EU das Datenschutzniveau des sehr wichtigen Handelspartners USA als nicht genügend hoch erachtet, haben die EU und die Schweiz mit den USA eine spezielle Lösung geschaffen. Im Abkommen «Privacy Shield» haben die EU, die Schweiz und die USA datenschutzrechtliche Standards definiert. Wenn US-Unternehmen diesem Abkommen beitreten, verpflichten sie sich, die entsprechenden Standards einzuhalten. Damit ist bei der Übermittlung von Personendaten an diese Unternehmen das von Art. 6 DSG verlangte ähnlich hohe Datenschutzniveau gewährleistet. Welche US-Unternehmen dem Abkommen beigetreten sind, kann unter folgendem Link abgerufen werden: www.privacyshield.gov/list.

Juristische Folgen der Verletzung von Datenschutzprinzipien

Ein Manko des aktuellen schweizerischen Datenschutzgesetzes ist es, dass deren Verletzer praktisch keine juristischen Konsequenzen befürchten müssen. Mit einigigen wenigen Ausnahmen ist die Verletzung der Vorschriften, insbesondere der Prinzipien des Datenschutzgesetzes nicht strafbar (s. Art. 34 f. DSG). Ansonsten müssen betroffene Personen ihre Rechte auf dem Zivilweg gemäss Art. 28 ZGB (Verletzung der Persönlichkeit) durchsetzen. Da ein solches Vorgehen jedoch mit einem grossen Kostenrisiko verbunden ist, erfolgt dies nur sehr selten. Griffiger ist die Möglichkeit des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (s. www.edoeb.admin.ch). Dieser kann gemäss Art. 29 DSG aus eigener Initiative oder auf Anzeige hin Verletzungen des Datenschutzgesetzes abklären und entsprechende Empfehlungen erlassen. Werden diese nicht befolgt oder abgelehnt, kann der EDÖB diese dem Bundesverwaltungsgericht zum Entscheid vorlegen. Einen Entscheid des Bundesverwaltungsgericht kann der EDÖB schliesslich vor Bundesgericht ziehen. Entsprechende Fälle, wie z.B. derjenige betr. «Street View» gegen Google finden sich unter folgendem Link: www.edoeb.admin.ch/edoeb/de/home/datenschutz/dokumentation/weiterzuege.html.

EU-Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 löst die Europäische Union die bisher geltende Datenschutz-Richlinie durch die neue Datenschutz-Grundverordnung (DSGVO) ab, die als Verordnung (im Gegensatz zur Richtlinie) das Datenschutzrecht der EU-Mitgliedstaaten nicht nur harmonisiert, sondern nunmehr vereinheitlicht. D.h. die DSGVO kommt ohne Umsetzung im nationale Recht direkt zur Anwendung (self-executing).

Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes (!) und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden.

Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insbesondere die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insb. den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insbesondere Daten erheben oder Marktteilnehmer beobachten, ist zu raten, sich mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Überwachung von Internet-Aktivitäten von Mitarbeitenden

Wenn Mitarbeitende im Internet Surfen oder E-Mails versenden, werden die entsprechenden Aktivitäten in der Regel vom System in sogenannten Logfiles protokolliert. Diese Protokollierung und vor allem eine allfällige personenbezogene Auswertung ist nur im Rahmen des Datenschutzes und dessen Prinzipien zulässig. Zudem dürfen gemäss Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3 zum Gesundheitsschutz) keine Überwachungs- und Kontrollsysteme, die das Verhalten von Mitarbeitenden überwachen sollen, eingesetzt werden.

Grundsätzlich dürfen sogenannte Randdaten, die Auskunft darüber geben, wer wann was getan hat, im genannten Sinne und vorab anonymisiert protokolliert werden. Der Arbeitgeber hat ein entsprechendes überwiegendes Interesse daran, insbesondere um die Sicherheit des Systems zu gewährleisten, sich vor Verantwortlichkeiten gegenüber Dritten sowie Reputationsschäden zu schützen. Zudem darf er im Rahmen des arbeitsrechlichen Weisungsrechts gemäss Art. 321d OR Regeln betreffend der Nutzung der IT-Infrastruktur erlassen, die er in diesem Kontext ebenfalls vorab anonymisiert überwachen darf. Wegen dem datenschutzrechlichen Prinzip der Transparenz muss der Arbeitgeber jedoch über diese Protokollierung z.B. im Rahmen eines Mitarbeiterreglements informieren. Darin können dann auch gleich die Nutzungsvorschriften erwähnt werden. Wenn sich aus der anonymisierten Protokollierung ein konkreter Verdacht ergibt, darf der Arbeitgeber unter diesen Bedingungen die nämlichen Randaten nunmehr personenbezogen auswerten.

In jedem Fall nicht erlaubt sind Überwachungsprogramme, die auf dem Computer des Mitarbeitenden selbst installiert sind und es z.B. erlauben, in E-Mails Einsicht zu nehmen oder Screenshots zu erstellen.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) publiziert unter folgendem Link einen umfassenden Leitfaden zur Internet- und E-Mail-Überwachung von Mitarbeitenden: www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich/ueberwachung-am-arbeitsplatz/internet–und-e-mail-ueberwachung.html.