06 Data Protection

«Privacy Protection» bzw. «Data Protection» ist das Key Issue der digitalen Welt; nicht nur wegen des Datenschutz-Hypes betreffend die Internet-Community Facebook. Privacy ist aber keine Erfindung des digitialen Zeitalters, sondern wurde bereits im ersten Zivilgesetzbuch (ZGB) der Schweiz von 1907 in den Art. 27 ff., unter dem Titel des Schutzes der Persönlichkeit, reguliert. Mit dem Einzug der Informationstechnologie (IT) in den 80er-Jahren des 20. Jahrhunderts wurde es immer einfacher Daten zu sammeln und Daten zu verarbeiten. Damit nahm auch die Gefahr der Persönlichkeitsverletzungen gemäss ZGB enorm zu und der Gesetzgeber sah sich veranlasst, den Persönlichkeitsschutz im Bereich der Datenverarbeitung detailliert zu regeln. Mit der in technologischen Fragen regelmässigen Verzögerung trat am 1. Juli 1993 das neue Datenschutzgesetz (DSG) in Kraft.

Unter den gesetzlichen Datenschutz fallen lediglich Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen, sogenannte Personendaten (Art. 3 DSG). Unter «Person» ist sowohl eine natürliche, wie auch eine juristische zu verstehen.

Die Basis des Datenschutzrechts bilden dessen Prinzipien, die sich in Art. 4 ff. DSG finden. Auch wenn die Materie kompliziert zu sein scheint, geht es in der Praxis eigentlich einfach darum, die Datenschutzprinzipien auf den Data Lifecycle (dt. Dankreislauf) anzuwenden. Der Data Lifecycle beginnt beim Sammeln bzw. der Erhebung von Daten, geht weiter über jegliches Verarbeiten von Daten, bis zu deren Vernichtung bzw. Löschung. Von den nachfolgenden Prinzipien sind in der digitalen Praxis die Verhältnismässigkeit und die Zweckgebundenheit besonders wichtig.

Prinzip der Rechtmässigkeit

Das Erheben und Bearbeiten von Daten ist widerrechtlich, wenn es nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Diese Bestimmung findet sich in Art. 13 DSG, wo auch Beispiele für ein überwiegendes privates oder öffentliches Interesse aufgeführt sind.

Prinzip der Transparenz

Das Prinzip der Transparenz entspricht dem Grundsatz von Treu und Glauben (Art. 2 ZGB). Die Datenerhebung und die Datenbearbeitung muss grundsätzlich so erfolgen, dass sie der betroffenen Person bekannt ist. Dazu gehört auch, dass die betroffene Person über den Zweck der Datenerfassung informiert wird. Dieser darf dann ohne erneute Einwilligung der betroffenen Person nicht geändert werden (s. nachfolgend Prinzip der Zweckbindung).

Prinzip der Verhältnismässigkeit

Nach dem Prinzip der Verhältnismässigkeit dürfen insbesondere nur solche Daten erhoben werden, die für den entsprechenden, kommunizierten Zweck notwendig und geeignet sind. So braucht ein Anbieter bei einer Online-Bestellung eines E-Books lediglich den Namen (Identifzierung), evtl. das Geburtsdatum (Identifizierung, Vertragsfähigkeit), eine E-Mail-Adresse (Kommunikation) und die Kreditkarten-Daten (Zahlung). Die Angabe z.B. des Zivilstandes und des Berufes sind zur Abwicklung dieses Geschäftes weder notwendig, noch geeignet. In einem aktuellen Fall klärt der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte ab, ob der Sportartikel-Händler Decathlon von seinen Kunden bei einem reinen Offline-Kauf im Geschäft eine E-Mail-Adresse verlangen darf (s. Blick 07.05.2018). Voraussetzung wäre, dass eine E-Mail-Adresse für den reinen Offline-Kauf notwendig ist. Dies ist wohl nicht der Fall und damit eine Verletzung des Prinzips der Verhältnismässigkeit. Zum Prinzip der Verhältnismässigkeit gehört auch, dass Daten nur solange gespeichert werden dürfen, wie dies für den Zweck notwendig ist. Da in der Regel genügend Speicherkapazität vorhanden ist und damit keine technische Notwendigkeit zur Löschung besteht, gehört das Unterlassen des eigentlich gebotenen Löschens möglicherweise zu den häufigsten datenschutzrechtlichen Verletzungen.

Prinzip der Zweckbindung

Das Prinzip der Zweckbindung bedeutet einerseits, dass Daten ohne Zweck, d.h. auf Vorrat nicht gesammelt werden dürfen. Andererseits darf ein einmal der betroffenen Person bei der Datenerhebung kommunizierter Zweck der Datenerfassung ohne deren Einwilligung oder entsprechender gesetzlicher Grundlage nicht geändert werden. D.h. insbesondere auch, dass Daten nicht zweckentfremdet werden dürfen.

Prinzip der Integrität

Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Er hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. Jede betroffene Person kann verlangen, dass unrichtige Daten berichtigt werden. Was dies in der Praxis u.a. bedeutet, illustriert ein neuerer Entscheid des Bundesverwaltungsgerichts i.S. moneyhouse.ch, kommentiert auf dem Blog «Juristenfutter»: https://wp.me/p8RKnD-2s.

Prinzip der Sicherheit

Unter dem Prinzip der Sicherheit versteht man den eigentlichen Schutz von Daten durch technische und organisatorische Massnahmen. Diese Massnahmen gewährleisten die Vertraulichkeit, die Verfügbarkeit, die Integrität und die Authentizität der Daten sowie die Nachvollziehbarkeit der Datenbearbeitung. Dabei gilt auch hier das Prinzip der Verhältnismässigkeit und die Massnahmen müssen dem Stand der Technik entsprechenn. Je sensibler die zu schützenden Daten sind, je höher sind die Anforderungen an diesen Datenschutz. Da der Mensch regelmässig das schwächste Glied in der Kette des Datenschutzes ist, sind neben technischen vor allem auch organisatorische Massnahmen wichtig. Die Nachvollziehbarkeit der Datenverarbeitung verlangt eine entsprechende Protokollierung. Beides sind auch Schwerpunkte der nachfolgend erläuterten neuen EU-Datenschutz-Grundverordnung.

Auskunftsrecht

Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie erfasst und bearbeitet werden. Gemäss Art. 1 der Datenschutzverordnung muss diese Auskunft spätestens nach 30 Tagen erteilt werden. Gemäss Art. 34 DSG ist das nicht oder nicht rechtzeitige Erteilen einer Auskunft eine der wenigen, strafrechtlich geahndeten Tatbestände (s. dazu auch nachfolgend). Für die Praxis ist darum dringend zu empfehlen, in einem Unternehmen eine Anlaufstelle für ensprechende Anfragen zu definieren und zu publizieren sowie die Systeme so vorzubereiten, dass die nämlichen Daten innert Kürze abgerufen werden können. Details dazu finden sich in Art. 8 DSG.

Übermittlung von Personendaten ins Ausland

Nach Art. 6 DSG dürfen Personendaten nur dann ins Ausland übermittelt werden, wenn das Datenschutzniveau im nämlichen Land ähnlich hoch ist, wie in der Schweiz. Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) erstellt dafür eine Liste mit den Staaten, die aus schweizerischer Sicht ein genügendes Datenschutzniveau aufweisen (s. www.edoeb.admin.ch/dam/edoeb/de/dokumente/2017/04/staatenliste.pdf.download.pdf/staatenliste.pdf).

Da insbesondere die EU das Datenschutzniveau des sehr wichtigen Handelspartners USA als nicht genügend hoch erachtet, haben die EU und die Schweiz mit den USA eine spezielle Lösung geschaffen. Im Abkommen «Privacy Shield» haben die EU, die Schweiz und die USA datenschutzrechtliche Standards definiert. Wenn US-Unternehmen diesem Abkommen beitreten, verpflichten sie sich, die entsprechenden Standards einzuhalten. Damit ist bei der Übermittlung von Personendaten an diese Unternehmen das von Art. 6 DSG verlangte ähnlich hohe Datenschutzniveau gewährleistet. Welche US-Unternehmen dem Abkommen beigetreten sind, kann unter folgendem Link abgerufen werden: www.privacyshield.gov/list.

Juristische Folgen der Verletzung von Datenschutzprinzipien

Ein Manko des aktuellen schweizerischen Datenschutzgesetzes ist es, dass deren Verletzer praktisch keine juristischen Konsequenzen befürchten müssen. Mit einigigen wenigen Ausnahmen ist die Verletzung der Vorschriften, insbesondere der Prinzipien des Datenschutzgesetzes nicht strafbar (s. Art. 34 f. DSG). Ansonsten müssen betroffene Personen ihre Rechte auf dem Zivilweg gemäss Art. 28 ZGB (Verletzung der Persönlichkeit) durchsetzen. Da ein solches Vorgehen jedoch mit einem grossen Kostenrisiko verbunden ist, erfolgt dies nur sehr selten. Griffiger ist die Möglichkeit des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) (s. www.edoeb.admin.ch). Dieser kann gemäss Art. 29 DSG aus eigener Initiative oder auf Anzeige hin Verletzungen des Datenschutzgesetzes abklären und entsprechende Empfehlungen erlassen. Werden diese nicht befolgt oder abgelehnt, kann der EDÖB diese dem Bundesverwaltungsgericht zum Entscheid vorlegen. Einen Entscheid des Bundesverwaltungsgericht kann der EDÖB schliesslich vor Bundesgericht ziehen. Entsprechende Fälle, wie z.B. derjenige betr. «Street View» gegen Google finden sich unter folgendem Link: www.edoeb.admin.ch/edoeb/de/home/datenschutz/dokumentation/weiterzuege.html.

EU-Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 löste die Europäische Union die bisher geltende Datenschutz-Richlinie durch die neue Datenschutz-Grundverordnung (DSGVO) ab, die als Verordnung (im Gegensatz zur Richtlinie) das Datenschutzrecht der EU-Mitgliedstaaten nicht nur harmonisiert, sondern nunmehr vereinheitlicht. D.h. die DSGVO kommt ohne Umsetzung im nationale Recht direkt zur Anwendung (self-executing).

Für Unternehmen hat die Verordnung gravierende Folgen. Neben Schadenersatzforderungen der Betroffenen drohen bei Verstössen Bussen von bis zu 4 % des globalen Umsatzes (!) und fehlbare Manager, Datenschützer und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden.

Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Obwohl die Datenschutz-Grundsätze (Rechtmässigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsplicht) die gleichen bleiben, bedeutet die Verordnung ein Quantensprung im Datenschutz. Die Verordnung bringt den Unternehmen einen erheblichen Mehraufwand. Unternehmen müssen umfassende neue Strukturen und Prozesse schaffen, um den Vorgaben der Verordnung zu entsprechen. Die Verordnung verlangt eine erweiterte Dokumentations- und Nachweispflicht, eine Analyse der Datenschutzrisiken, eine Datenschutz-Folgeabschätzung bei voraussichtlich hohen Risiken, umfassende Informationspflichten bei der Datenerhebung, striktere Löschpflichten und ein Recht auf Vergessenwerden, erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen, einen stärkeren Datenschutz durch Technik und Voreinstellungen, ein Verzeichnis von Verarbeitungstätigkeiten, zusätzliche Verantwortung für Datenschutzbeauftragte im Unternehmen, umfassende Rechte der Betroffenen, insbesondere die Rechte auf Auskunft, Berichtigung, Löschung und eben das Recht auf Vergessenwerden.

Die EU-Datenschutzverordnung bringt nicht nur Zusatzaufwand für Unternehmen, sondern erleichtert diesen auch das Business in bestimmten Bereichen. So fallen z.B. die Daten juristischer Personen nicht mehr unter den Datenschutz (inskünftig wohl auch in der Schweiz), was den Bereich B2B erheblich entlastet. Daten von juristischen Personen sind aber inskünftig nicht „Freiwild“, sondern sind immer noch durch den generellen Persönlichkeitsschutz sowie insbesondere den Grundsätzen des Lauterkeitsrechts (in der Schweiz UWG) geschützt.

Schweizer Unternehmen, die auf dem EU-Markt tätig sind, dort insbesondere Daten erheben oder Marktteilnehmer beobachten, ist zu raten, sich mit der neuen EU-Datenschutz-Grundverordnung zu befassen und entsprechende Vorkehren im Unternehmen zu treffen. Dabei dürfte der Zuzug von Datenschutz-Fachleuten unumgänglich sein.

Entsprechende datenschutzrechtliche Vorkehren sind aber nicht nur ein Tribut an die EU. Unter dem indirekten Druck der EU-Datenschutzreform, aber auch unter dem direkten Druck der Revision der Datenschutz-Konvention 108 des Europarates, bei der die Schweiz ja auch Mitglied ist und die sich wiederum auch an der EU-Verordnung orientiert, ist auch in der Schweiz eine Revision des Datenschutzgesetzes (DSG) in der Pipeline, die sich ihrerseit an der EU-Verordnung und an der Europarats-Konvention orientiert. Auch wenn der künftige Schweizer Datenschutz weniger rigide sein dürfte, z.B. wohl auch weniger drastische Bussen vorsehen wird, bewegt sich der Datenschutz in Richtung der EU-Verordnung. Damit dürften Schweizer Unternehmen, die ihren Datenschutz schon jetzt auf das neue Niveau der EU anheben, auch für das künftige Niveau in der Schweiz bestens gerüstet sein.

Konkrete Datenschutz-Massnahmen

Währenddem die Datenschutz-Grundsätze noch relativ einfach zu verstehen sind, liegt der Teufel auch im Datenschutz im Detail bzw. in deren praktischen Umsetzung.

Wichtige Grundlage dafür und für die Erfüllung der Dokumentationspfichten ist die Erstellung eines Verarbeitungsverzeichnisses. Das Verarbeitungsverzeichnis sollte insbesondere folgende Informationen enthalten:
– Name und Kontaktdaten der Datenschutzverantwortlichen (Unternehmen)
– Zweck der Datenverarbeitung
– Kategorien der betroffenen Personen
– Kategorien der verarbeiteten personenbezogenen Daten
– Kategorien der Empfänger der personenbezogenen Daten
– Information über Datenübermittlung ins Ausland und deren rechtliche Grundlage
– Information, wann oder zumindest nach welchen Kriterien die personenbezogenen Daten gelöscht werden
– Allgemeine Information über technische und organisatorische Massnahmen zur Datensicherung

Das Verarbeitungsverzeichnis kann auf Papier oder in elektronischer Form geführt werden.

In jedem Fall ist zu empfehlen, einen Datenschutzbeauftragten einzusetzen. Dieser soll ein kontinuierliches Datenschutz-Audit, die Ergreifung notwendiger Massnahmen und die Beratung in Sachen Datenschutz gewährleisten. Der Datenschutzbeauftragte kann unternehmensextern oder unternehmensintern sein. Der unternehmensinterne Datenschutzbeauftragte hat den Vorteil, dass er nahe am Geschehen ist. Dafür muss mittels Vereinbarung mit dem Arbeitgeber sichergestellt werden, dass der Datenschutzbeauftragte bei der entsprechenden Tätigkeit gegenüber dem Arbeitgeber frei und unabhängig ist und der Arbeitgeber keine entsprechenden Repressionen ausüben kann. Für den Datenschutzbeauftragten ist ein entsprechender Beschrieb mit dessen Aufgaben zu erstellen. Der Datenschutzbeauftragte kommt seinen Verpflichtungen nach, wenn er diese Aufgaben sorgfältig erfüllt. Er ist jedoch nicht Datenschutzverantwortlicher. Das sind das Unternehmen bzw. dessen Organe selbst.

Unabhängig von der in der DSGVO für hohe Risiken vorgesehenen Datenschutz-Folgeabschätzung sollte in jedem Fall eine Risikoanalyse betreffend möglicher Datenschutzverletzungen durchgeführt und die entsprechend notwendigen Massnahmen getroffen werden.

Bestehende Vereinbarungen mit Dritten, insbesondere mit Auftragsverarbeitern (Dritte, die für das Unternehmen Daten verarbeiten) müssen laufend auf ihre Kompatibilität mit den datenschutzrechtlichen Vorschriften überprüft und allenfalls angepasst werden.

Da der Mensch allgemein das schwächste Glied im Datenschutz ist, ist es elementar, Mitarbeitende regelmässig in Sachen Datenschutz zu sensibilisieren und zu schulen.

Im Rahmen der DSGVO wurden die Rechte der Betroffenen gestärkt. So haben diese sowohl ein Auskunftsrecht, wie auch in Art. 8 DSG vorgesehen, als auch ein «Recht auf Vergessenwerden» bzw. ein Recht auf Löschung. Dafür muss gewährleistet sein, dass es das System zulässt, auf eine Übersicht der entsprechenden Daten zuzugreifen.

Insbesondere für Unternehmen, die personenbezogene Daten hosten, dürfte das Recht auf Datenübertragbarkeit eine Herausforderung darstellen. Denn neu haben Betroffene das Recht, dass ihre Daten in einem Format gespeichert werden, das die Übertragung an andere Unternehmen erlaubt. Darüber hinaus können Betroffene die direkte Übertragung zwischen den nämlichen Unternehmen verlangen. Das bedeutet, dass Unternehmen eine entsprechende Interoperabilität gewährleisten müssen. Ein Beispiel dafür stellt der Fall dar, in dem ein Kunde von Apple seine Daten aus einer iOS-Applikation (Apple) auf eine Android-Applikation (Google) transferieren will, weil er von einem iPhone auf ein Smartphone mit dem Betriebssystem Android wechselt.

Schlussendlich ist die Datenschutzkommunikation, weil nach aussen sichtbar, ein wesentliches Element konkreter Datenschutz-Massnahmen. Für die interne Kommunikation kann dafür ein Datenschutzreglement erstellt werden. Extern erfolgt die Kommunikation über eine Datenschutzerklärung.

Aufbau und Inhalt einer Datenschutzerklärung

Nachdem das DSG keine konkreten Vorschriftungen für eine Datenschutzerkärung enhält, jedoch die DSGVO und es sinnvoll ist, dass sich auch Schweizer Unternehmen bei aktuellen Datenschutz-Massnahmen daran orientieren, wird hier explizit darauf Bezug genommen.

Der Inhalt einer Datenschutzerklärung ergibt sich im Wesentlichen aus den Informationspflichten des Datenschutzverantwortlichen, also des Unternehmens, gemäss Art. 12 ff. DSGVO. Dabei muss konkret bezogen auf die jeweilige Datenerfassung bzw. Datenverarbeitung informiert werden. Wichtig ist, dass eine Datenschutzerklärung klar und verständlich formuliert wird, andernfalls sie möglicherweise gar keine rechtliche Wirkung hat.

Vorab muss ein Unternehmen darüber informieren, dass es für die Datenverfassung und die Datenverarbeitung verantwortlich ist. Dabei muss es seine Kontaktdaten sowie die Kontaktdaten seines allfälligen Datenschutzbeauftragten (unternehmensintern oder -extern) publizieren.

In der Folge muss den betroffenen Personen mitgeteilt werden, welche personenbezogenen Daten erfasst werden und zu welchem Zweck. Zu dieser Information gehört auch, auf welcher rechtlichen Grundlage die Datenerfassung und die folgende Datenverarbeitung erfolgt. Rechtliche Grundlage können im Wesentlichen die Einwilligung der betroffenen Person, die Notwendigkeit für die Abwicklung einer Rechtsbeziehung (z.B. Kaufvertrag), ein Gesetz oder berechtigte Interessen des Unternehmens oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Fällt die rechtliche Grundlage für die Datenverarbeitung weg, müssen die entsprechenden personenbezogenen Daten ohne Verzug mit entsprechenden adäquaten technischen Mitteln dauerhaft gelöscht werden. Auch darüber ist in der Datenschutzerklärung zu informieren.

Sofern personenbezogene Daten nicht vom nämlichen Unternehmen selbst verarbeitet, sondern dafür an Dritte übermittelt werden, muss über diese Empfänger oder Kategorien von Empfängern informiert werden.

Werden personenbezogene Daten ins Ausland transferiert, ist dies insbesondere in der Datenschutzerklärung zu deklarieren und es ist darüber zu informieren, wie diesbezüglich das hohe Datenschutzniveau der Schweiz bzw. der EU auch im Ausland gewährleistet ist.

Ebenfalls müssen die betroffenen Personen über ihre Rechte in Bezug auf die Erfassung und Verarbeitung ihrer personenbezogenen Daten informiert werden. Dazu gehören gemäss DSGVO insbesondere folgende Rechte:
– Recht auf Auskunft
– Recht auf Berichtigung
– Recht auf Löschung
– Recht auf Einschränkung der Verarbeitung
– Recht auf Widerspruch gegen die Verarbeitung
– Recht auf Datenübertragbarkeit
– Recht auf Beschwerden bei den Aufsichtsbehörden
– Recht auf Widerruf der Einwilligung

Schlussendlich müssen die betroffenen Personen darüber informiert werden, ob die Überlassung bzw. Erfassung ihrer personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten zur Verfügung zu stellen und welche mögliche Folge die nicht Zurverfügungstellung hätte (z.B. eingeschränkte Nutzung einer Website, wenn Cookies verweigert werden).

Überwachung von Internet-Aktivitäten von Mitarbeitenden

Wenn Mitarbeitende im Internet Surfen oder E-Mails versenden, werden die entsprechenden Aktivitäten in der Regel vom System in sogenannten Logfiles protokolliert. Diese Protokollierung und vor allem eine allfällige personenbezogene Auswertung ist nur im Rahmen des Datenschutzes und dessen Prinzipien zulässig. Zudem dürfen gemäss Art. 26 der Verordnung 3 zum Arbeitsgesetz (ArGV 3 zum Gesundheitsschutz) keine Überwachungs- und Kontrollsysteme, die das Verhalten von Mitarbeitenden überwachen sollen, eingesetzt werden.

Grundsätzlich dürfen sogenannte Randdaten, die Auskunft darüber geben, wer wann was getan hat, im genannten Sinne und vorab anonymisiert protokolliert werden. Der Arbeitgeber hat ein entsprechendes überwiegendes Interesse daran, insbesondere um die Sicherheit des Systems zu gewährleisten, sich vor Verantwortlichkeiten gegenüber Dritten sowie Reputationsschäden zu schützen. Zudem darf er im Rahmen des arbeitsrechlichen Weisungsrechts gemäss Art. 321d OR Regeln betreffend der Nutzung der IT-Infrastruktur erlassen, die er in diesem Kontext ebenfalls vorab anonymisiert überwachen darf. Wegen dem datenschutzrechlichen Prinzip der Transparenz muss der Arbeitgeber jedoch über diese Protokollierung z.B. im Rahmen eines Mitarbeiterreglements informieren. Darin können dann auch gleich die Nutzungsvorschriften erwähnt werden. Wenn sich aus der anonymisierten Protokollierung ein konkreter Verdacht ergibt, darf der Arbeitgeber unter diesen Bedingungen die nämlichen Randaten nunmehr personenbezogen auswerten.

In jedem Fall nicht erlaubt sind Überwachungsprogramme, die auf dem Computer des Mitarbeitenden selbst installiert sind und es z.B. erlauben, in E-Mails Einsicht zu nehmen oder Screenshots zu erstellen.

Der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) publiziert unter folgendem Link einen umfassenden Leitfaden zur Internet- und E-Mail-Überwachung von Mitarbeitenden: www.edoeb.admin.ch/edoeb/de/home/datenschutz/arbeitsbereich/ueberwachung-am-arbeitsplatz/internet–und-e-mail-ueberwachung.html.