Mitarbeitende über eine Plattform beschäftigen – Datenschutzbedenken?

Hier informieren wir Dich darüber, was Du als Schweizer Unternehmen aus datenschutzrechtlicher Sicht bedenken musst, wenn Du deine Mitarbeitenden über eine Plattform beschäftigst.

Disclaimer: Dieser Beitrag untersucht nicht, ob Plattformbeschäftigungen arbeitsrechtlich zulässig sind, sondern beleuchtet ausschliesslich datenschutzrechtliche Aspekte.

Der Traum: Algorithmen verteilen die Arbeit an Deiner Stelle

Mit den Fortschritten der Technologie wird alles vereinfacht, auch für Dich als Arbeitgeber. Die Plattformbeschäftigung ermöglicht es Dir, Deine Beschäftigten mithilfe von Algorithmen zu verwalten und ihnen automatisch Aufträge zu vergeben, ohne dass Du daran beteiligt wirst.

Diese Software, die für die automatische Arbeitsvergabe benutzt wird, fällt den Entscheid ohne menschliches Zutun. Die Entscheidung, welche Aufträge welchem Mitarbeitende zugeordnet werden, erfolgt vollständig automatisiert. Im Datenschutz spricht man dabei von einem «automatisierten Einzelentscheid» (kurzgenannt «AEE»). Zu diesem Zweck werden Profile der Arbeitnehmer erstellt, die viele Informationen über sie enthalten (Name, Standort, Beschäftigung, usw.). Anschliessend verarbeitet die Vergabeplattform diese Daten und trifft eine auf diese Profile basierende Entscheidung. Diese Art von Datenbearbeitung heisst Profiling (vgl. dazu unseren Beitrag: «Was ist Profiling und warum solltest Du Dir darüber Gedanken machen?»).

Und so erfolgt eine automatische Arbeitsvergabe. Alles kein Problem – oder doch?

Die Realität in der EU ist ganz anders …

Die Nutzung von Algorithmen kann zu einer ganzen Reihe von Verstössen gegen das anwendbare Datenschutzrecht führen. Veranschaulicht werden kann dies am folgenden Fall:

Die italienischen Behörden haben Anfang Juni 2021 ein Bussgeld in Höhe von 2.6 Mio. Euro gegen das Unternehmen Foodinho aufgrund von mehreren datenschutzrechtlichen Verstössen verhängt. Dabei habe es insbesondere Missstände bei Algorithmen gegeben, die für die Verwaltung der Beschäftigten eingesetzt wurden. Unter anderem seien die Beschäftigten, und zwar rund 19'000 Lieferfahrer des Unternehmens, nicht ausreichend über die Funktionsweise des Systems informiert worden.

Ferner habe es kein Verfahren gegeben, das eine Anfechtung der automatisiert erfolgten Auftragszuweisung durch die Lieferfahrer ermöglicht. Daneben hat das Unternehmen einige Grundsätze des Datenschutzes verletzt. Unter anderem hat Foodino Daten die Datenminimierung nicht beachtet und die Speicherdauer von verschiedenen Datenarten nicht definiert.

Für mehr Informationen vergleiche die Ausführungen der italienischen Datenaufsichtsbehörde.

… und bald zieht die Schweiz nach        

Was jetzt gilt

In der Schweiz sind die Vorschriften der DSGVO auf AEE und Profiling ­– und somit eine Plattformbeschäftigung – unter Umständen anwendbar (vgl. mehr dazu in unserem Beitrag: «Ist die Datenschutz-Grundverordnung für meine Firma relevant?»). Das zurzeit noch gültige Datenschutzgesetz kennt keine Regelungen dazu.

Trotzdem darfst Du Deine Mitarbeitenden nicht wie das Unternehmen Foodinho behandeln. Vielmehr musst Du als Plattformbetreiber die Grundsätze des Schweizer Datenschutzgesetzes einhalten. Du darfst z.B. nach dem Grundsatz der Verhältnismässigkeit nicht mehr Informationen über Deine Mitarbeitenden bearbeiten bzw. sie von Algorithmen auf deiner Plattform verarbeiten lassen, als für die Durchführung des Arbeitsverhältnisses erforderlich ist (vgl. Art. 328b OR).

Was noch kommt

Das neue Datenschutzgesetz wird die Bestimmungen der DSGVO betreffend automatisierter Einzelentscheidung mehrheitlich übernehmen (vgl. Art. 21 revDSG).

Zu Gunsten der Mitarbeitenden besteht eine Informationspflicht seitens des Arbeitsgebers. Demzufolge musst Du Deine Mitarbeitenden über das Bestehen einer AEE informieren, ansonsten Du eine Busse von bis zu CHF 250'000.00 riskierst.

Ferner enthält das revDSG ein komplementäres Auskunftsrecht betreffend automatisierte Entscheidungen (vgl. Art. 25 Abs. 2 lit. f revDSG). Verlangen Deine Mitarbeitenden Auskunft, musst Du sie über die «Logik, auf der die Entscheidung beruht» aufklären.

Weiter musst Du den Mitarbeitenden die Gelegenheit einräumen, bei jeder AEE ihren eigenen Standpunkt geltend zu machen und die AEE von einer natürlichen Person überprüfen zu lassen (Art. 21 Abs. 2 revDSG).

Da durch eine Plattformbeschäftigung eine beträchtliche Menge an Daten unterschiedlichster Art in Bezug auf eine beträchtliche Anzahl von Personen und über eine digitale Plattform mittels Algorithmen verarbeitet sind, besteht ein hohes Risiko für Persönlichkeits- und Grundrechtsverletzungen. Demzufolge empfehlen wir Dir, eine Datenschutz-Folgeabschätzung vorsehen (vgl.) Art. 22 revDSG. Die muss Folgendes enthalten: Eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken und die entsprechenden geplanten Schutzmassnahmen.