Das revidierte Datenschutzgesetz – Bedeutung für das Arbeitsverhältnis und Handlungsbedarf für Arbeitgeber

Datenschutz im Arbeitsverhältnis

Das Thema Datenschutz ist gerade im Arbeitsverhältnis relevant, da regelmässig die unterschiedlichsten (und teilweise auch besonders schützenswerte) Personendaten der Mitarbeitenden bearbeitet werden. Aus diesem Grund sieht Art. 328b OR eine Limitierung der Möglichkeiten der Datenbearbeitung durch Arbeitgeber auf diejenigen Personendaten vor, welche die Eignung der Mitarbeitenden für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Des Weiteren gilt das Datenschutzgesetz (DSG) für die Bearbeitung von Personendaten der Mitarbeitenden, auf welches das OR explizit verweist.

Zugleich sind Arbeitgeber – nicht zuletzt aufgrund möglicher Bussen und ausgebauter Aufsichtsinstrumente des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss dem revidierten DSG – darauf angewiesen, dass ihre Mitarbeitenden die Vorgaben des DSG und der zugehörigen, ebenfalls revidierten Datenschutzverordnung (DSV) einhalten.

Handlungsempfehlungen

Richtlinien zum Datenschutz und Mitarbeiterschulung

Bereits unter bisherigem Recht waren Arbeitgeber gut beraten, Weisungen betreffend den Umgang mit Personendaten zu erlassen bzw. Schulungen der Mitarbeitenden durchzuführen. Unter dem neuen DSG ist dies umso wichtiger. Den Mitarbeitenden sollte vor allem Folgendes vermittelt werden:

• geltende Grundsätze der Datenbearbeitung, d.h., wie und in welchem Umfang die Mitarbeitenden Personendaten bearbeiten dürfen;
• Information über die Verantwortlichkeiten im Unternehmen betreffend die Einhaltung der jeweiligen datenschutzrechtlichen Vorgaben und Prozesse;
• Prozess im Falle der Ausübung von Rechten der betroffenen Personen (zu empfehlen ist die Bündelung der Beantwortung der Anfragen bei einer geschulten Stelle);
• Verbot der Offenbarung von geheimen Personendaten;
• Handlungsanweisungen im Falle von Datenschutzverletzungen;
• Prozess betreffend Aufbewahrung bzw. Vernichtung von Personendaten;
• Pflicht zur Meldung neuer Datenbearbeitungen.

Es ist zu empfehlen, regelmässig Mitarbeiterschulungen für sämtliche Mitarbeitenden durchzuführen, um die korrekte Umsetzung der Weisungen zu gewährleisten und allfällige Neuerungen zu kommunizieren. Für besonders betroffene Bereiche, wie die Personal- oder Marketingabteilung, sind gegebenenfalls zusätzliche Schulungen erforderlich.

Datenschutzinformation

Nach dem revidierten DSG gelten die Informationspflichten nicht mehr nur für die Beschaffung von besonders schützenswerten Personendaten, sondern generell für die Beschaffung von Personendaten. Um diese Informationspflichten gegenüber den Mitarbeitenden zu erfüllen, empfiehlt es sich, eine an die Mitarbeitenden gerichtete Datenschutzinformation zu erstellen. Diese kann den Mitarbeitenden zugestellt oder im Intranet aufgeschaltet werden. Eine Aufnahme in den Arbeitsvertrag ist nicht zu empfehlen, da die Datenschutzinformation regelmässig zu überprüfen und um allfällige neue Datenbearbeitungen zu ergänzen ist.

Gemäss Art. 19 DSG hat die Mitarbeiterinformation diejenigen Informationen zu enthalten, die erforderlich sind, damit die Mitarbeitenden ihre Rechte nach dem DSG geltend machen können und eine transparente Datenbearbeitung gewährleistet ist, zumindest aber die folgenden Angaben:

• Identität und Kontaktdaten des Verantwortlichen (dies ist typischerweise der Arbeitgeber);
• Bearbeitungszweck (z.B. Personaladministration, Reiseplanung);
• Empfänger oder Kategorien der Empfänger, denen Personendaten bekannt gegeben werden (z.B. externe Lohnbuchhaltung);
• bei der Bekanntgabe von Personendaten ins Ausland: den Staat und – wenn es sich um ein Land ohne angemessenes Datenschutzniveau handelt – die beanspruchte Ausnahme für die Auslandsübermittlung oder die Garantien für einen geeigneten Datenschutz (z.B. Abschluss von Standardvertragsklauseln);
• bei einer Beschaffung der Personendaten nicht direkt bei den Mitarbeitenden: die Kategorien der bearbeiteten Personendaten.

Auch für Stellenbewerbende ist eine Datenschutzinformation zu erstellen, die diese möglichst vor Einreichen der Bewerbung zur Kenntnis nehmen können sollen.

Abschluss von Auftragsdatenbearbeitungsverträgen (ADV)

Arbeitgeber lagern die Bearbeitung von Personendaten von Mitarbeitenden (z.B. Lohnbuchhaltung, Personaladministration) regelmässig an sogenannte Auftragsbearbeiter aus, die Dritte oder auch Gruppengesellschaften sein können. Die Übertragung der Bearbeitung von Personendaten auch an Gruppengesellschaften hat zwingend durch einen Vertrag zu erfolgen. Es sind deshalb spätestens jetzt entsprechende Verträge abzuschliessen. Bereits unter dem alten Recht abgeschlossene Verträge sollten auf Aktualität überprüft werden. Die Hinzuziehung eines Auftragsbearbeiters ohne ausreichenden Vertrag kann strafrechtliche Konsequenzen haben.

Befinden sich die Auftragsbearbeiter in einem Land ohne angemessenen Datenschutz (z.B. USA) und liegt keine gesetzliche Ausnahme für die Bekanntgabe vor (z.B. Bekanntgabe im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages, z.B. Hotelbuchung), müssen Arbeitgeber einen angemessenen Datenschutz anderweitig gewährleisten (z.B. nach Durchführung einer Risikoabwägung mittels sogenannter Standardvertragsklauseln).

Strafbewehrte Geheimhaltungspflicht

Neu dürfen Mitarbeitende geheime Personendaten, von denen sie im Rahmen der Ausübung ihrer beruflichen Tätigkeit oder ihrer Ausbildung Kenntnis erlangt haben, nicht mehr offenbaren. Dies galt bis anhin nur für geheime, besonders schützenswerte Personendaten und Persönlichkeitsprofile. So wird eine berufliche Schweigepflicht auch für Berufe stipuliert, für die ansonsten kein gesetzliches Berufsgeheimnis gilt, wie dies z.B. bei Ärzten und Rechtsanwälten der Fall ist.

Als geheim im Sinne dieser Bestimmung gelten Personendaten dann, wenn die betroffene Person sie geheim halten will und sie ein objektiv berechtigtes Interesse an der Geheimhaltung hat, sowie dann, wenn diese Personendaten nur einem beschränkten Personenkreis bekannt sind. Es geht dabei nicht nur um geheime Personendaten von Kunden, sondern auch um solche von Mitarbeitenden (z.B. wenn sie eine innerbetriebliche Beratungsstelle in Anspruch nehmen). Da das vorsätzliche Offenbaren geheim zu haltender Personendaten auf Antrag mit Busse bestraft wird, ist es wichtig, Mitarbeitende z.B. in den Datenschutzrichtlinien entsprechend zu instruieren.

Verzeichnis der Bearbeitungstätigkeiten

Mit der Revision des Datenschutzgesetzes wurde neu eine Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten eingeführt, in dem die durchgeführten Bearbeitungstätigkeiten erfasst und beschrieben werden. Wie es der Name bereits sagt, sind in diesem Verzeichnis zunächst die Bearbeitungstätigkeiten (betreffend Arbeitsverhältnis z.B. Rekrutierung, Lohnbuchhaltung) aufzuführen. Für die einzelne Bearbeitungstätigkeit sind zusätzlich die im Gesetz genannten Informationen (z.B. Bearbeitungszweck, Kategorien der betroffenen Personen, bearbeitete Personendaten, Empfänger) zu erfassen. Das Verzeichnis ist regelmässig zu überprüfen und zu aktualisieren.

KMU, also Unternehmen mit weniger als 250 Mitarbeitenden, sind von dieser Pflicht ausgenommen, sofern sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen. Die Führung eines Verzeichnisses der Bearbeitungstätigkeiten ist jedoch in jedem Fall zu empfehlen, um den Überblick über die Bearbeitungstätigkeiten zu behalten und so prüfen zu können, ob diese den gesetzlichen Vorgaben entsprechen, sowie um die Betroffenenrechte wahren zu können.