St. Gallen – Das Thema Datenschutz nimmt längst schon eine wichtige Stellung ein im Arbeitsverhältnis. So sind Arbeitgeber gehalten, sorgfältig mit den ihnen anvertrauten Daten umzugehen und die Persönlichkeitsrechte der Mitarbeitenden zu schützen. Am 1. September 2023 trat das totalrevidierte Datenschutzgesetz in Kraft. Wie im Beitrag gezeigt wird, ist die Revision auch für das private Arbeitsverhältnis von Bedeutung. Nicht zuletzt mit Blick auf mögliche Bussen und ausgebaute Aufsichtsinstrumente des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ist Arbeitgebern zu empfehlen, ihren Handlungsbedarf zu prüfen und notwendige Massnahmen zu treffen.
Datenschutz im Arbeitsverhältnis
Das Thema Datenschutz ist gerade im Arbeitsverhältnis relevant, da regelmässig die unterschiedlichsten (und teilweise auch besonders schützenswerte) Personendaten der Mitarbeitenden bearbeitet werden. Aus diesem Grund sieht Art. 328b OR eine Limitierung der Möglichkeiten der Datenbearbeitung durch Arbeitgeber auf diejenigen Personendaten vor, welche die Eignung der Mitarbeitenden für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Des Weiteren gilt das Datenschutzgesetz (DSG) für die Bearbeitung von Personendaten der Mitarbeitenden, auf welches das OR explizit verweist.
Zugleich sind Arbeitgeber – nicht zuletzt aufgrund möglicher Bussen und ausgebauter Aufsichtsinstrumente des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemäss dem revidierten DSG – darauf angewiesen, dass ihre Mitarbeitenden die Vorgaben des DSG und der zugehörigen, ebenfalls revidierten Datenschutzverordnung (DSV) einhalten.
Handlungsempfehlungen
Richtlinien zum Datenschutz und Mitarbeiterschulung
Bereits unter bisherigem Recht waren Arbeitgeber gut beraten, Weisungen betreffend den Umgang mit Personendaten zu erlassen bzw. Schulungen der Mitarbeitenden durchzuführen. Unter dem neuen DSG ist dies umso wichtiger. Den Mitarbeitenden sollte vor allem Folgendes vermittelt werden:
- geltende Grundsätze der Datenbearbeitung, d.h., wie und in welchem Umfang die Mitarbeitenden Personendaten bearbeiten dürfen;
- Information über die Verantwortlichkeiten im Unternehmen betreffend die Einhaltung der jeweiligen datenschutzrechtlichen Vorgaben und Prozesse;
- Prozess im Falle der Ausübung von Rechten der betroffenen Personen (zu empfehlen ist die Bündelung der Beantwortung der Anfragen bei einer geschulten Stelle);
- Verbot der Offenbarung von geheimen Personendaten;
- Handlungsanweisungen im Falle von Datenschutzverletzungen;
- Prozess betreffend Aufbewahrung bzw. Vernichtung von Personendaten;
- Pflicht zur Meldung neuer Datenbearbeitungen.
Es ist zu empfehlen, regelmässig Mitarbeiterschulungen für sämtliche Mitarbeitenden durchzuführen, um die korrekte Umsetzung der Weisungen zu gewährleisten und allfällige Neuerungen zu kommunizieren. Für besonders betroffene Bereiche, wie die Personal- oder Marketingabteilung, sind gegebenenfalls zusätzliche Schulungen erforderlich.
Datenschutzinformation
Nach dem revidierten DSG gelten die Informationspflichten nicht mehr nur für die Beschaffung von besonders schützenswerten Personendaten, sondern generell für die Beschaffung von Personendaten. Um diese Informationspflichten gegenüber den Mitarbeitenden zu erfüllen, empfiehlt es sich, eine an die Mitarbeitenden gerichtete Datenschutzinformation zu erstellen. Diese kann den Mitarbeitenden zugestellt oder im Intranet aufgeschaltet werden. Eine Aufnahme in den Arbeitsvertrag ist nicht zu empfehlen, da die Datenschutzinformation regelmässig zu überprüfen und um allfällige neue Datenbearbeitungen zu ergänzen ist.
Gemäss Art. 19 DSG hat die Mitarbeiterinformation diejenigen Informationen zu enthalten, die erforderlich sind, damit die Mitarbeitenden ihre Rechte nach dem DSG geltend machen können und eine transparente Datenbearbeitung gewährleistet ist, zumindest aber die folgenden Angaben:
- Identität und Kontaktdaten des Verantwortlichen (dies ist typischerweise der Arbeitgeber);
- Bearbeitungszweck (z.B. Personaladministration, Reiseplanung);
- Empfänger oder Kategorien der Empfänger, denen Personendaten bekannt gegeben werden (z.B. externe Lohnbuchhaltung);
- bei der Bekanntgabe von Personendaten ins Ausland: den Staat und – wenn es sich um ein Land ohne angemessenes Datenschutzniveau handelt – die beanspruchte Ausnahme für die Auslandsübermittlung oder die Garantien für einen geeigneten Datenschutz (z.B. Abschluss von Standardvertragsklauseln);
- bei einer Beschaffung der Personendaten nicht direkt bei den Mitarbeitenden: die Kategorien der bearbeiteten Personendaten.
Auch für Stellenbewerbende ist eine Datenschutzinformation zu erstellen, die diese möglichst vor Einreichen der Bewerbung zur Kenntnis nehmen können sollen.
Abschluss von Auftragsdatenbearbeitungsverträgen (ADV)
Arbeitgeber lagern die Bearbeitung von Personendaten von Mitarbeitenden (z.B. Lohnbuchhaltung, Personaladministration) regelmässig an sogenannte Auftragsbearbeiter aus, die Dritte oder auch Gruppengesellschaften sein können. Die Übertragung der Bearbeitung von Personendaten auch an Gruppengesellschaften hat zwingend durch einen Vertrag zu erfolgen. Es sind deshalb spätestens jetzt entsprechende Verträge abzuschliessen. Bereits unter dem alten Recht abgeschlossene Verträge sollten auf Aktualität überprüft werden. Die Hinzuziehung eines Auftragsbearbeiters ohne ausreichenden Vertrag kann strafrechtliche Konsequenzen haben.
Befinden sich die Auftragsbearbeiter in einem Land ohne angemessenen Datenschutz (z.B. USA) und liegt keine gesetzliche Ausnahme für die Bekanntgabe vor (z.B. Bekanntgabe im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages, z.B. Hotelbuchung), müssen Arbeitgeber einen angemessenen Datenschutz anderweitig gewährleisten (z.B. nach Durchführung einer Risikoabwägung mittels sogenannter Standardvertragsklauseln).
Strafbewehrte Geheimhaltungspflicht
Neu dürfen Mitarbeitende geheime Personendaten, von denen sie im Rahmen der Ausübung ihrer beruflichen Tätigkeit oder ihrer Ausbildung Kenntnis erlangt haben, nicht mehr offenbaren. Dies galt bis anhin nur für geheime, besonders schützenswerte Personendaten und Persönlichkeitsprofile. So wird eine berufliche Schweigepflicht auch für Berufe stipuliert, für die ansonsten kein gesetzliches Berufsgeheimnis gilt, wie dies z.B. bei Ärzten und Rechtsanwälten der Fall ist.
Als geheim im Sinne dieser Bestimmung gelten Personendaten dann, wenn die betroffene Person sie geheim halten will und sie ein objektiv berechtigtes Interesse an der Geheimhaltung hat, sowie dann, wenn diese Personendaten nur einem beschränkten Personenkreis bekannt sind. Es geht dabei nicht nur um geheime Personendaten von Kunden, sondern auch um solche von Mitarbeitenden (z.B. wenn sie eine innerbetriebliche Beratungsstelle in Anspruch nehmen). Da das vorsätzliche Offenbaren geheim zu haltender Personendaten auf Antrag mit Busse bestraft wird, ist es wichtig, Mitarbeitende z.B. in den Datenschutzrichtlinien entsprechend zu instruieren.
Verzeichnis der Bearbeitungstätigkeiten
Mit der Revision des Datenschutzgesetzes wurde neu eine Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten eingeführt, in dem die durchgeführten Bearbeitungstätigkeiten erfasst und beschrieben werden. Wie es der Name bereits sagt, sind in diesem Verzeichnis zunächst die Bearbeitungstätigkeiten (betreffend Arbeitsverhältnis z.B. Rekrutierung, Lohnbuchhaltung) aufzuführen. Für die einzelne Bearbeitungstätigkeit sind zusätzlich die im Gesetz genannten Informationen (z.B. Bearbeitungszweck, Kategorien der betroffenen Personen, bearbeitete Personendaten, Empfänger) zu erfassen. Das Verzeichnis ist regelmässig zu überprüfen und zu aktualisieren.
KMU, also Unternehmen mit weniger als 250 Mitarbeitenden, sind von dieser Pflicht ausgenommen, sofern sie nicht umfangreich besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko durchführen. Die Führung eines Verzeichnisses der Bearbeitungstätigkeiten ist jedoch in jedem Fall zu empfehlen, um den Überblick über die Bearbeitungstätigkeiten zu behalten und so prüfen zu können, ob diese den gesetzlichen Vorgaben entsprechen, sowie um die Betroffenenrechte wahren zu können.
Fazit
Zusammenfassend empfehlen wir privaten Arbeitgeber das Folgende:
- Verschaffen Sie sich mittels eines Verzeichnisses einen Überblick über die Bearbeitungstätigkeiten im Zusammenhang mit Mitarbeitendendaten.
- Prüfen Sie, ob Ihre Prozesse (z.B. betreffend die Löschung bzw. Archivierung von Mitarbeitendendaten oder den Umgang mit Betroffenenrechten) den gesetzlichen Vorgaben entsprechen und ob Sie über die notwendigen Dokumentationen (z.B. ADV) verfügen, und treffen Sie gegebenenfalls die notwendigen Massnahmen.
- Verpflichten Sie Ihre Mitarbeitenden mittels einer Datenschutzrichtlinie zur Einhaltung der datenschutzrechtlichen Vorgaben. Informieren Sie sie zudem mittels einer Datenschutzinformation über die Beschaffung ihrer Personendaten.
- Definieren Sie die jeweils für die Einhaltung der einzelnen datenschutzrechtlichen Vorgaben und Prozesse zuständige Stelle.
Gerne unterstützt Sie unsere unter anderem auf Datenschutz- und Arbeitsrecht spezialisierte Rechtsabteilung sowohl bei der Überprüfung des Handlungsbedarfs als auch bei der Umsetzung der neuen rechtlichen Vorgaben. (OBT/mc/ps)