Die Informationsflut hinsichtlich der Voraussetzungen für die Datenschutzkonformität von KMUs und KUs in den letzten Monaten ist riesig. Wenig wird jedoch bis anhin darüber berichtet, wie sich Unternehmen intern datenschutzrechtlich «fit» machen müssen. Zum einen bezüglich der persönlichen Daten von ihren eigenen Arbeitnehmenden sowie zum anderen betreffend den Umgang von Arbeitnehmenden mit persönlichen Daten von Dritten. Obwohl gerade die Arbeitgebenden die persönlichen Daten ihrer Arbeitnehmenden sehr intensiv bearbeiten und einen Einblick in eine Vielzahl persönlicher Daten der Arbeitnehmenden erhalten, gerät dies zurzeit oft in den Hintergrund.
Dieser Newsletter soll einen Überblick geben, welche Punkte Arbeitgebende bezüglich ihrer Arbeitnehmenden unter dem künftigen Datenschutzgesetz zu beachten haben:
Datenschutzerklärung für Arbeitnehmende
Gemäss Art. 19 des revidierten Datenschutzgesetzes (rev. DSG) müssen natürliche Personen über jede Bearbeitung ihrer Personendaten informiert werden. Somit hat auch der Arbeitgebende die Pflicht, seine Arbeitnehmenden (jetzige sowie potenziell zukünftige) über die Art und Weise der Bearbeitung der persönlichen Daten zu informieren. Empfehlenswert ist es daher, diese Informationspflicht und deren Ausgestaltung im Rahmen einer Datenschutzerklärung zu regeln.
Diese Datenschutzerklärung kann (und sollte) der potenziell angestellten Person bereits im Bewerbungsprozess vorgelegt und dem definitiven zukünftigen Arbeitnehmenden als zusätzliche schriftliche Information zum Arbeitsvertrag ausgestellt werden.
Bei bestehenden Arbeitsverhältnissen ist es grundsätzlich ausreichend, die Information per E-Mail zuzustellen oder im Intranet zu veröffentlichen. Da dem Arbeitgebenden im Streitfall jedoch die Beweislast dafür zukommt, dass er seiner Informationspflicht nachgekommen ist, empfiehlt es sich, die Aushändigung der Datenschutzerklärung zur Bestätigung von den Arbeitnehmenden gegenzeichnen zu lassen.
Inhalt einer solchen Datenschutzerklärung muss unter anderem der Hinweis auf die Verantwortung der Datenbearbeitung sein, welche Personendaten bearbeitet werden und für welche Zwecke. Als Zweck gilt beispielsweise der Betrieb des Personalinformationssystems, Erstellung von Arbeits- und Zwischenzeugnissen, Lohnabrechnungen und Auszahlungen oder Leistungen im Zusammenhang mit Sozialversicherungen. Im Weiteren muss bekannt gegeben werden, an welche Dritte (z.B. Versicherungen, Finanzinstitute etc.) die Personendaten weitergeleitet werden dürfen und ob ein Transfer der Daten ins Ausland erfolgt.
Interne Weisung an Arbeitnehmende für den Umgang mit Personendaten
Im Weiteren sollte den Arbeitnehmenden ein Dokument mit Richtlinien und Weisungen für den Umgang mit Personendaten von Dritten übergeben werden.
Dieses Dokument sollte zum einen rein technische und organisatorische Anweisungen beinhalten, wie bspw. die Abschliessung von Arbeitsräumen beim Verlassen des Arbeitsplatzes, die Sicherung von Serverräumen oder aber auch die Achtsamkeit hinsichtlich mit wem Daten geteilt werden (z.B. kann durch das Herumliegenlassen von Unterlagen eine Reinigungskraft bereits Kenntnisse von persönlichen Daten erhalten).
Das Dokument sollte bezüglich Betroffenenrechte aber auch eine Wegleitung beinhalten, wie vorzugehen ist: Es muss sichergestellt werden, dass die Arbeitnehmenden die Arbeitgebenden rechtzeitig informieren, wenn sie ein Auskunftsbegehren erhalten oder einen Datenschutzverstoss begangen haben. Führt das Unternehmen ein Bearbeitungsverzeichnis, muss im Dokument auch darauf hingewiesen werden, dass die Arbeitnehmenden jenes regelmässig aktualisieren und kritisch prüfen bzw. sicherstellen, dass jede neue Bearbeitung erfasst wird.
Einzelfragen
Aufgrund der Neuerungen im Datenschutzrecht stellen sich auch viele einzelne Folgefragen im Arbeitsrecht in praktischer Hinsicht: Wie bspw., ob der Arbeitgebende Arbeitnehmende in Auslandsferien (ausserhalb der EU) via Laptop auf den Server in der Schweiz zugreifen lassen darf oder ob auf die im grenznahen Ausland lebenden und im Homeoffice arbeitenden Arbeitnehmenden zusätzlich das europäische Datenschutzrecht Anwendung findet.
Bei der ersten Frage ist aus rechtlicher Sicht klar, dass ein Datentransfer ins Ausland stattfindet und je nach Land ein solcher Zugriff somit entweder untersagt, oder weitere Massnahmen getroffen werden müssten, damit ein Datentransfer rechtlich erlaubt wäre. In der Tendenz wird hier ein pragmatischer Ansatz verfolgt: Ein solcher Datentransfer soll erlaubt sein, solange sichergestellt ist, dass nur die konkret zuständige angestellte Person Zugriff auf die Daten hat (vorausgesetzt, dass alle notwendigen technischen und organisatorischen Massnahmen erfüllt sind und nicht eine andere gesetzliche Regelung [bspw. Bankkundengeheimnis] dagegenspricht).
Hinsichtlich der Arbeitnehmenden, welche im Homeoffice im EU-Raum für die Schweizer Unternehmung arbeiten, findet grundsätzlich ausschliesslich das Schweizerische Datenschutzgesetz Anwendung. Dies ändert sich jedoch, sobald der Arbeitgeber das Verhalten der Arbeitnehmer überwacht (bspw. GPS Tracking). Dann ist das europäische Datenschutzrecht ebenfalls zu berücksichtigen.
Gerne beantworten wir Ihre Fragen, welche Sie sich im Zusammenhang mit der Anwendung des neuen Datenschutzgesetzes stellen und unterstützen Sie sodann bei der Erstellung der notwendigen Dokumente.