VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Wir entwickeln nicht nur juristische Lösungen für unsere Klientinnen und Klienten, wir entwickeln auch neue Formate dafür.
VISCHER Legal Innovation Lab
Red Dragon
Karriere
Kategorien: Arbeitsrecht, Data & Privacy
Das neue Datenschutzgesetz (nDSG) tritt am 1. September 2023 in Kraft. Auch im Rahmen des Arbeitsverhältnisses werden regelmässig Daten von Mitarbeitenden bearbeitet. Dieser Beitrag gibt einen Überblick dazu, was HR-Verantwortliche im Hinblick auf die neuen Bestimmungen wissen müssen.
Grundsätzlich dürfen Arbeitgeber Daten eines Mitarbeitenden nur bearbeiten, wenn sie die Eignung für das Arbeitsverhältnis betreffen oder für die Durchführung des Arbeitsvertrages erforderlich sind (Art. 328b OR). Eine weitergehende Datenbearbeitung kann jedoch insbesondere bei überwiegenden Interessen des Arbeitgebers oder mit der ausdrücklichen Zustimmung des betroffenen Mitarbeiters gerechtfertigt werden. Die Datenbearbeitungsgrundsätze des DSG sind jedoch einzuhalten. Diese bleiben mit der Gesetzesrevision unverändert. So muss die Datenbearbeitung rechtmässig, nach Treu und Glauben sowie verhältnismässig, d.h. entsprechend dem Zweck, der bei der Datenbearbeitung angegeben wurde sowie in Übereinstimmung mit den anderen datenschutzrechtlichen Bestimmungen erfolgen. Eine Datenbearbeitung, die unter dem alten Recht zulässig war, dürfte auch unter dem neuen Recht zulässig sein.
Mit dem neuen DSG werden die Informationspflichten erweitert. HR-Verantwortliche sind neu verpflichtet, bei jeder Beschaffung von Personendaten – und nicht mehr nur noch bei besonders schutzwürdigen Personendaten –, die Mitarbeitenden unter anderem über den Zweck der Datenbearbeitungen, die indirekt erhobenen Daten, die Kategorien der Empfänger der Daten und die Länder, in welchen die Daten bearbeitet werden, zu informieren. Die Information geschieht in der Regel durch eine Datenschutzerklärung. Im Hinblick auf die neuen Vorgaben empfiehlt es sich auch für HR-Verantwortliche, die bestehenden Datenschutzerklärungen auf ihre Aktualität überprüfen zu lassen.
Unternehmen mit mehr als 250 Mitarbeitenden müssen neu ein Verzeichnis der Bearbeitungstätigkeiten führen. Das Verzeichnis von Bearbeitungstätigkeiten muss die folgenden Mindestinformationen enthalten (Art. 12 nDSG):
Von der Pflicht zur Führung dieses Verzeichnisses befreit sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern die Datenbearbeitung nur ein geringes Risiko von Persönlichkeitsverletzungen birgt.
Ferner schreibt das neue DSG eine Datenschutz-Folgeabschätzung zwingend vor, sofern eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit und die Grundrechte der betroffenen Personen mit sich bringt. Da im Rahmen eines Arbeitsverhältnisses oft auch besonders schützenswerte Personendaten bearbeitet werden, wie z.B. Gesundheitsdaten, werden auch HR-Verantwortliche für bestimmte Vorhaben eine DSFA durchführen müssen. In der DSFA muss dargelegt werden, welche negativen Folgen eine Datenbearbeitung für die betroffene Person mit welcher Wahrscheinlichkeit haben und mit welchen organisatorischen und technischen Massnahmen diese negativen Auswirkungen verhindert oder gemildert werden können.
Neben der Erweiterung der Informationspflichten wurde mit der Gesetzesänderung auch das Auskunftsrecht ausgebaut. Art. 25 Abs. 2 nDSG erhält Mindestinformationen, die der betroffenen Person mitgeteilt werden müssen. Ausserdem ist vorgesehen, dass die Auskunft in der Regel innert 30 Tagen erfolgen muss und die Betroffenen nicht im Voraus auf ihre Rechte verzichten können. Vor diesem Hintergrund empfiehlt es sich für Arbeitgeber, die internen Abläufe bezüglich Auskunftsbegehren der Mitarbeitenden über Personaldaten klar zu gestalten.
Wie bisher müssen Arbeitgeber im Rahmen eines Arbeitsverhältnisses auch unter dem neuen DSG sicherstellen, dass eine Übertragung von Personendaten, wenn sie nicht in Länder mit einem angemessenen Schutzniveau erfolgen, anders abgesichert oder gerechtfertigt sind. Neu legt jedoch der Bundesrat mit einer Liste verbindlich fest, welche Länder "angemessen" sind, was Klarheit schafft.
HR-Verantwortliche müssen Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) umgehend melden, wenn dies ein hohes Risiko der Beeinträchtigung der Persönlichkeit der Mitarbeitenden zur Folge hat. Eine solche Verletzung wird angenommen, wenn Personendaten unbeabsichtigt oder widerrechtlich gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Ist dies zum Schutz der betroffenen Mitarbeitenden nötig, sind auch diese zu informieren.
Ausgebaut wird das DSG auch in Bezug auf die Strafbarkeit bei Verletzungen von gewissen Pflichten. Die für die Bearbeitung verantwortlichen Personen, und damit auch HR-Verantwortliche, die im Rahmen des Arbeitsverhältnisses Personaldaten bearbeiten, können mit einer Busse von bis zu CHF 250'000.00 bestraft werden, insbesondere, wenn sie die Informationspflicht und bestimmte Auskunftspflichten vorsätzlich verletzen.
Haben Sie weitere Fragen zum Thema?
Unser Arbeitsrechtsteam steht Ihnen gerne jederzeit zur Verfügung. Weiterführende Informationen unseres Datenschutzteams finden Sie hier.
Rechtsanwalt
Rechtsanwältin
Prinz, Marc Ph. / Özcan, Ilknur, Überblick über die Urlaubsformen, in: WEKA Arbeitsrecht Newsletter,...
Prinz, Marc Ph / Jeannine Dehmelt, Was tun bei Konflikten am Arbeitsplatz?, in: Personal SCHWEIZ,...
OCHSNER SPORT und DOSENBACH haben mit MIGROS Vereinbarungen zur Übernahme von 27 SportX-Filialen...