Close
Wonach suchen Sie?
Site search
25. August 2023 Neues Datenschutzgesetz: Was muss ich als HR-Verantwortliche(r) wissen?

Das neue Datenschutzgesetz (nDSG) tritt am 1. September 2023 in Kraft. Auch im Rahmen des Arbeitsverhältnisses werden regelmässig Daten von Mitarbeitenden bearbeitet. Dieser Beitrag gibt einen Überblick dazu, was HR-Verantwortliche im Hinblick auf die neuen Bestimmungen wissen müssen.  

Datenbearbeitung im Arbeitsverhältnis

Grundsätzlich dürfen Arbeitgeber Daten eines Mitarbeitenden nur bearbeiten, wenn sie die Eignung für das Arbeitsverhältnis betreffen oder für die Durchführung des Arbeitsvertrages erforderlich sind (Art. 328b OR). Eine weitergehende Datenbearbeitung kann jedoch insbesondere bei überwiegenden Interessen des Arbeitgebers oder mit der ausdrücklichen Zustimmung des betroffenen Mitarbeiters gerechtfertigt werden. Die Datenbearbeitungsgrundsätze des DSG sind jedoch einzuhalten. Diese bleiben mit der Gesetzesrevision unverändert. So muss die Datenbearbeitung rechtmässig, nach Treu und Glauben sowie verhältnismässig, d.h. entsprechend dem Zweck, der bei der Datenbearbeitung angegeben wurde sowie in Übereinstimmung mit den anderen datenschutzrechtlichen Bestimmungen erfolgen. Eine Datenbearbeitung, die unter dem alten Recht zulässig war, dürfte auch unter dem neuen Recht zulässig sein.

Informationspflichten

Mit dem neuen DSG werden die Informationspflichten erweitert. HR-Verantwortliche sind neu verpflichtet, bei jeder Beschaffung von Personendaten – und nicht mehr nur noch bei besonders schutzwürdigen Personendaten –, die Mitarbeitenden unter anderem über den Zweck der Datenbearbeitungen, die indirekt erhobenen Daten, die Kategorien der Empfänger der Daten und die Länder, in welchen die Daten bearbeitet werden, zu informieren. Die Information geschieht in der Regel durch eine Datenschutzerklärung. Im Hinblick auf die neuen Vorgaben empfiehlt es sich auch für HR-Verantwortliche, die bestehenden Datenschutzerklärungen auf ihre Aktualität überprüfen zu lassen.

Verzeichnis der Bearbeitungstätigkeiten

Unternehmen mit mehr als 250 Mitarbeitenden müssen neu ein Verzeichnis der Bearbeitungstätigkeiten führen. Das Verzeichnis von Bearbeitungstätigkeiten muss die folgenden Mindestinformationen enthalten (Art. 12 nDSG): 

  • Identität der für die Datenbearbeitung verantwortlichen Person;
  • der Bearbeitungszweck;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten; 
  • die Kategorien der Empfängerinnen und Empfänger; 
  • die Aufbewahrungsdauer der Personendaten oder Kriterien zur Festlegung dieser Dauer (wenn möglich);
  • eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (wenn möglich);
  • bei Bekanntgabe von Daten ins Ausland: Angabe des Staates und Garantien, durch die Daten geschützt werden soll.

Von der Pflicht zur Führung dieses Verzeichnisses befreit sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern die Datenbearbeitung nur ein geringes Risiko von Persönlichkeitsverletzungen birgt.

Datenschutz-Folgeabschätzung (DSFA)

Ferner schreibt das neue DSG eine Datenschutz-Folgeabschätzung zwingend vor, sofern eine Datenbearbeitung ein hohes Risiko für die Persönlichkeit und die Grundrechte der betroffenen Personen mit sich bringt. Da im Rahmen eines Arbeitsverhältnisses oft auch besonders schützenswerte Personendaten bearbeitet werden, wie z.B. Gesundheitsdaten, werden auch HR-Verantwortliche für bestimmte Vorhaben eine DSFA durchführen müssen. In der DSFA muss dargelegt werden, welche negativen Folgen eine Datenbearbeitung für die betroffene Person mit welcher Wahrscheinlichkeit haben und mit welchen organisatorischen und technischen Massnahmen diese negativen Auswirkungen verhindert oder gemildert werden können. 

Auskunftsbegehren

Neben der Erweiterung der Informationspflichten wurde mit der Gesetzesänderung auch das Auskunftsrecht ausgebaut. Art. 25 Abs. 2 nDSG erhält Mindestinformationen, die der betroffenen Person mitgeteilt werden müssen. Ausserdem ist vorgesehen, dass die Auskunft in der Regel innert 30 Tagen erfolgen muss und die Betroffenen nicht im Voraus auf ihre Rechte verzichten können. Vor diesem Hintergrund empfiehlt es sich für Arbeitgeber, die internen Abläufe bezüglich Auskunftsbegehren der Mitarbeitenden über Personaldaten klar zu gestalten. 

Datentransfer ins Ausland 

Wie bisher müssen Arbeitgeber im Rahmen eines Arbeitsverhältnisses auch unter dem neuen DSG sicherstellen, dass eine Übertragung von Personendaten, wenn sie nicht in Länder mit einem angemessenen Schutzniveau erfolgen, anders abgesichert oder gerechtfertigt sind. Neu legt jedoch der Bundesrat mit einer Liste verbindlich fest, welche Länder "angemessen" sind, was Klarheit schafft.

Meldung an EDÖB

HR-Verantwortliche müssen Verletzungen der Datensicherheit dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) umgehend melden, wenn dies ein hohes Risiko der Beeinträchtigung der Persönlichkeit der Mitarbeitenden zur Folge hat. Eine solche Verletzung wird angenommen, wenn Personendaten unbeabsichtigt oder widerrechtlich gelöscht, vernichtet, verändert oder Unbefugten offengelegt oder zugänglich gemacht werden. Ist dies zum Schutz der betroffenen Mitarbeitenden nötig, sind auch diese zu informieren.

Strafbarkeit

Ausgebaut wird das DSG auch in Bezug auf die Strafbarkeit bei Verletzungen von gewissen Pflichten. Die für die Bearbeitung verantwortlichen Personen, und damit auch HR-Verantwortliche, die im Rahmen des Arbeitsverhältnisses Personaldaten bearbeiten, können mit einer Busse von bis zu CHF 250'000.00 bestraft werden, insbesondere, wenn sie die Informationspflicht und bestimmte Auskunftspflichten vorsätzlich verletzen. 

Haben Sie weitere Fragen zum Thema?

Unser Arbeitsrechtsteam steht Ihnen gerne jederzeit zur Verfügung. Weiterführende Informationen unseres Datenschutzteams finden Sie hier.

Autoren