Arbeit und Recht

Austausch von Personaldaten im In- und Ausland

Unter welchen Umständen dürfen Personaldaten weitergegeben werden? Und was für Regelungen gelten für die Weitergabe ins Ausland?

1. Was ist bei der Weitergabe von Personaldaten an Dritte im Inland zu beachten?

Datenauslagerung entspricht einem praktischen Bedürfnis: Unternehmen lassen zum Beispiel die Bearbeitung von Spesenbelegen oder die Erstellung der Lohnabrechnungen durch Dritte besorgen. Gründe für ein solches klassisches «Outsourcing» sind in der Regel Kostenersparnis, Effizienzgewinn und Qualitätssteigerung.

Dritte im Sinne des Datenschutzrechts sind allerdings nicht nur «fremde» Dienstleister. Als Dritte gilt jede nicht mit der Arbeitgeberin identische Person. Auch die Datenübertragung im Konzern an eine Mutter-, Schwester- oder Tochtergesellschaft – zum Beispiel zur Führung eines konzernweiten Mitarbeiterverzeichnisses – gilt als Weitergabe von Personaldaten an Dritte.

Der Begriff der Weitergabe von Daten ist weit auszulegen: Bereits die blosse Zugangsgewährung gilt als Weitergabe, das heisst, es genügt, dass der Dritte die Möglichkeit hat, auf Daten in der Schweiz zuzugreifen. Dies gilt unabhängig davon, ob der Dritte von dieser Möglichkeit Gebrauch macht.

Die Weitergabe von Daten an Dritte ist aus Sicht des Datenschutzrechts grundsätzlich zulässig, sofern die folgenden Voraussetzungen erfüllt sind:

  • Es bestehen keine gesetzlichen oder vertraglichen Geheimhaltungspflichten: Bei Personaldaten bestehen grundsätzlich keine gesetzlichen Geheimhaltungspflichten und arbeitsvertragliche Datenweitervergabeverbote gibt es kaum je.
  • Die Arbeitgeberin muss und kann gewährleisten, dass die Daten beim Dritten sicher sind: Die Arbeitgeberin muss sich vergewissern, dass der Dritte die gleiche Datensicherheit gewährleistet, wie die Arbeitgeberin es selbst müsste.
  • Es liegt kein Verstoss gegen die allgemeinen Datengrundsätze vor: Die Daten müssen rechtmässig beschafft worden sein, also nicht etwa durch Täuschung oder unter Zwang (Rechtmässigkeit). Die Mitarbeiter müssen wissen, dass und welche Daten über sie bearbeitet werden (Transparenz). Die Daten müssen aktuell und dürfen nicht wissentlich falsch sein (Richtigkeit). Die Daten dürfen nur zum ursprünglich mitgeteilten Zweck bearbeitet werden (Zweckgebundenheit). Es dürfen nur so viele Daten bearbeitet werden, wie es für den konkreten Zweck erforderlich ist (Verhältnismässigkeit).

Unter diesen Voraussetzungen ist die Datenbearbeitung durch einen Dritten zulässig – aber nur in demjenigen Umfang, in dem die Arbeitgeberin die Daten selbst bearbeiten dürfte (sogenannte Auftragsdatenbearbeitung).

Zu beachten ist also immer, was der Datenempfänger mit den Personendaten tut: Sobald der Dritte mit der Datenbearbeitung auch eigene Interessen oder Interessen von anderen Konzerngesellschaften verfolgt, liegt nicht mehr nur eine reine Auftragsdatenbearbeitung vor. In diesem Fall gilt der Dritte als neuer Dateninhaber. Die Datenbearbeitung durch den Dritten als neuen Dateninhaber bedarf eines Rechtfertigungsgrunds. Verlangt sind eine angemessene Information des Mitarbeiters und seine klare, aktuelle und konkrete Einwilligung.

Vieles, was innerhalb eines Konzerns auf den ersten Blick nach Auftragsdatenbearbeitung aussieht, entpuppt sich bei näherer Prüfung als Weitergabe an einen neuen Dateninhaber. Oft werden nämlich zusätzlich zur möglichst effizienten Datenbearbeitung auch weitere Ziele verfolgt, wie etwa ein Abgleich der Kosten innerhalb des Konzerns. Schon wenn Daten für ein konzernweites Mitarbeiterverzeichnis weitergegeben werden, erfolgt die Datenbearbeitung nicht nur im Interesse der schweizerischen Arbeitgeberin, sondern auch im Interesse anderer Konzerngesellschaften.

Ob jemand als Dateninhaber oder als Auftragsdatenbearbeiter gilt, ist auch deshalb relevant, weil dem Inhaber einer Datensammlung im Gegensatz zum Auftragsdatenbearbeiter verschiedene datenschutzrechtliche Sonderpflichten (Informations-, Anmelde- und Auskunftspflichten) auferlegt werden. Ausserdem kann die regelmässige Weitergabe an neue Dateninhaber – anders als die regelmässige Weitergabe von Daten an Auftragsdatenbearbeiter – eine Pflicht zur Registrierung der Datensammlung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auslösen.

Sofern verhindert werden soll, dass der Dritte neuer Dateninhaber wird bzw. die weitergegebenen Personaldaten auch im eigenen Interesse nutzt, empfiehlt sich eine Absicherung der Auftragsdatenbearbeitung im Vertrag mit dem Dritten. Eine solche Vertragsklausel kann beispielsweise wie folgt lauten:

Der Datenbearbeiter verpflichtet sich, (i) die erhaltenen Personendaten nur für die Zwecke des Auftraggebers und nur wie vom Auftraggeber angeordnet zu verwenden; und (ii) alle vom Auftraggeber erhaltenen Personendaten sowie alle Bearbeitungen davon auf schriftliche Aufforderung des Auftraggebers nach Wahl des Auftraggebers sofort und vollständig an diesen zurück zu geben oder zu löschen und die vollständige Rückgabe oder Löschung dem Auftraggeber schriftlich zu bestätigen.

Das Vorschlagen einer solchen Vereinbarung über die Auftragsdatenbearbeitung ist ein guter Test dafür, ob der Dritte sich wirklich mit der Rolle als Auftragsdatenbearbeiter begnügt oder ob er nicht vielleicht doch beabsichtigt, die Daten auch für eigenen Zwecke zu nutzen. Sperrt sich der Dritte gegen eine Pflicht zur sofortigen und vollständigen Rückgabe aller Daten, verfolgt er vermutlich mit diesen Daten auch noch weitere, eigene Zwecke.

2. Zusätzliche Voraussetzungen der Datenübertragung an Dritte im Ausland

Sofern sich die Personalverwaltung eines Konzerns im Ausland befindet, müssen Personaldaten aus der Schweiz exportiert werden. Selbstverständlich lässt sich mit der Auslagerung einer Datenbearbeitung ins Ausland die Anwendung des Schweizer Datenschutzgesetzes nicht umgehen. Der Begriff der Datenbearbeitung ist sehr weit gefasst und schliesst jeden Umgang mit Personendaten ein.

Eine Weitergabe von Daten ins Ausland ist nur dann zulässig, wenn die Persönlichkeit des betroffenen Mitarbeiters nicht schwerwiegend gefährdet ist. Eine solche Gefährdung liegt vor, wenn Personendaten in ausländische Staaten bekannt gegeben werden, deren Datenschutzregulierung nach schweizerischen Standards ungenügend ist. Bei grenzüberschreitenden Datenbearbeitungen ist deshalb zu klären, ob ein angemessener Datenschutz im Empfängerstaat gewährleistet ist. Der EDÖB veröffentlicht eine Liste der wichtigsten Staaten, in der er deren Datenschutz-Gesetzgebung würdigt (http://www.edoeb.admin.ch). Falls der EDÖB einem Staat einen angemessenen Schutz zuspricht, ist der Export von Daten ins Ausland grundsätzlich erlaubt. Ist hingegen der angemessene Schutz nicht gewährleistet, ist eine Datenbekanntgabe grundsätzlich rechtswidrig. Keinen ausreichenden Datenschutz gewähren China, Russland, Länder in Afrika und insbesondere auch die USA.

Unter den folgenden Bedingungen ist die Bekanntgabe von Personaldaten ins Ausland trotz grundsätzlich mangelhafter Datenschutzregelung im Ausland zulässig:

  • Die Bekanntgabe erfolgt zwischen juristischen Personen unter einheitlicher Leitung (Konzerne) mit konzernweiten Datenschutz-Regeln. Diese konzerninterne Regelung ist dem EDÖB zur Kenntnis zu bringen.
  • In einem Datenbearbeitungsvertrag zwischen dem schweizerischen Datenexporteur und dem ausländischen Datenbearbeiter ist ein angemessenes Datenschutzniveau vereinbart.
  • Der Mitarbeiter hat im konkreten Einzelfall der Datenbearbeitung zugestimmt und dem Mitarbeiter ist bewusst, dass die Daten im Ausland einem geringeren Schutzniveau unterstehen. Zu beachten ist, dass der Mitarbeiter seine Einwilligung jederzeit gültig widerrufen kann.
  • Die Daten werden an einen Datenbearbeiter in den USA exportiert, der sich dem «Safe-Harbor-Übereinkommen» unterworfen hat. Die Schweiz vereinbarte mit den USA ein Rahmenübereinkommen zum personenbezogenen Datentransfer aus der Schweiz in die USA. US-amerikanische Unternehmen können sich diesem Übereinkommen unterstellen und sich verpflichten, für aus der Schweiz übermittelte Daten den schweizerischen Bedürfnissen genügende Datenschutzregeln anzuwenden. Es gibt eine öffentlich zugängliche Liste der «International Trade Administration», die alle US-amerikanischen Unternehmen aufführt, die sich dem Safe-Harbor-Übereinkommen unterworfen haben (abrufbar unter https://safeharbor.export.gov/swisslist.aspx).

Häufig wollen internationale Konzerne nicht nur Daten von Mitarbeitern, sondern auch Dossiers von Stellenbewerbern international austauschen. Konzerne haben häufig das Bedürfnis, Bewerbungsdossiers, die einer Landesgesellschaft zugestellt werden, auch anderen Gruppengesellschaften zugänglich zu machen. Bei Kaderpositionen entscheidet nicht selten die Konzernleitung im Ausland bei der Selektion des Personals der schweizerischen Ländergesellschaft mit.

Das Bewerbungsdossier enthält klarerweise Personendaten. In der Regel beinhaltet das Dossier einen ausführlichen Lebenslauf mit Ausbildungs- und Arbeitszeugnissen. Solche Unterlagen erlauben eine Beurteilung wesentlicher Aspekte der Persönlichkeit des Stellenbewerbers und stellen ein Persönlichkeitsprofil im Sinn des Datenschutzgesetzes dar, für das besondere Schutzbestimmungen anwendbar sind.

Ein Stellenbewerber, der eine Bewerbung auf ein Stelleninserat hin oder im Rahmen einer Blindbewerbung einreicht, muss grundsätzlich nicht davon ausgehen, dass eine Konzerngesellschaft im Ausland sein Dossier bearbeitet. Konzerngesellschaften, die Informationen über Stellenbewerber anderen Konzerngesellschaften zugänglich machen, müssen in einem ersten Schritt die ausdrückliche Einwilligung der Stellenbewerber einholen. Die Einwilligung ist nur gültig, wenn sie nach angemessener Information freiwillig erfolgt. Die Stellenbewerber müssen mindestens darüber informiert werden, welche Daten zu welchem Zweck ins Ausland weitergeleitet werden.

Bei Online-Bewerbungen empfiehlt sich die Verwendung einer klaren Datenschutzerklärung. Die Webseite ist sinnvollerweise so zu konzipieren, dass eine Bewerbung nur dann abgeschickt werden kann, wenn der Bewerber sein Einverständnis zur Weitergabe der Daten unmissverständlich zum Ausdruck gebracht hat. Dazu genügt es, dass der Bewerber eine entsprechende Einverständniserklärung anklickt, also ein «Häkchen» setzt. Muss sich der Bewerber registrieren, um seine Bewerbung eingeben zu können, so sollte das Einverständnis zur Datenschutzerklärung bereits bei der Registrierung eingeholt werden. Für «analoge» Bewerbungen muss es genügen, wenn im Stelleninserat unmissverständlich auf die Datenweitergabe hingewiesen wird und der Bewerber sich in seiner Bewerbung auf das Stelleninserat bezieht. Gerade bei Blindbewerbungen per Post ist das Einverständnis aber nach Eingang der Bewerbung separat einzuholen, bevor die Daten ins Ausland weitergeleitet werden.

3. Wann besteht eine Registrierungspflicht der Arbeitgeberin beim EDÖB?

Unternehmen müssen ihre Datensammlungen beim EDÖB anmelden, wenn sie regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten. Personaldossiers gelten zwar als Persönlichkeitsprofile und enthalten nicht selten auch besonders schützenswerte Personendaten (wie etwa Arztzeugnisse oder Strafregisterauszüge). Dennoch führen Personaldossiers nicht zu einer Registrierungspflicht: Das Datenschutzgesetz entbindet von der Registrierungspflicht, wenn Daten aufgrund einer gesetzlichen Verpflichtung gesammelt werden. Eine solche gesetzliche Verpflichtung erstreckt sich zum Beispiel auf alle Daten, die zur Erstellung eines Arbeitszeugnisses verwendet werden. Das führt dazu, dass Personaldossiers nicht zu einer Registrierungspflicht führen. Der EDÖB hat das Bestehen dieser Ausnahme in einem Merkblatt bestätigt.

Eine Registrierung beim EDÖB ist auch erforderlich, wenn regelmässig Personendaten an Dritte bekannt gegeben werden. Keine Registrierungspflicht besteht immerhin dann, wenn Daten nur zur Auftragsdatenbearbeitung weitergegeben werden, der Dritte die Daten also lediglich gemäss Instruktionen so bearbeitet, wie es die Arbeitgeberin als Dateninhaberin selbst auch tun dürfte.

Ferner besteht keine Registrierungspflicht, wenn ein Unternehmen eine formelle Datenschutzzertifizierung erworben hat. Eine solche Zertifizierung haben aktuell erst ganz wenige Schweizer Unternehmen erworben. Wir erachten diese Möglichkeit deshalb als wenig praxisrelevant und verzichten auf weitere Informationen dazu.

Unternehmen, die regelmässig Personaldaten an Dritte (insbesondere an Konzerngesellschaften) über die reine Auftragsdatenbearbeitung hinaus weitergeben, steht eine weitere Möglichkeit offen, sich von der Registrierungspflicht zu entbinden: Keine Registrierungspflicht besteht, wenn ein Unternehmen einen internen Datenschutzverantwortlichen ernennt und dies dem EDÖB mitteilt. Mehr als 800 Schweizer Unternehmen haben diese Lösung gewählt. Der EDÖB veröffentlicht auf seiner Webseite (http://www.edoeb.admin.ch) ein Verzeichnis der Unternehmen, die einen Datenschutzverantwortlichen einsetzen und somit von der Registrierungspflicht befreit sind. Wir erachten die Einsetzung eines internen Datenschutzverantwortlichen als sinnvoll und empfehlen dies grundsätzlich jedem Unternehmen.

Der Datenschutzverantwortliche kann ein Mitarbeiter oder ein Dritter (natürliche oder juristische Person im Auftragsverhältnis) sein. Er muss über die nötigen Fachkenntnisse verfügen, wobei Grundkenntnisse im Datenschutzrecht und die Vertrautheit mit der Organisation der Arbeitgeberin grundsätzlich genügen. Der Datenschutzverantwortliche muss so geschult sein, dass er sich mindestens selbständig ein Bild darüber machen kann, ob und inwieweit eine Datenbearbeitung geeignet ist, die Persönlichkeit einer Person zu verletzen. Der EDÖB empfiehlt, dass nicht juristisch ausgebildete Datenschutzverantwortliche wenigstens ein halbes Jahr im Bereich Datenschutz gearbeitet haben. Der Datenschutzverantwortliche muss seine Aufgabe fachlich weisungsunabhängig ausführen und direkt Kenntnis von allen Datenbearbeitungen erhalten. Um die organisatorische Unabhängigkeit sicherzustellen, darf der Datenschutzverantwortliche keine andere Tätigkeit ausüben, die mit seiner Funktion unvereinbar ist, wie zum Beispiel in der Informationssystemverwaltung oder der Personalführung. Am besten eignen sich deshalb Personen aus der IT-Abteilung, der Rechtsabteilung oder des Risk Managements. Die Funktion des Datenschutzverantwortlichen kann auch von einem Mitarbeiter einer ausländischen Konzerngesellschaft übernommen werden, sofern dieser in der Lage ist, sich mit der Datenbearbeitung und der datenschutzrechtlichen Situation in der Schweiz vertraut zu machen.

Kommentieren 0 Kommentare HR Cosmos

Dr. Conradin Cramer ist als Advokat und Notar bei VISCHER in Basel tätig. Als Co-Leiter des Arbeitsrechtsteams von VISCHER berät er Arbeitgeber und Kaderarbeitnehmer in allen Fragen des Arbeitsrechts und ist ausgewiesener Experte für Bonuszahlungen.

Weitere Artikel von Conradin Cramer

Das könnte Sie auch interessieren