«Im Zentrum des Datenschutzes steht nicht der Ort der Verarbeitung»

Die Datensicherheit wird beim HR-Outsourcing immer wichtiger. Beispielsweise, weil Daten von Mitarbeitenden aus dem EU-Raum bearbeitet und HR-Daten in aussereuropäische Länder wie Indien oder Australien ausgelagert werden oder sich das Outsourcing-Unternehmen im EU-Raum befindet. Ein Gespräch mit Rechtsanwalt Dominique Anderes der Firma Bruppacher Hug & Partner.

«Unpersönliche Standardprozesse lassen sich problemlos an eine ausländische Firma outsourcen.» Dominique Anderes, Rechtsanwalt, Bruppacher Hug & Partner (Bild: 123rf)

Herr Anderes, was sind für Sie die wichtigsten datenschutzrechtlichen Herausforderungen beim HR-Outsourcing?

Dominique Anderes: Beim Outsourcing von HR-Prozessen müssen Personalverantwortliche sicherstellen, dass externe Firmen die Datenbearbeitung recht- und verhältnismässig nach Treu und Glauben ausführen. Die Datenverarbeitung muss zudem vollständig und die Richtigkeit der Daten muss gewährleistet sein, wobei unrichtige Daten korrigiert werden müssen.

Ferner ist zu berücksichtigen, dass diese Daten nur für einen bestimmten Zweck verwendet werden dürfen, nämlich jenen, für den die betroffene Person ihr Einverständnis gegeben hat. Daneben muss die Datenverarbeitung transparent erfolgen und die Personaldaten müssen gegen unbefugtes Bearbeiten geschützt werden. Sofern Daten von Personen aus der EU bearbeitet werden oder sich das externe Unternehmen in der EU befindet, gelten die europäischen Datenschutzvorschriften (DSGVO) auch in diesem Fall.

Wann sollte ein Unternehmen aus Datenschutzgründen seine HR-Prozesse insourcen?

Wenn Zweifel bestehen, dass sich das externe Unternehmen genügend mit den gesetzlichen Vorgaben auseinandersetzt oder anderweitig Zweifel aufkommen, ob die Datenschutzvorschriften eingehalten werden.

Was gilt, wenn HR-Prozesse in Länder wie Indien oder Australien ausgelagert werden, die kein Datenschutzgesetz kennen?

Bei Indien und Australien handelt es sich um sogenannte Drittländer, die weder der DSGVO noch dem schweizerischen Datenschutzgesetz (DSG) unterstehen. Einer Liste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist zu entnehmen, wie es dort um den Datenschutz steht.

Indien ist beispielsweise unter jenen Ländern aufgeführt, deren Gesetzgebung keinen genügenden Datenschutz gewährleistet. Beim Eintrag von Australien steht, dass vor der Übermittlung von Personendaten abgeklärt werden sollte, ob die australische Gesetzgebung Personendaten von Ausländern schützt oder nicht. Weil in beiden Ländern kein genügender Datenschutz besteht, sollte sich ein Schweizer Auftraggeber in einem Datenverarbeitungsvertrag ausdrücklich garantieren lassen, das sich der ausländische Datenverarbeiter an die Schweizer Datenschutzvorschriften hält.

Dominique Anderes, Rechtsanwalt, Bruppacher Hug & Partner

Wie lässt sich verifizieren, ob ein Beauftragter sorgfältig mit den ihm anvertrauten Daten umgeht?

Nebst den vertraglichen Zusicherungen und Garantien, dass sich ein Beauftragter an die Schweizer Datenschutzvorgaben hält, sind Zertifikate eine der möglichen Garantien, dass ein Beauftragter mit den ihm anvertrauten Daten sorgfältig umgeht. Hierzu können sich Outsourcing-Anbieter mittels einer offiziellen Zertifizierung bescheinigen lassen, dass sie bestimmte Datenverarbeitungsprozesse in Einklang mit den anwendbaren Datenschutzvorschriften ausführen.

Und inwiefern kann eine Firma für ein Datenleck eines Outsourcers haftbar gemacht werden?

Eine Haftung nach Schweizerischem Datenschutzgesetz ist nur bei einem vorsätzlichen Verstoss gegen die Bestimmungen des DSG vorgesehen. Bei der DSGVO ist die Haftung schärfer, denn sie stellt auch fahrlässige Verstösse unter Strafe. Als verantwortliche Stelle haftet eine Schweizer Firma dann unter Umständen solidarisch mit dem Auftragnehmer. Bei Haftungsfragen werden jedoch die Gesamtumstände betrachtet. Ein Unschuldsbeweis ist also möglich.

Es ist deshalb von entscheidender Bedeutung, die Verantwortlichkeiten in einem Datenverarbeitungsvertrag klar zu regeln. Sofern der Beauftragte über ein entsprechendes Zertifikat verfügt, kann dieses als Entlastungsbeweis hinzugezogen werden.

Welche Daten sollte man besser in der Schweiz verarbeiten lassen?

Im Zentrum steht nicht der Ort der Datenverarbeitung, sondern die Einhaltung des Datenschutzes. Ist dieser gemäss den Gesetzesvorschriften gewährleistet, sprechen nicht der Datenschutz, sondern vielmehr praktische Aspekte gegen eine Datenverarbeitung im Ausland. Relativ unpersönliche Standardprozesse lassen sich problemlos an eine ausländische Firma outsourcen, wenn die Daten wie bei Online-Assessments anonym vorliegen.

Dann spielt das Datenschutzgesetz für das ausländische Unternehmen eine untergeordnete Rolle, weil durch die Anonymisierung keine Rückschlüsse auf eine bestimmte Person gezogen werden können. Obwohl es sich ebenfalls um Standardprozesse handelt, sollte die Lohnabwicklung nicht ins Ausland ausgelagert werden, weil es sich beim Lohnausweis um eine Urkunde handelt. Ist dieser nicht korrekt ausgestellt, drohen strafrechtliche Konsequenzen.

Text: Corinne Päper

Chefredaktorin, HR Today. cp@hrtoday.ch

Digitalisierung • HR Strategie • Organisationsentwicklung