Neues Datenschutzgesetz

Voraussichtlich Anfang 2023 tritt das neue Datenschutzgesetz (nDSG) in der Schweiz in Kraft. Mit dieser Gesetzes­verschärfung folgt die Schweiz der Europäischen Union, um den freien Datenverkehr aufrechtzuerhalten. In erster Linie werden bestehende Pflichten konkretisiert. Betroffene ­Personen, zum Beispiel Arbeitnehmerinnen oder Bewerber, erhalten mehr Rechte. Somit müssen auch HR-Verantwortliche ihren Umgang mit Personendaten anpassen.

Unterschiede zwischen nDSG und DSGVO

Die Schweiz übernimmt nicht die europäische Datenschutz-Grundverordnung (DSGVO), die viele HR-Verantwortliche bereits per 25. Mai 2018 umsetzten. Wie die DSGVO setzt das nDSG auf Sanktionen bei Nichtumsetzung. Drohen Unternehmen im Europäischen Wirtschaftsraum (EWR) bei Datenschutzverletzungen hohe Bussen, können gemäss  nDSG persönliche Bussen von bis zu 250 000 Franken gegen einzelne verantwortliche Personen ausgesprochen werden.

Wer die DSGVO im Betrieb bereits umgesetzt hat, beispielsweise im Hinblick auf Bewerbende aus dem europäischen Ausland, darf sich glücklich schätzen, da das nDSG weitgehend als Teilmenge der DSGVO verstanden werden kann. Das erleichtert die Umsetzung erheblich. Einige wichtige Punkte ändern sich mit dem nDSG nicht: Cookie-Banner bleiben auf Websites gegenüber Besuchenden aus der Schweiz überflüssig. Eine Datenschutzbeauftragte ist weiterhin nicht zwingend erforderlich. Auch hält das nDSG fest, dass fast nie eine Einwilligung der betroffenen Personen eingeholt werden muss, sondern deren Information genügt. Wie im übrigen öffentlichen Recht in der Schweiz gilt zudem: Erlaubt ist, was nicht ausdrücklich verboten ist.

«Dateninventar» erstellen

Am Anfang der Compliance mit europäischem und ­schweizerischem Datenschutzrecht steht immer die Frage: Welche Personendaten werden wofür, wie und wo bearbeitet? HR-Verantwortliche müssen beachten, dass der Zweck («Wofür»?) sich grundsätzlich auf die Bearbeitung von ­Personendaten beschränkt, welche ein Arbeitsverhältnis betreffen oder für den Abschluss eines Arbeitsvertrags ­erforderlich sind (Art. 328b OR).

Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a nDSG) und als Bearbeiten gilt «jeder Umgang mit Personendaten […]» (Art. 5 lit. d nDSG). Dazu kommen besonders schützenswerte Daten wie jene über die Gesundheit oder gewerkschaftliche Tätigkeiten (Art. 5 lit. c nDSG).

Um ein «Dateninventar» als Datenschutz-­Compliance-Grundlage zu erstellen und zu pflegen, ist ein Verzeichnis der Bearbeitungstätigkeiten hilfreich (Art. 12 nDSG). Dieses Verzeichnis ist gemäss nDSG zwar für die meisten KMU ­freiwillig, hat sich in Europa aber bereits bewährt. Bei der Ausgestaltung des Bearbeitungsverzeichnisses haben Unternehmen viel Spielraum. Je nach Unternehmen sieht das Verzeichnis anders aus: Bei vielen Unternehmen ist das HR ein Zweck unter vielen, bei einem Arbeits­vermittler oder Personalverleiher hingegen steht das HR im Mittelpunkt. Das Bearbeitungsverzeichnis ist ein internes Dokument. Lediglich Datenschutz-Aufsichtsbehörden können Einblick fordern, sofern ein Verzeichnis geführt werden muss.

Ein «Dateninventar» zeigt unter anderem, ­welche Personendaten wie und wo bearbeitet werden: Nutzen HR-Verantwortliche die Personendaten selbst oder die Dienste von Dritten, beispielsweise beim Outsourcing? Befinden sich die beauftragten Dritten allenfalls im Ausland? HR-Verantwortliche müssen unter anderem auch an die Social-Media-Präsenz oder an die Nutzung von Stellenportalen denken.

Outsourcing und Datenexport absichern

Das Outsourcing beziehungsweise die Auftragsbearbeitung (Art. 9 nDSG), wie auch der Datenexport (Art. 16 ff. nDSG), müssen jeweils ­abgesichert werden. Die Absicherung beim ­Outsourcing erfolgt üblicherweise mit detaillierten Auftragsverarbeitungsverträgen (AVV). Viele Outsourcing-Anbietende, unter anderem ­Internet-Unternehmen mit Software-as-a-­Service (SaaS)-Angeboten, bieten ihren Kundinnen und Kunden standardmässig einen AVV an. Die englische Bezeichnung für AVV lautet Data Processing Agreement (DPA).

Bei jedem Datenexport muss geprüft werden, ob im Land oder in den Ländern, in denen die Personendaten direkt oder indirekt bearbeitet werden, ein angemessener Datenschutz gewährleistet ist. Das ist vor allem in EWR-Mitglied­staaten, aber auch in Grossbritannien, Israel und Kanada der Fall. Leider gilt der Datenschutz in den meisten Ländern nicht als angemessen, beispielsweise in den USA oder in Nearshoring-Ländern wie Kosovo und Weissrussland. Beim Datenexport in solche Länder muss deshalb versucht werden, einen angemessenen Datenschutz vertraglich zu vereinbaren. Bei den USA ist die frühere Absicherung im Rahmen von «Safe Harbor» oder «Privacy Shield» nicht mehr möglich.

Die vertragliche Absicherung erfolgt in erster Linie durch Standardvertragsklauseln, englisch Standard Contractual Clauses (SCC). Der ­Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) anerkennt die SCC der Europäischen Kommission, sieht aber Ergänzungsbedarf für die Schweiz.

Informationspflichten erfüllen

Die neuen Informationspflichten können auf Grundlage des Verzeichnisses der Bearbeitungstätigkeiten umgesetzt werden (Art. 19 ff. nDSG). Zudem müssen betroffene Personen informiert werden, welche Daten über sie wofür sowie wie und wo bearbeitet werden. Sie müssen ausserdem über ihre Rechte wie das Auskunftsrecht informiert werden.

Die Information erfolgt üblicherweise mit einer allgemeinen Datenschutzerklärung, die auf der Website veröffentlicht wird. Bei Bedarf können spezielle Datenschutzerklärungen erstellt werden, beispielsweise zur Mitarbeitendeninformation. «Datenschutz-Generatoren» können helfen, vollständige Datenschutzerklärungen zu erstellen und aktuell zu halten. Bei der Auswahl muss aber darauf geachtet werden, dass der «Datenschutz-Generator» gepflegt und das schweizerische Recht berücksichtigt wird. Normalerweise bieten kostenpflichtige Angebote eine bessere Kontinuität und Qualität.

Wenn sich betroffene Personen oder Datenschutz-Aufsichtsbehörden bei einem Unternehmen melden, muss die einzelne Anfrage sorgfältig geprüft und zeitnah bearbeitet werden. So können ehemalige Arbeitnehmende oder nicht erfolgreiche Bewerbende versuchen, Auskunft über ihre Personendaten bei einem Unternehmen zu erhalten. Wichtig ist, dass die Rechte betroffener Personen nie absolut sind. So darf ein Unternehmen beispielsweise auch auf Aufforderung hin keine Personendaten löschen, für die es einer gesetzlichen Aufbewahrungspflicht unterliegt. Eine schnelle Reaktion ist zudem bei Datenpannen erforderlich, da das nDSG neue Informations- und Meldepflichten für solche Vorfälle einführt.

Auf den Grundlagen aufbauen

Bestehen Grundlagen für die Umsetzung des nDSG, kann die datenschutzrechtliche Kür folgen. HR-Verantwortliche sollten beispielsweise wissen, wann eine Datenschutz-Folgenabschätzung (DSFA, Art. 22 nDSG) erforderlich ist, oder was für Bestimmungen das nDSG für «automatisierte Einzelentscheidungen» (Art. 21 nDSG) und beim «Profiling» (Art. 5 lit. f und g nDSG) vorsieht.

Nebst dem nDSG gelten weitere gesetzliche Bestimmungen. Dazu zählen die Datenschutz-Vorgaben für Arbeitsvermittelnde gemäss Art. 19 der Arbeitsvermittlungsverordnung oder der allgemeine Persönlichkeitsschutz mit dem «Recht am eigenen Bild» bei der Videoüber­wachung im Unternehmen (Art. 28 ZGB).

Für die Umsetzung des nDSG bleibt HR-Verantwortlichen noch etwas Zeit. Privilegiert sind jene Datenschutz-Verantwortlichen, die auf die Unterstützung von Datenschutzberatenden sowie Juristinnen und Juristen im eigenen Unternehmen zählen können.

Wer Prioritäten setzen muss, wird den Fokus auf zwei Themen legen: Was ist 1) für Aussen­stehende sichtbar und wo drohen 2) Bussen? Sichtbar ist vor allem die Datenschutzerklärung, wobei die Verletzung der Informationspflichten gebüsst werden kann. Bussen drohen ausserdem bei fehlender Absicherung von Outsourcing und Datenexport.