Was bedeutet das neue Datenschutzgesetz für HR?
Seit 1. September 2023 gilt das neue Datenschutzgesetz. Was bedeuten die Änderungen für die Personalarbeit und wann braucht es nun von den Mitarbeitenden eine Zustimmung für die Datenbearbeitung?
Was bedeutet das neue Datenschutzgesetz für HR? (Bild: iStock)
Vorweg sei festgehalten, dass das Schweizer Datenschutzgesetz (DSG) die Bearbeitung von Personendaten grundsätzlich erlaubt. Das Gesetz definiert, wann die Zulässigkeit der Datenbearbeitung nicht gegeben ist respektive welches die Voraussetzungen für eine zulässige Bearbeitung von Personendaten sind. Durch das Datenschutzgesetz werden die Persönlichkeitsrechte privater Personen geschützt. Bei rein privaten Notizen greift das Datenschutzgesetz nicht, es kommt erst dann zur Anwendung, wenn andere Personen Einblick in Notizen erhalten. Eine wesentliche Änderung ist der Ausbau der Informationspflichten, was dazu führt, dass wir täglich mehrmals verschiedenste (meist nie gelesene) Datenschutzerklärungen bestätigen. Die Strafbestimmungen des neuen Datenschutzgesetzes sind ebenfalls ausgedehnt worden. Verantwortliche sind persönlich haftbar (also nicht etwa das Unternehmen) und es können Bussen bis 250 000 Franken gesprochen werden. Allerdings ist nur bei Vorsatz mit einer Bestrafung zu rechnen.
Zustimmung ja oder nein
Das Schweizer Datenschutzrecht verlangt keine generelle Zustimmung zur Datenbearbeitung. Für bestimmte Arten der Datenbearbeitung wird im Gesetz aber eine Zustimmung verlangt. Zudem kann die Zustimmung als Rechtfertigung für eine allfällige Persönlichkeitsverletzung dienen. Im Arbeitsrecht findet sich in Art. 328b OR eine spezifische Norm betreffend Bearbeitung von Personendaten. Demnach ist die Datenbearbeitung nur dann zulässig, wenn sie entweder die Eignung der bzw. des Mitarbeitenden für das Arbeitsverhältnis betrifft oder wenn sie für die Durchführung des Arbeitsvertrags erforderlich ist. Diese Bestimmung im OR ist nicht neu und ist unverändert.
Die Bedeutung dieser Norm ist in der Lehre allerdings umstritten. Ein Teil geht davon aus, dass damit der zulässige Rahmen der Datenbearbeitung absolut gesteckt ist, darüber hinaus also keine Bearbeitung von Mitarbeiterdaten stattfinden darf. Der andere Teil der Lehre vertritt die Ansicht, dass mit Einwilligung der bzw. des Mitarbeitenden eine Datenbearbeitung auch ausserhalb dieser Zweckbestimmung zulässig ist. Das Bundesgericht musste diese Frage noch nicht entscheiden, hat sich aber inzwischen geäussert, dass Art. 328b OR eine Konkretisierung des allgemeinen Verhältnismässigkeitsgrundsatzes darstelle. Das würde bedeuten, dass auch ohne klaren Arbeitsplatzbezug eine Datenbearbeitung möglich ist, wenn eine Einwilligung der Mitarbeitenden vorliegt. Diese Unklarheit in einer doch sehr zentralen Frage wird in der Praxis dazu führen, dass sich Unternehmen die Zustimmung der Mitarbeitenden eher einmal mehr einholen.
Information
Wie bereits eingangs erwähnt, hat das neue Datenschutzgesetz die Informationspflicht der Datenbearbeitenden ausgedehnt. Vereinfacht ausgedrückt kann man davon ausgehen, dass bei der Beschaffung von Personendaten immer zu informieren ist, es sei denn, es besteht eine gesetzliche Ausnahme, wonach die Informationspflicht entfällt. Auch hier scheint sich die juristische Lehre nicht einig zu sein, ob für die Beschaffung der Mitarbeiterdaten eine Information erforderlich ist oder nicht. Gemäss Art. 20 Abs. 1 lit. b DSG ist eine Information betreffend Datenbeschaffung nämlich dann nicht erforderlich, wenn die Bearbeitung gesetzlich vorgesehen ist. Daraus kann man ableiten, dass für die Führung des Personaldossiers, gemäss Art. 328b OR, eben gerade keine Information erforderlich ist, weil eine gesetzliche Grundlage für die Datenbearbeitung besteht. Es gibt aber auch Stimmen, wonach die Informationspflicht auch im Arbeitsvertrag gelten soll. Viele Unternehmen arbeiten inzwischen mit sehr umfangreichen Datenschutzerklärungen, die die Mitarbeitenden bestätigen. Es sei die Frage erlaubt, ob dies erstens notwendig und zweitens im Sinne des Datenschutzgedankens tatsächlich zielführend ist.
Auskunft
Mit dem neuen Datenschutzgesetz könnten allenfalls Auskunftsbegehren von Mitarbeitenden zunehmen, insbesondere nach einer Kündigung. Die Mitarbeitenden haben Anspruch auf Auskunft, welche Daten durch wen und zu welchem Zweck über sie bearbeitet und wie lange diese Daten aufbewahrt werden. Dieses Auskunftsrecht ist unverzichtbar – die Auskunft hat kostenlos zu erfolgen. Die Verantwortlichen müssen einem Auskunftsbegehren innerhalb von 30 Tagen nachkommen. Gemäss Art. 26 Abs. 2 DSG kann das Auskunftsrecht eingeschränkt, aufgeschoben oder gar verweigert werden, wenn zum Beispiel überwiegende Interessen eines Dritten oder der Verantwortlichen dies erfordern. Erfolgt das Auskunftsbegehren in schikanöser Weise, kann es verweigert werden. Zurückhaltung ist dann geboten, wenn ein Mitarbeiter Auskunft verlangt, einzig mit dem Zweck, sich dadurch Beweise zu beschaffen, an die er sonst nicht gelangen könnte. Von einer generellen Ablehnung von Auskunftsbegehren mit dem Hinweis, das Auskunftsbegehren erfolge rechtsmissbräuchlich, ist aber abzuraten. Im Übrigen müssen Gesuchstellende ihr Begehren nicht begründen, dagegen muss der Arbeitgebende die Gründe angeben, wenn er die Auskunft verweigern oder einschränken will.
Personaldossier ausmisten
Auch wenn viel vom Personaldossier die Rede ist, eigentlich ist gar nicht klar, was ein Personaldossier umfasst. Dass Daten bearbeitet werden, ist unbestritten und gründet teilweise auf einer Spezialgesetzgebung. Nicht definiert ist, dass und in welcher Form ein Personaldossier geführt werden muss. Häufig werden die Dossiers elektronisch geführt. Die technische Einfachheit, Daten verfügbar zu halten, verleitet dazu, diese jahrelang zu archivieren. Das ist aus datenschutzrechtlicher Sicht nicht zulässig. Daten müssen nämlich vernichtet oder anonymisiert werden, sobald sich der Bearbeitungszweck erledigt hat (vgl. Art. 5 Abs. 4 DSG). Egal, ob die Daten auf Papier oder elektronisch bearbeitet und aufbewahrt werden, Personaldossiers müssen regelmässig überprüft und ausgemistet werden. Im Hinblick auf allfällige arbeitsrechtliche Streitfälle ist bei der Löschung von Daten aber Zurückhaltung geboten. So wäre es verfehlt, alle Verwarnungen zu löschen, wenn der Arbeitgebende darauf abgestützt die Kündigung ausgesprochen hatte. Das Ausmisten der Personaldossiers sollte regelmässig und individuell erfolgen. Im elektronischen Dossier werden gelegentlich automatische Löschungsdaten hinterlegt.
Das neue Datenschutzgesetz will das Bewusstsein für den sorgsamen Umgang mit Personendaten schärfen. Man darf gespannt sein, wie Datenschutz künftig tatsächlich gelebt wird.