Datenschutz

Datenschutzerklärung Mitarbeitende

Seit dem 1. September des vergangenen Jahrs gilt die revidierte Datenschutzgesetzgebung. Kern des neuen Datenschutzrechts ist der Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, deren Daten bearbeitet werden; daraus abgeleitet stehen den Betroffenen neue Rechte zur Wahrung ihrer informationellen Selbstbestimmung zu. Dies führt auf Seiten der Marktteilnehmenden zu erhöhten datenschutzrechtlichen Anforderungen. Ein Überblick über die neuen Rechte und Pflichten sowie über den damit verknüpften Handlungsbedarf findet sich in der Ausgabe 2/2023 des Expert Info. Im vorliegenden Artikel liegt der Fokus auf den Daten von Mitarbeitenden.

Schutzbereich

Bei der Umsetzung des neuen Datenschutzrechts wird der Schwerpunkt oftmals bei Daten von Personen ausserhalb des Unternehmens gesetzt: Webseiten werden mit Hinweisen auf Cookies und datenschutzfreundliche  Voreinstellungen aufgerüstet, im Rahmen des Vertragsabschlusses mit Kund/-innen und Lieferant/-innen Klauseln über Datenschutz vereinbart. Tendenziell vernachlässigt, aber ebenso wichtig, sind die Daten der eigenen Mitarbeitenden. Arbeitgeber verfügen über eine grosse Anzahl und Vielfalt an Mitarbeiterdaten, von Personalien im engeren Sinne wie Geburtsdatum, Nationalität und Zivilstand, über Angaben aus dem Lebenslauf wie Weiterbildungen, Hobbys und frühere Arbeitgeber, bis hin zu Angaben von Familienangehörigen und Identifikatoren wie bspw. die AHV-Nummer. Darüber hinaus dürften gerade bei Mitarbeitenden auch besonders schützenswerte Daten, insbesondere Gesundheitsdaten, Fotos oder Religionszugehörigkeit bearbeitet werden.

Datenschutzerklärung (DSE)

In der Schweiz sind Datenbearbeitungen grundsätzlich zulässig, wenn ein Rechtfertigungsgrund vorliegt. Als solcher gelten ein überwiegendes privates oder öffentliches Interesse, ein Gesetz oder die Einwilligung der betroffenen Personen. Zudem müssen die Bearbeitungsgrundsätze (Transparenz, Zweckbindung, Verhältnismässigkeit, Datensicherheit) eingehalten werden
und die betroffene Person soll die Bearbeitung nicht untersagt haben. Die Bearbeitung von besonders schützenswerten Personendaten (z. B. Gesundheitsdaten) bedingt die Einwilligung der betroffenen Person.

Transparenz wird hergestellt, indem die betroffenen Personen angemessen über die Beschaffung von Personendaten und deren Bearbeitung informiert werden. Diese Informationspflicht kann mittels DSE erfüllt werden. Damit die betroffenen Personen ihre datenschutzgesetzlichen Rechte geltend machen können, sind sie in der DSE darüber zu orientieren, welche Personendaten bearbeitet werden, zu welchem Zweck die Bearbeitung erfolgt, ob und welchen Dritten die Daten mitgeteilt werden und an wen sie sich zur Durchsetzung ihrer Ansprüche (z. B. auf Korrektur oder Herausgabe ihrer Daten) zu wenden haben.

Kommunikation

Die interne DSE ist den Mitarbeitenden physisch oder elektronisch  auszuhändigen. Alternativ genügt auch die (schriftliche) Datenschutzerklärung Mitarbeitende Information, dass es eine interne DSE gibt und wo diese eingesehen werden kann, bspw. auf dem Intranet des Unternehmens. Bei neu eintretenden Mitarbeitenden kann die DSE z. B. zusammen mit dem Arbeitsvertrag abgegeben werden. Der Arbeitsvertrag kann auch einen Verweis auf die separate DSE enthalten. Es empfiehlt sich jedoch nicht, die DSE als «integrierenden Vertragsbestandteil» zum Arbeitsvertrag zu bezeichnen, da in diesem Fall bei jeglicher Anpassung der DSE die Arbeitsverträge mit den Mitarbeitenden nochmals neu abgeschlossen und unterzeichnet werden müssten. Eine gesonderte Regelung braucht es für Daten von Bewerberinnen und Bewerbern: Solche Personendaten müssen im Falle eines negativen Entscheids grundsätzlich umgehend gelöscht werden.

Quelle: EXPERT Info 2/2004