Personenbezogene Daten: Sicherer Umgang mit Personendaten im Unternehmen

Zulässigkeit der Bearbeitung der Personenbezogene Daten

Nach Art. 6 DSG dürfen Personenbezogene Daten nur rechtmässig, nach Treu und Glauben und verhältnismässig bearbeitet werden. Sie müssen zu einem bestimmten, klar erkennbaren Zweck beschafft und dürfen nur so bearbeitet werden, dass sie mit diesem Zweck vereinbar sind. Die Daten sind zu löschen oder zu anonymisieren, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind. Von diesen Bestimmungen darf auch mit Einwilligung der Mitarbeitenden nicht zu deren Ungunsten abgewichen werden.

Bei der Beschäftigung von Mitarbeitenden in Tochtergesellschaften, Zweigniederlassungen oder Betriebsstätten im Ausland sind die jeweiligen nationalen Bestimmungen zum Beschäftigtendatenschutz zu beachten. Ein vergleichbarer Rechtfertigungsgrund besteht auch in der DSGVO sowie in den nationalen Gesetzgebungen der EU-Mitgliedstaaten. Er erlaubt grundsätzlich die Verarbeitung von Mitarbeiterdaten zur Abwicklung des Arbeitsverhältnisses auch ohne Einwilligung der Mitarbeitenden, wozu unter anderem Lohn oder Sozialversicherungsabrechnungen gehören. Diese Unterlagen unterliegen zudem gesetzlichen Aufbewahrungsfristen.

Der gesetzliche Rechtfertigungsgrund erstreckt sich ausschliesslich auf jene Personenbezogene Daten, die unmittelbar für die Durchführung des Arbeitsverhältnisses erforderlich sind. Geht die Datenverarbeitung darüber hinaus und fehlt eine entsprechende gesetzliche Grundlage, kommt als alternative Rechtsgrundlage die Einwilligung der betroffenen Person in Betracht, die im Voraus und ausdrücklich erteilt werden muss. Wird eine Einwilligung parallel zu einem gesetzlichen Erlaubnistatbestand eingeholt, muss der Mitarbeitende auf seine zusätzlichen Rechte und die Ablehnungsmöglichkeit hingewiesen werden. Eine weitergehende Einwilligung in die Verarbeitung von Personenbezogene Daten muss tatsächlich freiwillig sein. Aufgrund des bestehenden Abhängigkeitsverhältnisses im Arbeitsverhältnis ist echte Freiwilligkeit in vielen Fällen fraglich. So gilt etwa die Einwilligung in einen Urintest in der Regel nicht als freiwillig und ist daher datenschutzrechtlich unzulässig.

Die Einwilligung des Mitarbeitenden kann nur dann als Rechtsgrundlage für die Verwendung seiner Daten dienen, wenn die hohen gesetzlichen Anforderungen an Transparenz, Freiwilligkeit und Schriftform eingehalten werden. Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und der Mitarbeitende gleichgelagerte Interessen verfolgen. Ein rechtlicher oder wirtschaftlicher Vorteil liegt zum Beispiel bei der erlaubten privaten Nutzung der Informations- und Kommunikationsmittel vor.

Im Falle einer Anstellung dürfen Bewerbungsunterlagen ins Personaldossier aufgenommen werden, soweit sie für die Durchführung des Arbeitsverhältnisses relevant sind. Nicht mehr benötigte Unterlagen sind zu löschen oder datenschutzkonform zu vernichten, sobald sie für den ursprünglichen Zweck nicht mehr erforderlich sind. Für abgelehnte Bewerbende gilt: Ihre Unterlagen dürfen nur so lange aufbewahrt werden, wie dies zur Wahrung berechtigter Interessen notwendig ist, zum Beispiel bis zum Ablauf der Frist für eine mögliche Diskriminierungsklage (in der Regel drei Monate). Eine längere Aufbewahrung ist nur mit ausdrücklicher Einwilligung zulässig.

Für die Aufnahme von Bewerberdaten in einen Talentpool oder eine Bewerberdatenbank ist eine klare, freiwillige und jederzeit widerrufbare Einwilligung erforderlich. Die Speicherung darf nur so lange erfolgen, wie die Daten für den vorgesehenen Zweck relevant und aktuell sind. Eine unbefristete Speicherung ist nicht zulässig. Auf Wunsch der betroffenen Person sind die Daten jederzeit zu löschen. Es empfiehlt sich, die gespeicherten Daten regelmässig zu überprüfen und nicht mehr aktuelle Daten zu löschen oder zumindest auf die Kontaktdaten zu reduzieren.

Veröffentlichung von Mitarbeiterdaten

Die Veröffentlichung von Kontaktdaten und Fotos von Mitarbeitenden auf der Unternehmenswebsite, in Drucksachen oder in Online-Medien ist grundsätzlich nur mit ausdrücklicher Einwilligung der betroffenen Person zulässig. Diese Einwilligung kann jederzeit widerrufen werden, was für den Arbeitgeber die Pflicht zur umgehenden Löschung der betreffenden Daten nach sich zieht. Nach dem Austritt eines Mitarbeitenden sind dessen Daten und Fotos ebenfalls zu entfernen. Eine Auflistung als «ehemalige Mitarbeitende» ist ohne erneute Einwilligung nicht erlaubt.

Im Intranet, das ausschliesslich für Mitarbeitende zugänglich ist, kann die Veröffentlichung von Kontaktdaten und Fotos in der Regel ohne Einwilligung erfolgen, sofern keine besonders schützenswerten Personendaten betroffen sind und die Veröffentlichung für betriebliche Zwecke erforderlich ist. Dennoch empfiehlt es sich, auch hier die Mitarbeitenden zu informieren und auf Wunsch Daten zu entfernen.

Bei Fotos von Personalausflügen oder anderen Anlässen, die auf der Website oder in anderen öffentlichen Medien veröffentlicht werden sollen, ist besondere Zurückhaltung geboten. Grundsätzlich dürfen erkennbare Personen nur mit deren Einwilligung abgebildet werden. Wird die Einwilligung widerrufen, sind die Bilder zu löschen. Bei Gruppenfotos, auf denen einzelne Personen nicht im Vordergrund stehen oder nur schwer erkennbar sind, kann im Einzelfall das Interesse des Unternehmens an der Veröffentlichung überwiegen, dennoch sollte auch hier auf Wünsche der Betroffenen Rücksicht genommen werden.