Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok

Unterzeichnung der Datenschutzerklärung: Ist das wirklich notwendig?

Rund um die Datenschutzerklärung für Mitarbeitende bestehen viele Unsicherheiten und datenschutzrechtliche Mythen, welche weit verbreitet sind und sich hartnäckig halten. Eine dieser Unsicherheiten besteht bei der Frage, ob es aus rechtlicher Sicht ausreicht, wenn die Datenschutzerklärung den Mitarbeitenden zur Einsicht zur Verfügung gestellt wird, oder ob diese unterzeichnet werden muss. Dieser Frage gehen wir in diesem Beitrag nach.

04.06.2024 Von: Marco S. Meier, Anna Neukom Chaney
Unterzeichnung der Datenschutzerklärung

Hintergrund

Seit dem 1. September 2023 gilt das totalrevidierte Datenschutzgesetz (DSG) in der Schweiz. Mit dem DSG wurden verschiedene neue Pflichten für Unternehmen eingeführt, welche Personendaten bearbeiten. Obwohl gerade Datenbearbeitungen in der eigenen Personalabteilung mit erhöhten Risiken einhergehen, werden diese zuweilen etwas vernachlässigt. Denn: Nebst den «normalen» Personendaten (wie z. B. Namen der Mitarbeitenden, Personalnummer, Finanzdaten, etc.) werden im HR regelmässig auch besonders schützenswerte Daten (z. B. Strafregisterauszüge, Arztzeugnisse, etc.) bearbeitet. In Bezug auf die Bearbeitung von Personendaten sieht das DSG vor, dass die betroffenen Personen über die Bearbeitung der Personendaten informiert werden müssen. Das gilt auch für die Bearbeitungen im Rahmen des Anstellungsverhältnisses.

Die Informationspflicht ist eine derjenigen Pflichten des DSG, welche bei vorsätzlicher Verletzung direkt sanktioniert werden kann. Wird den Mitarbeitenden vorsätzlich eine falsche oder unvollständige Auskunft erteilt, kann die verantwortliche Person (und nicht das Unternehmen) mit einer Busse von bis zu CHF 250 000.– gebüsst werden.

Mindestinhalt der Information

Mindestinhalt der Information Das DSG sieht für die Information, die den Mitarbeitenden zur Verfügung gestellt werden muss, folgenden Mindestinhalt vor: 

  • Die Information muss klar offenlegen, wer für die Bearbeitung verantwortlich ist und wie die Verantwortliche kontaktiert werden kann (d. h. den Namen und die Kontaktangaben des Arbeitgebers). 
  • Die verschiedenen Bearbeitungszwecke der Datenbearbeitungen müssen transparent gemacht werden (z. B. Führung des Personaldossiers, Aus- und Weiterbildungsplanung, Arbeitsplanung, Verrechnung, Abschluss von Versicherungen etc.). 
  • Sofern Daten an Dritte weitergegeben werden, müssen diese offengelegt werden (z. B. cloudbasiertes Personaladministrationstool, Payroll-Provider, Versicherungen etc.). 
  • Werden die Daten ins Ausland übertragen, müssen zusätzlich der Staat, an den die Daten übertragen werden, sowie die datenschutzrechtliche Garantie zur Sicherstellung eines angemessenen Datenschutzniveaus (z. B. die EU-Standardvertragsklauseln) offenbart werden. 

In der Praxis werden regelmässig noch detailliertere Informationen zur Verfügung gestellt, so z. B. Kategorien der bearbeiteten Personendaten (wie Kontaktangaben, Lohndaten, Finanzdaten etc.).

Modalitäten der Information

Das DSG selbst macht nur vage Angaben zu den Modalitäten der Informationspflicht. Es hält namentlich einzig fest, dass die betroffenen Personen angemessen über die Beschaffung von Personendaten informiert werden müssen. Die Verordnung zum DSG führt zu den Modalitäten der Informationspflicht aus, dass die Information präzise, transparent, verständlich und leicht zugänglich sein muss. Mit anderen Worten muss die Information für die Mitarbeitenden in einfacher Sprache und adressatengerecht abgefasst werden.

In der Praxis wird dies über eine spezifische Datenschutzerklärung für die Mitarbeitenden sichergestellt. Gelegentlich stösst man in Bezug auf die Datenschutzerklärung für Mitarbeitende auf die Meinung, dass eine solche nicht notwendig sei. Argumentiert wird dies über eine im DSG enthaltene Ausnahme von der Informationspflicht. Die Informationspflicht entfällt beispielsweise dann, wenn die Bearbeitung gesetzlich vorgesehen ist. Im Rahmen des Arbeitsverhältnisses gibt es tatsächlich Bearbeitungen, welche gesetzlich vorgesehen sind (z. B. die Abrechnung von Sozialversicherungsbeiträgen, der Abschluss von bestimmten Versicherungen etc.). Folglich müsste über solche Bearbeitungen nicht informiert werden. Dies greift u. E. aber zu kurz. Denn neben den gesetzlich vorgesehenen bestehen regelmässig andere Bearbeitungen, welche durch die Arbeitgeberin durchgeführt werden, die nicht zwingend auf einer gesetzlichen Grundlage fussen. Insofern müssen die Mitarbeitenden (mindestens) über die nicht vom Gesetz vorgesehenen Bearbeitungen informiert werden. Empfehlenswert ist es, diesbezüglich aber eine vollständige Information zu erstellen, die ggf. auch die gesetzlich vorgesehenen Bearbeitungen transparent macht. Das schafft gegenüber den Mitarbeitenden ganz nach dem Motto «wenn schon, denn schon» nicht nur Transparenz, sondern hilft ihnen umfassend zu verstehen, wie das HR Personendaten bearbeitet.

Unterzeichnung der Datenschutzerklärung? Nicht notwendig

Das DSG und dessen Verordnung schreiben nicht konkret vor, wie die Datenschutzerklärung den Mitarbeitenden zur Verfügung gestellt werden muss. Zentral ist aber, dass die Datenschutzerklärung leicht zugänglich ist. Sie kann folglich beispielsweise im Intranet aufgeschaltet, per E-Mail versandt, im Welcome-Package enthalten sein oder im Pausenraum angeschlagen werden.

Anders als z. B. beim Arbeitsvertrag oder dem Personalreglement handelt es sich bei der Datenschutzerklärung um eine einseitige Information und nicht um einen Vertrag oder einen Vertragsbestandteil. Somit kann festgehalten werden, dass die Datenschutzerklärung keiner Unterschrift bedarf. Der datenschutzrechtliche Mythos kann damit entkräftet werden.

Das Wichtigste in Kürze: 
- Das DSG sieht eine Informationspflicht mit Mindestinhalt vor. 
- Den Mitarbeitenden muss eine Datenschutzerklärung, welche die Bearbeitungen während des Arbeitsverhältnisses abbildet, zur Verfügung gestellt werden. 
- Die Datenschutzerklärung ist eine einseitige Information und kein Vertrag. 
- Die Datenschutzerklärung muss den Mitarbeitenden «nur» zur Kenntnisnahme zur Verfügung gestellt werden. Eine Unterzeichnung der Datenschutzerklärung durch die Mitarbeitenden ist gesetzlich nicht vorgesehen und darum nicht notwendig.

Newsletter W+ abonnieren