Personenbezogene Daten: Sicherer Umgang mit Personendaten im Unternehmen
Markus Näf
Markus Näf ist Rechtsanwalt und spezialisiert auf Datenschutzrecht und Informatikrecht. Er befasst sich seit Jahren mit der Umsetzung von komplexen Projekten im Informatikumfeld. Nebenbei ist er Lehrbeauftragter für Projektmanagement und Informatikrecht an der Fachhochschule St. Gallen.
Zulässigkeit der Bearbeitung
Die Verarbeitung von Personendaten basiert auf einer gesetzlichen Rechtfertigung, diese ist im schweizerischen Recht in Art. 328b Obligationenrecht geregelt. Zusätzlich gelten die Bestimmungen des Datenschutzgesetzes. Von diesen Bestimmungen darf auch mit Einwilligung der Mitarbeitenden nicht zu deren Ungunsten abgewichen werden.
Bei der Beschäftigung von Mitarbeitenden in Tochtergesellschaften, Zweigniederlassungen oder Betriebsstätten im Ausland sind entsprechend die nationalen Bestimmungen zum Beschäftigtendatenschutz zu beachten.
Dieser Rechtfertigungsgrund besteht auch in der DSGVO sowie den nationalen Gesetzgebungen und erlaubt grundsätzlich die Bearbeitung der Mitarbeiterdaten zur Abwicklung des Arbeitsverhältnisses ohne Einwilligung des Mitarbeitenden. Dazu gehören auch Lohn- oder Sozialversicherungsabrechnungen. Diese Unterlagen unterliegen gesetzlichen Aufbewahrungsfristen. Weitergehend ist zum Beispiel in Deutschland nach Art. 26 BDSG im Rahmen des Arbeitsverhältnisses auch die Bearbeitung besonderer Kategorien von Personendaten zulässig.
Der gesetzliche Rechtfertigungsgrund umfasst nur Personendaten, die zur Abwicklung des Arbeitsverhältnisses erforderlich sind. Lässt sich eine weitergehende Verarbeitung von personenbezogenen Daten nicht auf eine gesetzliche Grundlage stützen, bleibt als weiterer Rechtfertigungsgrund die Einwilligung, also das vorherige Einverständnis des betroffenen Arbeitnehmers. Wird eine Einwilligung parallel zu einem gesetzlichen Erlaubnistatbestand eingeholt, muss der Mitarbeitende über seine zusätzlichen Rechte und auch auf eine Ablehnungsmöglichkeit hingewiesen werden. Eine weitergehende Einwilligung in die Bearbeitung von Personendaten muss tatsächlich freiwillig sein. Dies ist aufgrund des Abhängigkeitsverhältnisses des Mitarbeitenden oftmals nicht gegeben. So ist beispielsweise eine freiwillige Einwilligung in einen Urintest nicht zulässig.
Die Einwilligung des Mitarbeitenden kann nur dann als Rechtsgrundlage für die Verwendung seiner Daten dienen, wenn die hohen gesetzlichen Anforderungen an Transparenz, Freiwilligkeit und Schriftform eingehalten werden. Freiwilligkeit kann insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und der Mitarbeitende gleichgelagerte Interessen verfolgen. Ein rechtlicher oder wirtschaftlicher Vorteil liegt beispielsweise bei der erlaubten privaten Nutzung der Informations- und Kommunikationsmittel vor.
Passende Produkt-Empfehlungen
Personalunterlagen
Arbeitgeber müssen Informationen grundsätzlich beim Arbeitnehmer erheben. Referenzauskünfte unterliegen der Zustimmung des Betroffenen. Informationen aus dritten Quellen sind generell unzulässig, unterliegen aber der weitreichenden Informationspflicht gegenüber dem Betroffenen, die sich aus Art. 14 DSGVO ergibt. Dies gilt insbesondere für sogenannte Background-Checks. Arbeitgeber dürfen Informationen, die vom Fragerecht nicht erfasst sind, auch nicht über allgemein zugängliche Quellen beschaffen. Anders ist dies nur bei Online-Diensten wie den beruflichen Netzwerken XING oder LinkedIn, die Beschäftigte zur Pflege des beruflichen Netzwerks verwenden. Recherchen in anderen sozialen Netzwerken wie Facebook oder Twitter sind datenschutzrechtlich unzulässig.
Bei einer Einstellung werden die Bewerberunterlagen Teil des Personaldossiers, jedoch nur soweit diese für die Durchführung des Arbeitsverhältnisses relevant sind. Andere Unterlagen sind zu löschen oder zu vernichten.
Bewerberunterlagen sind grundsätzlich zurückzugeben. Wenn dies ausgeschlossen wurde, müssen die Bewerberunterlagen gelöscht und physische Dokumente datenschutzkonform entsorgt werden. Bewerbungsunterlagen dürfen nicht archiviert werden. Mit der Löschung darf aber so lange zugewartet werden, bis allfällige Firsten für Diskriminierungsklagen abgelaufen sind. Dabei geht man in der Regel von drei Monaten aus.
Für die Aufnahme der Bewerberdaten in einen Talentpool für zukünftige Stellenangebote ist eine explizite Einwilligung erforderlich. Ebenfalls benötigen Bewerberportale für Spontanbewerbungen eine umfassende Datenschutzerklärung. Eine Einwilligung für die Aufnahme in eine Bewerberdatenbank muss jederzeit widerrufen werden können, und die Daten sind auf Verlangen zu löschen. Trotz Einwilligung ist eine ewige Speicherung auch hier nicht zulässig, sondern diese ist auf die Zeit zu beschränken, innerhalb derer die Bewerberdaten noch aktuell bleiben. Sinnvollerweise werden die gespeicherten Daten mit zunehmender Dauer auf die Kontaktdaten reduziert und nach drei bis fünf Jahren gelöscht. Davon ausgenommen ist selbstverständlich, wenn die betroffene Person die Einwilligung regelmässig erneuert und die Daten aktualisiert.
Veröffentlichung von Mitarbeiterdaten
Die Veröffentlichung von Kontaktdaten und Fotos von Mitarbeiterdaten auf der Internetseite oder auch in Drucksachen und Online-Medien setzt eine Einwilligung voraus. Damit ist auch ein Widerrufsrecht und damit eine Löschungspflicht des Arbeitgebers verbunden. Hingegen braucht die Veröffentlichung im Intranet, das nur den Beschäftigten zugänglich ist, keine Einwilligung.
Selbstverständlich hat der Arbeitgeber die Veröffentlichung mit dem Austritt des Mitarbeitenden zu löschen. Die Auflistung als «ehemalige Mitarbeitende» ist ohne Einwilligung nicht zulässig.
Etwas schwieriger ist die Frage, ob ein Arbeitgeber Fotos vom Personalausflug auf der Internetseite veröffentlichen darf oder solche auf Antrag eines Mitarbeitenden löschen muss. Ganz grundsätzlich sind hier die Persönlichkeitsrechte der betroffenen Personen zu schützen. Damit sind Personenabbildungen nur mit Einwilligung zulässig und müssen bei Widerruf auch gelöscht werden. Anders verhält es sich mit Gruppenfotos respektive Bildern bei denen die Personen nicht im Vordergrund stehen oder nur schwer erkennbar sind, hier kann des Interesse des Unternehmens allenfalls dem Einzelinteresse einer Person vorgehen.
Eine besondere Sorgfalt erfordern auch betriebsinterne Mitteilungen. So ist zum Beispiel der Aushang von Krankheitsmeldungen am Schwarzen Brett nicht zulässig. Auch die Publikation von Geburtstagslisten ist konfliktträchtig, da diese für die Durchführung des Arbeitsverhältnisses nicht erforderlich ist. Das Problem kann hier mit einer Einwilligung oder allenfalls mit der Publikation ohne Jahrgang gelöst werden.
