16.09.2021

revDSG: Informationspflichten des revDSG bei der Beschaffung von Mitarbeiterdaten

Künftig muss jedes Unternehmen alle Personen, von denen es Personendaten beschafft, über die Rahmenbedingungen der Datenbearbeitung transparent informieren. Die Informationen sollen es den betroffenen Personen ermöglichen, ihre Rechte gemäss dem revidierten Datenschutzgesetz (revDSG) geltend zu machen. Dafür müssen ihnen zumindest die im Gesetz vorgesehenen Mindestinformationen zugänglich gemacht werden. Aufgrund dessen haben viele Unternehmen bereits ihre bestehenden Datenschutzerklärungen aktualisiert, oder sind gerade dabei. Vielen ist dabei jedoch nicht bewusst, dass aufgrund der Revision tatsächlich über die Beschaffung aller Personendaten informiert werden muss, was auch die Beschaffung der Personendaten der eigenen Mitarbeitenden oder von Bewerbenden betrifft. Im Folgenden wird erläutert, was bei der praktischen Umsetzung zu beachten ist und welche Ausnahmen von dieser Informationspflicht bestehen.

Von: Maria Winkler   Drucken Teilen  

Maria Winkler

Mag. iur. Maria Winkler ist Geschäftsinhaberin der IT & Law Consulting GmbH in Zürich, Dozentin an diversen Fachhochschulen, Datenschutzbeauftragte verschiedener Unternehmen im privaten und öffentlichen Sektor sowie Fachexpertin für Datenschutzzertifizierungen in der Schweiz und in Österreich.

revDSG

Keine heimliche Datenbeschaffung

Die Bearbeitung von Personendaten muss sowohl nach dem geltenden als auch nach dem revDSG für die betroffenen Personen transparent erfolgen. Sowohl die Beschaffung als auch deren Zweck müssen für die betroffene Person gemäss Art. 6 revDSG erkennbar sein. Der Grundsatz der Transparenz hat somit Auswirkung auf die Prozesse, in denen Mitarbeiterdaten bearbeitet werden - eine heimliche Beschaffung von Mitarbeiterdaten verletzt das Transparenzgebot und damit die Persönlichkeitsrechte der Mitarbeitenden. Die im Vergleich zum geltenden DSG erweiterte Informationspflicht des revDSG verpflichtet den Arbeitgeber nun, den Mitarbeitenden über die reine Erkennbarkeit hinaus weitere Informationen zur Verfügung zu stellen.

Worüber muss informiert werden?

Arbeitgeber müssen ihren Mitarbeitenden grundsätzlich alle jene Informationen zur Verfügung stellen, die sie benötigen, damit sie ihre datenschutzrechtlichen Rechte geltend machen können. Diese sehr allgemeine und weit gegriffene Bestimmung wird dadurch relativiert, dass gewisse Mindestinformationen zur Verfügung gestellt werden müssen, die in der Praxis häufig ausreichen werden. Die folgende Tabelle listet die Mindestinformationen auf und erläutert kurz, wie diese in der Praxis umzusetzen sind.

 

Mindestinformationen

Erläuterungen

Identität und Kontaktdaten des Verantwortlichen

Gemeint ist die juristische Person, die die Rolle des datenschutzrechtlich „Verantwortlichen“ einnimmt. Dies ist in der Regel die juristische Person, bei der die Mitarbeitenden angestellt sind.

Denkbar ist auch eine gemeinsame Verantwortung mehrerer Gesellschaften bei einer zentralisierten Bearbeitung von Mitarbeiterdaten.

Die Kontaktdaten umfassen neben der Adresse auch die Telefonnummer und wohl auch die E-Mail-Adresse, bei der die Mitarbeitenden Informationen zur Bearbeitung ihrer Personendaten erhalten.

Kontaktdaten des Datenschutzberaters / der Datenschutzberaterin

Falls diese Funktion besetzt wird und dies dem EDÖB gemeldet wird, was nach dem revDSG freiwillig ist, müssen die Kontaktdaten veröffentlicht werden (Art. 10 Abs. 3 lit d revDSG).

Daraus folgt, dass sie auch den Mitarbeitenden zur Verfügung stehen müssen.

Zu den Kontaktdaten des Datenschutzberaters / der Datenschutzberaterin zählen neben der Adresse und der Telefonnummer auch die E-Mail-Adresse, unter der diese Person kontaktiert werden kann (z.B. datenschutz@firma.ch). 

Bearbeitungszweck

Der Bearbeitungszweck muss für alle Datenbearbeitungen angegeben werden bzw. die Mitarbeitenden müssen über alle Zwecke, zu denen der Arbeitgeber ihre Daten bearbeitet, informiert werden.

Dabei sollte nicht vergessen werden, dass das Unternehmen nicht nur für die Personaladministration im engen Sinn Daten seiner Mitarbeitenden bearbeitet, sondern beispielsweise auch für Sicherheitszwecke (z.B. in Videoüberwachungsanlagen) oder zur Leistungserfassung.

Empfänger

Gemeint sind beispielsweise Sozialversicherungen, denen die Mitarbeiterdaten aufgrund von gesetzlichen Meldepflichten weitergeleitet werden müssen. Zudem sind aber auch Dienstleister gemeint, wenn beispielsweise die Lohnbuchhaltung von einem externen Unternehmen gemacht wird. Ein weiteres Beispiel sind andere Konzerngesellschaften, die für eigene oder für Konzernzwecke Zugriff auf die Mitarbeiterdaten haben. 

Die verschiedenen Empfänger können namentlich aufgelistet werden oder nur als Kategorie (also z.B. Sozialversicherungen, externe Dienstleister für die Lohnbuchhaltung, etc).

Kategorien von Personendaten

Zu den Kategorien von Personendaten zählen beispielsweise neben dem Namen, der Adresse oder der E-Mail-Adresse, auch Videoaufzeichnungen oder (personenbezogene) Tracking-Logs von IT-Systemen.

Über die Kategorien von Personendaten muss nur informiert werden, wenn sie nicht direkt bei der betroffenen Person selbst erhoben werden.

Auslandsbekanntgabe

Falls die Daten ins Ausland bekanntgegeben werden, wie beispielsweise bei der Nutzung von Cloud-Diensten oder bei der zentralen Bewirtschaftung der HR-Daten durch die ausländische Konzernmutter, muss über das betroffene Land / die betroffenen Länder informiert werden.

Werden die Mitarbeiterdaten in ein Land ohne angemessenen Datenschutz bekanntgegeben, dann muss zudem darüber informiert werden, welche der gesetzlich vorgesehenen Möglichkeiten zur Herstellung des angemessenen Datenschutzes verwendet werden (z.B. vom EDÖB genehmigte Standarddatenschutzklauseln). 

Wann und wie wird informiert? 

Die genannten Informationen müssen den Mitarbeitenden bereits in dem Moment zur Verfügung stehen, wenn die Daten bei ihnen beschafft werden. Erhält der Arbeitgeber die Daten nicht direkt von der betroffenen Person, dann muss er die Informationen spätestens einen Monat nach diesem Zeitpunkt mitteilen. Gibt er in diesem Fall die Daten bereits vor Ablauf eines Monats Dritten bekannt, dann verkürzt sich diese Frist entsprechend.

Das revidierte DSG sieht keine besondere Form für die Information vor, aus Beweisgründen ist aber die Schriftform zu empfehlen, zumal die vorsätzliche Verletzung der Informationspflicht mit Strafe bis zu CHF 250'000.00 bedroht ist. In der Regel werden die Informationen in einem Reglement oder einer Mitarbeiterinformation, beispielsweise via Intranet, zur Verfügung gestellt. Die Umstände der Datenbeschaffung können aber auch eine separate Information oder eine Information über zusätzliche Aspekte der Datenbearbeitung (wie beispielsweise über die Aufbewahrungsdauer) erfordern. Zu denken ist beispielsweise an Videoüberwachungen, die Verwendung von Zutrittskontrollsystemen oder Datenbearbeitungen im Zusammenhang mit dem betrieblichen Gesundheitsmanagement. In diesen Fällen bestehen in der Praxis häufig eigene Reglemente, welche die Rahmenbedingungen regeln und in denen zugleich die erforderlichen Informationen an die Mitarbeitenden weitergegeben werden.

Die Ausnahmen

Von dieser Informationspflicht gibt es wichtige Ausnahmen, die bei der Bearbeitung von Daten von Mitarbeitenden von grosser praktischer Bedeutung sind. So muss das Unternehmen seine Mitarbeitenden nicht über Datenbeschaffungen informieren, die gesetzlich vorgesehen sind. Gerade im Arbeitsbereich bestehen zahlreiche solcher gesetzlichen Pflichten des Arbeitgebers, die ihn direkt oder indirekt verpflichten, Mitarbeiterdaten zu erheben, um gesetzliche Meldepflichten, beispielsweise an Sozialversicherungen oder an Steuerbehörden zu erfüllen oder ein Arbeitszeugnis zu erstellen. Es kann daher davon ausgegangen werden, dass über die Daten, die notwendigerweise in einem Personaldossier geführt werden, nicht informiert werden muss. Dies entspricht auch der aktuellen Haltung des EDÖB, der Personaldossiers deshalb von der Meldepflicht für Datensammlungen ausnimmt. Werden in einem Personaldossier aber mehr Personendaten geführt, als zur Erfüllung der gesetzlichen Pflichten erforderlich, muss darüber informiert werden. Selbstverständlich steht es auch jedem Arbeitgeber frei, diese Informationen seinen Mitarbeitenden freiwillig zur Verfügung zu stellen.

Empfehlung

Die Verpflichtung, die Mitarbeitenden nach den Bestimmungen des revidierten DSG über die Beschaffung ihrer Personendaten zu informieren, betrifft nicht nur die Daten, die im Personaldossier für Zwecke der Personaladministration bearbeitet werden. Um die korrekte und vollständige Information der Mitarbeitenden zu gewährleisten, sollten daher alle Unternehmensbereiche mit einbezogen werden, in denen Daten von Mitarbeitenden bearbeitet werden. Dies betrifft in der Regel neben der Personalabteilung vor allem auch die IT-Abteilung.

Das revDSG wird gemeinsam mit den beiden Verordnungen (VDSG und VDSZ), die zurzeit ebenfalls revidiert werden, voraussichtlich auf den 01.01.2023 in Kraft gesetzt. Weder das revDSG noch der Entwurf der revidierten Verordnung zum Datenschutzgesetz sehen Übergangsfristen für die Erfüllung der genannten Informationspflichten vor.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Workshop Datenschutz in der Praxis

Das revidierte Schweizer Datenschutzgesetz, die DSGVO, aktuelle Entwicklungen und deren Folgen

Nächster Termin: 25. November 2021

mehr Infos

Produkt-Empfehlungen

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

    ab CHF 148.00

  • Newsletter Datenschutz

    Newsletter Datenschutz

    Für Schweizer Unternehmen und Institutionen.

    Mehr Infos

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Workshop, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 05. Oktober 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Auskunfts- und Löschungsbegehren sowie Datenschutzverletzung korrekt abwickeln

    Professionelles und rechtssicheres Vorgehen

    Nächster Termin: 06. Oktober 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 16. November 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos