25.05.2018

Datenschutz-Grundverordnung: Das ändert sich für Schweizer Firmen

Das Datenschutzrecht und die derzeitigen Entwicklungen in diesem Bereich haben bekanntlich diverse Auswirkungen auch auf den HR-Bereich; so beispielsweise auf das Outsourcing oder im Rahmen von Active Sourcing. Höchste Zeit also für Unternehmen und HR-Abteilungen, sich um diese Themen zu kümmern.

Von: Monika Rohrer, Dr. Michael Widmer   Drucken Teilen   Kommentieren  

Monika Rohrer

Monika Rohrer ist wissenschaftliche Mitarbeiterin am Zentrum für Human Capital Management an der ZHAW. Sie ist Studienleiterin des CAS International HR Management und des CAS Performance und Compensation Management.

Dr. Michael Widmer

LL.M., ist als Rechtsanwalt in Zürich und Winterthur tätig. Zudem ist er Dozent für Datenschutz an der ZHAW , dem ITPZ und Studienleiter des CAS Datenschutzverantwortliche an der ZHAW.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Datenschutz-Grundverordnung

Datenschutz-Grundverordnung (DSGVO) seit 25.05.2018 in Kraft

In der EU regelt die DSGVO die Verarbeitung von personenbezogenen Daten natürlicher Personen. Die DSGVO ist bereits am 24. Mai 2016 in Kraft getreten, wobei die Übergangsfrist am 25. Mai 2018 abgelaufen ist. Die Unternehmen müssten jetzt eigentlich bereit sein – denn wer die Bestimmungen verletzt, dem drohen erhebliche Bussen. Von möglichen Reputationsschäden ganz zu schweigen. Die HR-Abteilungen sind hier stark gefordert, letztlich fällt ein grosser Teil dieser Personendaten in ihren Verantwortungsbereich.

Welche Daten sind betroffen?

Doch um welche Daten geht es genau? Von «personenbezogenen Daten» oder kurz «Personendaten» spricht man, sobald es sich um Informationen betreffend eine natürliche Person handelt, die direkt oder indirekt identifizierbar ist. Darunter können demnach beispielsweise E-Mail-Adressen, Daten in Personalverwaltungssystemen wie Personaldaten oder Leistungsbeurteilungen, aufgezeichnete Telefongespräche, wo Namen erwähnt werden, aber auch Informationen aus elektronischen Bewerbersystemen (Pre-Screenings) oder Talent Pools fallen, wenn die betroffene Person identifiziert werden kann, um nur einige Beispiele zu nennen. Auch der Ausdruck «Verarbeitung» sollte kurz beleuchtet werden, denn es geht dabei nicht nur um Erhebung, Verwendung und Löschung, sondern beispielsweise auch um die reine Speicherung von solchen Personendaten. Angesichts der unübersichtlichen Menge an elektronischen Daten, welche Unternehmen täglich verarbeiten (meistens automatisch, seltener bewusst und manuell gesteuert), lässt sich das Ausmass an Komplexität erahnen, dem die Unternehmen gegenüberstehen.

Rechtliche Neuerungen

Die DSGVO sieht eine Vielzahl von Neuerungen vor. Von besonderer Bedeutung sind dabei sicherlich einerseits die erweiterten Informationspflichten durch die Unternehmen. Ferner sollen die Betroffenen erleichterten Zugang zu ihren Daten erhalten; es besteht eine Auskunftspflicht seitens der Unternehmen. Andererseits wurden Vorgaben für Datenschutz durch Technik (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) eingeführt. Die Unternehmen sind also IT-technisch gefordert. Faktische Grundvoraussetzung für die Einhaltung des Datenschutzrechts sind Kenntnisse darüber, welche Verarbeitungen von Personendaten in einem Unternehmen überhaupt stattfinden. Wenn ein Unternehmen nicht weiss, welche Personendaten es zu welchem Zweck verarbeitet, wo diese gespeichert und an wen sie allenfalls übermittelt werden, dürfte es schwerfallen, sich datenschutzkonform zu verhalten. Wie soll das Unternehmen dann schon nur einer betroffenen Person die allenfalls verlangte Auskunft erteilen können?

Outsourcing-Problematik

Doch was geht dies Schweizer Unternehmen an? Sehr viel. Der Impact für Schweizer Unternehmen mit Niederlassungen in der EU ist offensichtlich: Hier gilt das Augenmerk besonders den Personendaten, welche entweder in ausgelagerten Bereichen bearbeitet werden (Outsourcing), dem Speichern von Daten in Clouds, aber auch der Verarbeitung von Personendaten durch ein Schweizer Unternehmen als Auftragsbearbeiter eines EU-Unternehmens (DSGVO ist anwendbar). Bereits heute besteht im Bereich Outsourcing aus der Schweiz ins Ausland die rechtliche Auflage (gemäss Schweizer Recht), dass gewisse Massnahmen getroffen werden müssen. Zunächst ist hierbei zu klären, ob das betroffene Land aus datenschutzrechtlicher Sicht ein «angemessenes Schutzniveau» bietet (www.edoeb.admin). Dazu gehören aus Sicht der Schweiz zum Beispiel die EU-Staaten, Israel oder Neuseeland. Wenn im entsprechenden Land keine genügende Gesetzgebung vorhanden ist, können personenbezogene Daten nur unter Einhaltung zusätzlicher Voraussetzungen dorthin übermittelt werden. Die Regelung für einen Datenexport aus der EU ist basierend auf der DSGVO grundsätzlich vergleichbar.

Personendaten aus der EU

Damit aber nicht genug: Die DSGVO führt darüber hinaus das sogenannte «Marktortprinzip» ein. Das bedeutet, dass die DSGVO auch anwendbar sein kann, wenn Daten von Personen, die sich in der EU befinden, in der Schweiz verarbeitet werden, sofern zusätzliche Voraussetzungen erfüllt sind. Dies kann der Fall sein bei einer Datenverarbeitung im Zusammenhang mit einem Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU. Ferner bei Datenverarbeitungen im Zusammenhang mit der Beobachtung von Verhalten der betroffenen Person, soweit dieses in der EU erfolgt (bspw. Webtracking). Man kann sich zwar auf den Standpunkt stellen, diese Voraussetzungen seien im HR-Bereich oftmals noch nicht erfüllt. Allerdings wäre es vorstellbar, dass die EU-Aufsichtsbehörden die entsprechenden Bestimmungen extrem weit auslegen und bspw. das Stellen eines Dienstwagens bereits als «Dienstleistung» qualifizieren könnten – was wir allerdings als rechtlich unzutreffend erachten. Wird beispielsweise das Verhalten von Bewerbern in der EU auf einer Online- Bewerbungsplattform beobachtet, so könnte das unter Umständen unter die DSGVO fallen. Dasselbe wäre möglich für Mitarbeitende, welche aus dem EU-Raum arbeiten, z.B. im Home Office. In Anbetracht der engen Vernetzung mit dem nahen Ausland stellt diese Reichweite vermutlich einen Grossteil der Schweizer Unternehmen – namentlich auch KMU – vor die Herausforderung, die Einhaltung der DSGVO adäquat umzusetzen, und zwar unabhängig davon, ob diese gerade wegen des HR-Bereichs oder aufgrund der Tätigkeiten von anderen Unternehmensbereichen anwendbar ist.

Neues Schweizer DSG

Zudem wird zurzeit auch in der Schweiz das Bundesgesetz über den Datenschutz (DSG) revidiert. Die Behandlung des Entwurfs im Parlament wurde zwar von der Staatspolitischen Kommission des Ständerates teilweise zurückgestellt (einschliesslich vieler der für HR-Abteilungen relevanten Bestimmungen). Die neuen Regelungen dürften aber dennoch eher früher als später zu erwarten sein. Dies vor allem auch deshalb, weil die Schweiz kein Interesse daran haben dürfte, auf einer «schwarzen Liste» der EU zu landen (wie z.B. die USA). Insofern wird das revidierte DSG der DSGVO ähnlich sein, damit möglichst ein «angemessenes Schutzniveau» im Sinne der DSGVO garantiert wird und Datentransfers von der EU in die Schweiz weiterhin relativ unkompliziert möglich bleiben.

Beispiel Active Sourcing

HR ist von der ganzen Thematik sehr direkt betroffen. Wenn schon das Management interner Personendaten eine grosse Herausforderung darstellt, gestaltet sich die Handhabung der Daten potenzieller Mitarbeitender umso heikler. So sehen sich Unternehmen angesichts des vielbeschworenen Fachkräftemangels oftmals gezwungen (z.B. im Gesundheitswesen, IT, Senior Positions), auf Active Sourcing zurückzugreifen, wie dies schon seit Längerem in der Personalvermittlung üblich ist. Interessante Kandidaten werden proaktiv kontaktiert, und es wird versucht, eine Bindung zum Unternehmen herzustellen. Dies erfolgt in der Regel über bestehende Netzwerke wie z.B. Alumni-Datenbanken und Social Media wie LinkedIn und Xing.

Gemäss DSGVO darf aber eine Datenverarbeitung nur dann erfolgen, wenn eine rechtliche Grundlage besteht. Das nennt sich «Verbot mit Erlaubnisvorbehalt». Die Grundlage kann in der Einwilligung des Betroffenen bestehen. Beim Active Sourcing ist das problematisch. Theoretisch müsste das Einverständnis schon eingeholt werden, bevor der Bewerber überhaupt kontaktiert worden ist. Das ist offensichtlich nicht möglich. Eine Verarbeitung kann aber auch dann rechtmässig sein, wenn sie «zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist». Hier lässt sich im Einzelfall wohl argumentieren, dass beim Active Sourcing die wirtschaftlichen Interessen der Firma an der Rekrutierung geeigneter Mitarbeitender die Interessen der betroffenen Personen überwiegen. Dies könnte beispielsweise bei einem Fachkräftemangel der Fall sein. Und wenn man einen Blick auf das geltende Schweizer Recht wirft: Bei Recherchen auf explizit beruflichen Plattformen wie LinkedIn und XING kann klar gesagt werden, dass diese ja genau der Darstellung des potenziellen Mitarbeitenden im geschäftlichen Kontext dienen. Es liegt also allenfalls sogar eine implizite Zustimmung vor.

Ein weiterer Stolperstein sind die umfangreichen Informationspflichten gemäss DSGVO gegenüber der betroffenen Person, selbst wenn die Daten – wie im Fall von Social Media – nicht beim Betroffenen direkt erhoben werden. Bei Active Sourcing würde der enorme Aufwand hierfür wohl in vielen Fällen das «Aus» für diese Form der Rekrutierung bedeuten. Allerdings gibt es wesentliche Erleichterungen von der Informationspflicht, wenn die Erteilung der «Informationen sich als unmöglich erweist oder einen unverhältnismässigen Aufwand erfordern würde». Beim Active Sourcing kann in vielen Fällen aufgrund der hohen Zahl an betroffenen Personen argumentiert werden, es liege ein unverhältnismässiger Aufwand vor. Deshalb müssten die entsprechenden Informationen nur der «Öffentlichkeit» bereitgestellt werden. Diese Anforderung könnte durch eine entsprechende Ergänzung der Datenschutzerklärung des Unternehmens erfüllt werden.

Fazit

Die neuen Regelungen werden die Unternehmen und insbesondere auch die HR-Abteilungen in den nächsten Monaten und vielleicht sogar Jahren mit grosser Wahrscheinlichkeit auf Trab halten. Die zentralen Fragen und die potenziellen Problemfelder sind zwar erkannt, jedoch halten sich gewisse Unternehmen im Moment zurück. In Anbetracht des Ablaufs der Übergangsfrist ist es für Unternehmen aber wichtig, sich umgehend um das Thema zu kümmern. So sollte man jetzt entscheiden, welche Risikostrategie man diesbezüglich fahren will: Ist man für alle Eventualitäten parat und geht den Weg des «Best in Class», was als Reputationspflege auch markttechnisch eine sinnvolle Entscheidung sein kann, sich vermutlich aber eher die grösseren Unternehmen leisten können. Oder geht man schrittweise vor und fokussiert in erster Linie mal auf minimale Standards und hält so die Kosten vorerst tief.

Neue Regelungen der DSGVO

  • Erweiterte Dokumentations- und Nachweispflichten (bspw. Art. 5 Abs. 2 sowie Art. 24 Abs. 1 DSGVO)
  • Erweiterte Transparenzvorschriften und Informationspflichten (bspw. Art. 5 Abs. 1 sowie Art. 12 bis 15 DSGVO)
  • Vorgaben für Datenschutz durch Technik (Privacy by Design; Art. 25 Abs. 1 DSGVO) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default; Art. 25 Abs. 2 DSGVO)
  • Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen (Art. 33 und 34 DSGVO)
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
  • Recht auf Datenportabilität (Art. 20 DSGVO)
  • Recht auf Vergessenwerden (Art. 17 DSGVO)

Produkt-Empfehlungen

  • Newsletter Arbeitsrecht

    Newsletter Arbeitsrecht

    Die neusten Gerichtsentscheide und Praxisfälle, verständlich kommentiert.

    CHF 98.00

  • personalSCHWEIZ mit Toolbox

    personalSCHWEIZ mit Toolbox

    Das Schweizer Fachmagazin für die praktische Personalarbeit.

    Mehr Infos

  • ArbeitsrechtPraxis Professional

    ArbeitsrechtPraxis Professional

    Kommentiertes Schweizer Arbeitsrecht-Wissen für Personal-Verantwortliche.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 14. November 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 03. Oktober 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Erfolgreiche Aus- und Weiterbildungskonzepte

    Von der Bedarfsanalyse bis zur Erfolgskontrolle

    Nächster Termin: 22. November 2018

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos