Neues Datenschutzgesetz: Was müssen HR-Verantwortliche heute schon wissen?

Logo: HR Today

Anfang 2023 tritt voraussichtlich das neue Datenschutzgesetz in der Schweiz in Kraft. Auch HR-Verantwortliche werden ihren Umgang mit Personendaten anpassen müssen.

Mit dem neuen Datenschutzgesetz (nDSG) folgt die Schweiz der Europäischen Union und verschärft ihr Datenschutzrecht, um den freien Datenverkehr mit Europa aufrechterhalten zu können. In erster Linie werden bestehende Pflichten konkretisiert und betroffene Personen, etwa Arbeitnehmerinnen oder Bewerber, erhalten mehr Rechte.

Die Schweiz übernimmt nicht die europäische Datenschutz-Grundverordnung (DSGVO), die viele HR-Verantwortliche per 25. Mai 2018 bereits umsetzen mussten. Wie die DSGVO setzt aber auch das nDSG auf Sanktionen, um einen wirksamen Anreiz für die Umsetzung zu setzen. Während im Europäischen Wirtschaftsraum (EWR) bei Datenschutzverletzungen hohe Bussen für Unternehmen drohen, führt das nDSG die Möglichkeit für persönliche Bussen von bis zu 250’000 Franken gegen einzelne verantwortliche Personen ein.

Wer die DSGVO bereits umgesetzt hat, zum Beispiel mit Hinblick auf Bewerberinnen aus dem europäischen Ausland, darf sich glücklich schätzen. Das nDSG kann weitgehend als Teilmenge der DSGVO verstanden werden, was die Umsetzung erheblich erleichtert.

Einige wichtige Punkte ändern sich mit dem nDSG nicht: Cookie-Banner bleiben auf Websites gegenüber Besuchern aus der Schweiz überflüssig. Eine Datenschutzbeauftragte ist weiterhin nicht zwingend erforderlich. Auch hält das nDSG am Grundsatz fest, dass fast nie eine Einwilligung der betroffenen Personen eingeholt werden muss, sondern die Information genügt. Wie im übrigen öffentlichen Recht in der Schweiz gilt, dass erlaubt ist, was nicht ausdrücklich verboten ist.

Welche Personendaten werden wofür, wie und wo bearbeitet?

In jedem Fall steht am Anfang der Compliance mit europäischem und schweizerischem Datenschutzrecht immer die Antwort auf die Frage, welche Personendaten wofür, wie und wo bearbeitet werden. HR-Verantwortliche müssen beachten, dass der Zweck («Wofür»?) grundsätzlich auf die Bearbeitung von Personendaten beschränkt ist, welche die Eignung für ein Arbeitsverhältnis betreffen oder für die Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b OR).

Personendaten sind «alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen» (Art. 5 lit. a nDSG) und als Bearbeiten gilt «jeder Umgang mit Personendaten […]» (Art. 5 lit. d nDSG). Dazu kommen besonders schützenswerte Personendaten wie Daten über die Gesundheit oder gewerkschaftliche Tätigkeiten (Art. 5 lit. c nDSG), wie sie im HR häufig sind.

Eine naheliegende Möglichkeit, um ein «Daten-Inventar» als Grundlage für die Datenschutz-Compliance zu erstellen und zu pflegen, ist das Verzeichnis der Bearbeitungstätigkeiten (Art. 12 nDSG). Das Bearbeitungsverzeichnis gemäss dem nDSG ist zwar für die meisten KMU freiwillig, hat sich als Format aber in Europa bereits bewährt. Bei der Ausgestaltung des Bearbeitungsverzeichnisses haben Unternehmen viel Spielraum. Je nach Unternehmen wird das Verzeichnis anders aussehen: Bei einem Kleinunternehmen ist das HR ein Zweck unter vielen, bei einem Arbeitsvermittler oder Personalverleiher hingegen steht das HR im Mittelpunkt. Das Bearbeitungsverzeichnis ist ein internes Dokument. Lediglich Datenschutz-Aufsichtsbehörden können Einblick fordern, sofern ein Verzeichnis geführt werden muss.

Das «Daten-Inventar» zeigt unter anderem, welche Personendaten wie und wo bearbeitet werden: Bearbeiten HR-Verantwortliche die Personendaten selbst oder nutzen sie die Dienste von Dritten, nutzen sie also Outsourcing? Befinden sich die beauftragten Dritten allenfalls im Ausland? HR-Verantwortliche müssen unter anderem an die Social-Media-Präsenz, zum Beispiel bei LinkedIn, oder an die Nutzung von Stellenportalen denken.

Wie müssen Outsourcing und Daten-Export abgesichert werden?

Das Outsourcing bzw. die Auftragsbearbeitung (Art. 9 nDSG), wie auch die Bearbeitung im Ausland, der Daten-Export (Art. 16 ff. nDSG), müssen jeweils abgesichert werden. Die Absicherung beim Outsourcing erfolgt üblicherweise mit detaillierten Auftragsverarbeitungsverträgen (AVV). Viele Outsourcing-Anbieter, unter anderem Internet-Unternehmen mit Software-as-a-Service (SaaS)-Angeboten, bieten ihren Kundinnen standardmässig einen AVV an. Die englische Bezeichnung für AVV lautet Data Processing Agreement (DPA).

Bei jedem Daten-Export muss geprüft werden, ob im Land oder in den Ländern, in welchen die Personendaten direkt oder indirekt bearbeitet werden, ein angemessener Datenschutz gewährleistet ist. Das ist insbesondere in EWR-Mitgliedstaaten, aber auch in Grossbritannien, Israel und Kanada der Fall. Leider gilt der Datenschutz in den meisten Ländern nicht als angemessen, beispielsweise in den USA oder in Nearshoring-Ländern wie Kosovo und Weissrussland. Beim Daten-Export in solche Länder muss versucht werden, einen angemessenen Datenschutz vertraglich zu vereinbaren. Bei den USA ist die frühere Absicherung im Rahmen von «Safe Harbor» oder «Privacy Shield» nicht mehr möglich.

Die vertragliche Absicherung erfolgt in erster Linie durch Standardvertragsklauseln, englisch Standard Contractual Clauses (SCC). Die SCC der Europäischen Kommission werden vom schweizerischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anerkannt, müssen aber meist für die Schweiz ergänzt werden.

Wie können die Informationspflichten erfüllt werden?

Auf Grundlage des Verzeichnisses der Bearbeitungstätigkeiten können die neuen Informationspflichten umgesetzt werden (Art. 19 ff. nDSG). Betroffene Personen müssen informiert werden, welche Daten über sie wofür sowie wie und wo bearbeitet werden. Betroffene Personen haben ausserdem Anspruch, über ihre Rechte wie das Auskunftsrecht informiert zu werden.

Die Information erfolgt üblicherweise mit einer allgemeinen Datenschutzerklärung, die auf der Website veröffentlicht wird. Bei Bedarf können spezielle Datenschutzerklärungen erstellt werden, zum Beispiel zur Information der Mitarbeiter. «Datenschutz-Generatoren» können helfen, vollständige Datenschutzerklärungen zu erstellen und aktuell zu halten. Bei der Auswahl muss darauf geachtet werden, dass der «Datenschutz-Generator» gepflegt und das schweizerische Recht berücksichtigt wird. Normalerweise bieten kostenpflichtige Angebote eine bessere Kontinuität und Qualität.

Wenn sich betroffene Personen oder Datenschutz-Aufsichtsbehörden bei einem Unternehmen melden, muss die Anfrage sorgfältig geprüft und zeitnah bearbeitet werden. So können ehemalige Arbeitnehmerinnen oder nicht erfolgreiche Bewerber versuchen, Auskunft über ihre Personendaten bei einem Unternehmen zu erhalten. Wichtig ist zu beachten, dass die Rechte betroffener Personen nie absolut gelten. So darf ein Unternehmen beispielsweise auch auf Aufforderung hin keine Personendaten löschen, für die es einer gesetzlichen Aufbewahrungspflicht unterliegt. Eine schnelle Reaktion ist auch bei Datenpannen erforderlich, denn das nDSG führt neue Informations- und Meldepflichten für solche Vorfälle ein.

Was ist nach der Umsetzung der Grundlagen zu beachten?

Wenn die Grundlagen für die Umsetzung des neuen nDSG gelegt sind, kann die datenschutzrechtliche Kür folgen. HR-Verantwortliche sollten beispielsweise wissen, wann eine Datenschutz-Folgenabschätzung (DSFA, Art. 22 nDSG) erforderlich ist oder was für Bestimmungen das nDSG für «automatisierte Einzelentscheidungen» (Art. 21 nDSG) und beim «Profiling» (Art. 5 lit. f u. g nDSG) vorsieht.

Neben dem nDSG gelten weiterhin weitere gesetzliche Bestimmungen. Dazu zählen die Datenschutz-Vorgaben für Arbeitsvermittler gemäss Art. 19 der Arbeitsvermittlungsverordnung oder der allgemeine Persönlichkeitsschutz mit dem «Recht am eigenen Bild» bei der Videoüberwachung im Unternehmen (Art. 28 ZGB).

Für die Umsetzung des nDSG bleibt HR-Verantwortlichen noch etwas Zeit. Privilegiert sind jene Datenschutz-Verantwortlichen, die auf die Unterstützung von Datenschutzberatern und Juristinnen im eigenen Unternehmen zählen können.

Wer Prioritäten setzen muss, wird den Fokus auf zwei Themen legen: Was ist 1) für Aussenstehende sichtbar und wo drohen 2) Bussen? Sichtbar ist vor allem die Datenschutzerklärung, wobei die Verletzung der Informationspflichten gebüsst werden kann. Bussen drohen ausserdem unter anderem bei der fehlenden Absicherung von Outsourcing und Daten-Export.

Hinweis: Obiger Beitrag erschien in angepasster Form als Gastbeitrag in «HR Today» von Rechtsanwalt Martin Steiger am 24. November 2021.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.