Was ist das nDSG?

Im Wesentlichen gleicht sich das Gesetz an das General Data Protection Regulation (GDPR), der englische Begriff für die Datenschutz-Grundverordnung der Europäischen Union (DSGVO), an. Da sich viele Unternehmen bereits an das GDPR angepasst haben, könnte der Handlungsbedarf für diese nun etwas geringer ausfallen. Dennoch dürfen einige schweizerische Besonderheiten nicht ausser Acht gelassen werden. Eine wesentliche Schweizer Eigenheit ist das datenschutzrechtliche Strafregime, das Bussen für einzelne Personen (nicht Unternehmen) von bis zu CHF 250'000 vorsieht.

Was sind eigentlich Personendaten bzw. personenbezogene Daten?

Personenbezogene Daten sind Angaben, die eine Person direkt oder indirekt identifizierbar machen, wie z.B. Name, Mitarbeiter-/AHV-/Patientennummer, Standortdaten, IP-Adressen, Social Media-Beiträge oder die Nennung mehrerer besonderer Merkmale (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell, sozial). Eine spezielle Kategorie von Personendaten, die sogenannten «besonders schützenswerten Personendaten», z.B. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, unterstehen erhöhten Gesetzesanforderungen. Beispielsweise muss bei deren Bearbeitung jeweils eine explizite Einwilligung vorliegen. Lohndaten fallen übrigens wider Erwarten nicht unter diese Kategorie.

Betrifft das nDSG auch Unternehmen ausserhalb der Schweiz?

Ja! Aufgrund des grenzüberschreitenden Anwendungsbereichs des nDSG’s sind auch ausserhalb der Schweiz stattfindende Sachverhalte betroffen, sofern sie sich in der Schweiz auswirken. Also konkret, wenn Sie:

• als EU-Unternehmen Kunden in der Schweiz haben und diesen Dienstleistungen oder Produkte in der Schweiz anbieten.
• eine Niederlassung in der Schweiz haben.
• das Verhalten von Schweizer Bürger:innen in der Schweiz beobachten (z.B. indem Sie auswerten, wie diese Ihre Website oder App nutzen).
• Daten von Mitarbeiter:innen einer Schweizer-Niederlassung im Ausland bearbeiten (betrifft globale Konzerne).

Kernelemente des nDSG

Die folgenden Kernelemente des nDSG regeln Grundsätze, die bei jeder Personendatenbearbeitung berücksichtigt werden müssen. Um Redundanz zu vermeiden, ist der Blick ins Gesetz empfohlen. An dieser Stelle wird vor allem auf die Bearbeitungsgrundsätze und die Privacy-by-Design sowie Privacy-by-Default eingegangen.

Bearbeitungsgrundsätze

Jede Bearbeitung personenbezogener Daten erfordert bedarf der Rechtmässigkeit, die auf mehrere Arten erlangt werden kann. Als häufigste Rechtsgrundlage dient die Abwicklung eines Vertrags und die Einwilligung der Person, deren Daten bearbeitet werden (Datensubjekt). Die erwähnte Einwilligung ist nur dann gültig, wenn das Datensubjekt über den Zweck informiert und die Einwilligung freiwillig erteilt wurde. Je nach Art der Personendaten, muss die Einwilligung ausdrücklich erfolgen. Eine stillschweigende Einwilligung wäre beispielsweise bei besonders schützenswerter Personendaten nicht rechtmässig. Ausserdem muss jede Personendatenbearbeitung immer einem klar definierten Zweck dienen. Z.B. darf eine Adresse, die für Rechnungsstellungszwecke angegeben wurde, nicht für vollkommen andere Zwecke verwendet werden. Die Personendaten werden grundsätzlich nur so lange aufbewahrt, wie es der Zweck der Bearbeitung erfordert. Danach müssen sie vernichtet oder anonymisiert werden.

Privacy-by-Design und Privacy-by-Default

Diese zwei Prinzipien sind miteinander verwandt. Privacy-by-Design schreibt vor, dass der Datenschutz bereits auf der Ebene der Entwicklung eines Produkts mitimplementiert wird, so zum Beispiel beim Programmieren einer Software. Privacy-by-Default hingegen verlangt, dass datenschutzfreundliche Voreinstellungen getroffen werden. Dabei muss stets die minimalinvasivste Option ausgewählt werden. Ein konkretes Beispiel dafür sind die Cookie-Einstellungen beim Besuch von Webseiten. Gemäss dem Prinzip «Privacy-by-Default» dürfen nur die technisch notwendigen Cookies standardmässig ausgewählt sein. Für zusätzliche Cookies ist die aktive Zustimmung (Opt-in) des Website-Besuchers erforderlich.

HR-Praxisbeispiele

Nachfolgend werden drei HR-spezifische Situationen aus datenschutzrechtlicher Sicht beschrieben, die als Leitfaden für weitere Abklärungen dienen.

Welche Personendaten dürfen bei Veranstaltungen (physisch oder online) gesammelt werden?

In den meisten Fällen muss sich eine Person zu einer Veranstaltung anmelden und dabei werden Personendaten abgefragt. Es ist wichtig, dass nur solche Personendaten abgefragt werden, die für den Zweck der Durchführung der Veranstaltung notwendig sind. Braucht es beispielsweise die Angabe einer Wohnadresse oder reicht allenfalls auch eine E-Mail-Adresse der Teilnehmenden? Ebenfalls muss auf der gleichen Seite der Anmeldung oder der Webseite eine Datenschutzerklärung vorhanden sein, die Antworten auf die nachfolgenden Fragen liefert: Was wird mit den Personendaten gemacht? Weshalb wurden genau diese erhoben (vgl. Thematik betr. Wohnadresse oben)? Wie lange werden sie aufbewahrt und wann werden sie gelöscht? Was sind die Rechte des Datensubjekts in Bezug auf den Datenschutz? Abschliessend ist zu betonen, dass die in der Datenschutzerklärung genannten Datenbearbeitungen tatsächlich so umgesetzt werden müssen und es nicht bloss bei Bekundungen bleiben darf.

Eine Person startet einen neuen Job. Vom Unternehmen wird sie gefragt, ob im Intranet neben der Information des Neueintrittes ihr Foto veröffentlicht werden darf. Ist die Zustimmung der Person rechtsgültig?

Wie bereits erwähnt, ist die Kernvoraussetzung einer gültigen Einwilligung ist die Freiwilligkeit. Im Verhältnis Arbeitnehmende-Arbeitgebende ist es fraglich, inwieweit eine Einwilligung des/der Arbeitnehmenden überhaupt freiwillig erfolgen kann. Denn in das Verhältnis zwischen Arbeitgebenden und Arbeitnehmenden ist stets eine Machtasymmetrie eingeflochten, was bereits im Weisungsrecht hervorgeht. In dieser Situation ist leicht vorstellbar, dass die neue Person nur aus Höflichkeit zustimmt, auch wenn sie sich damit eigentlich nicht wohl fühlt. Aus diesem Grund ist die Einwilligung mit Problemen behaftet. Gleichzeitig ist es für den normalen Arbeitsgang erforderlich, dass sich die Mitarbeitenden untereinander auch visuell kennen. Eine pragmatische Lösung könnte sein, der Person die Möglichkeit zu geben, ihre Fotoauswahl selbst zu treffen.

Ein:e Mitarbeiter:in entscheidet sich, das Unternehmen zu verlassen oder wird pensioniert. Welche Daten können und dürfen weiterhin verwenden werden?

Das Spezielle an dieser Situation ist der Wegfall eines (Arbeits-)Vertragsverhältnisses nach Austritt des Mitarbeitenden. Damit ändert sich die vormalige Beziehung zwischen Arbeitgebendem und Arbeitnehmenden fundamental. Wenn das Unternehmen die Verwendung der persönlichen Daten mit dem laufenden Arbeitsvertrag begründet hat, muss nach Beendigung des Arbeitsvertrages eine neue rechtliche Grundlage dafür vorhanden sein.

Nach Austritt eines Mitarbeitenden ändert sich die Interessenlage des Arbeitgebenden. Dieser kann jedoch durchaus ein fundiertes Interesse haben, Personendaten des ehemaligen Mitarbeitenden über das Vertragsende hinaus aufzubewahren. Rechtlich gesehen könnten Risiken auftauchen, etwa in der Form von möglichen Lohnnachforderungen des ehemaligen Arbeitnehmenden. Dadurch könnten eine Vielzahl von Personendaten relevant werden: Arbeitszeiten, Bankdaten, Sozialversicherungsdaten etc. Diese Begründung (allfälliger Lohnnachforderungen als Rechtfertigungsgrund der Aufbewahrung bestimmter Personendaten) endet spätestens mit Ablauf der Verjährungsfrist für Lohnnachforderungen, d.h. fünf Jahre nach Ende des Arbeitsverhältnisses.

Es sind aber auch andere Personendatenbearbeitungen denkbar. Unternehmen unterhalten oft weiterhin Kontakt mit ihren ehemaligen Arbeitnehmenden, zum Beispiel in Form von Alumni- oder Pensionierten-Anlässen. Deshalb ist es empfehlenswert, bereits beim Austritt Massnahmen zu ergreifen, um zukünftige Personendatenbearbeitungen auf rechtmässige Beine zu stellen. Bei einem Beitritt zu einer Alumni-Organisation oder anderen Vereinigungen ist es sinnvoll, einen Abschnitt zum Datenschutz einzufügen oder eine Datenschutz-Vereinbarung zu erstellen. Dadurch können alle zukünftigen Datenbearbeitungen im Voraus festgelegt werden und ehemalige Mitarbeitende werden nicht überrascht sein, wenn sie Informationen erhalten.

Handlungsempfehlungen für HR-Verantwortliche: was Sie jetzt tun müssen

Viele Unternehmen bzw. einzelne Abteilungen sind mit der Umsetzung der nDSG-Anforderungen überfordert und wissen nicht, wo sie beginnen sollen. Das ist verständlich, da vieles nicht eindeutig formuliert ist.

Als ersten Schritt empfehle ich die Erstellung eines Bearbeitungsverzeichnisses. Dieses ist nicht nur vom Gesetz ausdrücklich vorgeschrieben, sondern auch eine praktische Notwendigkeit. Ein Bearbeitungsverzeichnis gibt eine klare Übersicht über alle im HR verarbeitenden Daten. Es ermöglicht Ihnen, auf Anfragen von Datensubjekten zu reagieren und eine gesetzeskonforme Datenschutzerklärung zu formulieren. Das Bearbeitungsverzeichnis ist somit ein wichtiger Grundstein für die Einhaltung des neuen Datenschutzgesetzes und eine wirksame Datenschutzpraxis in Ihrem Unternehmen.

Neben dem Erstellen eines Bearbeitungsverzeichnisses sollten die Zeiträume für die Aufbewahrung und Löschung jeglicher Personendaten, die vom HR verwendet werden, in einer Tabelle aufzulisten werden. Konkret ist für jede Art von Personendaten festzulegen, wie lange diese aufbewahrt und wann gelöscht werden. Beispielsweise ist zu definieren, wie lange Arztzeugnisse aufzubewahren sind. Es erforderlich, eine gründliche Prüfung datenschutzrechtlicher Vorgaben sowie anderer gesetzlichen Vorschriften (z.B. Verjährungsfristen) durchzuführen, um diese Zeiträume festzulegen. Es ist ausserdem wichtig, dabei auch mögliche zukünftige Szenarien zu berücksichtigen (z.B. welche Personendaten müssen nach Austritt eines Mitarbeitenden weiterhin bearbeiten werden?).

Jedes Unternehmen ist in der Verantwortung, die Nachweise für ein datenschutzkonformes Verhalten zu erbringen, was heisst, dass Sie als Unternehmen jederzeit in der Lage sein müssen, nachzuweisen, dass Sie die neue Gesetzgebung einhalten. Deshalb liegen eine strenge Dokumentation und Nachweispflicht auf Ihrem Unternehmen und Sie müssen personenbezogene Daten durch angemessene Sicherheitsmassnahmen schützen. Als Unternehmen tragen Sie die Verantwortung, Daten von Bewerber:innen, aktuellen und ehemaligen Mitarbeiter:innen und Kund:innen zu löschen, sobald der Verarbeitungszweck nicht mehr gegeben ist oder keine andere Rechtsgrundlage mehr besteht, zum Beispiel aufgrund gesetzlicher Aufbewahrungspflichten. Deshalb ist es von zentraler Bedeutung, genau zu wissen, wo und in welcher Form personenbezogene Daten gespeichert sind. Dies kann folgende Systeme betreffen: ERP/HR-System, CRM-Software, Excel-Listen oder systematisch strukturierte Papierdossiers und andere. Durch eine sorgfältige Datenerfassung und Dokumentation können Sie sicherstellen, dass Sie die neuen Datenschutzbestimmungen ordnungsgemäss einhalten und den Schutz der Privatsphäre Ihrer Anspruchsgruppen gewährleisten.

Schlussendlich empfehle ich, neue Mitarbeitende bereits beim Onboarding auf die Datenschutzthematik zu schulen und sie auf sämtliche relevante Dokumente aufmerksam zu machen – dazu gehören etwaige Datenschutzrichtlinien, Datenschutzerklärungen sowie datenschutzrechtliche Bestimmungen im Arbeitsvertrag. Wenn neue Mitarbeitende auf die Datenschutzrichtlinien des Unternehmens sensibilisiert und geschult werden und diese als integralen Bestandteil der Unternehmenskultur betrachten, steigt die Wahrscheinlichkeit, dass ihr Bewusstsein und ihre Verantwortlichkeit im Umgang mit Datenschutz wachsen.

Schlusswort: der Weg ist das Ziel

Nun müssen Sie sich auf den Weg machen. Eine seriöse Vorbereitung auf die neue Gesetzgebung ist dringend empfehlenswert. Keine Massnahmen zu treffen und Nichthandeln sind in jedem Fall schlimmer, alszu starten. Das wird auch beim Blick auf Sanktionen bei Verstössen deutlich. Nicht nur in der Schweiz, sondern auch im Ausland wurde mit Kopfschütteln zur Kenntnis genommen, dass private Personen zukünftig strafrechtlich verfolgt werden können, wenn sie gegen das nDSG verstossen. Es bleibt eine weit kritisierte schweizerische Eigenheit, dass private Personen mit Bussgeldern von bis zu einer Viertelmillion Schweizer Franken belegt werden können (vgl. Art. 60ff. nDSG). Diese neue Regelung könnte im Sinne der Generalprävention verstanden werden, d.h. als Abschreckung gegen Verstösse gegenüber dem nDSG.

Ausser Frage steht, dass es immer etwas zu tun geben wird in Bezug auf die Verbesserung Ihrer Datenschutz-Compliance. Die Gewährleistung eines angemessenen Datenschutzniveaus ist ein kontinuierlicher Prozess. Indem Sie sich aktiv um eine fortlaufende Optimierung Ihrer Datenschutzmassnahmen bemühen, stellen Sie sicher, dass Sie den Anforderungen gerecht werden und die Privatsphäre Ihrer Stakeholder schützen. Durch kontinuierliches Engagement können Sie Vertrauen aufbauen, Ihre Reputationsrisiken minimieren und die gesetzlichen Vorgaben erfüllen. Bleiben Sie aufmerksam, lernen Sie aus Erfahrungen und passen Sie Ihre Datenschutz-Strategie stets an die sich ändernden Bedingungen an. So sind Sie bestens gerüstet, um den Herausforderungen des Datenschutzes erfolgreich zu begegnen und langfristigen Datenschutz und Compliance zu gewährleisten. Denken Sie daran: Der Weg ist das Ziel.

Autor