Am 15. September 2017 gab der Bundesrat in einer Medienmitteilung die Notwendigkeit einer Revision des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG) bekannt. Jahre später stimmten Stände- und Nationalrat am 25. September 2020 dem Schlussabstimmungstext zum totalrevidierten Datenschutzgesetz (nDSG) schlussendlich zu.
Wozu dieses neue Gesetz?
Das aktuelle Datenschutzgesetz feiert demnächst sein 30-jähriges Bestehen. Es entstammt einer Ära, als das Internet erst ein technisches Projekt war, soll aber aktuelle digitale Projekte regulieren, wie zuletzt die Contact-Tracing-App SwissCovid. Mit anderen Worten: Das Regelwerk, das dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) für den Datenschutz zur Verfügung steht, ist überholt.
Da das Inkrafttreten der berühmten europäischen Datenschutzverordnung (DSGVO oder Verordnung (EU) 2016/679) am 25. Mai 2018 bereits mehr als zwei Jahre zurückliegt und die Europäische Kommission im Begriff war, die Angemessenheit des Schutzniveaus in der Schweiz für Personendaten aus der EU neu zu evaluieren, schien die Beibehaltung des Angemessenheitsbeschlusses in Gefahr zu sein.
Was muss konkret auf HR-Ebene umgesetzt werden?
Zur Erinnerung sei erwähnt, dass der «Arbeitgeber [die] Daten über den Arbeitnehmer nur bearbeiten [darf], soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Im Übrigen gelten die Bestimmungen des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz.» (Art. 328b OR). Das Bundesgesetz vom 19. Juni 1992 ist Gegenstand der Revision, die wir in diesem Artikel erläutern.
Erfüllt Ihr Unternehmen bereits die Anforderungen der DSGVO hinsichtlich aller von ihm verarbeiteten Personendaten, ist die Liste der zu ergreifenden Massnahmen nicht sehr lang, da es sich bei der vorliegenden Revision hauptsächlich um eine Angleichung an den europäischen Standard handelt.
Sollte dies nicht der Fall sein, so finden Sie im Folgenden eine Auswahl der drei wichtigsten Massnahmen, welche Sie im Rahmen der Verwaltung von Personendaten auf HR Ebene umsetzen sollten.
1. Erstellung einer Datenschutz-Folgenabklärung («DFA») – Art. 22 nDSG
«Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann.» Das «hohe Risiko» wird nicht abschliessend definiert, jedoch kann bei der Bearbeitung von Personendaten von Mitarbeitern von seinem Vorliegen ausgegangen werden. Besonders schützenswerte Personendaten sind u.a. Daten über «administrative oder strafrechtliche Verfolgungen und Sanktionen» (Art. 3 lit. c Ziff. 4 DSG).
Eine DFA beinhaltet vordergründig eine detaillierte Beschreibung der durchgeführten Bearbeitungen, z.B. die Art und Weise, wie Sie die Daten Ihrer MitarbeiterInnen und BewerberInnen einholen und überprüfen. Des Weiteren müssen Zweckbestimmung, Notwendigkeit und Verhältnismässigkeit (v.a. hinsichtlich der Speicherdauer) eingehalten werden. Schlussendlich muss eine technische Studie zur Datensicherheit und zur Auswirkung der Daten auf das Privatleben erstellt werden, wobei Sie sich von Ihrer Abteilung für Datensicherheit unterstützen lassen sollten.
Wenn Sie Datenbearbeitungssystemen oder -programme – insbesondere für den HR Bereich – anbieten, sollten Sie im Zweifelsfall Ihre Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen, wie sie Art. 13 nDSG neu anbietet.
2. Umsetzung der Prinzipien des Datenschutzes «durch Technik und datenschutzfreundliche Voreinstellungen» (privacy by design & by default) – Art. 7 nDSG
Die in Art. 7 nDSG enthaltenen Prinzipien und bewährten Verfahrensweisen wurden dem Art. 25 der DSGVO entnommen. Dies bedeutet, dass der Datenschutz bei jedem Projekt ab dessen Planung im Mittelpunkt der Überlegungen stehen muss. Vorgängig müssen vorbeugende Massnahmen ergriffen werden, nach der Umsetzung des Projekts muss das definierte Schutzniveau standardmässig auf dem höchsten Niveau liegen.
Wenn Sie Ihre MitarbeiterInnen oder BewerberInnen nicht mehr dazu anhalten möchten, selber Dokumente – z.B. Betreibungs- und Strafregisterauszüge – vorzulegen, sondern die Einholung dieser Dokumente an einen Screening-Anbieter auslagern möchten, muss bereits in der Planungsphase auf den Datenschutz und die Privatsphäre der Betroffenen geachtet werden. Konkret muss von Beginn an geprüft werden, ob der Subunternehmer in der Lage ist, die Sicherheit der Personendaten zu gewährleisten (Art. 7 nDSG) und eine vorherige, freie und informierte Zustimmung der Betroffenen einzuholen. Ab Beginn der Vertragslaufzeit muss die Einhaltung des Gesetzes – und auch des Service Level Agreements – regelmässig überprüft werden.
3. Ernennung eines Datenschutzberaters – Art. 10 nDSG
Gemeinhin wird der Datenschutzberater heutzutage als DPO bezeichnet (Data Protection Officer i.S.v. Art. 37 § 7 DSGVO). Er ist der Hauptansprechpartner für Fragen von Personen, die von der Datenbearbeitung betroffenen sind, in Ihrem Fall also Ihrer MitarbeiterInnen und BewerberInnen. Als Spezialist für Datensicherheit schult und berät er Sie zu Ihren Datenverarbeitungsverfahren und gewährleistet die Einhaltung des Gesetzes in Ihrem Unternehmen.
Stellen Sie sich vor, dass eine Bewerberin, die Sie nach einer umstrittenen Auskunft ihres ehemaligen Arbeitgebers nicht eingestellt haben, ihr Einsichtsrecht geltend macht. Zu diesem Zweck wird sie Einsicht in das Dossier verlangen, in dem sich Referenzen, welche von dem von Ihnen beauftragten Screening-Anbieter eingeholt wurden, befinden. Ihr DPO wird Sie zum weiteren Vorgehen in einer solchen Situation beraten können, wenn Sie sich unsicher sind, welche Informationen herauszugeben sind. Auch der DPO Ihres Subunternehmers, der aufgrund seiner Bearbeitung von in der Schweiz wohnhaften Personen dem neuen DSG untersteht, wird Sie unterstützen können.
Datum Aktualisierung : 26.11.2020
Datum Erstveröffentlichung: 26.10.2020
Autor: Mahandry Rambinintsoa, DPO – Aequivalent