Mitarbeiterdaten: Was ändert sich mit dem revidierten DSG?
Passende Arbeitshilfen
Das datenschutzrechtliche Auskunftsrecht
Worum geht es?
Mitarbeitende haben das Recht, vom Arbeitgeber umfassend Auskunft darüber zu verlangen, welche Personendaten über sie bearbeitet werden und darüberhinausgehend noch weitere Informationen zu den Datenbearbeitungen zu erhalten. Dieses datenschutzrechtliche Auskunftsrecht dient der Transparenz und bildet die Basis dafür, dass die Mitarbeitenden sich gegen allfällige unzulässige Datenbearbeitungen zur Wehr setzen können.
Mit Inkrafttreten des revidierten DSG kommen einige Neuerungen, die Auswirkungen auf die Behandlung von Auskunftsbegehren haben. Im Folgenden werden die grundsätzlichen Voraussetzungen an die korrekte Behandlung von Auskunftsbegehren im Personalbereich zusammengefasst und zudem auf die geänderten Bestimmungen des revidierten DSG verwiesen.
Erste Schritte bei Eingang eines Auskunftsbegehrens
Mitarbeitende haben nur das Recht auf Auskunft betreffend die eigenen Personendaten. Das Auskunftsrecht ist ein sogenanntes «höchstpersönliches Recht», weshalb die Auskunft nur der betroffenen Person selbst oder einem in ihrem Auftrag handelnden Rechtsvertreter erteilt werden darf, der eine ausreichende Vollmacht nachweisen muss.
Falls die gesuchstellende Person nicht bekannt ist, was bei grösseren Unternehmen durchaus der Fall sein kann, muss diese daher zuerst identifiziert werden, bevor die Auskunft erteilt wird. Dies kann mit einer Kopie eines amtlichen Ausweises erfolgen. Gerade im Arbeitsbereich ist eine zuverlässige Identifikation aber auch mit anderen, weniger formalistischen, Nachweisen möglich. Zu denken ist dabei insbesondere an interne Firmen-Ausweise, die durch das Unternehmen selbst nach einem standardisierten Prozess vergeben werden oder an die Angabe der Personalnummer, allenfalls verbunden mit weiteren persönlichen Informationen wie z.B. das Geburtsdatum.
Unmittelbar nach dem Eingang eines Auskunftsgesuchs sollte zudem geprüft werden, ob die Auskunft aufgrund von entgegenstehenden gesetzlichen Pflichten oder überwiegenden Interessen des Arbeitgebers oder Dritter verweigert, eingeschränkt oder aufgeschoben werden muss. Gemäss dem revidierten DSG müssen auch offensichtlich unbegründete oder querulatorische Auskunftsgesuche nicht beantwortet werden.
Passende Produkt-Empfehlungen
Da Auskunftsgesuche innerhalb einer 30-tägigen Frist beantwortet werden müssen, empfiehlt es sich, die Zuständigkeiten und die Prozesse klar zu regeln. Kann die Frist nicht eingehalten oder kann die Auskunft nicht bzw. nicht in vollem Umfang erteilt werden, muss der Arbeitgeber die betroffene Person darüber innerhalb der 30-tägigen Frist informieren und ihr mitteilen, wann sie mit der Auskunft rechnen kann.
In der Praxis hat es sich bewährt, bei einem Auskunftsgesuch nachzufragen, ob die betroffene Person tatsächlich Auskunft über alle Daten haben möchte, die über sie bearbeitet werden. Häufig möchten Personen, die Auskunftsgesuche nach dem DSG stellen, nur Informationen über Personendaten im Zusammenhang mit bestimmten Vorfällen oder einzelnen Datenbearbeitungen. Denkbar wäre beispielsweise, dass ein Mitarbeitender ausschliesslich wissen möchte, welche Daten im Personaldossier geführt werden. Die Botschaft zum revidierten DSG verweist ausdrücklich darauf, dass der Auskunftspflichtige, der eine grosse Menge an Personendaten bearbeitet, von der berechtigten Person verlangen kann, dass sie präzisiert, worauf sich ihr Auskunftsgesuch genau bezieht.
Inhalt und Form der Auskunft
Bezieht sich das Auskunftsgesuch auf alle Mitarbeiterdaten, die der Arbeitgeber bearbeitet oder auf alle Daten, die im Personaldossier geführt werden, dann muss die Information tatsächlich umfassend erteilt werden.
Das revidierte DSG bringt neue bzw. geänderte Bestimmungen betreffend den Umfang der Auskünfte, die einem Gesuchsteller übermittelt werden müssen. Die folgende Tabelle zeigt in einer Gegenüberstellung die Anforderungen des geltenden und des revidierten DSG.
Geltendes DSG | Revidiertes DSG |
---|---|
Alle Informationen, die erforderlich sind, damit die betroffene Person ihre Rechte nach dem DSG geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. [Hinweis: Diese Generalklausel kann bei komplexen Datenbearbeitungen dazu führen, dass mehr als die unten genannten Mindestinformationen gegeben werden müssen.] | |
Identität und Kontaktdaten des Verantwortlichen [Hinweis: Der Verantwortliche ist die juristische Person, die über die Zwecke und Mittel der Datenbearbeitung bestimmt – dies ist im Personalbereich der Arbeitgeber. Zusätzliche Verantwortliche können beispielsweise in Konzernverhältnissen vorliegen, wenn Personaldaten auch für die Zwecke der Muttergesellschaft bearbeitet werden und diese allenfalls auch bestimmt, dass die Daten in einem zentralen HR-System gehostet werden.] | |
Kategorien der an der Sammlung Beteiligten | |
Alle über die betroffene Person in einer Datensammlung vorhandenen Daten | Die bearbeiteten Personendaten als solche |
Kategorien der bearbeiteten Personendaten | |
Der Bearbeitungszweck | Der Bearbeitungszweck |
Gegebenenfalls die Rechtsgrundlage | |
Angaben über die Herkunft der Daten, falls verfügbar (d.h. falls dies dokumentiert wurde) | Die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden [Hinweis: Das bedeutet, dass nur dann Angaben über die Herkunft gemacht werden müssen, wenn diese Information auch dokumentiert wurde.] |
Kategorien der Datenempfänger | Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden |
Die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer | |
Gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht |
Im Gegensatz zum geltenden DSG sieht das revidierte DSG nicht vor, dass Auskunftsgesuche schriftlich beantwortet werden müssen. Zudem spricht das revidierte DSG nicht mehr von Kopien von Dokumenten, sondern verpflichtet zur Auskunft über die «bearbeiteten Personendaten als solche». Damit möchte der Gesetzgeber klarstellen, dass nicht Dokumente, sondern eine Aufstellung der bearbeiteten Personendaten verlangt werden kann. Ob schlussendlich nach dem revidierten DSG keine Kopien von Dokumenten mehr herausgegeben werden müssen, wird sich erst nach dem Erlass der revidierten Verordnung zeigen. Insbesondere im Hinblick auf die in der obenstehenden Tabelle zitierte Generalklausel des revidierten DSG werden wohl auch weiterhin zumindest teilweise Kopien von Dokumenten herausgegeben werden müssen.
Das Recht auf Berichtigung oder Löschung
Mitarbeitende können verlangen, dass unrichtige Daten, die über sie gespeichert sind, berichtigt werden. Lässt sich die Richtigkeit von Daten nicht zweifelsfrei feststellen, kann ein entsprechender Vermerk verlangt werden.
Das Recht, die Löschung der eigenen Daten zu verlangen, besteht zwar, es gilt aber nicht uneingeschränkt. Es gibt in der Schweiz kein bedingungsloses «Recht auf Vergessenwerden».
Wird ein Unternehmen mit einem Löschgesuch eines aktuellen oder ehemaligen Mitarbeitenden konfrontiert, muss geprüft werden, ob die Daten überhaupt gelöscht werden dürfen. Gesetzliche Aufbewahrungs- und Archivierungsfristen verbieten eine Löschung. Wird die Löschung von Mitarbeiterdaten verlangt, die der Arbeitgeber als Beweismittel für einen unmittelbar drohenden Rechtsstreit benötigt, muss er diese ebenfalls nicht löschen.
Prozesse definieren und Verantwortlichkeiten festlegen
Für eine systematische Umsetzung der gesetzlichen Vorgaben empfiehlt es sich, interne Prozesse aufzusetzen. Insbesondere folgende Fragen müssen geklärt werden:
- Wer soll für die Beantwortung zuständig sein?
- Welche Personen und Stellen müssen mitwirken?
- Wie erfolgt die Fristenkontrolle?
- Wie wird sichergestellt, dass alle betroffenen Daten erfasst werden?
- Welche (gesetzlichen) Pflichten oder überwiegenden Interessen können einem Gesuch entgegenstehen?
Im Folgenden wird als Beispiel eine Checkliste für einen Prozess zur Beantwortung eines Auskunftsgesuchs dargestellt:
Checkliste
- Eingang des Auskunftsbegehrens / Festlegung des Eingangsdatums: Dadurch wird sichergestellt, dass die 30-tägige Frist zur Beantwortung eingehalten werden kann.
- Weiterleitung an die intern zuständige Stelle.
- Identifikation der gesuchstellenden Person und gegebenenfalls Prüfung der Vollmacht.
- Ermittlung der Frist zur Beantwortung des Auskunftsbegehrens.
- Kann aus irgendeinem Grund die 30-tägige Frist zur Beantwortung des Auskunftsbegehrens nicht eingehalten werden, muss der Gesuchsteller umgehend darüber informiert werden. Zusätzlich muss ihm die neue Frist mitgeteilt werden.
- Prüfen, ob und welche Personendaten über die gesuchstellende Person bearbeitet werden. Einbezug der notwendigen Stellen im gesamten Unternehmen.
- Falls keine Personendaten über die betroffene Person bearbeitet werden, wird die betroffene Person darüber informiert.
- Falls Personendaten bearbeitet werden, müssen alle Personendaten und Dokumente zusammengetragen werden.
- Es muss geprüft werden, ob Gründe für eine Verweigerung, eine Einschränkung oder einen Aufschub der Auskunft vorliegen.
- Wird das Auskunftsrecht nicht eingeschränkt, muss die betroffene Person alle Informationen erhalten, die sie benötigt, um ihre Rechte geltend zu machen.
- Erteilung der Auskunft, gegebenenfalls unter Verwendung von Musterschreiben.
Empfehlungen
Gemäss dem geltenden DSG aber auch mit Inkrafttreten des revidierten DSG sind Unternehmen dazu verpflichtet, die Rechte aller betroffenen Personen zu wahren. Insbesondere im Hinblick darauf, dass die vorsätzliche falsche oder unvollständige Beantwortung von Auskunftsbegehren strafrechtliche Folgen haben kann, ist es für Unternehmen empfehlenswert, entsprechende interne Prozesse aufzusetzen. Das fördert effiziente betriebliche Abläufe und ist zudem ein Ausdruck eines wertschätzenden und sorgfältigen Umgangs mit Mitarbeiterdaten.