Neues Datenschutzgesetz: Handlungsbedarf auch im HR

Das geltende Datenschutzgesetz (DSG) ist aufgrund der rasanten technologischen Entwicklung, die schon weit vor der Covid-Pandemie einsetzte, nicht mehr zeitgemäss. Mit der Totalrevision wird das DSG deshalb den veränderten technologischen und gesellschaftlichen Verhältnissen angepasst. Gleichzeitig soll das neue Gesetz den Schweizer Datenschutz auf das Niveau der Europäischen Union (EU) und damit der EU-Datenschutzgrundverordnung (DSGVO) bringen. Diese Annäherung ist gerade deshalb zentral und wichtig, damit die Schweiz von der EU auch weiterhin als Drittstaat mit angemessenem  Datenschutzniveau anerkannt wird und damit die grenzüberschreitende Datenübermittlung auch künftig ohne weitere Hürden möglich bleibt.

Stichtag 1. September 2023

Am 25. September 2020 hat das Parlament in Bern die Totalrevision des neuen DSG verabschiedet. Seit der Medienmitteilung des Bundesamts für Justiz vom 3. März 2022 ist bekannt, dass vorgesehen ist, die neue Datenschutzgesetzgebung auf den 1. September 2023 in Kraft zu setzen. Der dafür notwendige Entscheid des Bundesrats ist allerdings noch ausstehend. Wichtig ist zu wissen: Das Gesetz kennt im Grundsatz keine Übergangsfristen.  Unternehmen sind somit gehalten, die notwendigen Anpassungen an ihren Datenbearbeitungsprozessen rechtzeitig vorzunehmen und für die notwendige Governance zu sorgen.

Sinn und Zweck des neuen DSG

Das neue DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte natürlicher Personen, deren Personendaten bearbeitet werden. Dagegen entfällt der Schutz von juristischen Personen. Es sollen insbesondere die Transparenz von Datenbearbeitungen verbessert und die Selbstbestimmung der betroffenen Personen über ihre Personendaten gestärkt werden. Im Geschäftsalltag führt dies dazu, dass Unternehmen, die von ihren Kunden, Geschäftspartnern oder Mitarbeitenden Personendaten bearbeiten (sog. Verantwortliche) oder entsprechende Daten auf ihr Businessmodell gestützt für Dritte bearbeiten (sog. Auftragsdatenbearbeiter), die ihnen gemäss Gesetz auferlegten Pflichten einzuhalten haben. Der Aufwand zur Datenschutz-Compliance steigt mit dem neuen DSG.

Was ist neu einzuhalten?

Die gute Nachricht vorweggenommen: Im privaten Bereich gilt weiterhin, dass für die Personendatenbearbeitung grundsätzlich weder eine Einwilligung noch ein sonstiger Rechtfertigungsgrund erforderlich ist. Ein Rechtfertigungsgrund ist nur dann notwendig, wenn entweder die Bearbeitungsgrundsätze nicht eingehalten werden, die betroffene Person der Bearbeitung widerspricht oder besonders schützenswerte Personendaten Dritten mitgeteilt werden sollen. Hier weicht das Schweizer Datenschutzrecht von der DSGVO ab, die in jedem Fall einen Rechtfertigungsgrund voraussetzt.

Eine Umsetzungshilfe für eine risikobasierte Umsetzung dieser Neuerungen ist der Massnahmekatalog (Download-URL siehe «Links» am Artikelende) von Balmer-Etienne AG. Aus diesem ist zusätzlich zu entnehmen, welche Datenschutzgrundsätze mit Busse bedroht sind.

Auch Personalabteilungen sind gefordert

Die Personalabteilung bearbeitet eine Vielzahl natürlicher Personendaten. Es betrifft dies etwa die Daten aus Bewerbungen oder Daten aktiver oder ehemaliger Beschäftigter. Die Datenmenge ist in aller Regel genauso beträchtlich wie der Bearbeitungszeitraum. Zudem werden im HR stets besonders
schützenswerte Personendaten wie namentlich Daten über die Gesundheit bearbeitet. Diese Daten gilt es wie bisher zu schützen (Merkblätter dazu siehe «Links» am Artikelende).

Im Kontext der Digitalisierung und damit der Verwendung neuer Technologien sowohl bei der Rekrutierung als auch im Personalbereich generell ist vorgängig jeder Prozess einzeln auf die Einhaltung des neuen DSG zu prüfen.

Personen sind im Zusammenhang mit ihrer Bewerbung für eine zu besetzende Stelle angemessen über die Beschaffung ihrer Daten zu informieren, was vorzugsweise durch eine Datenschutzerklärung erfolgen kann. Die Informationspflicht besteht unabhängig davon, ob die Bewerbung per Post, E-Mail, über ein öffentliches Jobportal, die eigene Website oder ein Softwaretool etc. erfolgt. Dabei sind im Minimum erstens die Identität und die Kontaktdaten des Unternehmens als Verantwortliche, zweitens der Bearbeitungszweck sowie drittens gegebenenfalls die Empfänger oder Kategorie der Empfänger, denen die Personendaten bekanntgegeben werden (z.B. Software-Partner, Clouddienstleister), mitzuteilen. Sofern die Personendaten ins Ausland bekanntgegeben werden oder über die Bewerbung automatisiert entschieden wird (sog. automatisierte Einzelentscheidung durch Einsetzen von Tools mit KI), erweitert sich die Informationspflicht entsprechend. Vorsicht ist zudem geboten bei Bewerbungen minderjähriger Personen. Darüber hinaus ist darauf zu achten, dass nur die Daten erhoben werden, die für die zu besetzende Stelle notwendig sind (sog. Datenminimierungspflicht). Die Daten sind – entsprechend dem aktuellen
Stand der Technik – sicher zu bearbeiten und der Zugriff auf sie ist auch innerhalb des Unternehmens zu beschränken.

Sofern sich (potenzielle) Job-Interessierte bei einem Karrierepool, Job-Newsletter oder Ähnlichem registrieren können, hat dies nach vorgängiger,  angemessener Information, vorzugsweise durch Einwilligung nach dem Prinzip des «Double-Opt-In»-Verfahrens, zu erfolgen. Damit können namentlich der Identitätsdiebstahl und das damit zusammenhängende Missbrauchspotenzial minimiert werden. Stets wichtig ist schliesslich der Hinweis, dass eine Einwilligung jederzeit widerrufbar ist und der Widerruf einfach möglich sein muss (z.B. durch einen Widerrufs-Link am Ende des Job-Newsletters).

Digitalisierte Prozesse, z.B. ein digitales Personaldossier, entlasten zwar den Personalbereich, stellen diesen datenschutzrechtlich jedoch vor erhebliche
Herausforderungen. Jede Fachabteilung, so auch das HR, muss mit der IT bei der Prozessplanung, -einführung und -kontrolle eng zusammenarbeiten, um die Zweckgebundenheit der erhobenen Daten sowie deren weitere Bearbeitung zu dokumentieren. Die HR-Verantwortlichen wissen am besten, welche Daten für welchen Zweck durch wen, wo und für wie lange bearbeitet werden (dürfen).

Wer wird wofür bestraft?

Die Strafbestimmungen wurden im neuen DSG deutlich verschärft. Strafbewehrt ist ein vorsätzliches Handeln. Die Bussen bis zu 250 000 Franken richten sich gegen die verantwortlichen natürlichen Personen in einem Unternehmen. Sie sind aktuell weder versicherbar noch darf sie das Unternehmen bezahlen. Als verantwortliche Person innerhalb eines Unternehmens sind dies Führungspersonen, die für die Einhaltung des DSG verantwortlich sind. Dies kann bei Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten sowie Verletzung von Sorgfaltspflichten in der Personalabteilung die HR-leitende Person sein, bei der Verletzung der beruflichen Schweigepflicht aber auch die übrigen Beschäftigten. Davon ausgehend, dass die meisten Straffälle unter dem DSG das Auskunftsrecht betreffen könnten, sind die HR-Prozesse insbesondere in diesem Punkt zu aktualisieren. Es ist zu erwarten, dass auch zukünftig viele arbeitsrechtliche Streitfälle mit der Anfrage auf Einsicht in das Personaldossier beginnen werden.

Fazit

Der Einzug der Digitalisierung im HR nimmt die Personalabteilung in die Pflicht, ihre Prozesse – sei es bei der Rekrutierung oder beim digitalen  Personaldossier (siehe dazu auch «Links») – risikobasiert zu aktualisieren. Die Prozesse sind in Zusammenarbeit mit der IT vor dem 1. September 2023 dem neuen DSG anzupassen; dabei sind die neuen, erhöhten Datenschutz-Compliance-Anforderungen wie Informationspflichten, Datentransfer ins Ausland oder Nennung von heiklen Datenbearbeitungen unternehmensintern frühzeitig – gegebenenfalls mit externer Beratung – anzupacken. Zu dieser Verantwortung gehört auch, die Mitarbeitenden entsprechend zu schulen und zu sensibilisieren. Damit lassen sich Reputationsschäden sowie aufwendige
Straf- und Verwaltungsverfahren vermeiden. Die dafür notwendigen personellen und finanziellen Ressourcen sind im Budgetprozess zu berücksichtigen.