Ausgangslage

Am 25. Mai 2018 tritt in der EU die neue Datenschutzgrundverordnung (nachfolgend „DSGVO“) in Kraft. Sie bezweckt auf der einen Seite den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, andererseits die Gewährleistung des freien Verkehrs personenbezogener Daten. Auch Schweizer Unternehmen können in den Anwendungsbereich der DSGVO fallen. Insbesondere vor dem Hintergrund der bei Verletzung der DSGVO drohenden Geldbussen von bis zu EUR 20 Mio. oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 DSGVO) empfiehlt sich für Schweizer Arbeitgeber eine intensive Auseinandersetzung mit dem Thema.

Schweizer Arbeitgeber haben die Bestimmungen der DSGVO zu beachten, sobald sie im EU-Raum personenbezogene Daten verarbeiten. Überdies fällt ein Schweizer Arbeitgeber unter die strengen Bestimmungen der DSGVO, wenn er das Verhalten von sich in der EU befindlichen Personen beobachtet. Dies kann der Fall sein, wenn in einem Konzernverhältnis ein Schweizer Unternehmen Mitarbeiter- oder Bewerberdaten von anderen sich im EU-Raum befindlichen Konzerngesellschaften hier in der Schweiz verarbeitet oder wenn ein Schweizer Unternehmen Daten am Standort einer Konzerngesellschaft im EU-Raum verarbeitet oder verarbeiten lässt. Schweizer Arbeitgeber unterliegen ferner auch dann der DSGVO, wenn sie das Verhalten von Arbeitnehmern oder Bewerbern im EU-Raum beobachten. Dies ist etwa dann der Fall, wenn bei Onlinestellenausschreibungen Webtracking eingesetzt wird, um das Verhalten von Stellensuchenden aus der EU zu analysieren.

Art. 88 DSGVO ermöglicht es den Mitgliedstaaten, im „Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags» auf nationaler Ebene spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten zu erlassen. Hat ein EU-Mitgliedstaat von der Möglichkeit zum Erlass spezifischer Vorschriften im Sinne von Art. 88 DSGVO Gebrauch gemacht und liegt in diesem Mitgliedstaat eine der soeben aufgeführten Tätigkeiten vor, sind auch diese Bestimmungen von Schweizer Arbeitgebern zu beachten.

In den beschriebenen Fällen gilt es für Schweizer Arbeitgeber insbesondere Folgendes zu beachten:

  • Es gilt der strenge Grundsatz der Rechenschaftspflicht (accountability), d.h. der Arbeitgeber muss die Einhaltung der datenschutzrechtlichen Regeln aktiv nachweisen können. Dies ergibt eine sogenannte Beweislastumkehr und erhöht den Dokumentationsaufwand innerhalb des Unternehmens massiv;
  • Falls der Arbeitgeber mehr als 250 Mitarbeiter beschäftigt, muss er ein Register der Bearbeitungstätigkeiten führen (Art. 30 DSGVO);
  • Der Arbeitgeber muss über angemessene organisatorische und technische Massnahmen verfügen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO)
  • Neu muss der Arbeitgeber der Aufsichtsbehörde (und in einigen Fällen auch der betroffenen Person) Meldung machen, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt (Art. 33 DSGVO)
  • Art. 9 DSGVO untersagt grundsätzlich die Verarbeitung besonders sensible Daten, namentlich in Bezug auf Rasse, ethnische Herkunft, politische Meinungen, Religion, Gewerkschaftszugehörigkeit oder Gesundheit und sexuelle Orientierung. Zulässig ist die Verarbeitung insbesondere bei Vorliegen einer ausdrücklichen Einwilligung oder wenn die Verarbeitung für die Ausübung der aus dem Arbeitsrecht oder dem Recht der sozia-len Sicherheit und des Sozialschutzes erwachsenden Rechte und Einhaltung der diesbezüglichen Pflichten erforderlich ist. In den Erwägungen der DSGVO ist festgehalten, dass die Verarbeitung solcher Daten zudem ausnahmsweise erlaubt sein sollte, wenn sie erforderlich ist, um rechtliche Ansprüche sei es in einem Verfahren geltend zu machen, auszuüben oder zu verteidigen.
  • Art. 13 bis 15 DSGVO beinhalten umfassende Informationspflichten und Auskunftsrechte mit einer Auflistung von Angaben, die der Verantwortliche der betroffenen Person bei der Verarbeitung personenbezogener Daten mitzuteilen hat. Ähnlich wie gestützt auf Art. 8 DSG ergibt sich daraus insbesondere ein Anspruch der betroffenen Person auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.
  • Weiter stehen den betroffenen Personen das Recht auf Berichtigung und Löschung der personenbezogenen Daten (Art. 16 und 17 DSGVO), das Rechts auf Einschränkung der Verarbeitung (Art. 19 DSGVO) und das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) zu.
  • Art. 22 DSGVO gewährleistet das Recht der betroffenen Person auf „menschliches Gehör“ das heisst, nicht einer ausschliesslich auf einer automatisierten Verarbeitung (einschliesslich Profiling) beruhenden Entscheidung ohne menschliches Eingreifen unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Solche automatisierten Auswertungsvorgänge können bspw. bei der Analyse oder Prognose von Aspekten der Leistungen von Arbeitnehmern vorkommen oder in einem Online-Einstellungsverfahren. Auch von diesem Grundsatz kann unter bestimmten Voraussetzungen abgewichen werden.
  • Ferner ist Art. 35 DSGVO zur Datenschutz-Folgenabschätzung zu beachten. Eine solche ist vorab durchzuführen, wenn Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Vorgeschrieben ist dies bspw. bei umfangreicher Verarbeitung besonders sensibler Daten nach Art. 9 DSGVO, sollte wohl aber auch bei automatisierten Vorgängen im Sinne von Art. 22 DSGVO zur Anwendung gelangen.

Revision des Schweizer Datenschutzgesetzes

Viele dieser Bestimmungen sind in ähnlicher aber teils nur abgeschwächten Form und Ausgestaltung im Schweizer Bundesgesetz über den Datenschutz (nachfolgend „DSG“) zu finden. So sieht auch das DSG eine Informationspflicht des Dateninhabers (Art. 14 DSG) sowie Auskunftsrechte der betroffenen Personen (Art. 8 DSG) vor.

Aktuell wird das DSG revidiert. Hintergrund ist die Stärkung des Datenschutzes und die Anpassung an die veränderten technologischen und gesellschaftlichen Verhältnisse. Die Transparenz der Datenbearbeitung soll verbessert und die Selbstbestimmung der betroffenen Personen über ihre Daten gestärkt werden. Im Weiteren soll mit der Revision des DSG das Schweizer Recht an die Entwicklungen in der EU und im Europarat angepasst. Insbesondere wird sichergestellt, dass die freie Datenübermittlung zwischen Schweizer und EU Unternehmen gewährleistet bleibt. Die DSGVO sieht in Art. 45 vor, dass eine Übermittlung personenbezogener Daten an ein Drittland (wie z.B. die Schweiz) nur vorgenommen werden darf, wenn ein dieser Staat ein angemessenes Schutzniveau bietet. So hat das in Art. 22 DSGVO vorgesehene Recht auf „menschliches Gehör“ mit Art. 15 (Informations- und Anhörungspflicht bei einer automatisierten Einzelentscheidung) Eingang in den Revisionsentwurf gefunden. Das revidierte DSG sieht in Art. 16 des Entwurfs auch eine Datenschutzfolgenabschätzung vor.

Insbesondere die Einführung des «Profiling» gemäss Art. 4 lit. f DSG und damit die Angleichung an das EU-Recht könnte im arbeitsrechtlichen Kontext relevant sein. Unter Profiling versteht man die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, bspw. um die Arbeitsleistung zu analysieren oder vorherzusagen. Diese Analyse kann bspw. erfolgen, um herauszufinden, ob eine Person für eine bestimmte Tätigkeit geeignet ist.

Neu ist, dass gemäss revidiertem DSG zur Verbesserung der Transparenz die Informationspflicht nunmehr bei allen Bearbeitungen durch private Verantwortliche (und nicht mehr nur bei besonders schützenswerten Daten) zum Tragen kommen soll. Allerdings kann die Information gemäss Botschaft des Bundesrats in einfacher, standardisierter Weise erfolgen.

Im Vergleich zur DSGVO sind die im DSG vorgesehenen Sanktionen geradezu moderat. Bei Verstössen gegen DSG-Bestimmungen können Bussen von maximal CHF 250‘000 ausgesprochen werden.

Wann das neue DSG in Kraft treten wird, kann im aktuellen Zeitpunkt nicht abgeschätzt werden.