Login
Kostenlos starten
Menu
Login
Kostenlos starten

Datenschutz und korrekter Umgang mit Mitarbeiterdaten

Simon Grenacher
Freitag, 10. Januar 2020

Als Arbeitgeber wissen Sie naturgemäss viel über Ihre Mitarbeitenden. Obwohl diese Informationen in aller Regel für das Arbeitsverhältnis unablässig sind, so sind sie dennoch stets sehr persönlich und damit absolut schutzwürdig.

Dessen ist sich auch der Gesetzgeber bewusst und legt daher in Art. 328b OR fest: «Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Im Übrigen gelten die Bestimmungen des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz.»

Wie oft bei Gesetzestexten, ist auch der Art. 328b OR etwas «schwammig» formuliert. Ich will daher in der Folge einen kurzen Überblick über die Praxis und den Bezug zum Datenschutzgesetz (DSG) verschaffen.

Die Bearbeitung von Mitarbeiterdaten ist grundsätzlich zulässig

Als Arbeitgeber dürfen Sie selbstverständlich persönliche Daten über Ihre Mitarbeitenden bearbeiten.

Dennoch schränkt das Gesetz die Datenbearbeitung im Arbeitsverhältnis auf zwei – wenn auch sehr breite – Anwendungsgebiete ein. Die Datenbearbeitung darf erstens nur zur Prüfung der Eignung des Arbeitnehmers (vor allem während des Auswahl- und Anstellungsprozesses) oder zweitens zur eigentlichen Durchführung des Arbeitsvertrages vorgenommen werden. Zusätzlich gelten die Bestimmungen des Datenschutzgesetzes (Art. 2 DSG).

In der Praxis landen Mitarbeiterdaten in aller Regel in den Personaldossiers. Diese spielen daher beim Datenschutz im Arbeitsrecht klar die Hauptrolle.

Inhalt des Personaldossiers

Unter dem Personaldossier werden in erster Linie diejenigen Akten (egal in welcher Form) verstanden, welche von der Personalabteilung erstellt und verwaltet werden. Zum Personaldossier gehört aber auch, was ausserhalb der offiziellen Akten, z.B. direkt beim Vorgesetzten, aufbewahrt wird. Dies gilt insbesondere auch für alle elektronisch verarbeiteten Informationen in HR-Systemen, in der Lohnsoftware, in der Software für die Zeiterfassung etc.

Die Arbeitnehmer haben ein Einsichtsrecht in ihr Personaldossier und können unrichtige Einträge berichtigen lassen. Das gilt im Prinzip auch für «geheime» Personalakten, auch wenn sie diese meist nicht kennen. Solche sogenannt «graue Dossiers» sind daher gesetzlich unzulässig.

Inhaltlich gehört zum Personaldossier alles, was der Arbeitgeber über seine Mitarbeitenden aufzeichnet. Das sind: Bewerbungsunterlagen (Lebenslauf, Zeugnisse, Referenzauskünfte, Eignungsabklärungen), Anstellungsvertrag, Stellenbeschreibung, Vertragsänderungen, Beförderungen, Mitarbeiterbeurteilungen, Lohnausweise, Spesenabrechnungen, Lohnerhöhungen, Bonusberechnungen, Krankmeldungen, Arztzeugnisse, Ferien- und Urlaubsanträge, Ausbildungsvereinbarungen, Ausbildungszertifikate, Abmahnungen, Kündigungsschreiben, Austrittsvereinbarungen und einiges mehr.

Ebenfalls zum Personaldossier im rechtlichen Sinn gehört die Arbeitszeit- und Ferienkontrolle. Die lückenlose Erfassung der Arbeitszeit ist im Arbeitsgesetz – wie wir seit meinem Blogbeitrag «Die Pflicht zur Arbeitszeiterfassung für Dienstleister» wissen – vorgeschrieben.

Das Personaldossier ist eine typische Form einer sogenannten Datensammlung im Sinne des Datenschutzgesetzes. Das Dossier gilt in der Regel als Persönlichkeitsprofil gemäss Datenschutzgesetz und enthält – wie oben bereits erwähnt – besonders schützenswerte Personendaten.

Pflichten bei der Bearbeitung von Arbeitnehmerdaten

Die im Personaldossier aufbewahrten Daten müssen richtig sein (Art. 5 DSG). Dies muss der Arbeitgeber periodisch prüfen, zum Beispiel bei der Wohnadresse oder beim Zivilstand. Wie schon erwähnt, hat der Mitarbeitende selbst das Recht, seine im Dossier gespeicherten Daten auf ihre Korrektheit hin zu prüfen.

Weiter muss das Personaldossier durch angemessene technische und organisatorische Massnahmen gegen eine unbefugte Bearbeitung oder Kenntnisnahme geschützt sein (Art. 7 Abs. 1 DSG). Zur legalen Bearbeitung befugt sind die Personalabteilung sowie die Vorgesetzten des Mitarbeitenden. Physisch vorhandene Dokumente müssen verschlossen aufbewahrt werden und elektronische Personaldaten sind mit Zugriffsberechtigungen zu schützen.

Referenzen und Auskünfte an Dritte

Die Bekanntgabe von Daten über den Arbeitnehmer an Dritte ohne seine Einwilligung oder ohne gesetzliche Verpflichtung stellt eine unzulässige Persönlichkeitsverletzung dar (Art. 12 DSG). Eine gesetzliche Verpflichtung zur Datenbekanntgabe besteht allerdings gegenüber Behörden und Versicherern (zum Beispiel AHV, IV, UVG etc.).

Auskünfte an Arbeitskollegen, an Angehörige (zum Beispiel an den Ehepartner im Zusammenhang mit einem Scheidungsverfahren) oder an Gläubiger des Arbeitnehmers sind ebenfalls unzulässig.

Auch Referenzen dürfen nur mit Zustimmung des Arbeitnehmers eingeholt oder erteilt werden.

Auskunfts- und Berichtigungsrecht des Mitarbeitenden selbst

Der Arbeitnehmer hat ein Auskunftsrecht über den Inhalt seines Personaldossiers (Art. 8 Abs. 1 DSG). Es sind ihm Ausdrucke oder Fotokopien zur Verfügung zu stellen. Ein Anspruch auf Einsicht in das physische Personaldossier vor Ort besteht jedoch nicht.

Das Auskunftsrecht kann nur ausnahmsweise unter Berufung auf ein besonderes Geheimhaltungsbedürfnis des Arbeitgebers verweigert werden (Art. 9 Abs. 4 DSG).

Unrichtige Einträge (zum Beispiel belastende, unrichtige Aktennotizen zur Leistung oder dem Verhalten) kann der Arbeitnehmer berichtigen lassen (Art. 5 Abs. 2 DSG). Sein Berichtigungsanspruch bezieht sich jedoch nur auf Tatsachenbehauptungen und nicht auf Werturteile.

Aufbewahrung und Vernichtung von Personaldossiers

Daten dürfen nur solange aufbewahrt werden, wie sie der Arbeitgeber praktisch benötigt. Somit müssen Daten bereits während eines laufenden Arbeitsverhältnisses regelmässig vernichtet werden. Der eidgenössische Datenschutzbeauftragte (EDÖB) empfiehlt, die Personaldaten mindestens alle zwei Jahre auf ihre Notwendigkeit und auf ihre Richtigkeit hin zu prüfen.

Nach Beendigung des Arbeitsverhältnisses ist das Personaldossier zu vernichten. Ausgenommen sind Unterlagen, die aus sozialversicherungs- oder steuerrechtlichen Gründen aufbewahrt werden müssen. Ausgenommen sind auch Unterlagen, die zur Wahrnehmung der Zeugnispflicht erforderlich sind, sowie Informationen, die der Arbeitgeber zur Durchsetzung oder Abwehr von Ansprüchen gegenüber dem Arbeitnehmer benötigt (z.B. Durchsetzung eines Konkurrenzverbots). Die legale Aufbewahrungsdauer hängt von den Umständen ab. Nach maximal 10 Jahren nach Beendigung des Arbeitsverhältnisses sind jedoch alle Unterlagen zu vernichten.

Bewerbungsunterlagen gehören dem Arbeitnehmer und sind ihm bei Vertragsende zurückzugeben. Abgewiesenen Bewerbern sind die Bewerbungsunterlagen unverzüglich nach Absage zurückzugeben und alle Kopien müssen vernichtet werden.

Transfer von Arbeitnehmerdaten ins Ausland

Personaldaten dürfen nur in Länder transferiert werden, die über einen der Schweiz vergleichbaren und angemessenen Datenschutz verfügen. Das ist in allen Ländern der EU der Fall, nicht jedoch z.B. in den USA. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte führt eine Liste, auf welcher alle Länder mit angemessenem Datenschutz aufgelistet sind (https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html).

Was gilt beim Outsourcing der Datenbearbeitung?

Die Führung eines elektronischen Personaldossiers oder die Abrechnung der Löhne dürfen auf einen externen Dienstleister übertragen werden (sog. Outsourcing). Dies ist im Rahmen eines Auftrags zur Datenbearbeitung zulässig, sofern der Dienstleister ausschliesslich im Auftrag des Arbeitgebers handelt und keine eigene Bearbeitung oder Verwertung der Daten vornimmt. Logischerweise darf er die so gewonnenen Daten auch keinesfalls an Dritte weitergeben.

Die Pflichten des Dienstleisters sind in einem schriftlichen Vertrag festzuhalten. Der Arbeitgeber muss sich dabei vergewissern, dass der Dienstleister die Datensicherheit gewährleistet und die Mitarbeiterdaten entsprechend schützt.

Sind diese Voraussetzungen erfüllt, so ist keine Zustimmung der Arbeitnehmer zum Outsourcing erforderlich. Es ist auch nicht notwendig, die Arbeitnehmer darüber zu informieren.

Disclaimer

Die proles solutions ag verwendet alle Sorgfalt darauf, dass die Inhalte auf dem prolesBlog zum Zeitpunkt der Veröffentlichung im Internet korrekt sind. Sie kann jedoch keine Gewährleistung für die Richtigkeit und Vollständigkeit der Inhalte abgeben. Ausgeschlossen ist zudem jegliche Haftung für Schäden jeder Art, die durch die Nutzung oder die Nichtnutzung der auf dem prolesBlog zur Verfügung gestellten Informationen verursacht worden sind.

Zur Erweiterung des Informationsangebots befinden sich auf dem prolesBlog auch Links auf Informationsangebote von Dritten. proles solutions ag hat keinerlei Einfluss auf Inhalt und Gestaltung dieser verlinkten Webseiten; diese liegen ausserhalb des Verantwortungsbereichs der proles solutions ag. Wenn Sie solche Links anklicken, verlassen Sie den prolesBlog und nutzen die Webseiten Dritter auf eigene Verantwortung. Die proles solutions ag lehnt jegliche Haftung für den Inhalt und Betrieb von verlinkten Seiten ab.

proles-Newsletter abonnieren

Aktuelle Beiträge zu Projektmanagement-Software, Digitalisierung, Unternehmensführung, Projektmanagement, Büroorganisation, Produktivität und Zeitmanagement. Spannende Inhalte über unsere Projektmanagement-Software proles (News, Produkterweiterungen, Tipps und Tricks).

proles-Newsletter abonnieren

Weitere Blogbeiträge

in der Rubrik Praxistipps

Newsletter abonnieren