Am 1. September 2023 treten die neuen Bestimmungen des revidierten Datenschutzgesetzes in Kraft. Das aktuelle Schweizer Datenschutzgesetz stammt aus dem Jahr 1992. Aufgrund der fortschreitenden Digitalisierung von Wirtschaft und Gesellschaft war es für die Schweiz notwendig, die neuen Formen des Konsums (Soziale Netzwerke, Online-Shopping etc.) an die technologischen Entwicklungen (Künstliche Intelligenz und Digitalisierung) und die internationalen Standards, insbesondere an diejenigen im EU-Raum, anzupassen.
Änderungen
Das revidierte Datenschutzgesetz und die Datenschutzverordnung bringen vor allem für die Unternehmen, respektive die Arbeitgebenden neue Verpflichtungen. Was heisst das für die Arbeitnehmenden?
Mit dem neuen Gesetz werden insbesondere die Informationspflichten sowie die Betroffenenrechte ausgebaut. So müssen Arbeitgebende neu über eine Datenschutzerklärung verfügen, in der sie die Mitarbeitenden darüber informieren:
- Welche Personendaten bearbeitet werden?
- Zu welchem Zweck?
- Ob und falls ja, wem die Personendaten bekannt gegeben werden?
- Wie lange die Daten aufbewahrt werden?
- Welche Rechte die Mitarbeitenden im Zusammenhang mit ihren Daten haben?
Ausserdem wird neu das sogenannte «Profiling» geregelt. Unter Profiling wird jede Art der automatisierten Bearbeitung von Personendaten verstanden, mit der bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen (z.B. Arbeitsleistung, wirtschaftliche Situation, Gesundheit, Interessen oder Aufenthaltsort), bewertet, analysiert oder vorhergesagt wird. Automatisiert bedeutet, dass eine computergestützte Analyse von Personendaten erfolgt, beispielsweise mithilfe eines Computeralgorithmus. Im Arbeitsverhältnis denkbar ist zum Beispiel, dass mittels eines Computeralgorithmus und Auswertung von Mitarbeiterdaten diejenigen Mitarbeitenden eruiert werden sollen, die befördert werden.
Wenn mit dieser automatisierten Verknüpfung von Daten, die Beurteilung wesentlicher Aspekte der Persönlichkeit von Mitarbeitenden möglich ist, ist die Rede von einem Profiling mit hohem Risiko für die Persönlichkeit und die Grundrechte der betroffenen Person. In diesem Fall braucht es die ausdrückliche Einwilligung der entsprechenden Person.
Welche Daten darf ein Arbeitgebender von mir bearbeiten?
Grundsätzlich dürfen Arbeitgebende diejenigen Daten über ihre Mitarbeitenden bearbeiten, die die Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Die Daten müssen vernichtet oder anonymisiert werden, sobald sie zum Zweck der Bearbeitung nicht mehr notwendig sind.
Dabei geht es mehrheitlich um folgende Daten:
- Stammdaten (Name, Adresse, Geburtsdatum, Nationalität, E-Mail- Adresse, Telefonnummer, Zivilstand, Anzahl Kinder, ID, Pass, Aufenthaltsbewilligung etc.)
- Bewerbungsunterlagen (Lebenslauf, Diplome, Zertifikate, Arbeitszeugnisse, Assessments und Eignungstests, Auskünfte von Referenzpersonen, Angaben über externe Mandate, Ämter und Funktionen etc.)
- Finanzdaten (Lohn und damit zusammenhängende Angaben, Bankkonto, Lohnabzüge, Sozialversicherungsbeiträge, Boni, Quellensteuer, Spesen, Familienzulage etc.)
- Datenansammlung während Arbeitsverhältnis (berufliche Leistungen, z.B. Mitarbeiterbeurteilung, Potential und Entwicklungen, Zwischenzeugnis, Arbeitszeiten, Abwesenheiten (Arztzeugnisse), Reisen, Mitgliedschaften, Schulungen, Gesprächsprotokolle, Verwarnungen etc.)
- Technische Daten (IP-Adresse des verwendeten Geräts und weitere Geräte-IDs)
Welche Rechte habe ich gegenüber dem Arbeitgebenden bezüglich meiner Daten?
- Recht auf Auskunft über sämtliche über Sie gesammelten Personendaten
- Recht auf Berichtigung, Vervollständigung oder Aktualisierung Ihrer Personendaten
- Recht auf Herausgabe oder Übermittlung Ihrer Daten in einem gängigen, lesbaren Format
- Recht auf Widerspruch, das heisst die Bearbeitung der eigenen Personendaten zukünftig einschränken zu lassen
- Recht auf Widerruf Ihrer einst erteilten Einwilligung der Datenbearbeitung
- Beschwerderecht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), wenn Sie mit der Datenbearbeitung nicht einverstanden sind
Dürfen meine Daten auf einer Cloud im Ausland gespeichert werden?
Ja, wenn der Bundesrat entschieden hat, dass die Gesetzgebung des entsprechenden Staates einen angemessenen Datenschutz gewährleistet. Es gibt dazu eine Liste des Bundesrates mit den entsprechenden Ländern. Figuriert der betreffende Exportstaat nicht auf der Liste des Bundesrates, dürfen Daten trotzdem dorthin geleitet werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird, beispielsweise durch einen völkerrechtlichen Vertrag, Datenschutzklauseln, die dem EDÖB vorgängig mitzuteilen sind, oder wenn Sie Ihre ausdrückliche Zustimmung erteilt haben.
P.S. Dieser Artikel hat nicht den Anspruch einen vollständigen Überblick über die Änderungen des Datenschutzgesetzes zu geben, sondern will nur einzelne Aspekte, die für Mitarbeitende im Privatrecht relevant sind, erläutern.