Alles verboten, oder doch nicht?
Obwohl seit dem 1. September 2023 in Kraft, ranken sich um das «neue» Datenschutzgesetz noch viele Mythen und falsche Ängste. Arbeitgeber sehen sich deshalb oft mit datenschutzrechtlichen Fragen zum Thema Mitarbeitenden- und Bewerbungsdaten konfrontiert. Aber was gilt denn nun?
Bearbeitung von Personendaten – Im Grundsatz ja bitte!
Entgegen dem europäischen Verständnis von Datenschutz, hat das schweizerische Datenschutzgesetz seit jeher die Bearbeitung von Personendaten erlaubt. Der Datenschutz in der Schweiz möchte hauptsächlich die möglichen schädigenden Wirkungen von Datenbearbeitungen verhindern, weshalb Personendatenbearbeitungen erlaubt sind, solange die gesetzlichen Grundsätze eingehalten werden. Diese Grundsätze sind in Art. 6 DSG festgehalten und umfassen insbesondere: (i) Rechtmässigkeit der Bearbeitungen, (ii) Verhältnismässigkeit, (iii) Zweckbindung der Bearbeitungen, (iv) Prinzip der Datenminimierung sowie (v) Richtigkeit der Personendaten. Diese datenschutzrechtlichen Grundsätze gelten auch für besonders schützenswerte Personendaten gemäss Art. 5 lit. c DSG. Auch diese können grundsätzlich ohne Weiteres bearbeitet werden. Art. 328b OR legt überdies fest, dass Arbeitgeber grundsätzlich Daten eines Mitarbeitenden nur bearbeiten dürfen, wenn sie die Eignung für das Arbeitsverhältnis betreffen oder für die Durchführung des Arbeitsvertrags erforderlich sind.
Verletzt eine Bearbeitung von Personendaten eine der vorgenannten Grundsätze, so verletzt der Bearbeiter die Persönlichkeit der betroffenen Personen. Eine solche Bearbeitung ist im Sinne des Gesetzes widerrechtlich, nicht aber verboten. Das Datenschutzgesetz sieht in Art. 31 DSG verschiedene Möglichkeiten vor, wie eine solch grundsätzlich widerrechtliche Bearbeitung von Personendaten «geheilt» werden kann. In Frage kommt hierfür (i) eine gesetzliche Grundlage, (ii) ein überwiegendes privates oder öffentliches Interesse sowie (iii) die Einwilligung der betroffenen Person. Für private Unternehmen sind ausserhalb der gesetzlich notwendigen Bearbeitungen (bspw. für Unfall- oder Sozialversicherungsmeldungen) vor allem das überwiegende private Interesse sowie die Einwilligung der betroffenen Personen von Bedeutung. Soweit möglich sollte auf die Einwilligung der betroffenen Personen verzichtet werden, da diese jederzeit widerrufen werden kann und in der Praxis die Bearbeiter oft vor Probleme stellt.
Die wichtigsten Grundsätze in Kürze
Die Rechtmässigkeit von Bearbeitungen verlangt von den Verantwortlichen, dass sie sich an die geltenden Gesetze halten müssen. Dieses Prinzip hat grundsätzlich keine eigenständige Bedeutung, da Gesetze in jedem Fall einzuhalten sind.
Bei der Verhältnismässigkeit haben die Verantwortlichen jeweils zu prüfen, welchen Zweck die Bearbeitung erfüllen soll und ob die Bearbeitung für die Erreichung geeignet und auch erforderlich ist. Hierbei stellt sich jeweils die Frage, ob der Zweck auch mit milderen Mitteln erreicht werden könnte.
Die Zweckbindung schreibt vor, dass für einen bestimmten Zweck gesammelte Personendaten nicht ohne Weiteres für einen anderen Bearbeitungszweck verwendet werden dürfen.
Bei der Datenminimierung geht es im engeren Sinne um die regelmässige Löschung oder Anonymisierung der nicht mehr benötigten Personendaten. Wann dieser Zeitpunkt eintritt, ist von den Bearbeitern selbst festzulegen und kann von wenigen Wochen oder Monaten bis weit über 10 Jahre liegen. Wichtig ist, zu erwähnen, dass für die Beurteilung nicht nur gesetzliche Aufbewahrungsfristen zu berücksichtigen sind.
Beispiel Bewerbung
Sendet nun ein*e Bewerber*in die Bewerbung an ein Unternehmen, so ist die ordentliche Bearbeitung der Bewerbung erlaubt. Da die Lebensläufe regelmässig besonders schützenswerte Daten beinhalten, sind auch die betriebsinternen Sichtungen, Besprechungen und gar die Speicherung in der Cloud erlaubt. Einerseits ist dies zur Vorprüfung der Eignung auf die Arbeitsstelle notwendig und von Art. 328b OR gedeckt und andererseits darf für diese Bearbeitungen von einer stillschweigenden Einwilligung ausgegangen werden.
