Das neue Schweizer Datenschutzgesetz und was Arbeitgeberinnen und Arbeitgeber zu beachten haben

Das Regelwerk des revidierten Datenschutzrechts der Schweiz bringt einige Neuerungen mit sich, welche Unternehmen generell betreffen. Insbesondere in Bezug auf ihre Funktion als Arbeitgeberinnen und Arbeitgeber müssen Unternehmen neue und erweiterte Dokumentationspflichten beachten.

Die wichtigsten Änderungen im Überblick

Zu den zentralen Änderungen des neuen Datenschutzrechts gehören insbesondere die folgenden:

• Die Daten von juristischen Personen sind vom revDSG nicht mehr erfasst, sondern nur noch diejenigen natürlicher Personen.
• Die Begriffsdefinition der besonders schützenswerten Daten wird um genetische und biometrische Daten erweitert.
• Die Grundsätze "Privacy by Design" und "Privacy by Default" werden eingeführt, was bedeutet, dass Software, Hardware und Dienstleistungen so gestaltet werden müssen, dass der Datenschutz jederzeit gewährleistet wird.
• Es müssen bei erhöhtem Risiko für die Persönlichkeit oder die Grundrechte sog. Datenschutz-Folgenabschätzungen durchgeführt werden.
• Die Informationspflicht gegenüber Datensubjekten wird substanziell ausgeweitet (es muss bei jeder Datenbeschaffung proaktiv informiert werden) und neue Dokumentationspflichten werden eingeführt (bspw. Bearbeitungsverzeichnis).
• Der Bussenrahmen bei vorsätzlicher Verletzung des revDSG wird von CHF 10'000 auf CHF 250'000 erhöht und ist gegen die Person im Unternehmen gerichtet, welche die Verletzung persönlich begangen hat. Eine Strafverfolgung erfolgt auf Antrag.

Für Arbeitgeberinnen und Arbeitgeber stehen in Bezug auf ihre Mitarbeitenden zwei Neuerungen im Vordergrund, welche nachfolgend beleuchtet werden.

Die Einführung des Bearbeitungsverzeichnisses

Die Einführung eines Bearbeitungsverzeichnisses ist grundsätzlich für Unternehmen Pflicht. Es soll der Nachvollziehbarkeit und Überprüfung sämtlicher Datenbearbeitungstätigkeiten im Unternehmen dienen. Das Bearbeitungsverzeichnis muss unter anderem Angaben enthalten zum Bearbeitungszweck, Kategorien der betroffenen Personen sowie Kategorien der bearbeiteten Personendaten, die Aufbewahrungsdauer und Massnahmen zur Gewährleistung der Datensicherheit.

Im Arbeitsverhältnis werden typischerweise eine Vielzahl von Personendaten bearbeitet - von der Rekrutierung, über die Personaladministration und Lohnbuchhaltung bis zur Leistungs- und Karriereüberprüfung und -entwicklung. Diese Datenbearbeitungen müssen ab dem 1. September 2023 im Bearbeitungsverzeichnis umfassend dokumentiert werden. Es ist zu beachten, dass von dieser Pflicht Unternehmen mit weniger als 250 Mitarbeitenden ausgenommen sind, sofern die Unternehmenstätigkeit keine riskanten Datenbearbeitungen mit sich bringt. Das Unterlassen der Umsetzung dieser Vorgabe ist zwar an keine Straffolgen geknüpft. Eine Umsetzung ist aber dennoch äusserst empfehlenswert, da im Unternehmen dadurch eine Sensibilisierung für den Umgang mit Personendaten stattfindet.

Ausgeweitete Informationspflicht und Datenschutzerklärungen

Als Konsequenz der ausgeweiteten Informationspflicht wird Unternehmen dringend empfohlen, bestehende Datenschutzerklärungen zu überprüfen bzw. Datenschutzerklärungen einzuführen, wo sie noch nicht bestehen. Die Informationspflicht gilt grundsätzlich für jedes Unternehmen, ungeachtet dessen Grösse. In Bezug auf die Arbeitnehmerinnen und Arbeitnehmer wird empfohlen, die Datenschutzerklärung im Arbeitsvertrag einzufügen oder als separates Dokument auszuhändigen.

Zu beachten ist, dass die Informationspflicht auch gegenüber (abgewiesenen) Stellenbewerbern gilt, da in Bezug auf sie zwangsläufig Personendaten bearbeitet werden. Auf die Datenschutzerklärung kann beispielsweise im Antwortschreiben mittels Link verwiesen bzw. eine Datenschutzerklärung als separates Dokument hinzugefügt werden. Die Informationspflicht gilt im Übrigen auch gegenüber ehemaligen Mitarbeiterinnen und Mitarbeitern sofern Personendaten weiterhin aufbewahrt werden.