Dem Datenschutz kommt im Rahmen des Arbeitsrechts eine besondere Stellung zu.
Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind (Art. 328b OR). Somit darf ein Arbeitgeber Angaben zur Person des Arbeitnehmers, Unterlagen zur Aus- und Weiterbildung sowie beruflichen Erfahrung nur verwenden und aufbewahren, wenn diese einen engen Zusammenhang zum betreffenden Arbeitsverhältnis aufweisen. Im Übrigen gelten die Bestimmungen des Datenschutzgesetzes.
Neben den arbeitsrechtlichen sind somit auch die Grundsätze des DSG bei der Bearbeitung von Mitarbeiterdaten zu beachten. Abweichungen davon sind nur ausnahmsweise, unter Berufung auf einen speziellen Rechtfertigungsgrund, erlaubt.
Daten dürfen nicht durch illegale Mittel erhoben werden. Ihre Beschaffung muss nach Treu und Glauben erfolgen. Das heisst, die Beschaffung von Personendaten und der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Der Grundsatz der Verhältnismässigkeit muss ebenfalls eingehalten werden. Demnach dürfen so viele Daten wie nötig, aber nur so wenige wie möglich bearbeitet werden. Weiter dürfen nur richtige Daten (unrichtige Daten sind zu löschen) und diese nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde (Zweckbindung). Der Arbeitgeber muss regelmässig prüfen, ob die Daten noch richtig sind und sie allenfalls löschen, falls sie sich als unzutreffend erweisen. Auch eine Ergänzung kann sich aufdrängen.
Im Rahmen der Datenbearbeitung hat der Arbeitgeber die Persönlichkeitsrechte des Arbeitnehmers zu wahren. Besonders schützenswerte Personendaten und Persönlichkeitsprofile dürfen nur mit der ausdrücklichen Bewilligung des Arbeitnehmers bearbeitet werden.
Um die Rechte im Zusammenhang mit dem Datenschutz durchzusetzen, stehen die allgemeinen Rechtsbehelfe des Persönlichkeitsschutzes zur Verfügung. Es ist möglich, die Berichtigung, Vernichtung oder Sperre der unrichtigen oder widerrechtlich beschafften Daten zu verlangen. Sodann kann der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eingeschaltet werden.
Das neue Datenschutzgesetz
Das totalrevidierte Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft. Das hat der Bundesrat an seiner Sitzung vom 31. August 2022 entschieden. Damit erhält die Wirtschaft genügend Zeit, die notwendigen Vorkehrungen für die Umsetzung des neuen Datenschutzrechts zu treffen.
Das totalrevidierte DSG und die entsprechenden Bestimmungen in den Verordnungen sorgen künftig für einen besseren Schutz der persönlichen Daten. Insbesondere werden der Datenschutz den technologischen Entwicklungen angepasst, die Selbstbestimmung über die persönlichen Daten gestärkt sowie die Transparenz bei der Beschaffung von Personendaten erhöht.
Im vorliegenden Zusammenhang, insbesondere dem Datenschutz, sind auch die nachfolgenden Beiträge relevant:
- Illegal beschaffte Screenshots
- Datenlieferung in die USA als Persönlichkeitsverletzung?
- Lieferung von Mitarbeiterdaten in die USA
- Videoüberwachungen am Arbeitsplatz
- Sicherheitsüberprüfungen
- Fragen und Antworten im Bewerbungsverfahren
- Personaldossier – was steht da drinn?
- Arbeitnehmerrechte bei internen Untersuchungen
- Das Recht auf die Personalakte
- Coronavirus: Messung der Körpertemperatur durch den Arbeitgeber
Autor: Nicolas Facincani