Das neue Datenschutzrecht bringt auch neue Pflichten für Arbeitgebende. Im Vordergrund steht dabei die Informationspflicht an die Adresse der Mitarbeitenden. Viele Unternehmungen sind derzeit daran, ihre Datenschutzerklärungen zu schreiben. Vorgängig sollte man aber wissen, welche Daten man überhaupt sammelt.
Ab dem 1. September diesen Jahres gilt ein neues Datenschutzrecht. Ab sofort müssen Betriebe und Personen, welche in irgendeiner Form Daten sammeln oder bearbeiten, die neuen Pflichten einhalten. Neu ist, dass auch die Mitarbeitenden im Voraus informiert werden müssen (Art. 19 revDSG). Während nach bisherigem Recht einfach Anspruch auf Einsicht ins Personaldossier bestand (Art. 8 aDSG), muss neu der Betrieb aktiv von sich aus informieren. Betriebe mit über 250 Mitarbeitenden müssen zudem neu ein Verzeichnis über die bearbeiteten Daten führen (Art. 12 revDSG).
Prozesse müssen angepasst werden
Nimmt man das neue Datenschutzrecht ernst, so müssen arbeitgeberseits doch einige Prozesse angepasst werden. Wie «heiss» das neue Datenschutzgesetz «gegessen» wird, wird sich zeigen. Behördlicherseits wird wohl vieles beim Alten bleiben. Aber gerade der Umstand, dass die Verletzung der Informationspflicht zu einer Busse führen kann, wird vielleicht als «Waffe» im Streit mit dem Betrieb eingesetzt: Mit der Drohung, eine Anzeige nach DSG bei den Strafbehörden zu platzieren, versuchen sich vielleicht einzelne einen Vorteil zu verschaffen.
Nicht übertreiben: Die Bekanntgabe reicht!
Hier sollte aber auch nicht unnötig auf Panik gemacht werden. Es braucht bspw. keine Vereinbarung mit den Mitarbeitenden, wonach diese das Einverständnis für die Datensammlung und -bearbeitung geben müssen. Eine blosse Mitteilung, welche Daten wie gesammelt, bearbeitet und aufbewahrt werden, genügt. Mitarbeitende haben das Recht, kostenlos Einsicht in ihre Daten zu nehmen (Art. 25 revDSG). Sie können auch eine Korrektur fehlerhafter Daten verlangen. Damit ist aber nicht das Recht verbunden, ein Verbot der Sammlung oder gar die Löschung der Daten zu verlangen. Die Datensammlung muss nur rechtmässig erfolgen. Dies ist bspw. automatisch gegeben, wenn es um die Abrechnung mit Sozialversicherungen geht.
Datenschutzerklärung: Man sollte wissen, welche Daten man sammelt
Derzeit werden überall Datenschutzerklärungen verfasst. Häufig verfährt man nach dem Prinzip, dass man von irgendwoher eine solche abschreibt, egal ob sie effektiv passt oder nicht. Sinn und Zweck der Datenschutzerklärung wäre, dass die Betroffenen exakt informiert werden. Das bedingt aber, dass man überhaupt weiss, welche Daten wie und durch wen gesammelt werden. Gerade beim Einsatz von irgendwelcher Software weiss man oft selber nicht, was datenmässig läuft. Die Einbettung von Youtube, Facebook, Instagram, etc. führt bspw. zu Tracking, darauf muss aufmerksam gemacht werden. Nutzt man ein Tool wie WordPress oder Typo3 für die Gestaltung der Homepage, ist es empfehlenswert, auf die Datenschutzerklärung des Unternehmens hinter dem Tool zu verweisen. Deshalb sind all die Muster von Datenschutzerklärungen, welche aktuell kursieren, nur beschränkt tauglich.
Eigentlich sind mehrere verschiedene Datenschutzerklärungen notwendig
Will man es im Sinne des Gesetzgebers richtig machen, braucht es mehrere und spezifische Datenschutzerklärungen: Eine gegenüber Mitarbeitenden, eine gegenüber Kunden und Gästen oder Geschäftspartnern und eine gegenüber Besuchenden der Homepage. Allerdings werden die wenigsten Betriebe den entsprechenden Aufwand betreiben. Also wird wie bereits thematisiert irgendein Muster verwendet, in der Hoffnung, dass es schon passt. Die Wahrscheinlichkeit, dass dies folgenlos bleibt ist gross. Es ist dann ähnlich wie mit den sonstigen AGB’s: Niemand interessiert sich wirklich, was im Kleingedruckten steht. Folgen hat dies eh nur in absoluten Ausnahmefällen.
Weitere Informationen finden sich auf anwaltspraxis.ch
