Nicht nur seit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im letzten Jahr scheint wieder eine Sensibilisierung für das Thema Datenschutz stattgefunden zu haben. In diesem Zusammenhang kann man gespannt sein, wie das revidierte Datenschutzgesetz letztlich ausgestaltet sein wird. Möglicherweise kann Swissmem im Verlaufe dieses Jahres dann auch über die Auswirkungen des revidierten Gesetzes auf den Umgang mit Personendaten im Unternehmen informieren. Im Folgenden wird auf einige ausgewählte Themen zum Datenschutz im Allgemeinen wie auch zur DSGVO im Speziellen hingewiesen. Müssen Daten, welche ich in der Personalabteilung gesammelt werden, beim Eidgenössischen Datenschutzbeauftragten (EDöP) angemeldet werden? Sämtliche Privatpersonen sind grundsätzlich verpflichtet, ihre Datensammlungen gemäss Artikel 11a Absatz 3 DSG anzumelden, sofern sie regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile (Artikel 3 Buchstabe c und d DSG) bearbeiten oder regelmässig Personendaten an Dritte weitergeben. In einer Personalabteilung gehört dies zum Alltag. Tagtäglich werden Personaldossiers bearbeitet und darin befinden sich umfangreiche Datenbestände, so zum Beispiel, Lebensläufe, Leistungs- und Verhaltensbeurteilungen, Arbeitszeugnisse, Arztzeugnisse, Formulare mit persönlichen Angaben zu den Mitarbeitenden und vieles mehr. Gleichzeitig werden regelmässig Personendaten an Dritte weitergegeben (z.B. AHV, IV, BVG, Steuerbehörden, etc.). Ist der Arbeitgeber bezüglich seiner Personaldossiers nun verpflichtet, diese Datensammlung zu melden? Nein, denn diese Personendaten werden aufgrund einer gesetzlichen Verpflichtung bearbeitet. So wird der Arbeitgeber im Obligationenrecht, im Sozialversicherungs- und im Steuerrecht verpflichtet, Daten über den Arbeitnehmer zu bearbeiten und diese regelmässig oder bei Bedarf an Behörden bekannt zu geben. Somit ist der Arbeitgeber gemäss Artikel 11a Absatz 5 Buchstabe a DSG von der Anmeldepflicht befreit. Gleichzeitiger Versand von E-Mails an verschiedene Personen ausserhalb des Unternehmens im Lichte der DSGVO Es handelt sich in diesen Fällen in der Regel um einen E-Mail-Versand an einen grösseren Personenkreis (Newsletter, Informationsmails, etc.). Sollte keine spezielle Newsletter-Software eingesetzt werden und der Versand manuell erfolgen, ist darauf zu achten, dass die E-Mail-Adressen der Empfänger dabei immer in das «BCC»-Feld eingetragen werden. Alternativ kann auch auf andere Weise sichergestellt werden, dass die angeschriebenen Personen für die anderen Empfänger nicht sichtbar sind. Bei einem Eintrag in das «AN»-Feld oder das «CC»-Feld würden personenbezogene Daten an alle weiteren Empfänger übermittelt, was ohne Einwilligung der betroffenen Personen nicht zulässig ist – dies ist unabhängig davon, ob sich manche Adressaten ohnehin persönlich kennen oder nicht. Geschäftsfahrzeug und GPS-Tracking Heute verfügt praktisch jedes Fahrzeug über einen GPS-Sender, so natürlich auch Geschäftsfahrzeuge. Solche Systeme sind in einer immer digitalisierteren Arbeitsumgebung ein wichtiger Bestandteil der Arbeitsplanung und/oder Arbeitsorganisation. Es gilt zu beachten, dass Art. 26 ArGV3 festhält, dass der Einsatz von Kontrollsystemen, die ausschliesslich das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen, gänzlich verboten ist. Soweit solche Systeme aus Sicherheits-, Arbeitsplanungs- oder Arbeitsorganisationsgründen verwendet werden oder wenn es darum geht, die Arbeitszeiten von Mitarbeitern zu kontrollieren und Missbräuche zu beseitigen, ist der Einsatz solcher Systeme gemäss einem letzthin ergangenen Bundesgerichtsentscheid jedoch zulässig, solange es sich nicht um eine totale Überwachung in Echtzeit handelt. Es ist in jedem Fall empfehlenswert, die Mitarbeiter zu informieren und ihnen mitzuteilen, wofür das GPS-Tracking eingesetzt wird, welche Daten über sie gesammelt werden, wer Zugriff darauf hat und wo diese archiviert sind. Dies kann in einem Reglement zur Nutzung des Geschäftsfahrzeugs festgehalten werden, in einer internen Richtlinie oder einem separaten Informationsblatt, welches den Mitarbeitenden zur Kenntnis gebracht wird. Sofern die Mitarbeiter das Geschäftsauto auch für private Fahrten verwenden dürfen, muss die Möglichkeit bestehen, das GPS-System nach Beendigung der Arbeit abzuschalten. Die Freizeit darf durch den Arbeitgeber nicht überwacht werden, hier wäre ein GPS-Tracking unzulässig. Ist es erlaubt, Fotos von Angestellten im Intra- oder Internet zu veröffentlichen? Eine fotografische Abbildung eines Mitarbeitenden bzw. einer Mitarbeitenden lässt z.B. Rückschlüsse auf Religion, Rassenzugehörigkeit oder eine körperliche Beeinträchtigung zu und darf deshalb nur mit dem Einverständnis der betroffenen Person im Inter- oder Intranet abgebildet werden. Dies gilt natürlich auch für Fotos von Anlässen (wie z. B. Weihnachtsanlässe, Betriebsausflüge etc.). Damit ein Bild durch das Persönlichkeitsrecht geschützt ist, ist eine notwendige Voraussetzung, dass nebst der abgebildeten Person selbst auch Dritte diese auf dem Foto erkennen können. Kommt eine Person nur im Hintergrund vor und liegt der Fokus des Fotos nicht auf ihm, ist der Persönlichkeitsschutz nicht betroffen. Dies ist zum Beispiel der Fall, wenn ein Mitarbeiter auf einer Unternehmens-Website bei der Bedienung einer Maschine gezeigt wird und sein Name nicht erwähnt wird. Ein solches Bild stellt kein persönlichkeitsrechtlich geschütztes Bild der Person dar. Unter Umständen ist es nicht in jedem Fall möglich, vorgängig eine explizite Einwilligung der Mitarbeitenden einzuholen. Ist geplant, während eines Firmenanlasses Fotos zu machen und aufs Intranet zu stellen, empfiehlt es sich, die Mitarbeitenden vorgängig darauf hinzuweisen. Werden nach der Veranstaltung Fotos der Mitarbeitenden sodann auf die Website gestellt, darf davon ausgegangen werden, dass wer nicht reagiert und die Entfernung des Bildes wünscht, stillschweigend seine Zustimmung erteilt hat. Zugriff auf Mailbox bei Kündigung oder Krankheit Es ist oftmals unklar, wie bei Beendigung eines Arbeitsverhältnisses in Bezug auf die Sperrung von Informatikmitteln wie personalisiertem E-Mail-Account oder Serverzugang rechtlich korrekt vorzugehen ist. Dies betrifft sowohl Arbeitgeber als auch Arbeitnehmer. Dasselbe gilt, wenn ein Arbeitnehmer infolge Krankheit oder Unfall längere Zeit ausfällt und keine Gelegenheit hat, für eine saubere Übergabe seiner Informatikmittel und persönlichen Zugriffe zu sorgen. Swissmem empfiehlt Arbeitgebern, die wichtigsten diesbezüglichen Grundsätze in einem betriebsinternen Reglement schriftlich festzuhalten. Es sollte klar und leicht verständlich über die Nutzung von Informatikmitteln informieren und der Belegschaft aktiv bekannt gegeben werden, bspw. im Rahmen von internen Schulungen. Damit herrscht für alle Beteiligten Klarheit. Zusammenfassend empfehlen wir punkto E-Mail-Verwaltung und Serverzugang bei Austritten oder Absenzen in Folge Krankheit oder Unfall folgendes Vorgehen:
- Bei einem geplanten Austritt des Arbeitnehmers soll dieser die noch laufenden Geschäfte und E-Mails intern an die zuständige Person übergeben.
- Der Arbeitnehmer bestätigt die Übergabe sämtlicher Geschäftsdokumente an die im Unternehmen zuständige Person.
- Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E-Mails und anderen Dokumente auf private Datenträger wie USB-Stick etc. zu speichern und von den Servern des Arbeitgebers zu löschen.
- Spätestens am letzten Arbeitstag werden der E-Mail-Account des austretenden Mitarbeiters sowie auch alle anderen IT-Accounts und seine Inbox gesichert und gesperrt. Nach einer gewissen Zeit sollten seine Accounts gelöscht werden.
- Bei einer fristlosen Kündigung, Freistellung oder im Todesfall wird der E-Mail-Account des betroffenen Mitarbeiters sofort gesperrt und die Daten gesichert. Anschliessend sollten die privaten E-Mails und sonstigen privaten Daten (im Todesfall unter Beizug der Angehörigen des Verstorbenen) nach dem 4-Augen-Prinzip ausgesondert werden.
- Absender, die E-Mails an die gesperrte E-Mail-Adresse senden, nachdem der entsprechende Arbeitnehmer die Firma bereits verlassen hat, werden automatisch informiert, dass die Empfängeradresse hinfällig geworden ist. In der automatischen Antwort wird eine geeignete Ersatz-E-Mail-Adresse der Firma angegeben. Es erfolgt keine automatische Weiterleitung auf eine andere E-Mail-Adresse des Unternehmens.
- Um Problemen bei Absenzen aufgrund von Krankheit oder Unfall vorzubeugen, sollten Stellvertretungen rechtzeitig definiert und eingerichtet werden. Wurde dies nicht gemacht und die RĂĽckkehr der Mitarbeiterin oder des Mitarbeiters kann nicht abgewartet werden, so empfiehlt sich auch hier ein Vorgehen nach dem 4-Augen-Prinzip.
Swissmem-Mitgliedern gibt Claudio Haufgartner, Ressortleiter Bereich Arbeitgeberpolitik (044 384 42 26 oder <link c.haufgartner@swissmem.ch>c.haufgartner@swissmem.ch</link>) gerne Auskunft.