Verschärfung des Bundesgesetzes über den Datenschutz: Welches sind die Auswirkungen für die Arbeitgeber und die Pensionskassen?

Verschärfung des Bundesgesetzes über den Datenschutz: Welches sind die Auswirkungen für die Arbeitgeber und die Pensionskassen?

Die Revision des Bundesgesetzes über den Datenschutz (DSG) geht in die nächste Runde. Der Bundesrat möchte sich den europäischen Anforderungen annähern, die Teil des Schengen-Besitzstandes und damit der bilateralen Verpflichtungen der Schweiz sind. Es besteht auch die zunehmende Notwendigkeit, den Datenschutz in der Schweiz zu stärken, denn das DSG stammt aus dem Jahr 1992, als das Internet noch in den Kinderschuhen steckte.

Die Etappen der Revision im Überblick:

April 2016 – die EU revidiert ihre Datenschutzgesetzgebung.

Juni 2016 – Der Europarat präsentiert sein Reformprojekt des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (STE 108).

Dezember 2016 – Der Bundesrat schickt den Vorentwurf der Totalrevision des DSG bei Behörden und betroffenen Kreisen in die Vernehmlassung, bis 4.4.2017.

Mai 2018 – offizielles Inkrafttreten der neuen EU-Gesetzgebung

August 2018 – maximale Frist für das Inkrafttreten des neuen DSG in der Schweiz

Wird der Vorentwurf der Revision des Bundesrats vom Parlament angenommen, welches sind dann die Auswirkungen für die Arbeitgeber und die Pensionskassen, die häufig mit diesem Thema konfrontiert sind?

Unveränderte Grundsätze

Die Grundsätze bezüglich des Datenschutzes gelten weiterhin ohne grosse Änderungen. Es muss daran erinnert werden, dass jegliche Bearbeitung von Personendaten entweder durch das Gesetz, die Zustimmung der betroffenen Person oder ein überwiegendes privates oder öffentliches Interesse gerechtfertigt sein muss oder in allen Punkten den Grundsätzen bezüglich Datenschutz entsprechen muss.

So darf der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. (Art. 328b OR)[1].

Die Pensionskassen dürfen die Personendaten, einschliesslich der sensiblen Daten und der Personenprofile, bearbeiten, die zur Erfüllung der ihnen vom BVG übertragenen Aufgaben erforderlich sind (z. B. für die Berechnung und Erhebung der Beiträge, für die Abklärung des Anspruchs auf Leistungen und deren Koordination mit denen anderer Sozialversicherungen). Es sei angemerkt, dass die Mitteilung der Personendaten von Versicherten an den Arbeitgeber, insbesondere in Form eines Pensionskassenausweises in einem unverschlossenen Umschlag, vom Bundesverwaltungsgericht als nicht gesetzeskonform beurteilt wurde[2].

Neue Pflichten durch den Vorentwurf

Der Vorentwurf führt neue Pflichten ein und verschärft gewisse bestehende Pflichten. Diese neuen Pflichten verlangen von den Arbeitgebern und den Pensionskassen, dass sie die Prozesse und Regeln, welche den Schutz der Daten ihrer Angestellten resp. Versicherten gewährleisten, detaillierter festlegen.

Meldepflicht

Der Eidgenössische Datenschutzbeauftragte und gegebenenfalls die betroffene Person müssen im Fall eines Verstosses gegen den Datenschutz unaufgefordert informiert werden (z. B. Verlust und Diebstahl von Daten, Hacking). So kann eine Verletzung des Datenschutzes stärker denn je Auswirkungen auf den Ruf eines Unternehmens haben.

Dokumentationspflicht

Die Arbeitgeber und die Pensionskassen werden verpflichtet sein, alle ihre internen Datenbearbeitungsprozesse zu dokumentieren. Eine Verordnung wird die Punkte festlegen, die in dieser Dokumentation enthalten sein müssen.

Informationspflicht bei der Beschaffung von Personendaten

Heute müssen Arbeitgeber und Pensionskassen die Angestellten resp. die Versicherten informieren, wenn sie sensible Daten sammeln (beispielsweise über religiöse, politische oder gewerkschaftliche Tätigkeiten, die Gesundheit oder die Intimsphäre sowie Zusammenstellungen von Daten, welche die Erstellung von Persönlichkeitsprofilen ermöglichen). Der Vorentwurf sieht eine Ausweitung dieser Pflicht auf sämtliche Personendaten vor. Dies wird vor allem die Arbeitgeber betreffen. Diese dürfen nämlich praktisch keine sensiblen Daten sammeln und mussten sich deshalb bisher nur selten mit dieser Pflicht befassen.

Informationspflicht gegenüber Dritten

Gemäss dem geltenden Recht muss der Arbeitgeber resp. die Pensionskasse die Richtigkeit der bearbeiteten Daten sicherstellen, muss die Daten jedoch nicht korrigieren, wenn er diese mit Fehlern an Dritte weitergeleitet hat. Der Vorentwurf sieht eine Berichtigung der Situation vor.

Pflichten bezüglich der Informatik

Zudem muss der Arbeitgeber oder die Pensionskasse künftig den Angestellten resp. den Versicherten informieren, wenn er eine automatische Verarbeitung personenbezogener Daten nutzt, die ohne menschliche Intervention einen Entscheid oder eine Beurteilung einer Person ermöglicht. Es handelt sich dabei beispielsweise um Software-Tools, die Profile von Angestellten auf der Basis einer Umfrage erstellen und deren Kompatibilität mit dem Unternehmen analysieren. Zudem müssen die Voreinstellungen den höchstmöglichen Schutz der Daten des Nutzers gewährleisten, wenn der Arbeitgeber oder die Pensionskasse die Verwendung von Software oder Websites anbietet.

Erhöhung der Bussen

Die grosse Neuheit des Vorentwurfs ist die enorme Erhöhung der Bussen im Fall einer Verletzung der Datenschutzpflichten. Die Busse steigt vom fast schon symbolischen Betrag von maximal CHF 10’000 auf maximal CHF 500’000! Zum Vergleich: Die neuen europäischen Regeln sehen die Möglichkeit vor, Bussen von maximal EUR 20’000’000 oder bis 4 % des weltweiten Unternehmenumsatzes zu verhängen.

Die nächsten Schritte der Revision sind die Ausarbeitung eines Vernehmlassungsberichts und die Verabschiedung des endgültigen Textes und der Botschaft durch den Bundesrat diesen Sommer. Wir von Trianon verfolgen die Totalrevision des Datenschutzgesetzes aufmerksam, um Ihnen die Einhaltung der gesetzlichen Bestimmungen im Rahmen unserer Mandate zu gewährleisten.

Maria Bianchi-Pastori


[1] Für weitere Informationen empfehlen wir Ihnen die Lektüre des Leitfadens über die Bearbeitung von Personendaten im Arbeitsbereich des Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten.

[2] Urteil des Bundesverwaltungsgerichts A-4467/2011 vom 12. April 2012