Ein Problem, dem sich viele Mitarbeitende gegenübersehen, besteht darin, dass sie das neue Datenschutzgesetz verstehen müssen, ohne sich lange einlesen oder mit Rechtsanwälten herumschlagen zu müssen. Insbesondere Branchenfremde beschäftigen sich nicht so intensiv mit diesem Thema. Deshalb möchten wir Ihnen hier eine Zusammenfassung des Livestreams präsentieren, der sich mit der Position der Mitarbeitenden im Hinblick auf das neue Datenschutzgesetzt beschäftigt. Sie haben keine Lust zu lesen? Dann kommen Sie hier direkt zum aufgezeichneten Livestream.

Was sind Personendaten?

Personendaten umfassen nicht nur offensichtliche Informationen wie Name, E-Mail-Adresse und Geburtstag, sondern auch Telefonnummern, Weltanschauung, Aussehen, Identität sowie Informationen über strafrechtliche Verfolgung und Sanktionen. Hier erfahren Sie mehr darüber.

Wie gehe ich mit diesen konkret um?

Die Regel besagt, dass Arbeitgeber Daten über Mitarbeitende nur verarbeiten dürfen, wenn sie für das Arbeitsverhältnis relevant sind oder für die Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b OR). Falls die Verarbeitung über den Bereich von Art. 328b OR hinausgeht, besteht eine Informationspflicht. Zudem sollten die Verarbeitungsgrundsätze Transparenz, Zweckgebundenheit und Verhältnismäßigkeit beachtet werden. Bei Unsicherheiten ist es ratsam, Experten zu konsultieren oder eine Einwilligung einzuholen. Das neue Datenschutzgesetz sieht das Recht von Mitarbeitenden auf Auskunft und Löschung ihrer Daten vor. Um einen hohen Datenschutz gewährleisten zu können ist es wichtig, dass ein Unternehmen die dafür nötigen technischen und organisatorischen Massnahmen (TOM) implementiert.

Was mache ich mit Bewerbungen?

Recruiter machen sich oft ein Bild von den Kandidaten, indem sie deren LinkedIn-Profil oder das öffentliche Profil der Kandidaten auf Facebook und Instagram anschauen. Dabei stellt sich datenschutztechnisch die Frage, ob diese Informationen überhaupt in den Bewerbungsprozess mit einbezogen werden darf.  Dies ist rechtlich gesehen ein schwammiges Thema. Falls ein Bewerber in unserem Fall negativ über Microsoft spricht und seine Meinung auf LinkedIn, Instagram oder Facebook kund tut, können wir diese Information wie folgt in den Bewerbungsprozess mit einfliessen lassen. Bei LinkedIn handelt es sich um ein berufliches Netzwerk. Daten und Beiträge von Personen, können auf dieser Plattform öffentlich eingesehen werden. Daher können die Informationen, welche wir auf LinkedIn über eine Person finden, von Recruitern im Bewerbungsprozess verwendet werden. Facebook und Instagram hingegen werden vorzugsweise rein Privat verwendet, weshalb ein Post auf diesen Plattformen zumindest offiziell nicht als Grund herangezogen werden kann, jemanden nicht einzustellen. Generell empfiehlt es sich den Einzelfall zu bewerten und gegebenenfalls den Rat von Experten hinzuzuziehen.

Für ein Unternehmen ist es sinnvoll zu wissen, wer sich in der Vergangenheit bereits bei der Unternehmung beworben hat. Hierfür besteht ein berechtigtes Interesse, bestimmte Daten für kurze Zeit aufzubewahren. Sie sollten daher Bewerbende aus Gründen des Datenschutzes unbedingt darüber informieren, wie lange ihre Bewerbungsunterlagen gespeichert werden. Das könnten Sie beispielsweise auf der Bewerbungsseite oder Ihren Datenschutzrichtlinien festhalten.

Tipp: Transparent bleiben

Transparenz gewährleistet in der Regel die Einhaltung der Datenschutzbestimmungen und schafft Vertrauen bei Mitarbeitenden und Kunden.

Welche Datenschutzrichtlinien gelten für Mitarbeitende?

Viele Unternehmen haben spezielle Richtlinien und Handbücher, die festlegen, welche Informationen über Mitarbeitende nur intern besprochen werden dürfen. Ein wichtiger Punkt dabei ist die Verschlüsselung von E-Mails. Auch sollten klare Leitfäden zur Verfügung gestellt werden, die klären, wie die Verwendung privater Geräte gehandhabt wird. Da es im hektischen Arbeitsalltag fast unmöglich ist, sich alle Inhalte solcher Regelwerke zu merken, sollten diese in regelmässigen Schulungen auf verständliche Art und Weise allen Mitarbeitenden vermittelt werden.

Ein guter Ansatz besteht darin, obligatorische IT-Grundlagenschulungen anzubieten (zum Beispiel zur E-Mail-Verschlüsselung) sowie Awareness-Schulungen, um Mitarbeitende für Cyberangriffe und Gefahren zu sensibilisieren und damit den Verlust vertraulicher Daten zu verhindern

Konkrete Schritte zur Umsetzung

  • Regelmäßige Schulungen und Sensibilisierung: Stellen Sie sicher, dass alle Mitarbeitenden mindestens 2 Stunden Datenschutztraining pro Jahr erhalten. Zusätzlich sollten spezifische Schulungen zur Datenschutzsensibilisierung angeboten werden, z.B. zum richtigen Verhalten am Telefon und zur E-Mail-Verschlüsselung.
  • Festlegung und Kommunikation von Verantwortlichkeiten: Definieren Sie klar, wer in Ihrem Unternehmen für den Datenschutz verantwortlich ist und stellen Sie sicher, dass alle Mitarbeitenden darüber Bescheid wissen. Dadurch wird sichergestellt, dass jeder über seine Rolle und Aufgaben im Umgang mit Datenschutz informiert ist.

Ziele dieser Massnahmen:

  • Prävention von Sicherheitsvorfällen wie Cyberangriffen: Durch die Sensibilisierung der Mitarbeitenden für Datenschutzrisiken und das richtige Verhalten können potenzielle Angriffspunkte minimiert werden, um Sicherheitsvorfälle zu verhindern.
  • Vermeidung von Fehlern bei Auskunfts- und Informationspflichten: Durch das Training der Mitarbeitenden werden sie in der Lage sein, Auskunfts- und Informationspflichten gemäß den Datenschutzbestimmungen korrekt zu erfüllen und potenzielle Fehler zu vermeiden.
  • Minimierung des Risikos von Bussgeldern, Untersuchungen und Zivilverfahren: Durch die Implementierung geeigneter Datenschutzmaßnahmen und Schulungen wird das Risiko von Bussgeldern, Untersuchungen und Zivilverfahren aufgrund von Datenschutzverletzungen reduziert.