Das Arbeitsverhältnis erzeugt eine Fülle von Personendaten: Personalakten, Lohnabrechnungen, Gesundheitsdaten, Leistungsbeurteilungen, IT-Nutzungsprotokolle. Seit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) am 1. September 2023 unterliegen Schweizer Arbeitgeber bei der Bearbeitung dieser Daten strengeren Anforderungen. Dennoch sind sich viele KMU ihrer Pflichten noch nicht vollständig bewusst.
Dieser Artikel gibt einen praxisnahen Überblick über die wichtigsten Punkte, die jede HR-Abteilung kennen muss.
Rechtliche Grundlage: Art. 328b OR und das nDSG
Das Schweizer Arbeitsrecht regelt den Arbeitnehmerdatenschutz durch zwei sich ergänzende Rechtstexte. Art. 328b des Obligationenrechts (OR) legt den Grundsatz fest: Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Erfüllung des Arbeitsvertrages erforderlich sind.
Das nDSG stärkt diesen Rahmen durch folgende Neuerungen:
- Datensparsamkeit: Es dürfen nur die für den jeweiligen Zweck notwendigen Daten erhoben werden
- Besonders schützenswerte Personendaten (Gesundheitszustand, religiöse Überzeugungen, politische Ansichten, biometrische Daten) unterliegen strengeren Regeln
- Pflicht zur Führung eines Bearbeitungsverzeichnisses für Unternehmen ab einer bestimmten Grösse
- Verstärkte Betroffenenrechte (Auskunft, Berichtigung, Datenportabilität, Widerspruch)
Beide Texte gelten kumulativ. Eine Datenbearbeitung muss sowohl die Anforderungen des OR als auch des nDSG erfüllen.
Gängige HR-Daten: Was erlaubt ist — und was nicht
Personalakte
Die Personalakte enthält typischerweise: Lebenslauf, Arbeitszeugnisse, Arbeitsvertrag, Nachträge, Leistungsbeurteilungen, Verwarnungen und wichtige Korrespondenz. Diese Daten sind legitim, sofern sie in direktem Zusammenhang mit dem Arbeitsverhältnis stehen.
Nicht in der Personalakte aufbewahrt werden dürfen:
- Informationen über politische oder gewerkschaftliche Aktivitäten
- Private Informationen ohne Bezug zur Stelle
- Informelle Notizen, die dem Mitarbeitenden nicht bekannt gemacht wurden
Jeder Mitarbeitende hat das Recht, seine Personalakte jederzeit einzusehen (Art. 25 ff. nDSG).
Lohn- und Finanzdaten
Lohndaten, Prämien, Sozialabzüge und Bankdaten sind zur Vertragserfüllung erforderlich. Ihre Bearbeitung ist durch diese vertragliche Notwendigkeit gerechtfertigt. Der Zugang muss jedoch auf die befugten Personen beschränkt bleiben (HR-Leitung, Geschäftsführung, Buchhaltung).
Gesundheitsdaten
Gesundheitsdaten sind besonders schützenswerte Personendaten im Sinne des nDSG. Sie dürfen nur unter besonderen Voraussetzungen bearbeitet werden:
- Ausdrückliche Einwilligung der betroffenen Person (mit Einschränkungen — siehe unten)
- Notwendigkeit für die Vertragserfüllung (z.B. Anpassung des Arbeitsplatzes aus medizinischen Gründen)
- Gesetzliche Verpflichtung (z.B. Meldung an die Unfallversicherung)
Der Arbeitgeber darf ein ärztliches Zeugnis zur Begründung einer Abwesenheit verlangen, darf aber grundsätzlich keine Diagnose erfahren. Er muss sich auf die für die Absenzverwaltung unbedingt notwendigen Informationen beschränken.
Leistungsdaten
Jahresgespräche, Zielvereinbarungen, Feedbacks und Entwicklungspläne sind legitim. Sie müssen dem Mitarbeitenden jedoch bekannt gemacht und in der offiziellen Personalakte aufbewahrt werden — nicht in informellen persönlichen Notizen, die dem Auskunftsrecht entzogen wären.
Rekrutierung: Welche Daten erhoben werden dürfen
Die Rekrutierungsphase ist besonders heikel. Art. 328b OR gilt ab dem ersten Kontakt: Es dürfen nur Informationen erhoben werden, die zur Beurteilung der Eignung des Kandidaten für die Stelle erforderlich sind.
Zulässig
- Lebenslauf, Motivationsschreiben, Zeugnisse, berufliche Referenzen
- Eignungstests mit direktem Stellenbezug
- Strafregisterauszug für sensible Stellen (Vermögensverwaltung, Arbeit mit Minderjährigen) — bei Vorliegen einer gesetzlichen Grundlage oder ausdrücklicher Einwilligung
Problematisch
- Fragen zum Zivilstand, zur Familiensituation oder zur Kinderzahl
- Fragen zu religiösen oder politischen Überzeugungen
- Fragen zum Gesundheitszustand (ausser bei medizinisch begründeten Stellenanforderungen)
- Fragen, ob eine Kandidatin schwanger ist oder eine Schwangerschaft plant
Soziale Medien und Hintergrundüberprüfungen
Das Aufrufen eines öffentlichen LinkedIn-Profils ist in der Regel zulässig, da der Kandidat diesen Bereich selbst der Öffentlichkeit zugänglich gemacht hat. Das Durchsuchen privater Social-Media-Profile (Facebook, Instagram) oder die Nutzung von Datenaggregationsdiensten zur Erstellung eines umfassenden Profils geht jedoch weit über den Rahmen von Art. 328b OR hinaus.
Daten nicht berücksichtigter Kandidaten müssen nach Abschluss des Verfahrens in angemessener Frist vernichtet werden — ausser der Kandidat hat einer Aufbewahrung für künftige Stellenangebote ausdrücklich zugestimmt.
Überwachung während des Arbeitsverhältnisses
E-Mail- und Internetüberwachung
Der Arbeitgeber darf die berufliche Nutzung der IT-Systeme überwachen, jedoch unter strengen Bedingungen. Die Überwachung muss:
- Den Mitarbeitenden angekündigt sein (IT-Reglement, Nutzungsrichtlinien)
- Einen legitimen Zweck verfolgen (IT-Sicherheit, Schutz vertraulicher Daten)
- Verhältnismässig sein: Eine systematische Überwachung aller E-Mails ist unverhältnismässig
Das Einsehen privater E-Mails von Mitarbeitenden — selbst von einer geschäftlichen Adresse aus — ist grundsätzlich untersagt, ausser in schwerwiegenden Fällen und bei einem geregelten Verfahren.
GPS und Standortverfolgung
Das GPS-Tracking von Dienstfahrzeugen kann aus betrieblichen oder sicherheitstechnischen Gründen zulässig sein. Es muss jedoch:
- Im internen Reglement dokumentiert sein
- Nicht zur Überwachung jeder privaten Fahrt verwendet werden
- Den Grundsatz der Verhältnismässigkeit einhalten
Videoüberwachung
Die Videoüberwachung am Arbeitsplatz unterliegt sehr strengen Voraussetzungen. Sie ist nur aus Sicherheitsgründen oder zum Schutz vor Diebstahl zulässig — nicht zur Leistungskontrolle der Mitarbeitenden. Ruheräume, Sanitäranlagen und Umkleideräume sind vollständig ausgenommen. Mitarbeitende müssen informiert werden, und die Aufbewahrungsdauer der Aufnahmen ist zu begrenzen (in der Regel 72 Stunden, ausser bei einem Vorfall).
Arbeitszeiterfassung
Die Arbeitszeiterfassung ist für viele Arbeitgeber gesetzlich vorgeschrieben (ArGV 1). Die dabei anfallenden Daten müssen fünf Jahre aufbewahrt werden. Ihre Verwendung muss auf den ursprünglichen Zweck beschränkt bleiben und darf nicht für eine verhaltensorientierte Profilbildung genutzt werden.
Gesundheitsdaten: Spezifische Regeln
Gesundheitsdaten verdienen besondere Aufmerksamkeit. Das nDSG stuft sie als besonders schützenswerte Personendaten ein, was Folgendes bedeutet:
- Bearbeitung nur bei Vorliegen einer ausdrücklichen gesetzlichen Grundlage
- Verstärkte Sicherheitsmassnahmen (eingeschränkter Zugang, Verschlüsselung)
- Physische oder logische Trennung vom übrigen Personalakt
In der Praxis:
- Der Betriebsarzt bearbeitet medizinische Daten unter Berufsgeheimnis und teilt dem Arbeitgeber nur die notwendigen Informationen mit (Arbeitseignung oder -uneignung, Einschränkungen)
- Der Arbeitgeber darf keine Diagnosen in der Personalakte aufbewahren
- Krankheitsabwesenheiten können zu Verwaltungszwecken erfasst werden (Dauer, Häufigkeit), nicht jedoch die medizinischen Ursachen
Homeoffice und Datenschutz
Das verbreitete Arbeiten im Homeoffice schafft neue Herausforderungen. Im Homeoffice bearbeitete HR-Daten müssen genauso geschützt werden wie im Büro:
- Sichere Verbindungen (VPN) für den Zugriff auf HR-Systeme
- Druckverbot für Dokumente mit Personendaten auf privaten, nicht gesicherten Druckern
- Clean-Desk-Policy angepasst an die häusliche Umgebung
- Verschlüsselung der Arbeitsgeräte
Werden Monitoring-Tools für das Homeoffice eingesetzt (Screenshots, Tastaturaktivitätsmessung), gelten dieselben Überwachungsregeln wie oben beschrieben: Voranmeldung, Verhältnismässigkeit, legitimer Zweck.
Der begrenzte Wert der Einwilligung im Arbeitsrecht
Im Datenschutzrecht ist die Einwilligung eine gültige Rechtsgrundlage. Im Arbeitskontext verliert sie jedoch einen Grossteil ihrer Bedeutung.
Das Machtgefälle zwischen Arbeitgeber und Arbeitnehmer macht die Einwilligung strukturell problematisch: Ein Mitarbeitender könnte berechtigterweise Konsequenzen befürchten, wenn er die Einwilligung verweigert. Datenschutzbehörden gehen daher davon aus, dass die Einwilligung Bearbeitungen, die nicht unabhängig vom Arbeitsverhältnis sind, nicht wirksam legitimieren kann.
In der Praxis: Stützen Sie HR-Bearbeitungen nicht auf die Einwilligung, wenn eine andere Rechtsgrundlage vorhanden ist (Vertragserfüllung, gesetzliche Verpflichtung, überwiegendes Interesse). Reservieren Sie die Einwilligung für Situationen, in denen sie wirklich freiwillig, informiert und folgenlos widerrufbar ist (z.B. freiwillige Teilnahme an einem Wellnessprogramm).
Interne HR-Datenschutzrichtlinie
Das nDSG verlangt, dass betroffene Personen über die Bearbeitung ihrer Daten informiert werden. Für Mitarbeitende bedeutet dies eine HR-Datenschutzerklärung (oder Bearbeitungshinweis), die folgende Punkte abdecken muss:
- Kategorien der bearbeiteten Daten
- Zweck jeder Bearbeitung
- Rechtsgrundlagen
- Empfänger der Daten (Lohnbüros, Versicherungen, Behörden)
- Aufbewahrungsfristen
- Rechte der Mitarbeitenden und deren Ausübung
- Allfällige Auslandsübermittlungen
Dieses Dokument ist jedem neuen Mitarbeitenden beim Onboarding auszuhändigen und allen bestehenden Mitarbeitenden zugänglich zu machen.
Aufbewahrung von Daten nach Vertragsende
Das Ende des Arbeitsverhältnisses bedeutet nicht die sofortige Löschung aller Daten. Gesetzliche Aufbewahrungsfristen sind zu beachten:
| Datenart | Aufbewahrungsfrist |
|---|---|
| Buchhaltungsunterlagen (Lohnabrechnungen, Spesenabrechnungen) | 10 Jahre (OR Art. 958f) |
| AHV-Meldungen, Sozialversicherungsdeklarationen | 10 Jahre |
| Arbeitsverträge | 10 Jahre nach Vertragsende |
| Arbeitszeitdaten | 5 Jahre (ArGV 1 Art. 46) |
| Leistungsbeurteilungen | 5–10 Jahre je nach Kontext |
| Bewerbungsunterlagen (eingestellte Kandidaten) | Vertragsdauer + 10 Jahre |
| Bewerbungsunterlagen (abgelehnte Kandidaten) | Maximal 6 Monate, ausser mit Einwilligung |
| Gesundheitsdaten zu Versicherungszwecken | Gemäss Anforderungen des Versicherers |
Nach Ablauf dieser Fristen sind die Daten zu löschen oder zu anonymisieren.
Internationale HR-Datentransfers
Viele Schweizer Unternehmen nutzen HR-Tools, deren Server sich ausserhalb der Schweiz befinden (Bewerbermanagementsysteme, HRIS, cloudbasierte Lohnprogramme). Das nDSG regelt diese Übermittlungen:
- Übermittlungen in Länder, die vom EDÖB als angemessen anerkannt sind: ohne zusätzliche Formalitäten zulässig (EU/EWR und einige weitere Länder)
- Übermittlungen in andere Länder: erfordern geeignete Garantien (Standardvertragsklauseln, verbindliche unternehmensinterne Datenschutzregeln)
Seit dem 15. September 2024 anerkennt die Schweiz ein angemessenes Datenschutzniveau für US-Empfänger, die im Rahmen des Swiss-U.S. Data Privacy Framework (DPF) zertifiziert sind. Wenn Ihr HRIS bei einem US-amerikanischen Anbieter gehostet wird, prüfen Sie, ob dieser Swiss-U.S. DPF-zertifiziert ist. Andernfalls sind weiterhin geeignete Garantien erforderlich (Standardvertragsklauseln oder gleichwertige vertragliche Schutzmaßnahmen).
Praktische HR-Checkliste
| Massnahme | Priorität |
|---|---|
| HR-Datenschutzerklärung erstellen und verteilen | Hoch |
| Alle HR-Tools und deren Auftragsbearbeiter inventarisieren | Hoch |
| Verträge mit Dienstleistern prüfen (Lohnbüro, HRIS, Versicherungen) | Hoch |
| Aufbewahrungsfristen dokumentieren und Löschungen planen | Hoch |
| HR-Mitarbeitende zum Datenschutz schulen | Hoch |
| Bewerbungsformulare überarbeiten (unnötige Fragen entfernen) | Mittel |
| IT-Überwachungsregeln dokumentieren und kommunizieren | Mittel |
| Drittlandübermittlungen prüfen | Mittel |
| Auskunftsverfahren für Mitarbeitende einrichten | Mittel |
| Zugang zu Personalakten sichern (Papier und digital) | Hoch |
| Jährliche Überprüfung der HR-Datenschutzrichtlinie einplanen | Tief |
Fazit
Arbeitnehmerdatenschutz ist kein Thema, das nur Grossunternehmen betrifft. Jedes KMU, das Personal beschäftigt, bearbeitet schützenswerte Daten und muss dies im Einklang mit dem nDSG und Art. 328b OR tun. Die Risiken sind real: strafrechtliche Sanktionen bzw. aufsichtsrechtliche Massnahmen (z. B. Anordnungen des EDÖB), Reputationsschäden, arbeitsrechtliche Konflikte.
Der Schlüssel liegt in einem einfachen Grundsatz: Nur erheben, was notwendig ist — schützen, was erhoben wurde — löschen, was nicht mehr benötigt wird.
Möchten Sie auch die Datenschutzkonformität Ihrer Website überprüfen? Analysieren Sie Ihre Cookies und Tracker kostenlos mit PrivaScan — Ergebnisse in wenigen Sekunden, ohne Installation.