Richtlinie für die Bearbeitung von Personendaten im Arbeitsbereich

DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Richtlinie für die Bearbeitung von
Personendaten im Arbeitsbereich
Herausgeber:
Datenschutzstelle
Kirchstrasse 8
Postfach 684
9490 Vaduz
Fürstentum Liechtenstein
T +423 236 60 90
[email protected]
www.dss.llv.li
Oktober 2013
Die vorliegende Richtlinie erhebt keinen Anspruch auf Vollständigkeit und darf deshalb nicht als
ein rechtlich verbindliches Dokument betrachtet werden.
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Inhaltsverzeichnis
Einleitung......................................................................................................................................... 4
1.
Gesetzliche Grundlagen für die Bearbeitung von Personendaten am Arbeitsplatz ............................ 4
1.1
2.
3.
1.1.1
Allgemeines Bürgerliches Gesetzbuch (ABGB) ..................................................................... 4
1.1.2
Die Einwilligung als Rechtfertigungsgrund ........................................................................... 6
1.1.3
Prüfungsschema für Art. 28a nach § 1173a ABGB ............................................................... 7
1.1.4
Datenschutzgesetz (DSG) ..................................................................................................... 7
1.2
Datenbearbeitung im öffentlich-rechtlichen Arbeitsverhältnis ................................................... 7
1.3
Datenbearbeitung durch Personalvermittler und -verleiher ....................................................... 8
Allgemeine datenschutzrechtliche Pflichten des Arbeitgebers ........................................................... 8
2.1
Verantwortung als Inhaber der Datensammlung......................................................................... 8
2.2
Auskunftsrecht ............................................................................................................................. 9
2.3
Berichtigungsrecht ..................................................................................................................... 10
2.4
Register der Datensammlungen ................................................................................................. 10
2.5
Folgen einer Persönlichkeitsverletzung ..................................................................................... 10
Erlaubte Datenbearbeitungen – von der Bewerbung bis zur Beendigung des Arbeitsverhältnisses 11
3.1
Das Bewerbungsverfahren ......................................................................................................... 11
3.1.1
Bewerbung per Post ........................................................................................................... 11
3.1.2
Bewerbung per Fax............................................................................................................. 12
3.1.3
Bewerbung per E-Mail ........................................................................................................ 12
3.1.4
E-Recruiting ........................................................................................................................ 12
3.1.5
Internet-Recherche ............................................................................................................ 12
3.1.6
Bewerbungsunterlagen und -gespräche ............................................................................ 14
3.1.7
Einholung von Referenzauskünften ................................................................................... 16
3.1.8
Eignungsabklärungen und -untersuchungen...................................................................... 17
3.1.9
Candidate Screening ........................................................................................................... 18
3.1.10
Bei Nichtanstellung............................................................................................................. 18
3.2
Während des Arbeitsverhältnisses............................................................................................. 18
3.2.1
Personalakte ....................................................................................................................... 18
3.2.2
Die Nutzung von betrieblichen Telekommunikationsmitteln ............................................ 19
3.2.3
Private Telekommunikationsmittel im Geschäftsumfeld (Bring Your Own Device) .......... 20
3.2.4
Überwachungs- und Kontrollsysteme am Arbeitsplatz ...................................................... 21
3.3
4.
Datenbearbeitung im privatrechtlichen Arbeitsverhältnis .......................................................... 4
Nach Beendigung des Arbeitsverhältnisses ............................................................................... 21
Besondere praxisrelevante Fragestellungen ..................................................................................... 22
4.1
Soziale Netzwerke ...................................................................................................................... 22
4.2
Datenbekanntgabe an Dritte ...................................................................................................... 24
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
2/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
4.2.1
Im Allgemeinen................................................................................................................... 24
4.2.2
Datenbekanntgabe ins Ausland.......................................................................................... 24
4.2.3
Datenbearbeitung im Auftrag (Outsourcing) ..................................................................... 25
4.2.4
Tragen von Namensschildern ............................................................................................. 25
4.2.5
Bekanntgabe von Arbeitgeberdaten durch Arbeitnehmer – Geheimhaltungspflichten ... 26
4.2.6
Whistleblowing ................................................................................................................... 27
4.3
Telearbeit und ihre datenschutzrechtlichen Tücken.................................................................. 27
5.
Schlusswort ........................................................................................................................................ 27
6.
Anhang ............................................................................................................................................... 29
6.1
Gegenüberstellung von Rechten und Pflichten.......................................................................... 29
6.2
Richtlinien der Datenschutzstelle ............................................................................................... 31
6.3
Literatur und weiterführende Informationen ............................................................................ 31
6.4
Gesetzesmaterialien ................................................................................................................... 33
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
3/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Einleitung
Im Arbeitsverhältnis werden von Arbeitgebern 1 viele Daten über ihre Arbeitnehmer bearbeitet 2. Dadurch erlangen Arbeitgeber oft einen tiefen Einblick in die Privatsphäre ihrer Angestellten. Das Thema „Datenschutz am Arbeitsplatz“ ist sehr umfassend und vielschichtig. Allgemein
gültige Aussagen können nur beschränkt gemacht werden. Je nach Angestelltenverhältnis können die notwendigen Daten bei einem Arbeitsverhältnis stark variieren (so sind die Anforderungen bei einem Sicherheitsangestellten bei einer Bank anders als bei einem Angestellten in
der Cafeteria im selben Gebäude). 3 Um die Privatsphäre zu schützen, ist es essentiell, dass sowohl Arbeitgeber als auch Arbeitnehmer über ihre Rechte und Pflichten informiert sind. Wie so
oft, gilt es auch hier, den „goldenen Mittelweg“ zwischen den berechtigten Interessen der Arbeitnehmer und Arbeitgeber zu finden.
Die vorliegende Richtlinie richtet sich sowohl an Arbeitnehmer als auch an Arbeitgeber, aber
auch an behördliche und private Personalvermittler und -verleiher. Sie thematisiert zuerst die
gesetzlichen Grundlagen und die Pflichten des Arbeitgebers. Danach wird auf die datenschutzrechtlichen Aspekte vor, während und nach einem Arbeitsverhältnis eingegangen. Denn der
Datenschutz im Arbeitsbereich beginnt bereits mit dem Bewerbungsverfahren und reicht i. d. R.
weit über den Zeitpunkt der Beendigung des Arbeitsverhältnisses hinaus. Besondere Erwähnung findet hier auch das Thema der Überwachung am Arbeitsplatz. Schliesslich werden noch
einige Themen aus der Praxis erläutert.
1. Gesetzliche Grundlagen für die Bearbeitung von Personendaten
am Arbeitsplatz
Datenschutz am Arbeitsplatz betrifft unterschiedlichste Aspekte des Arbeitslebens. Datenschutzbestimmungen sind in vielen Spezialgesetzen zu finden. Darum sind verschiedene
Rechtsgrundlagen zu beachten, wobei vor allem die Art des Arbeitsvertrags entscheidend ist.
Dieses Kapitel enthält die wichtigsten Regelungen und gibt Ihnen eine Grundlage für die Anwendung der Richtlinie.
1.1
Datenbearbeitung im privatrechtlichen Arbeitsverhältnis
Ein privates Arbeitsverhältnis beruht auf einem privatrechtlichen Vertrag zwischen Arbeitgeber
und Arbeitnehmer. Es kommen insbesondere die Bestimmungen des Allgemeinen Bürgerlichen
Gesetzbuches (ABGB) zur Anwendung, welche die Rechte und Pflichten beider Parteien regeln.
1.1.1 Allgemeines Bürgerliches Gesetzbuch (ABGB)
Das ABGB regelt in den Bestimmungen zum privatrechtlichen Einzelarbeitsvertrag einerseits die
Sorgfalts- und Treuepflicht des Arbeitnehmers und andererseits den Schutz der Persönlichkeit
1
Sofern diese Richtlinie nicht ausdrücklich etwas anderes bestimmt, sind unter den in dieser Richtlinie verwendeten, auf Personen bezogenen männlichen Begriffen Angehörige des weiblichen und männlichen Geschlechts zu verstehen.
2
Mit „Bearbeiten“ ist im Datenschutz jeder Umgang mit Personendaten gemeint, wie das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgaben, Archivieren oder Vernichten (Art. 3 Abs. 1 lit. g DSG).
3
Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten,
September 2001, S. 19.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
4/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
des Arbeitnehmers sowie die Voraussetzungen für die Datenbearbeitung durch den Arbeitgeber. Das Einzelarbeitsvertragsrecht ist in § 1173 ABGB geregelt und aus der Schweiz übernommen. Deshalb wird in dieser Richtlinie hauptsächlich auf schweizerische Literatur und Rechtsprechung Bezug genommen.
Gemäss Art. 27 nach § 1173a ABGB hat der Arbeitgeber im Arbeitsverhältnis die Persönlichkeit
des Arbeitnehmers zu achten und zu schützen. Aus dieser Bestimmung wird eine allgemeine
Fürsorgepflicht des Arbeitgebers gegenüber dem Arbeitnehmer hergeleitet, als Gegenstück zur
Sorgfalts- und Treuepflicht des Arbeitnehmers. Die allgemeine Fürsorgepflicht bedeutet, dass
der Arbeitgeber alles zu unterlassen hat, was den berechtigten Interessen des Arbeitnehmers
schaden könnte. 4 Die Sorgfalts- und Treuepflicht des Arbeitnehmers bezieht sich unter anderem auf die Wahrung von Fabrikations- und Geschäftsgeheimnissen, die der Arbeitnehmer weder verwerten noch anderen mitteilen darf. Auch nach der Beendigung des Arbeitsverhältnisses
bleibt er zur Verschwiegenheit verpflichtet.
Mit Art. 28a nach § 1173a ABGB findet sich im Privatrecht eine besondere Bestimmung für das
Arbeitsverhältnis: 5 Der Arbeitgeber darf nach Art. 28a Abs. 1 nach § 1173a ABGB Daten über
den Arbeitnehmer nur bearbeiten, soweit sie entweder dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Im Übrigen gelten
die Bestimmungen des Datenschutzgesetzes (Demnach sind die Grundsätze des Datenschutzgesetzes wie Richtigkeit, Sicherheit, Rechtsweg, Auskunftsrecht etc. anwendbar). 6 Somit konkretisiert das ABGB das Verhältnismässigkeitsgebot des DSG und verlangt eine spezielle Zweckbindung für die Datenbearbeitung durch den Arbeitgeber.
Art. 28a nach § 1173a ABGB erlaubt die Datenbearbeitung demnach aus zwei Gründen: Eignungsabklärung einerseits und Durchführung des Arbeitsverhältnisses andererseits. Diese beiden erlaubten Bearbeitungszwecke sind allerdings klar auseinanderzuhalten.7 So dürfen beispielsweise Arbeitnehmerpersonendaten, die für die Durchführung des Arbeitsverhältnisses
benötigt werden, nicht bereits im Bewerbungsverfahren erhoben werden, wenn dafür im Rahmen der Eignungsabklärung kein Bedarf besteht. 8
Kapitel 3.1.6 und folgende enthalten eine umfangreiche Sammlung von Beispielen für „notwendige Daten“ im Sinne dieser Vorschrift.
Besonders wichtig ist der einseitig zwingende Charakter von Art. 28a nach § 1173a ABGB. 9 Das
bedeutet, dass von der Bestimmung zum Nachteil des Arbeitnehmers auf keinen Fall abgewichen werden darf, auch nicht mit Einwilligung des Arbeitnehmers. Anders als im Bereich des
DSG vermag also auch das Vorliegen eines Rechtfertigungsgrundes die Rechtswidrigkeit nicht
zu beseitigen.10 Datenverarbeitungen, die keinen Nachteil für den Arbeitnehmer bedeuten,
sind jedoch zulässig. 11
4
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 N 3.
Art. 28a nach § 1173a ABGB entspricht Art. 328b OR.
6
Vgl. Meier, N 2055 und 2058 ff.
7
Vgl. Pärli, S. 35.
8
Vgl. Pärli, S. 40.
9
Art. 113 Abs. 1 nach § 1173a ABGB in Verbindung mit Art. 28a nach § 1173a ABGB.
10
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b N 3.
11
Beispiele: Gutscheine für vergünstige Mahlzeiten, Angebote von Unternehmen, wonach die Arbeitnehmer ihre Privatfahrzeuge beim Arbeitgeber billiger tranken können.
5
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
5/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
1.1.2 Die Einwilligung als Rechtfertigungsgrund
Im Allgemeinen
Die Einwilligung der betroffenen Person ist der wichtigste Rechtfertigungsgrund für die Bearbeitung von Personendaten im Privatrecht. 12 Eine wirksame Einwilligung liegt dann vor, wenn die
betroffene Person im Voraus durch ihr aktives Handeln ihren Willen zur Datenbearbeitung bekundet hat.13
Die Einwilligung kann grundsätzlich schriftlich oder mündlich (oder im Online-Bereich durch das
Ankreuzen eines Kästchens) erfolgen. Für die Bearbeitung von besonders schützenswerten Personendaten 14 oder Persönlichkeitsprofilen 15 ist jedoch immer eine ausdrückliche Einwilligungserklärung erforderlich. 16
Der Begriff der Freiwilligkeit im Rahmen eines Arbeitsverhältnisses
Der Arbeitgeber verfügt gegenüber dem Arbeitnehmer in der Regel über eine Machtposition.
Für eine gültige Einwilligung muss der betroffene Arbeitnehmer die realistische Möglichkeit
haben, seine Einwilligung ohne Gefahr von Nachteilen zu geben oder zu verweigern. Die Wahlmöglichkeit darf nicht durch Täuschung, Einschüchterung, Nötigung oder das Risiko von beträchtlichen negativen Folgen unterlaufen werden.
Der Arbeitnehmer muss auch die Möglichkeit haben, seine Einwilligung zu widerrufen, ohne
dass ihm dadurch Nachteile entstehen. 17
Hinweis: Aus diesem Grund werden an eine Einwilligung im Zusammenhang mit einem Arbeitsverhältnis strengere Massstäbe gelegt. 18
12
Mittelberger, Einwilligung, S. 135 ff.
Eine wirksame Einwilligung muss drei Bedingungen erfüllen: Sie erfolgt ohne Zwang, also freiwillig. Sie gilt nur für den konkreten Fall, d. h. es muss ausreichend bestimmt sein, für welchen Zweck die Daten bearbeitet werden. Blanko-Einwilligungen
sind nicht zulässig, ebenso wenig pauschal gehaltene Erklärungen, da sie keine Möglichkeit bieten, die Tragweite des Einverständnisses zu überblicken. Sie wird in Kenntnis der Sachlage erteilt, das bedeutet, dass die betroffene Person im Voraus
weiss, wer der Inhaber der Datensammlung sein wird und zu welchem Zweck die Daten bearbeitet werden (MITTELBERGER,
Einwilligung, S. 136 f.). Vgl. auch Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten, September 2001, S. 28.
14
Welche Daten unter den Begriff der „besonders schützenswerte Personendaten“ fallen, ist explizit in Art. 3 Abs. 1 lit. e DSG
aufgezählt.
15
Unter einem „Persönlichkeitsprofil“ (Art. 3 Abs. 1 lit. f DSG) versteht man eine Zusammenstellung von Personendaten, welche
einzeln gesehen nicht besonders schützenswert sind, aber je nach Inhalt der Daten, Datenmenge sowie Art der Zusammenstellung ein Gesamtbild oder wesentliches Teilbild einer Persönlichkeit ergeben können und somit eine Beurteilung der Persönlichkeit erlauben. Darunter fallen beispielsweise detaillierte Lebensläufe, Eignungstests oder die Dokumentation des
Konsumverhaltens über einen langen Zeitraum.
16
Art. 4 Abs. 4 DSG.
17
Vgl. Rampini, BSK Datenschutzgesetz, Art. 13 DSG N 6, Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur
Verarbeitung personenbezogener Daten von Beschäftigten, September 2001, S. 3.
18
Vgl. Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten, September 2001, S. 23. Dies gilt auch in anderen EWR-Staaten: vgl. Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten, September 2001, S. 18.
13
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
6/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
1.1.3 Prüfungsschema für Art. 28a nach § 1173a ABGB
1. Sind die Personendaten erforderlich, weil es sich um
a) Daten zur Eignung des Arbeitnehmers handelt?
Wenn es um Daten zur Eignung des Arbeitnehmers für ein Arbeitsverhältnis geht, ist ein objektiver Massstab anzulegen. Es muss geprüft werden, ob die fraglichen Daten für das jeweilige Arbeitsverhältnis notwendig sind. Je nachdem, um welchen Arbeitsplatz in welchem Betrieb und um welche Position es sich handelt, können unterschiedliche Daten notwendig
sein, um die Eignung eines Arbeitnehmers zu beurteilen. 19
Oder
b) um Daten zur Durchführung des Arbeitsvertrags handelt?
Unter Daten zur Durchführung des Arbeitsvertrags versteht man Arbeitnehmerdaten, deren
Bearbeitung objektiv notwendig ist, um ein berechtigtes Interesse des Arbeitgebers oder
des Arbeitnehmers im Zusammenhang mit dem Arbeitsvertrag zu erfüllen. 20 Bei der Beurteilung, ob gewisse Daten notwendig sind, sind die Art des Arbeitsplatzes, des Arbeitsverhältnisses, die Position im Betrieb sowie der Zeitpunkt der Bearbeitung zu beachten.
Die Prüfung der Notwendigkeit bedeutet, dass stets die Massnahme gewählt werden muss,
die am Wenigsten in die Privatsphäre eines Arbeitnehmers eingreift.21
2. Wird hiervon (nicht) zum Nachteil des Arbeitnehmers abgewichen?
3. Werden die grundsätzlichen Bestimmungen des DSG berücksichtigt?
1.1.4 Datenschutzgesetz (DSG)
Wie erwähnt gilt das DSG ergänzend zum ABGB und greift dort, wo letzteres oder andere Gesetze, nicht vorgehen. 22
1.2
Datenbearbeitung im öffentlich-rechtlichen Arbeitsverhältnis
Öffentlich-rechtlichen Arbeitsverhältnissen unterliegen zum Beispiel das Staatspersonal 23 oder
die Lehrer,24 für die primär die Bestimmungen des Staatspersonalgesetzes (StPG) bzw. des
Lehrerdienstgesetzes (LDG) gelten. Auch gemäss Staatspersonalgesetz dürfen nur Personendaten bearbeitet werden, die für die Personal- und Lohnbewirtschaftung notwendig und geeignet
19
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 5.
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 37.
21
Dabei sind verschiedene Elemente zu berücksichtigen wie die Risiken, die Menge der in Frage stehenden Daten, der Zweck
der Bearbeitung usw., vgl. Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten, September 2001, S. 21.
22
Vgl. oben, 1.1.1. Zum Verhältnis des DSG zu Spezialgesetzen allgemein, vgl. Mittelberger, Spezialgesetze, S. 119 ff.
23
Art. 6 Staatspersonalgesetz (StPG).
24
Art. 3 Lehrerdienstgesetz (LdG).
20
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
7/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
sind. 25 Art. 3 StPG verweist auf die ergänzende Geltung des ABGB und des Arbeitsgesetzes
(ArG) auch für das öffentlich-rechtliche Arbeitsverhältnis.
1.3
Datenbearbeitung durch Personalvermittler und -verleiher
Das Gesetz über die Arbeitsvermittlung und den Personalverleih (AVG) bestimmt in den Artikeln 8 und 18, dass Daten über Arbeitnehmer und Stellensuchende nur bearbeitet und weitergegeben werden dürfen, soweit und solange sie für die Vermittlung oder Verleihung erforderlich sind. Jede darüber hinausgehende Bearbeitung oder Weitergabe bedarf der ausdrücklichen
Zustimmung des Arbeitnehmers oder Stellensuchenden. Eine Zustimmung ist insbesondere
notwendig, wenn Daten an andere Geschäftsniederlassungen oder an rechtlich unabhängige
Geschäftspartner weitergegeben werden sollen, wenn Gutachten und Referenzen eingeholt
oder Daten ins Ausland bekannt gegeben werden. 26
In Zeitungen werden Stellenangebote zum Teil nur unter Chiffre, also ohne Bezeichnung des
Arbeitgebers inseriert. Für Personalverleihfirmen ist so ein Vorgehen gesetzlich nicht erlaubt.
Gemäss Art. 18 Abs. 1 AVG müssen die Verleiher bei der öffentlichen Ausschreibung von Stellen
ihren Namen und die genaue Adresse angeben. Zusätzlich müssen Personalverleiher im Inserat
darauf hinweisen, dass die Arbeitnehmer beim Personalverleih angestellt werden.
Ein nicht datenschutzkonformes Vorgehen wäre es, wenn der Arbeitsvermittler oder Personalverleiher die Personendaten eines Stellensuchenden, möglicherweise sogar inklusive Lebenslauf, ohne dessen Zustimmung an Unternehmen weiterleiten würde.
Für Personalvermittler und -verleiher gilt, dass sie Personendaten nach erfolgter Vermittlung
bzw. nach Beendigung der Geschäftsbeziehung nur weiter bearbeiten dürfen, wenn die betroffene Person dem ausdrücklich zugestimmt hat. Diese ausdrückliche Zustimmung hat
schriftlich zu erfolgen und kann jederzeit widerrufen werden. Auf diese Rechte sind die betroffenen Personen im Voraus aufmerksam zu machen. 27
Personalverleiher haben zudem Art. 28a nach § 1173a ABGB zu beachten (s. oben).
2. Allgemeine datenschutzrechtliche Pflichten des Arbeitgebers
2.1
Verantwortung als Inhaber der Datensammlung
Verantwortlich für die Einhaltung der Datenschutzvorschriften ist stets der Inhaber der Datensammlung, also im Arbeitsverhältnis der Arbeitgeber. Er hat alle Vorkehrungen zu treffen, um
die Daten geheim zu halten und sie z. B. vor widerrechtlichen Zugriffen, Fälschung oder Verlust
zu sichern.
25
Art. 28 und 45 ff. StPG.
Art. 17 und 35 der Verordnung zum AVG (AVV).
27
Art. 17 Abs. 3 und 4 sowie Art. 35 Abs. 3 und 4 AVV.
26
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
8/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
2.2
Auskunftsrecht
Gemäss Datenschutzgesetz hat jede Person das Recht, Auskunft über die sie betreffenden Daten zu verlangen. 28 Das gilt auch für Arbeitnehmer, wenn sie Auskunft über den Inhalt ihrer
Personalakte 29 haben wollen. 30 Das Auskunftsrecht darf nur in Ausnahmefällen und nur begründet eingeschränkt werden.31 Durch das Auskunftsrecht wird es dem Arbeitnehmer überhaupt erst ermöglicht, seine übrigen datenschutzrechtlichen Ansprüche durchzusetzen.32
Das Auskunftsrecht ist an keine besonderen Voraussetzungen gebunden und zu dessen Ausübung muss weder ein schützenswertes Interesse noch eine Persönlichkeitsverletzung glaubhaft gemacht werden.33 Im Arbeitsverhältnis wird sich der Arbeitgeber jedoch in einzelnen Fällen auf ein überwiegendes eigenes Interesse berufen können, zum Beispiel bei Notizen, die zu
rein persönlichen Zwecken erstellt worden sind und Dritten nicht bekannt gegeben werden,
wenn Geschäftsgeheimnisse betroffen sind oder bei laufende Abklärungen zu Diebstählen.34
Der Arbeitgeber muss aber die überwiegenden Eigeninteressen glaubhaft machen.35
Der Arbeitgeber hat die Personalakten so zu führen, dass den Arbeitnehmern grundsätzlich
über alle ihre Daten Auskunft erteilt werden kann und eine Beschränkung des Auskunftsrechts
nur auf Grund aussergewöhnlicher Umstände erforderlich ist.
Beispiele für Auskünfte:
•
Der Name des Verfassers eines graphologischen Gutachtens kann abgedeckt werden,
wenn überwiegende Interessen eines Dritten dies notwendig machen.36
•
Der Verlag der Zeitung oder die Inserierungsfirma muss den Personen, die sich auf ein
Inserat gemeldet haben, die Identität des potentiellen Arbeitgebers bekanntgeben, wenn
dieser trotz wiederholter Aufforderung die Bewerbungsunterlagen nicht retourniert. Nur
so können die Bewerber ihr Auskunftsrecht geltend machen.37
Auch ein abgelehnter Bewerber kann grundsätzlich das Auskunftsrecht betreffend die Auswahlentscheidung geltend machen. Da die potentiellen Arbeitgeber jedoch gesetzlich verpflichtet
sind, die Bewerbungsunterlagen nach Abschluss des Bewerbungsverfahrens zurückzugeben
oder zu vernichten, kann dieser Auskunftsanspruch bei korrekter Handhabung nur zeitlich begrenzt durchgesetzt werden.38
28
Art. 11 DSG.
Siehe unter 3.2.1.
30
Für das Staatspersonal findet sich in Art. 48 Abs. 1 lit. a StPG eine ausdrückliche Regelung des Auskunftsrechts.
31
Art. 12 DSG.
32
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 15.
33
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 15.
34
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 15.
35
Vgl. EDÖB, S. 13/21.
36
Vgl. EDÖB, S. 13/21.
37
Vgl. EDÖB, S. 8/21.
38
Siehe hierzu Kapitel 3.1.10.
29
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
9/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
2.3
Berichtigungsrecht
Ein wichtiger Grundsatz ist der Grundsatz der Richtigkeit. 39 Der Arbeitgeber darf über seine
Angestellten nur richtige Daten führen und hat die Pflicht, regelmässig zu überprüfen, ob die
Daten (noch) korrekt sind.
Wenn ein Arbeitnehmer bemerkt, dass die Personalakte falsche Angaben enthält, kann er gemäss Art. 7 Abs. 2 DSG 40 verlangen, dass die unrichtigen Daten berichtigt werden. Für den Fall,
dass der Arbeitgeber Daten bearbeitet, die er nicht erheben oder verwenden darf, kann der
Betroffene ihre Löschung verlangen. Zu beachten ist das Berichtigungsrecht auch in Bezug auf
Meinungsäusserungen in Zeugnissen 41 und Personalbeurteilungen. Hier sind drei Fälle zu unterscheiden:
•
Rein subjektive Wertungen, wie zum Beispiel „die Person ist mir unsympathisch“: Diese
können nicht auf ihre Richtigkeit überprüft werden und gehören deshalb nicht in eine Personalakte, da sie für die Beurteilung der betreffenden Person nicht zweckdienlich sind.
•
Subjektive Beurteilungen, die auf objektiven Kriterien beruhen, wie zum Beispiel „erfüllt
die geforderten Leistungen nicht, ist faul und unzuverlässig“: Die Beurteilung bleibt zwar
subjektiv, es kann jedoch überprüft werden, ob sie auf objektiven Kriterien beruht und ob
sie für Dritte nachvollziehbar ist. Wenn ja, ist sie als richtig einzustufen, sonst muss sie berichtigt werden.
•
Beurteilungen, deren Richtigkeit nicht immer dargelegt werden kann, wie zum Beispiel
„könnte mehr leisten“: Bestreitet die betroffene Person die Richtigkeit der Beurteilung, so
kann sie verlangen, dass ein entsprechender Vermerk in die Personalakte aufgenommen
wird (vgl. Art. 37 Abs. 2 DSG). 42
2.4
Register der Datensammlungen
Es besteht eine Pflicht für alle Inhaber von Datensammlungen, diese beim Register der Datensammlungen bei der Datenschutzstelle anzumelden. Auch Arbeitgeber als Inhaber von teilweise
sehr umfangreichen Datensammlungen müssen dieser Pflicht nachkommen. 43
2.5
Folgen einer Persönlichkeitsverletzung
Für den Rechtsschutz bei der Datenbearbeitung kann auf die Bestimmungen des DSG 44 verwiesen werden.
Jede unrechtmässige Beschaffung von Daten kann grundsätzlich als Persönlichkeitsverletzung
qualifiziert werden.45 Liegt eine solche vor, kann der Kläger Schadenersatz- und/oder Genugtuungsansprüche geltend machen.46
39
Art. 7 DSG.
Für das Staatspersonal gelten die Spezialvorschriften von Art. 45 und 48 StPG.
41
Zum Berichtigungsrecht im Zusammenhang mit Zeugnissen siehe das Urteil des OGH vom 08.02.2013.
42
Vgl. EDÖB, S. 13/21.
43
Für detaillierte Informationen betreffend die Anmeldepflicht für Datensammlungen siehe unter
http://www.llv.li/amtsstellen/llv-dss-register_datensammlungen.htm.
44
Art. 37 und 38 DSG.
40
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
10/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Zu beachten ist auch, dass die Datenschutzstelle von sich aus oder auf Meldung Dritter hin den
Sachverhalt näher abklären und gegebenenfalls eine Empfehlung an den Inhaber der Datensammlung abgeben kann. 47
In der Praxis gibt es jedoch kaum erfolgreiche Klagen von Bewerbern oder Arbeitnehmenden
gegen Datenschutzverletzungen.48
3. Erlaubte Datenbearbeitungen – von der Bewerbung bis zur Beendigung des Arbeitsverhältnisses
Während des Arbeitsverhältnisses darf der Arbeitgeber – wie oben erwähnt – Personendaten
des Arbeitnehmers nur bearbeiten, wenn sie dessen Eignung für die Stelle betreffen oder zur
Durchführung des Arbeitsvertrags erforderlich sind. 49
Diese generellen Voraussetzungen müssen stets beachtet werden. Es wird im Rahmen dieser
Richtlinie nicht mehr in jedem Stadium des Arbeitsverhältnisses speziell darauf hingewiesen.
In den folgenden Absätzen wird die erlaubte Datenbearbeitung in den einzelnen Stadien eines
Arbeitsverhältnisses erörtert.
3.1
Das Bewerbungsverfahren
Im Bewerbungsverfahren bearbeiten mögliche Arbeitgeber eine Fülle verschiedener Daten, oft
von einer grossen Anzahl von Bewerbern. Bereits die Tatsache, dass sich jemand bewirbt, gilt
als vertraulich und darf Dritten nicht mitgeteilt werden.50 Obwohl Art. 28a nach § 1173a ABGB
zu den Bestimmungen des Einzelarbeitsvertrags gehört, wirkt er bereits in der Zeit vor Abschluss des Vertrags (Vorwirkung), also während des Bewerbungsverfahrens. 51 Somit müssen
die in Kapitel 1.1.2 und 1.2 erläuterten Bearbeitungszwecke schon während des gesamten Bewerbungsverfahrens beachtet werden.
Auf einige Aspekte des Bewerbungsverfahrens soll besonders eingegangen werden.
3.1.1 Bewerbung per Post
Die Bewerbung per Post ist die klassische Form der Bewerbung. Heute wird sie aber vielfach
durch modernere Kommunikationsmittel abgelöst. Zu beachten ist, dass die Bewerbungsunterlagen des Stellenbewerbers nur von den zuständigen Personen und Abteilungen bearbeitet und
nicht im Unternehmen „herumgereicht“ werden dürfen.
45
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 7.
Wenn ein Schadenersatzanspruch geltend gemacht werden soll, gilt die spezielle Regelung des § 1328a ABGB, die sich auf
Verletzungen des Rechts auf Wahrung der Privatsphäre bezieht.
47
Art. 29 und 30 DSG; wird eine solche Empfehlung nicht befolgt, kann die Datenschutzstelle die Angelegenheit der Datenschutzkommission vorlegen.
48
Vgl. Pärli, S. 54 sowie Streiff/von Kaenel/Rudolph, Art. 328b OR N 19.
49
Art. 28a nach § 1173a ABGB.
50
Vgl. Rehbinder/Stöckli, Art. 328b OR N 25.
51
Vgl. Pärli, S. 34.
46
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
11/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Bei einer Initiativbewerbung ist es besonders wichtig, dass konkret an eine verantwortliche
Person adressiert wird und die Bewerbung nicht einfach an eine allgemeine Adresse des Unternehmens versendet wird.
3.1.2 Bewerbung per Fax
Für die Bewerbung per Fax gilt Ähnliches wie für die Bewerbung per Post. Der Arbeitgeber muss
dafür sorgen, dass die Bewerbungsunterlagen durch genaue Angabe der jeweiligen Faxnummer
nur an die zuständigen Abteilungen gelangen. Arbeitnehmern sowie Personalvermittlern und
-verleihern ist davon abzuraten, Bewerbungen, insbesondere solche, welche Lebensläufe beinhalten, unangekündigt an die allgemeine Faxnummer eines Unternehmens zu senden.
3.1.3 Bewerbung per E-Mail
Bei der Bewerbung per E-Mail ist eine Verschlüsselung sehr wichtig, um den Schutz der Personendaten zu gewährleisten. Der Arbeitgeber hat in diesem Zusammenhang die entsprechende
Infrastruktur bereitzustellen, um verschlüsselte E-Mails von Bewerbern empfangen zu können.
Damit der gleiche Datenschutzstandard wie bei klassischen Bewerbungsverfahren gewährleistet
werden kann, ist der Arbeitgeber bei Nichtanstellung verpflichtet, technisch und organisatorisch eine wirksame Löschung der E-Mails und der gespeicherten Daten sicherzustellen. 52
3.1.4 E-Recruiting
Viele Unternehmen setzen für die Personalsuche auf Präsenz im Internet und in sozialen Netzwerken, ebenso bewerben sich Stellensuchende oft online. E-Recruiting 53 ist wegen seiner Vorteile wie Schnelligkeit, Aktualität, Einfachheit und niedrige Kosten sowohl für Stellensuchende
als auch für Unternehmen interessant. Unter den Begriff des E-Recruitings fallen unter anderem
Stellenanzeigen oder Online-Stellenbörsen auf Internetseiten von Unternehmen, Stellenausschreibungen in Jobportalen sowie Stellenangebote in teils eigens dafür bestimmten sozialen
Netzwerken, wie zum Beispiel Xing.
Ein unsorgfältiger Umgang mit Personendaten kann besonders bei dieser Bewerbungsvariante
Schaden anrichten, sowohl für Arbeitgeber als auch für Arbeitnehmer. Deshalb müssen beide
Seiten auch beim E-Recruiting die Bestimmungen des Datenschutzes einhalten. Der Arbeitgeber
muss besonders auf die sichere technische Abwicklung der Bewerbung achten. Bewerberdaten
dürfen nur über „sichere“ Verbindungen übertragen werden. Bei Nichtanstellung muss das Unternehmen die Löschung der Personendaten sicherstellen.
3.1.5 Internet-Recherche
Wenn eine Bewerbung bei einem Arbeitgeber eintrifft, kommt es oft vor, dass Arbeitgeber versuchen, über Personen- oder allgemeine Suchmaschinen wie Google, soziale Netzwerke wie
Facebook oder auf anderen Wegen einen ersten Eindruck über den Bewerber zu erhalten
52
Zur Datensicherheit sowie zu den technischen und organisatorischen Massnahmen des Datenschutzes allgemein,
siehe http://www.dss.llv.li.
53
E-Recruiting/-Recruitment bedeutet Personalbeschaffung über das Internet.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
12/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
(„Screening“). Ein solches Vorgehen stellt ein grosses Risiko für eine Persönlichkeitsverletzung
seitens des Arbeitnehmers dar, da der Arbeitgeber sehr wahrscheinlich auch dazu verleitet
wird, andere Daten des Bewerbers zu bearbeiten, welche nicht mehr durch Art. 28a nach
§ 1173a ABGB gerechtfertigt sind.54 Ausserdem kann es für den Bewerber sehr unangenehm
sein, wenn dabei verfängliche Bilder oder ungefilterte Kommentare auftauchen. Der Arbeitgeber darf deshalb ohne besondere Vorsichtigkeit keine Internet-Recherche vornehmen.55
Es muss zwischen Screening in sozialen Netzwerken und Screening mit Internetsuchdiensten
unterschieden werden. Die Informationsbeschaffung durch Ausspionieren in sozialen Netzwerken ist grundsätzlich nicht zulässig, da es ja auch nicht zulässig ist, im Bewerbungsgespräch bestimmte Fragen zu stellen. 56 Informationen über eine Person, die sich aus ihrem Profil in einem
sozialen Netzwerk ergeben, haben ohnehin meist keinen konkreten Bezug zum Arbeitsverhältnis. 57 Hingegen kann ein Stellenbewerber in seinen Bewerbungsunterlagen von sich aus auf sein
Profil hinweisen; in diesem Fall darf der Arbeitgeber dieses ohne Bedenken anschauen.58 Wenn
ein Arbeitgeber Recherchen in sozialen Medien tätigt, untersteht er jedoch stets einer Dokumentationspflicht.59 Das Ausforschen mittels eines Internetsuchdienstes ist ebenfalls unzulässig.
Weil auch das systematische Ausforschen von Bewerbern ohne deren Einverständnis durch
Privatdetektive nicht zulässig wäre, ist es genauso unzulässig, sich selber im Internet als Detektiv zu betätigen. 60
Tipps an Stellensuchende:
•
Achten Sie darauf, welche Inhalte Sie online stellen. Das Internet vergisst nicht!
•
Passen Sie die Privatsphäre-Einstellungen Ihres Kontos im sozialen Netzwerk an, um zu
regeln, wer Ihr Profil einsehen darf. 61
•
Googeln Sie im Voraus Ihren Namen und sprechen Sie im Zweifel heikle Inhalte offen im
Bewerbungsgespräch an.
Auch wenn die Internet-Recherche aus den dargelegten Gründen rechtlich in der Regel nicht
zulässig sein dürfte, nützt dies den betroffenen Arbeitnehmern wenig, denn eine allfällige Datenschutzverletzung im Bewerbungsverfahren wird regelmässig schwer zu beweisen sein.62
Zudem stellt sich die Frage, welcher Schaden geltend gemacht werden könnte. Da kein Anspruch auf Einstellung besteht, könnten lediglich die Bewerbungsunkosten und bei Vorliegen
einer schweren Persönlichkeitsverletzung eine Genugtuung verlangt werden. 63
54
Vgl. Dunand, Contrat de travail, Art. 328b OR N 335.
Vgl. Dunand, Contrat de travail, Art. 328b OR N 335.
56
Vgl. Egli, Rz 67.
57
Anders verhält es sich bei punktuellen Internetrecherchen über einen Bewerber mithilfe sog. Businessnetzwerken mit nicht
privater Prägung (z. B. Xing oder LinkedIn), da hier ein ausreichender Arbeitsplatzbezug sowie die Zustimmung des Bewerbers unterstellt werden kann (Streiff/von Kaenel/Rudolph, Art. 328b OR N 9).
58
Vgl. Egli, Rz 74.
59
Vgl. Egli, Rz 80.
60
Vgl. Egli, Rz 79 sowie Streiff/von Kaenel/Rudolph, Art. 328b OR N 9.
61
Zum Selbstdatenschutz allgemein siehe unter http://www.llv.li/amtsstellen/llv-dss-selbstdatenschutz.htm.
62
Vgl. Pärli, S. 39.
63
Vgl. Pärli, S. 39.
55
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
13/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Checkliste für Online-Recherchen durch Arbeitgeber: 64
•
Recherchen in beruflichen sozialen Netzwerken: möglich
•
Recherchen in privaten sozialen Netzwerken und auf Internetseiten, auf die der Stellenbewerber im Bewerbungsdossier oder im Bewerbungsgespräch verweist: möglich
•
Recherchen mit Suchmaschinen, in privaten sozialen Netzwerken und anderen Internetdiensten sind ohne direkten Verweis des Stellenbewerbers zulässig, sofern die folgenden
Voraussetzungen kumulativ erfüllt sind:
o Es handelt sich um einen begründeten Einzelfall (zukünftiger Mitarbeiter repräsentiert
aufgrund seiner Position oder Funktion den Arbeitgeber,übt eine besonders ausgeprägte Vorbildfunktion aus oder ist im unmittelbaren Umfeld von hohen Entscheidungs- oder Geheimnisträgern tätig).
o Der Stellenbewerber hat seine Einwilligung erteilt.
o Dem Stellenbewerber wird die Gelegenheit eingeräumt, zu den Suchergebnissen Stellung zu nehmen.
3.1.6 Bewerbungsunterlagen und -gespräche
Bewerbungsunterlagen und das Bewerbungsgespräch dienen dazu, dass der Arbeitgeber einen
Eindruck über die Eignung eines Bewerbers für eine bestimmte Stelle bekommt.
Weil die Sorgfalts- und Treuepflicht des Arbeitnehmers bereits vor einem allfälligen Arbeitsverhältnis gilt, ergibt es sich, dass der Stellenwerber Fragen beim Bewerbungsgespräch wahrheitsgemäss beantworten muss, wenn sie im Zusammenhang mit dem Arbeitsverhältnis stehen. Es
ist aber nicht immer klar, welche Frage noch im Zusammenhang mit dem Arbeitsverhältnis
steht und welche unzulässig ist. Dies hängt gemäss Art. 28a nach § 1173a ABGB davon ab, um
was für eine Stelle es sich handelt und davon, in welchem Stadium des Bewerbungsverfahrens
sich der Bewerber befindet. Demnach dürfen in Personalfragebögen vor dem Bewerbungsgespräch nicht im gleichen Umfang Fragen gestellt werden wie im Bewerbungsgespräch selbst
oder nach der Entscheidung zur Anstellung des Bewerbers.
Fragen, die keinen objektiven Zusammenhang mit dem Arbeitsverhältnis aufweisen, müssen
nicht beantwortet werden. Weil es dem Bewerber bei einem Bewerbungsgespräch in der Regel
nicht möglich ist, die Beantwortung einer Frage ohne Gefahr von Nachteilen zu verweigern, hat
dieser das Recht, falsche Antworten zu geben (sog. „Notwehrrecht der Lüge“). 65 Es ist aber zu
betonen, dass diese Notlüge, wie jedes andere Notwehrrecht, verhältnismässig eingesetzt werden muss. 66
Nachfolgend werden die häufigsten Fragen und ihre Zulässigkeit oder Unzulässigkeit erläutert:
64
Vgl. Merkblatt Datenschutzbeauftragter Kanton Zürich, S. 4.
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 19.
66
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 17.
65
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
14/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
•
Generell zulässig sind Fragen über identifizierende und administrativ notwendige Tatsachen wie Name, Vorname, Geschlecht, Geburtsdatum, Nationalität, Muttersprache, AHVNummer, Telefonnummer, Kontaktadresse.67
•
Fragen nach Ausbildung, beruflichem Werdegang sowie den beruflichen Perspektiven sind
ebenfalls als zulässig zu qualifizieren.68
•
Die Frage nach Kinderwünschen bzw. Schwangerschaft ist grundsätzlich unzulässig und
stellt eine geschlechtsspezifische Diskriminierung dar. Ausnahmsweise ist die Frage jedoch
gestattet, wenn davon auszugehen ist, dass aufgrund einer Schwangerschaft die Arbeit
nicht mehr erbracht werden kann, oder wenn die Arbeit Tätigkeiten umfasst, welche die
Schwangere oder das Kind gefährden könnten. Beispiele: schwere körperliche Arbeit, Fotomodell, Tänzerin. 69
•
Fragen über Allergien auf bestimmte Stoffe dürfen nur Stoffe betreffen, mit denen der
zukünftige Mitarbeiter bei der Arbeit auch in Kontakt kommt.
•
Fragen nach der Karriereplanung sind zulässig, soweit dies für die weitere Entwicklung der
in Frage stehenden Stelle von Belang ist. 70
•
Fragen nach den Umständen der Beendigung des vorigen Arbeitsverhältnisses sind in
dem Mass zulässig, wie die vom Bewerber vorgelegten Zeugnisse Anlass dazu geben und
soweit der Austrittsgrund für die aktuelle Stelle relevant ist.71
•
Der Strafregisterauszug enthält von seinem Inhalt her besonders schützenswerte Daten.
Diese dürfen vom Arbeitnehmer nur verlangt werden, wenn diese zur Abklärung der Eignung des Bewerbers für die Stelle notwendig sind. Hierbei ist auf den konkreten Einzelfall
abzustellen. So ist es bei einem Chauffeur zulässig, sich nach Vorstrafen im Verkehrsbereich zu erkundigen. Ein Bewerber für Anlageberatungen bei einer Bank muss sich demgegenüber Fragen nach Vorstrafen im Vermögensbereich gefallen lassen. Die aus dem Strafregister gelöschten Vorstrafen darf der Arbeitnehmer verschweigen. Über laufende
Strafverfahren, welche voraussichtlich einen Einfluss auf die Arbeitsplatzeignung oder
Vertragsdurchführung haben werden, darf sich der Arbeitgeber erkundigen. 72
•
Fragen nach dem früheren Lohn sind unzulässig. 73 Es besteht kein ausreichender Zusammenhang zwischen dem letzten Lohn und dem neuen Arbeitsverhältnis. Grundsätzlich unproblematisch ist die Nachfrage nach den Lohnvorstellungen.
•
Besonders heikel sind Fragen nach dem Gesundheitszustand des Stellenbewerbers. Solche Fragen über Krankheiten, Gebrechen und absehbare zukünftige gesundheitliche Schädigungen sind nur zulässig, wenn sie die Eignung für die jeweilige Stelle ernsthaft in Frage
stellen. Zum Beispiel ein starker Rückenschaden bei einem Bauarbeiter, Knieprobleme bei
einem Plattenleger oder eine Mehlstauballergie bei einem Bäcker. Darüber hinaus darf
67
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 7 sowie Streiff/von Kaenel/Rudolph, Art. 328b OR N 9.
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 7 sowie Streiff/von Kaenel/Rudolph, Art. 328b OR N 9.
69
Je nach Lehrmeinung ist die Frage auch bei Tätigkeiten gestattet, bei denen grössere oder längere Projekte geleitet werden
müssen und die einen Dauereinsatz verlangen; vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 9 sowie
Streiff/von Kaenel/Rudolph, Art. 328b OR N 9.
70
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 36 – enthält eine sehr umfangreiche Sammlung an Beispielen für zulässige und unzulässige Fragen durch den Arbeitgeber.
71
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 36 sowie Streiff/von Kaenel/Rudolph, Art. 328b OR N 9.
72
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 36.
73
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 9.
68
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
15/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
nach Gesundheitsschädigungen gefragt werden, wenn der Arbeitgeber diese kennen
muss, um spezielle Vorkehrungen zu treffen, wie z. B. ein rollstuhlgängiges Büro.
•
Nach ansteckenden Krankheiten darf nur gefragt werden, wenn im Rahmen der Stelle eine
Gefährdung für Dritte ausgehen würde (z. B. HIV-Infektion bei einem Arzt oder Krankenpfleger). 74
•
Fragen nach den persönlichen Interessen und Hobbys des Stellenbewerbers müssen nicht
beantwortet werden, da sie für das Arbeitsverhältnis nicht relevant sind. Unzulässig sind
in diesem Sinn Fragen nach Familienbeziehungen, Wohnverhältnissen, Freizeitverhalten,
Alkoholkonsum, Empfängnisverhütung usw. 75 Ausnahmsweise dürfen Angaben zu persönlichen Verhältnissen, Ansichten und Tätigkeiten (politische, gewerkschaftliche und weltanschauliche Ansichten sowie Parteizugehörigkeit) von Tendenzträgern in Tendenzbetrieben 76 oder zum Teil auch von leitenden oder exponierten Angestellten verlangt werden.77
•
Fragen über Suchtkrankheiten sind nur zulässig, soweit sie die Arbeitstauglichkeit, die
Sicherheit oder auch Dritte am jeweiligen Arbeitsplatz beeinträchtigen können. Dies ist
zum Beispiel der Fall, wenn der Betroffene Maschinen oder Fahrzeuge bedienen muss.
•
Die Frage nach der Gewerkschaftszugehörigkeit eines Arbeitnehmers, die während der
Bewerbungsphase unzulässig ist, kann während dem Arbeitsverhältnis legitim sein, wenn
es zum Beispiel um die Berechnung des Lohns nach bestehendem Gesamtarbeitsvertrag
geht.78
3.1.7 Einholung von Referenzauskünften
Referenzauskünfte sind nur zulässig, wenn der Bewerber seine Einwilligung zur Auskunftserteilung gegeben hat.79 Der bisherige Arbeitgeber darf dem möglichen zukünftigen Arbeitgeber
auch keine Einsicht in die Personalakte des Betroffenen oder Auskünfte über die Bedingungen
des bisherigen Arbeitsvertrags geben, weil dadurch die Verhandlungsposition des Bewerbers
empfindlich geschädigt werden kann. 80
•
Wenn ein Stellenbewerber in seinem Bewerbungsschreiben Namen und Kontaktangaben
bei früheren Arbeitgebern als „Referenzen“ angibt, so liegt darin eine ausdrückliche Einwilligung, dass der angesprochene Arbeitgeber die angegebenen Personen kontaktieren
darf. Wenn diese Angaben aber bloss im Lebenslauf oder in einem Bewerbungsgespräch
beiläufig genannt werden, ist dies keine Einwilligung. 81
•
Wenn sich Lehrstellenbetriebe bei der aktuellen oder früheren Schule bzw. bei Lehrern
eines Lehrstellensuchenden erkundigen, ist dies nur dann zulässig, wenn der Bewerber
diese ausdrücklich als Referenz in seiner Bewerbung angegeben oder hierzu nachträglich
sein ausdrückliches Einverständnis erteilt hat.
74
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 36.
Vgl. Meier, N 2090.
76
Betrieb, der bestimmten ideellen (politischen, religiösen, pädagogischen) Zielsetzungen dient.
77
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 36; anders in BGE 2C_103/2008.
78
Vgl. Meier, N 2049.
79
Vgl. Art. 4 Abs. 4 DSG.
80
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 16.
81
Vgl. Rosenthal, Handkommentar DSG, Art. 4 DSG N 84.
75
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
16/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
•
Führungszeugnisse dürfen vom neuen Arbeitgeber nicht direkt beim bisherigen Arbeitgeber oder bei Gericht eingeholt werden. Solche müssen immer vom Arbeitnehmer verlangt
werden.
3.1.8 Eignungsabklärungen und -untersuchungen
Um die Eignung eines Bewerbers für eine Stelle genau abklären zu können, dürfen Arbeitgeber
unter Einschränkungen auch besondere Eignungsabklärungen durchführen.
Dazu zählen psychologische Leistungstests, Assessment Centers, graphologische Gutachten
oder Persönlichkeitstests. Solche dürfen nur durchgeführt werden, wenn sie dem angestrebten
Zweck dienen und von Fachpersonen durchgeführt und ausgewertet werden. Wichtig ist, dass
auch diese Tests nicht die Persönlichkeit des Bewerbers verletzen. Sie müssen verhältnismässig
sein, die Grenzen von Art. 28a nach § 1173a ABGB beachten und benötigen zusätzlich die Einwilligung des Betroffenen. 82 Der Bewerber muss nachvollziehen können, welcher Zweck mit
den Fragen verfolgt wird, und er hat Anspruch auf die Mitteilung der Testauswertung. 83
•
Graphologische Gutachten dürfen nicht heimlich durchgeführt werden. Der Arbeitgeber
hat den Bewerber im Voraus über die Durchführung zu informieren, damit er seine Einwilligung dazu erteilen kann. Eine handschriftliche Bewerbung allein bedeutet noch keine
Einwilligung.
•
Wenn ein ärztliches Eignungsgutachten durchgeführt wird, darf sich der Arbeitgeber nur
über die Eignung an sich, nicht jedoch über die Diagnose oder die einzelnen Feststellungen des Arztes erkundigen. Es gilt die ärztliche Schweigepflicht. Das gilt auch, wenn das
Gutachten durch den Betriebsarzt durchgeführt wird. 84
•
Der Arbeitgeber darf vom Bewerber nicht verlangen, sich einer genetischen Untersuchung zu unterziehen. Eine Ausnahme wäre nur denkbar, wenn die betroffene Person sich
für eine Stelle bewirbt, die eine Gefährdung Dritter beinhaltet und nur, wenn eine genetische Untersuchung zweifelsfrei feststellen kann, ob die Anstellung der Person ein direktes
Sicherheitsrisiko zur Folge hätte. Die genetische Analyse darf nur nach umfassender Aufklärung mit der Einwilligung des Stellenbewerbers durchgeführt werden. Das Ergebnis
darf nur dem Bewerber mitgeteilt werden. 85
•
Drogentests bei Lehrlingen und anderen Arbeitnehmern sind nur gerechtfertigt, wenn
die Sicherheitsinteressen im Vergleich zum Persönlichkeitsschutz überwiegen und der
Lehrling eingewilligt hat. Die Einwilligung muss aus freien Stücken, unmissverständlich und
ausdrücklich erfolgen und ist nur gültig, wenn der Lehrling über den Zweck und die Folgen
des Drogentests informiert ist. 86 Der Arzt darf dem Arbeitgeber nur darüber Auskunft geben, ob der Lehrling für die zu besetzende Stelle tauglich ist und darf sonst keine Angaben
über einen allfälligen Drogenkonsum machen.87
82
Vgl. EDÖB, S. 9/21.
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 12.
84
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 14.
85
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 15.
86
Für die Gültigkeit der Einwilligung eines noch nicht volljährigen Lehrlings gelten die allgemeinen Bestimmungen des Zivilrechts.
87
Vgl. EDÖB, S. 10/21.
83
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
17/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
3.1.9 Candidate Screening
Ob die von einem Bewerber vorgelegten Unterlagen und die im Lebenslauf gemachten Angaben tatsächlich zutreffen, wird nicht immer dem guten Glauben überlassen. Es hat sich in den
letzten Jahren sogar ein Markt von Dienstanbietern entwickelt, die sich darauf spezialisiert haben, im Auftrag von potentiellen Arbeitgebern die Angaben von Bewerbern auf ihre Richtigund Vollständigkeit hin zu verifizieren. Hierbei werden beispielsweise die von den Bewerbern
angegebenen Referenzen überprüft, die früheren Arbeitgeber kontaktiert oder man lässt sich
von Universitäten den Abschluss bestätigen. Dieses sogenannte Candidate Screening ist nur mit
dem ausdrücklichen Einverständnis der betroffenen Bewerber zulässig, welches diese auch jederzeit ohne Drohung von Nachteilen widerrufen können müssen. Eine direkte Verknüpfung
mit dem Vertragsabschluss wäre unrechtmässig, da die Einverständniserklärung freiwillig erteilt
werden muss.
3.1.10 Bei Nichtanstellung
Nach Ende des Bewerbungsverfahrens müssen die im Eigentum des Bewerbers stehenden Unterlagen an diesen zurückerstattet werden und eigene Unterlagen des Arbeitgebers einschliesslich Fragebögen und Tests sind zu vernichten.88 Da der Arbeitgeber allerdings auch gegenüber
dem abgewiesenen Bewerber einer Pflicht zur Datenbearbeitung unterliegt, nämlich dann,
wenn dieser eine Geschlechterdiskriminierung geltend macht und eine schriftliche Begründung
der Ablehnung seiner Bewerbung verlangt 89, dürfen und müssen die zu dessen Erfüllung erforderlichen Daten noch aufbewahrt werden, solange ein solches Begründungsbegehren noch
erwartet werden kann.90 Dies gilt zumindest für die Dreimonatsfrist des Art. 8 Abs. 2 GLG, während welcher der Arbeitgeber noch mit einer Entschädigungsklage wegen diskriminierender
Nichtanstellung rechnen muss. 91
Eine weitere Aufbewahrung der Daten und Unterlagen ist nur mit der Zustimmung des Stellenbewerbers für eine bestimmte, im Voraus festgelegte Zeit erlaubt, wenn anzunehmen ist, dass
sie demnächst wieder gebraucht werden.92
3.2
Während des Arbeitsverhältnisses
3.2.1 Personalakte
In ihrer Gesamtheit werden die vom Arbeitgeber über einen Arbeitnehmer bearbeiteten Daten
als Personalakte gesehen. Der Begriff der Personalakte findet sich nur im Staatspersonalgesetz.93 Was zu einer Personalakte gehört, bestimmt sich nicht nach dem äusseren Erscheinungsbild, sondern nach ihrem Zweck. 94 Der Begriff der Personalakte umfasst jene Personendaten, die vom Arbeitgeber im Hinblick auf sein Verhältnis zum Arbeitnehmer mit Bezug auf
88
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 13.
Art. 8 Abs. 1 Gleichstellungsgesetz (GLG).
90
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 13.
91
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 13.
92
Vgl. EDÖB, S. 11/21.
93
Art. 47 ff. StPG.
94
Vgl. Rehbinder/Stöckli, Art. 328b OR N 30.
89
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
18/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Entstehung, Abwicklung und Beendigung des Arbeitsverhältnisses aufgezeichnet und unter dem
Namen des Arbeitnehmers abgelegt werden oder über eine strukturierte Suche abrufbar sind. 95
Es ist nicht von Bedeutung, ob die Personendaten in einem einheitlichen Dossier zusammengefasst oder an verschiedenen Stellen aufbewahrt werden.96
Es ist dem Arbeitgeber nicht erlaubt, geheime Akten, sogenannte „graue Dossiers“, über seine
Mitarbeiter zu führen, deren Vorhandensein und Inhalt den Mitarbeitern verheimlicht wird. 97
Jedoch zählen Unterlagen, welche von Leitern der bestimmten Fachabteilung parallel geführt
und deren Existenz vor dem Arbeitnehmer nicht geheim gehalten wird, nicht zu „grauen Dossiers“. Sie bilden einen Teil der Personalakte. Der Arbeitnehmer kann über den ganzen Inhalt
seiner Personalakte Auskunft verlangen (siehe Auskunftsrecht).
Die wichtigsten Daten in einer Personalakte sind Personalien und Adressdaten, Bewerbungsunterlagen, Referenzauskünfte, graphologische Gutachten, Testunterlagen, Arbeitsvertrag, Angaben über Arbeitsausfälle und Ferien, Lohn- und Versicherungsdaten, Beurteilungen, Weiterbildung und Laufbahnplanung, Disziplinarmassnahmen (Verwarnungen, Verweise und Bussen),
Korrespondenzen zwischen Arbeitgeber und Angestelltem, Aktennotizen über besondere Vorkommnisse, Registerauszüge und Arztzeugnisse. 98
Um den Anforderungen des Datenschutzes gerecht zu werden, sollte die Personalakte regelmässig überprüft und die nicht mehr für die Durchführung des Arbeitsvertrags erforderlichen
Unterlagen vernichtet werden.
Ausserdem sind die Zugriffe auf die Personaldaten auf einen möglichst kleinen, mit der Personalbetreuung betrauten Personenkreis zu beschränken. In grösseren Unternehmen ist zu prüfen, ob innerhalb der – meist ebenfalls grösseren – Personalabteilung die Zugriffsrechte auf
einzelne Sachbearbeiter eingeschränkt werden können, damit nicht die gesamte Abteilung in
sämtliche Daten Einsicht nehmen kann. So können die Zuständigkeiten beispielsweise alphabetisch vergeben oder nach Dienstort der Arbeitnehmer etc. eingeteilt werden.
3.2.2 Die Nutzung von betrieblichen Telekommunikationsmitteln
Ob und in welchem Umfang auch eine private Nutzung von betrieblichen Telekommunikationsmitteln zulässig ist, obliegt dem Weisungsrecht des Arbeitgebers. Der Arbeitgeber kann die
private Nutzung komplett verbieten, aber auch ohne weitere Vorgaben erlauben; oftmals wird
die private Nutzung einfach auch nur „geduldet“. Grundsätzlich ist jedoch jeder Arbeitnehmer
gehalten, in Ausübung seiner allgemeinen Sorgfalts- und Treuepflicht die betrieblichen Telekommunikationsmitteln nur begrenzt für private Zwecke zu nutzen. Vorrangig ist die Erfüllung
der Arbeitsleistung.
Es empfiehlt sich daher für jeden Arbeitgeber, ein Reglement zu erstellen, in dem die Nutzung
von Telekommunikationsmitteln oder anderen technischen Hilfsmitteln durch die Arbeitneh95
Vgl. Rosenthal, Handkommentar DSG, Art. 328b OR N 45 sowie Streiff/von Kaenel/Rudolph, Art. 328b OR N 13.
Vgl. Winterberger-Yang, BSK Datenschutzgesetz, Art. 328b/362 OR N 6 sowie Geiser/Müller, N 458.
97
Vgl. EDÖB, S. 12/21.
98
Vgl. EDÖB, S. 12/21.
96
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
19/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
mer klar geregelt wird.99 Die Erstellung eines Nutzungsreglements ist zwar freiwillig, aber dringend anzuraten, um im Betrieb oder in der Behörde Rechtssicherheit zu schaffen.
Neben Regelungen zur (Un-)Zulässigkeit einer privaten Nutzung können zum Beispiel auch die
E-Mail-Archivierung oder etwaige Vorgaben, wie bei Abwesenheit eines Arbeitnehmers vorzugehen ist, vorgesehen werden. Ausführliche Informationen hierzu finden Sie in unserer „Richtlinie über Internet- und E-Mail-Überwachung am Arbeitsplatz für öffentliche Verwaltungen und
Privatwirtschaft“.100
Beispiele aus der oben erwähnten Richtlinie:
•
Der Zugriff des Vorgesetzten auf das E-Mail-Konto eines Mitarbeiters darf nicht verlangt
werden.
•
Eine detaillierte Telefonabrechnung mit Einzelverbindungsnachweisen kann im Einzelfall
zulässig sein.
Wichtig ist, dass die Arbeitnehmer über die Regelungen umfassend informiert werden, damit
sie ihr Verhalten entsprechend ausrichten können. Ein Nutzungsreglement ist den Mitarbeitern
daher nachweislich zur Kenntnis zu bringen (z. B. als Anhang zum Arbeitsvertrag) und jederzeit
zur Verfügung zu stellen (z. B. im firmeneigenen Intranet).
3.2.3 Private Telekommunikationsmittel im Geschäftsumfeld (Bring Your Own Device)
Ein weiteres datenschutzrechtliches Thema ist die Verwendung von privaten Smartphones, Tablets oder Computern im Geschäftsumfeld.101 Durch die ausgereifte Technologie werden vor
allem private Smartphones immer häufiger für geschäftliche Zwecke verwendet. Beispiele sind
geschäftlicher E-Mail-Verkehr, Nutzung von Cloud-Angeboten oder Synchronisation von Daten
vom Arbeitsplatzrechner bzw. Firmenserver. Diese technischen Vorteile bergen datenschutzrechtliche Risiken. E-Mails beispielsweise sind auf Smartphones weit weniger gut geschützt als
in internen IT-Infrastrukturen. Smartphones können generell viel schlechter geschützt werden
als Notebooks. Die Gefahr ist gross, dass die in E-Mails übersendeten oder über FilesharingDienste (z. B. Dropbox) synchronisierten Daten in falsche Hände geraten. Ebenfalls ein Risiko
stellen Apps dar, die unerwünschte Datentransfers durchführen. Entscheidend ist hier, dass
durch angemessene technische Massnahmen eine durchgängige Trennung von geschäftlichen
und privaten Daten erfolgt. Werden diese Risiken nicht berücksichtigt, läuft der Arbeitnehmer
Gefahr, betriebliche Geheimhaltungsvorschriften zu verletzen.
Um diesen Risiken vorzubeugen, ist eine Reglementierung der Geschäftsnutzung von privaten
Geräten („BYOD“) durch den Arbeitgeber sehr zu empfehlen. 102
99
Vgl. Egli, Rz 43 ff. betreffend die Nutzung des Internets am Arbeitsplatz.
Richtlinie über Internet- und E-MailÜberwachung am Arbeitsplatz für öffentliche Verwaltungen und Privatwirtschaft,
siehe http://www.dss.llv.li.
101
Vgl. Portmann, S. 42.
102
Vgl. Portmann, S. 42 f.; die Datenschutzstelle hat eine Checkliste veröffentlicht, die als Hilfestellung zur Anfertigung und
Prüfung von Reglementen über die Benutzung von mobilen Endgeräten dient. Diese Checkliste richtet sich speziell an Verantwortliche im Bereich IT, welche Benutzungsreglemente und Dienstvorschriften für die Nutzung von mobilen Arbeitsplät100
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
20/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Die umgekehrte Variante, dass Diensthandys auch privat genutzt werden dürfen, bringt ähnliche Datenschutzfragen mit sich. Wenn Arbeitnehmer Diensthandys auch privat nutzen wollen,
liegt es sowohl im Interesse des Arbeitgebers als auch des Arbeitnehmers, dass die Nutzung
korrekt abgerechnet wird. Für eine differenzierte Abrechnung wird eine regelmässige Auflistung der Einzelverbindungsnachweise erforderlich sein. Für die Einhaltung des Datenschutzes
bei der Bearbeitung dieser Verbindungsnachweise sind geeignete technische wie organisatorische Vorkehrungen zu treffen.
3.2.4 Überwachungs- und Kontrollsysteme am Arbeitsplatz
Unter Überwachungs- und Kontrollsystemen versteht man alle (technischen) Einrichtungen,
durch die einzelne oder mehrere Tätigkeiten oder Verhaltensweisen der Angestellten erfasst
werden können. Das bekannteste und oft auch augenfälligste System ist wohl die Videoüberwachung. 103 Viele Systeme an Arbeitsplätzen, wie Telefonzentralen, IT-Systeme, Kopier- und
Fax-Geräte, Zeiterfassungssysteme, Zugangskontrollen, Auftragsabwicklungssysteme usw. dienen nicht primär der Überwachung des Personals, können aber theoretisch zu diesem Zweck
benutzt werden.
Neben den Voraussetzungen des Art. 28a nach § 1173a ABGB sowie des DSG müssen zusätzlich
auch die Erfordernisse des Arbeitsschutzes 104 erfüllt sein: 105
•
Vorliegen eines anderen Interesses als die Verhaltensüberwachung der Arbeitnehmer;
•
Verhältnismässigkeit zwischen dem Interesse des Arbeitgebers an einer Überwachung und
demjenigen der Arbeitnehmer, nicht überwacht zu werden; und
•
Mitwirkung der Arbeitnehmer bezüglich der (technischen) Einrichtung der Überwachung.
Ausführliche Informationen zum Thema Überwachung am Arbeitsplatz, wie insbesondere zu
den Erfordernissen an die Videoüberwachung, die Überwachung von Telekommunikationsmitteln oder an Zeiterfassungssysteme können Sie in dem Merkblatt „Überwachung der Arbeitnehmer am Arbeitsplatz“ und in der Richtlinie über „Internet- und E-Mail-Überwachung am
Arbeitsplatz für öffentliche Verwaltungen und Privatwirtschaft“ finden.106
3.3
Nach Beendigung des Arbeitsverhältnisses
Der Datenschutz ist auch nach Beendigung des Arbeitsverhältnisses zu beachten. Wenn die Daten weder aus sozialversicherungs- oder steuerrechtlichen Gründen noch zur Wahrnehmung
nachvertraglicher Fürsorgepflichten wie Ausstellung oder spätere Berichtigung eines Zeugnisses 107, Erteilung von Referenzen, noch zur Durchsetzung eines Konkurrenzverbotes oder anderer Rechte des Arbeitgebers erforderlich sind, müssen sie nach Beendigung des Arbeitsverhält-
zen (z. B. Notebooks, Tablets, Smartphones, Mobiltelefone, PDAs) erstellen:
http://www.llv.li/pdf-llv-dss-checkliste_mobile_geraete.pdf.
103
Die Videoüberwachung im öffentlich zugänglichen Raum ist in Art. 6a DSG speziell geregelt, siehe auch „Merkblatt zur Überwachung der Arbeitnehmer am Arbeitsplatz“, https://www.dss.llv.li, S. 15/21.
104
Insb. Art. 59 der Verordnung über die Sicherheit und den Gesundheitsschutz der Arbeitnehmer am Arbeitsplatz.
105
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 8.
106
http://www.dss.llv.li.
107
Siehe oben Fussnote 39.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
21/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
nisses vor dem Hintergrund von Art. 28a nach § 1173a ABGB vernichtet werden. 108 Die Vernichtung der Unterlagen muss nicht sofort nach Beendigung des Arbeitsverhältnisses erfolgen, denn
allfällige Arbeitsstreitigkeiten dürfen nicht erschwert oder gar verunmöglicht werden. 109 Deshalb kann der Arbeitgeber mit der Vernichtung zuwarten, bis mit Sicherheit feststeht, dass es zu
keiner Arbeitsstreitigkeit kommt. 110
Die zulässige Aufbewahrungsdauer von Daten durch den Arbeitgeber bestimmt sich nach Datenkategorien und dem Aufbewahrungszweck.
Beispiele für gesetzliche Aufbewahrungspflichten des Arbeitgebers:
•
Art. 36 nach § 1173a ABGB: Ausstellung Arbeitszeugnis 10 Jahre
•
Art. 83 UVersV: Lohnaufzeichnungen und Buchhaltungsunterlagen 5 Jahre
•
Art. 47 Abs. 3 StPG: Übergabe an das Landesarchiv nach 5 Jahren
•
Art. 4 Abs. 2 lit. a StPV: Personalbeurteilungen 10 Jahre
4. Besondere praxisrelevante Fragestellungen
4.1
Soziale Netzwerke
Unter sozialen Netzwerken sind hier Internetplattformen zu verstehen, auf denen sich die Benutzer unter privaten – freizeitorientierten oder unter berufsorientierten – Gesichtspunkten
präsentieren. Auch Arbeitgeber nutzen die sozialen Netzwerke, um ihr Unternehmen in der
Öffentlichkeit darzustellen (sog. Firmenauftritt). 111
Mitarbeiter können daher sowohl über private als auch über berufliche Konten in sozialen
Netzwerken auftreten. Die Nutzung vom Arbeitsplatz aus darf vom Arbeitgeber im Rahmen
seines Weisungsrechts vorgegeben werden. Die Nutzung von sozialen Netzwerken durch einen
Arbeitnehmer ist durch das Spannungsverhältnis zwischen dem Recht des Arbeitnehmers auf
freie Meinungsäusserung sowie Wahrung seines Persönlichkeitsrechts und seines Rechts auf
informationelle Selbstbestimmung auf der einen Seite und dem Interesse des Arbeitgebers an
Einhaltung arbeitsvertraglicher Pflichten sowie der Darstellung des Unternehmens in der Öffentlichkeit auf der anderen Seite gekennzeichnet. 112
Tipp an Arbeitgeber: Erstellen Sie ein Reglement für den Umgang mit sozialen Medien
(„Internet-Knigge“) für Ihr Unternehmen, um Unklarheiten und Probleme in Bezug auf soziale
Medien zu vermeiden.
108
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 13.
Vgl. Geiser/Müller, N 460.
110
Vgl. Geiser/Müller, N 460.
111
Z. B. Datenschutzstelle auf Facebook unter https://www.facebook.com/pages/DatenschutzstelleLiechtenstein/364340615234.
112
Vgl. Kor, S. 722 ff.; zur Nutzung sozialer Online-Netzwerke allgemein siehe: Artikel-29-Datenschutzgruppe, WP 163, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke.
109
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
22/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Die Arbeitnehmer sollten also immer genau unterscheiden, ob sie sich in ihrer Funktion als Arbeitnehmer (z. B. im Rahmen des Firmenauftritts) oder als Privatperson in sozialen Netzwerken
bewegen. Als Arbeitnehmer darf in der Regel ein Bezug zum Arbeitgeber vorliegen, beispielsweise durch Angabe der ausgeübten Funktion, Firmen-E-Mail-Adresse etc. Bei Nutzung von
sozialen Medien allein als private Person müssen diese unternehmensbezogenen Angaben
weggelassen werden und die Person sollte sich nur mit ihrem privaten Namen/Adresse äussern.
Dennoch müssen selbst im privaten Bereich zum Teil arbeitsrechtliche Pflichten beachtet werden, wie insbesondere die Loyalitätspflicht gegenüber dem Arbeitgeber.
Beachte: Ein Arbeitgeber darf generell kein Passwort für ein privates Konto des Arbeitnehmers
verlangen. Dies gilt sowohl in Bezug auf soziale Netzwerke wie auch E-Mail etc. Der Arbeitgeber darf vom Arbeitnehmer auch nicht verlangen, ihn als „Freund“ zu akzeptieren.
Nutzer von sozialen Netzwerken müssen sich im Klaren darüber sein, dass auch Kommentare
und „Gefällt-Mir-Angaben“, die sie in öffentlichen Gruppen oder zu Tagesthemen in sozialen
Netzwerken abgeben, von der Öffentlichkeit und somit auch vom (potentiellen) Arbeitgeber
gelesen werden können. Soziale Netzwerke geben somit oft mehr persönliche Informationen
preis, als einem lieb und im Besonderen bewusst ist.
Es ist ein Irrtum zu glauben, dass gelöschte Aussagen in Profilen oder Gruppen restlos nicht
mehr vorhanden sind. Ebenso falsch ist die Annahme, dass bestimmte Kommentare nur ausschliesslich für eine Gruppe zugänglich sind und dort bleiben. Durch „Retweets“, „Screenshots“,
„Analysetools“ und die Datenbank des sozialen Netzwerks wird dies praktisch verunmöglicht.
So bleiben vor allem von Benutzern gelöschte Beiträge entgegen deren Wissen und Willen oft
noch für eine unbestimmte Zeit abrufbar. Bei Kommentaren in Gruppen ist die Möglichkeit zu
beachten, dass diese für eine viel grössere Anzahl von Personen sichtbar werden können, als
man zuvor geglaubt hat, besonders weil man keinen Überblick hat, welche Personen oder Medien sich wirklich in der Gruppe aufhalten. Es kann folglich dazu kommen, dass man persönliche
Meinungen und Einstellungen mit Personen oder der Öffentlichkeit teilt, die man auf diese Art
eigentlich nicht preisgeben will.
Äussern sich Arbeitnehmer in sozialen Netzwerken in unerwünschter Form über ihren Arbeitgeber, können arbeitsrechtliche Massnahmen die Folge sein – selbst wenn die Äusserung über
das private Konto erfolgte. Ausserdem kann eine Schadenersatzklage die Folge davon sein, dass
ein Arbeitnehmer die Reputation seines Arbeitgebers durch negative Äusserungen schädigt.113
Beispiele: 114
•
Kündigung eines Arbeitnehmers, der auf Twitter ausländerfeindliche Bemerkungen veröffentlicht hat, obwohl er seine Bemerkung nur kurze Zeit nach der Veröffentlichung wieder
gelöscht hatte.115
•
Fristlose Kündigung eines Lehrlings, der seinen Arbeitgeber auf Facebook verunglimpft hat
(als „Menschenschinder & Ausbeuter“, der ihn als „Leibeigenen halte“; er müsse „dämliche Scheisse für Mindestlohn -20 %“ erledigen). 116
113
Vgl. Egli, Rz 55.
In der Schweiz sind bislang noch keine arbeitsgerichtlichen Urteile wegen Missachtung der arbeitsvertraglichen Treuepflicht
durch Aktivitäten in Social-Media-Plattformen ergangen (PÄRLI, S. 48).
115
Krause, S. 6 ff.
114
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
23/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
4.2
Datenbekanntgabe an Dritte
4.2.1 Im Allgemeinen
Ein sensibles Thema ist die Bekanntgabe von Personendaten an Dritte. Grundsätzlich gilt das
Datengeheimnis.117 Datenbekanntgaben durch den Arbeitgeber dürfen nur erfolgen, wenn sie
die Eignung des Arbeitnehmers oder die Durchführung des Arbeitsvertrags betreffen. 118 Um
den Schutz der Persönlichkeit des Arbeitnehmers zu gewährleisten, muss der Arbeitgeber darauf achten, dass Bekanntgaben verhältnismässig sind. Personendaten dürfen nicht zum Nachteil des Betroffenen an Dritte bekannt gegeben werden.
Die Praxis, dass Arbeitgeber Auskünfte über das Einkommen von Arbeitnehmern an Vermieter
oder Kreditkartenorganisationen erteilen, verstösst gegen das Gesetz. Solche Auskünfte sind
bei den betroffenen Personen selbst einzuholen.119
4.2.2 Datenbekanntgabe ins Ausland
Zusätzliche Bestimmungen sind zu beachten, wenn der Arbeitgeber Personendaten ins Ausland
bekannt gibt. Denn DSG und DSV sehen für den Datentransfer ins Ausland spezielle Regelungen 120 vor, die einen angemessenen Datenschutz sicherstellen. Die grenzüberschreitende Auslagerung von bestimmten Teilbereichen des Unternehmens oder die Beauftragung ausländischer Dienstleister ist keine Seltenheit mehr. Gerade im Arbeitsverhältnis spielt die
Datenbekanntgabe ins Ausland eine immer grössere Rolle, bei multinationalen Konzernen dürfte der grenzüberschreitende Transfer von Arbeitnehmerdaten an der Tagesordnung sein. 121 In
diesen Fällen bietet sich oftmals der Abschluss von Standardvertragsklauseln und/oder verbindlichen unternehmensinternen Datenschutzregelungen (sog. Binding Corporate Rules, BCR) mit
den beauftragten Dienstleistern an.122 Werden Arbeitnehmerdaten an einem anderen Ort als
dem Arbeitsort bearbeitet, ist es wichtig, die Arbeitnehmer angemessen darüber zu informieren, wo die sie betreffenden Daten bearbeitet werden und bei wem sie ihre Rechte wie vor
allem auf Einsicht in die Personalakte (s. Auskunftsrecht) geltend machen können.
Beispiele:
•
Unproblematisch ist der Fall, dass sich jemand zum Beispiel in der Schweiz auf eine Stelle
hin beworben und einen früheren Arbeitgeber in Liechtenstein explizit als Referenz angegeben hat. In diesem Fall ist von der Einwilligung des Bewerbers auszugehen, dass der
frühere Arbeitgeber Informationen auch grenzüberschreitend bekannt geben darf. 123
116
Landesarbeitsgericht Hamm (Urteil vom 10.10.2012, Az.: 3 Sa 644/12); gemäss Egli dürfte eine fristlose Entlassung indessen
nur bei mutwilligen und besonders schwerwiegenden Verstössen möglich sein (Rz 55).
117
Art. 10 DSG.
118
Art. 28a nach § 1173a ABGB.
119
Vgl. EDÖB, S. 14/21.
120
Art. 8 DSG in Verbindung mit Art. 5 ff. DSV.
121
Zum Beispiel: Konzernweite Lohnbuchhaltung oder sog. „Enterprise Resource Planning Software“ (ERP-Software).
122
Eine ausführliche Darstellung der Regelungen zum Datentransfer ins Ausland finden Sie auf der Internetseite der Datenschutzstelle unter http://www.dss.llv.li.
123
Vgl. Art. 8 Abs. 2 lit. b DSG; siehe auch Kapitel 3.1.7, Einholung von Referenzen.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
24/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
•
Etwas schwieriger gestaltet sich folgende Fallkonstellation: Eine ausländische Behörde
fragt bei einem liechtensteinischen Unternehmen an, ob eine bestimmte Person dort angestellt ist. Als Grund für die Anfrage werden beispielsweise angeblich nicht bezahlte Unterhaltsleistungen oder offene Steuerschulden angegeben. Als Arbeitgeber sollte man in
diesem Fall zunächst jegliche Auskunft verweigern und die anfragende Stelle auf den
Rechts- und Amtshilfeweg verweisen. Auf diesem Weg kann dann geklärt werden, ob der
Arbeitgeber tatsächlich zur Auskunft verpflichtet ist. Im Zweifelsfall sollte der Erlass einer
entsprechenden Verfügung gefordert werden.
4.2.3 Datenbearbeitung im Auftrag (Outsourcing)
Generell ist natürlich auch im Arbeitsbereich eine Datenbearbeitung im Auftrag zulässig und
mittlerweile sogar in Form von Cloud Computing üblich.124 Bezweckt wird dabei, externe Hardund Software sowie Know-how im Interesse des Einsparens von Ressourcen zu nutzen. Vielfach
werden nicht nur einzelne Datenbearbeitungsprozesse wie beispielsweise IT-Unterstützung,
sondern gar ganze Abteilungen ausgelagert (z. B. HR-Management). Notwendig ist auch beim
Outsourcing von Personendaten zunächst ein ausreichender Arbeitsplatzbezug.125 Die datenschutzrechtlichen Anforderungen an eine Datenbearbeitung durch Dritte 126 richten sich nach
den Bestimmungen des Art. 19 DSG.127 Bei der Entscheidung, Personendaten durch einen Cloud
Computing Service bearbeiten zu lassen, sollten daher im Rahmen einer Risikoanalyse die Organisationsstruktur und Funktionsweise der Cloud genauestens analysiert werden, ob diese für
die konkrete Datenbearbeitung auch wirklich geeignet und angemessen ist. 128 Der Datenfluss
im Rahmen eines Outsourcing-Vertrages sollte jedenfalls mit einer Datenschutz- und Geheimhaltungserklärung, welche zusätzlich die nach Art. 19 Abs. 3 DSG erforderlichen Elemente enthalten kann, geregelt werden. Eine Mustervorlage hierfür finden Sie im Online-Schalter auf unserer Internetseite.129
4.2.4 Tragen von Namensschildern
Ein besonderer Fall der Datenbekanntgabe an Dritte ist das Tragen von Namensschildern durch
Arbeitnehmer. Wenn es zur Durchführung des Arbeitsvertrags erforderlich ist, ist es für Arbeitgeber grundsätzlich zulässig, Arbeitnehmer zum Tragen von Namensschildern zu verpflichten.
Jedoch müssen die berechtigten Interessen des Arbeitgebers am Tragen des Namensschilds und
die Persönlichkeitsrechte des Arbeitnehmers miteinander abgewogen werden.
Bei Arbeitnehmern, die oft Kundenkontakt und ein schutzwürdiges Interesse an der Geheimhaltung ihres vollen Namens haben, empfiehlt es sich, nur entweder den Vor- oder den Nachna124
Typische Bereiche für Outsourcing sind: Lohnbuchhaltung, IT-Pflege und Personalmanagement.
Vgl. Streiff/von Kaenel/Rudolph, Art. 328b OR N 10b.
126
Als Dritte gelten in diesem Sinne zum Beispiel auch selbständig geführte Tochtergesellschaften innerhalb eines Konzerns.
127
Danach darf die Datenbearbeitung einem Dritten übertragen werden, wenn der Auftraggeber dafür sorgt, dass die Daten
nur so bearbeitet werden, wie er selbst es tun dürfte, keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet und wenn die datenschutzrelevanten Elemente des Outsourcing-Vertrages zum Zwecke der Beweissicherung schriftlich
oder in einer anderen Form dokumentiert sind. Zu den Anforderungen an eine Auftragsdatenbearbeitung,
siehe http://www.dss.llv.li. Findet die Auftragsdatenbearbeitung im Ausland statt, sind zusätzlich die oben aufgeführten
Bestimmungen des Art. 8 DSG zu berücksichtigen.
128
Zu Cloud Computing allgemein siehe Mittelberger/Binder, S. 175 und Artikel-29-Datenschutzgruppe, WP 196, Stellungnahme 05/2012 zu Cloud Computing.
129
http://www.dss.llv.li.
125
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
25/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
men auf dem Namensschild zu tragen. Beispiele sind Chauffeure von öffentlichen Verkehrsmitteln oder Angestellte in Restaurants. 130
Ähnlich verhält es sich mit der Veröffentlichung von Fotos von Mitarbeitern im Internet. Dies
kann im Interesse des Arbeitgebers liegen und ist im Einzelfall erlaubt, soweit es sich um Personen handelt, die stark im Kundenkontakt stehen und das Unternehmen oder den Arbeitgeber
nach aussen repräsentieren sollen. So ist es im Kundenbereich von Banken oder im Versicherungswesen üblich, bestimmte Arbeitnehmer inklusive Foto zu präsentieren. 131
4.2.5 Bekanntgabe von Arbeitgeberdaten durch Arbeitnehmer – Geheimhaltungspflichten
Die Regeln betreffend die Datenbekanntgabe an Dritte sind im Gegenzug auch von den Arbeitnehmern im Rahmen ihrer Loyalitätspflicht zu beachten.
An erster Stelle stehen in diesem Zusammenhang gesetzliche und/oder vertragliche Pflichten
zur Verschwiegenheit des Arbeitnehmers bezüglich Geschäfts- oder Fabrikationsgeheimnissen,
allfällige Berufsgeheimnisse 132, das Datengeheimnis 133 oder in einem öffentlich-rechtlichen Arbeitsverhältnis die Bestimmungen über die Amtsverschwiegenheit 134. Neben diesen bestehen
aber noch weitere Einschränkungen der Datenbekanntgabe durch den Arbeitnehmer.
Auf Geschäftsreisen sollte man bei Gesprächen und bei der Nutzung von Telekommunikationsmitteln wie Handy oder Notebook beachten, dass die Nachbarn alles mithören und bei ungenügender Sicherung auch ohne grossen Aufwand auf dem Bildschirm mitlesen können.
Bei der Nutzung öffentlicher Netzwerke, drahtloser Datenübertragungsarten oder öffentlich
zugänglicher Computer, 135 z. B. in Hotels, öffentlichen Verkehrsmitteln oder Internet-Cafés,
bestehen besondere Risiken, wie beispielsweise im Zusammenhang mit der Vertraulichkeit
insbesondere bei Datenübermittlungen. Hier ist die Nutzung durch den Arbeitgeber entsprechend zu Regeln und die Vorgaben sind durch den Arbeitnehmer zu berücksichtigen.136
Die Bekanntgabe von Arbeitgeberdaten durch den Arbeitnehmer ist differenziert anzuschauen.
Wenn ein Zusammenhang zum Arbeitsverhältnis besteht, ist es grundsätzlich zulässig, Personendaten des Arbeitgebers zu erwähnen. Anders verhält es sich im Privatbereich, wenn kein
Arbeitsplatzbezug besteht. Hier liegt es i. d. R. nicht im Interesse des Arbeitgebers, dass der
Arbeitnehmer Arbeitgeberdaten bekannt gibt. 137 Bei einem unüberlegten Ausplaudern von betriebsinternem Know-how ist der Arbeitnehmer zunächst abzumahnen, es sei denn, er ist in
einem besonders sensitiven Bereich tätig, in welchem die Einhaltung der Geheimhaltungspflicht
zentral ist. 138
130
Vgl. Datenschutzstelle, Tätigkeitsbericht 2008, S. 17.
Vgl. Datenschutzstelle, Tätigkeitsbericht 2008, S. 17.
132
Z. B. Verschwiegenheitspflicht gemäss Art. 18 Ärztegesetz, Art. 11 Treuhändergesetz oder Art. 15 Rechtsanwaltsgesetz.
133
Art. 10 DSG.
134
Amtsgeheimnis gemäss Art. 38 StPG.
135
Z. B. Near Field Communication (NFC), drahtlose öffentliche Netzwerke (WLAN) und Bluetooth.
136
Vgl. dazu die Checkliste, die als Hilfestellung zur Anfertigung und Prüfung von Reglementen über die Benutzung von mobilen
Endgeräten dient, http://www.dss.llv.li.
137
Siehe hierzu den Sonderfall der Präsentation in sozialen Medien, Kapitel 4.1.
138
Vgl. Egli, Rz 56.
131
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
26/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
4.2.6 Whistleblowing
Ein delikates Thema im Zusammenhang mit Datenschutz im Arbeitsverhältnis ist „Whistleblowing“, gerade auch im Hinblick auf bestehende Geheimhaltungspflichten. 139 Aktuelle Beispiele
von Whistleblowing verdeutlichen die Brisanz der Thematik. 140 Aufgrund der derzeit noch fehlenden gesetzlichen Regelungen in Liechtenstein soll in dieser Richtlinie nicht näher darauf eingegangen werden. 141
4.3
Telearbeit und ihre datenschutzrechtlichen Tücken
Unter Telearbeit versteht man Arbeitsformen, bei denen der Arbeitnehmer zumindest einen
Teil seiner Aufgaben nicht am Arbeitsplatz im Unternehmen, sondern mithilfe elektronischer
Kommunikationswege andernorts (meist in seiner Privatwohnung) verrichtet.142
Speziell wenn das Bearbeiten von besonders schützenswerten Daten und Persönlichkeitsprofilen
zur Tätigkeit gehört, zum Beispiel im Personal-, Sozial- oder Gesundheitsbereich, muss dieser
Umstand bei den technischen und organisatorischen Massnahmen zum Schutz der Persönlichkeit der betroffenen Personen entsprechend berücksichtigt werden. Telearbeit bei der Bearbeitung im Auftrag sollte wegen des erhöhten Sicherheitsrisikos und der eingeschränkten Kontrollmöglichkeiten beim Arbeitnehmer grundsätzlich nicht zugelassen werden. Bei der
Einrichtung eines entsprechenden Arbeitsplatzes sollten die Schutzwürdigkeit der Daten und
die technischen und organisatorischen Massnahmen aufeinander abgestimmt werden. Es empfiehlt sich, einige Vorkehrungen zu treffen, wie zum Beispiel die Trennung zwischen beruflichem
und privatem Internet-Anschluss, die Verschlüsselung der Daten, keine private Nutzung der
beruflich zur Verfügung gestellten IT-Ausstattung. 143
5. Schlusswort
Ein gesundes Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer ist eine wichtige
Grundlage für ein produktives Arbeitsverhältnis. Dieses Vertrauen beruht unter anderem auch
auf der Einhaltung der datenschutzrechtlichen Bestimmungen. Zuständig für den Datenschutz
am Arbeitsplatz ist in erster Linie der Arbeitgeber. Aber auch der Arbeitnehmer muss seinen
Teil zum effektiven Datenschutz beitragen.
Der Gesetzgeber misst dem Datenschutz einen hohen Stellenwert im Arbeitsverhältnis bei, sowohl im Interesse des Arbeitnehmers als auch des Arbeitgebers. Die Verantwortung für die Bearbeitung trägt der Arbeitgeber, der sich seiner datenschutzrechtlichen Verantwortung bewusst
sein muss. Arbeitnehmer können und sollen ihre Rechte geltend machen und so eine korrekte
139
Whistleblowing – Einrichtung von internen Verfahren (u. a. Hotlines) zur Meldung von Missständen in Unternehmen.
Fall PRISM (Spionage in den USA) und Fall Birkenfeld (US-Behörden belohnen „Whistleblower“).
141
Für mehr Informationen über die Whistleblowing-Thematik siehe auch Stellungnahme 1/2006 zur Anwendung der EUDatenschutzvorschriften auf interne Verfahren zur Meldung mutmaßlicher Missstände in den Bereichen Rechnungslegung,
interne Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung von Korruption, Banken- und Finanzkriminalität der Artikel-29-Datenschutzgruppe, WP117.
142
Vgl. BFDI, Telearbeit, S. 4.
143
Vgl. BFDI, Telearbeit, S. 10; siehe auch die Empfehlung zur Datensicherheit sowie zu den technischen und organisatorischen
Massnahmen des Datenschutzes unter http://www.dss.llv.li.
140
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
27/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Bearbeitung ihrer Personendaten einfordern. Dies dient nicht zuletzt auch dem Arbeitgeber
selbst.
Die fortschreitende Technisierung unserer Gesellschaft ist auch hier relevant. Neue technische
Möglichkeiten bedeuten jedoch nicht, dass diese auch gesetzlich erlaubt sind. Sie werfen neue
Fragen auf, die zu untersuchen sind. Man denke dabei nur an die Themen Cloud Computing,
Bring Your Own Device, aber auch an biometrische Verfahren. Die Datenschutzstelle verfolgt
verschiedene Entwicklungen vor allem in den verschiedenen Arbeitsgruppen, in der sie vertreten ist. Hier zeigt sich besonders, wie wichtig eine Mitarbeit mit anderen Datenschutzbehörden
ist. Schliesslich machen vor allem die neuen technischen Möglichkeiten nicht am Rhein Halt.
Diese Zusammenarbeit wird künftig noch an Bedeutung zunehmen, wenn der neue Rechtsrahmen für einen europäischen Datenschutz in Kraft sein wird.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
28/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
6. Anhang
6.1
Gegenüberstellung von Rechten und Pflichten
Arbeitgeber
Arbeitnehmer
Allgemein
Schutz der Persönlichkeit des Arbeitnehmers
Gemäss Art. 27 § 1173a ABGB.
Sorgfalts- und Treuepflicht gegenüber dem Arbeitgeber
Gemäss Art. 4 Abs. 4 § 1173a ABGB betr. Geschäftsgeheimnisse/Verschwiegenheit.
Datenbearbeitung durch den Arbeitgeber
Gemäss Art. 28a § 1173a ABGB – Bearbeitung nur zulässig, wenn sie die Eignung des Arbeitnehmers betrifft
oder für die Durchführung des Arbeitsvertrags erforderlich ist.
Informationspflicht des Arbeitnehmers
Pflicht zur wahrheitsgetreuen Beantwortung zulässiger
Fragen.
Bewerbungsverfahren
Stelleninserate/Chiffre-Inserate
Chiffre-Inserate sind für Personalverleiher nicht erlaubt
(Art. 18 AVG).
Pflichten für Personalvermittler und -verleiher: Art. 2
bis Art. 22 AVG.
Chiffre-Inserate
Auskunftsrecht über Identität des Arbeitsgebers bei
den Medien, wenn trotz wiederholter Aufforderung
die Bewerbungsunterlagen nicht retourniert werden.
Bewerbungsverfahren über Internet-Plattformen
• Soziale Netzwerke und E-Recruitment
Sicherstellung einer sicheren Datenübermittlung – nur
zuständige Personen dürfen Zugriff auf Bewerberdaten
haben – Gewährleistung der sicheren Löschung der
Daten bei Nichtanstellung.
Bewerbungsverfahren über Internet-Plattform
Bei „öffentlichen“ Profilen in Social Networks auf Präsentation achten.
E-Mail-Bewerbungen nur an Bewerbungsadressen
senden.
Datenbearbeitung durch Personalvermittler und
-verleiher
Datenbearbeitung nur, soweit und solange sie von Belang für Vermittlung und Verleih sind; weitere Bearbeitung oder Weitergabe nur mit ausdrücklicher Zustimmung des Bewerbers resp. Arbeitnehmers (Art. 8 Abs. 3
u. Art. 18 Abs. 3 AVG).
Datenbearbeitung durch Personalvermittler und
-verleiher
Zur Datenbearbeitung über den Vermittlungs- und
Verleihzweck hinaus muss der Arbeitnehmer seine
ausdrückliche Zustimmung geben.
Bewerbungsunterlagen und -gespräche
Einsicht nur für zuständige Personen, Grenze zwischen
zulässigen und unzulässigen Fragen beim Bewerbungsgespräch beachten – kritisch: Gesundheit, private Interessen, Gewerkschaftszugehörigkeit, Strafregisterauszüge, Schwangerschaft …
Bewerbungsunterlagen und -gespräche
Informationspflicht des Bewerbenden – Fragen des
Arbeitgebers müssen wahrheitsgemäss beantwortet
werden – bei unzulässigen Fragen: Notwehrrecht der
Lüge.
Auskünfte bei Dritten/Einholung von Referenzauskünften durch den Arbeitgeber
nur mit Zustimmung des Bewerbenden
Einholung von Referenzauskünften durch den Arbeitgeber
Nur mit Zustimmung des Bewerbenden.
Bearbeitung von Personendaten im Arbeitsbereich
Einholung von Referenzauskünften durch den Arbeitgeber
Referenzangabe im Lebenslauf bedeutet keine Einwilligung, eine solche Angabe im Bewerbungsschreiben
jedoch schon.
Oktober 2013
29/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
Arbeitgeber
Arbeitnehmer
Eignungsabklärungen und -untersuchungen, Assessment-Centers
• Einstellungstests (Beispiele: graphologisches Gutachten, psychologische Leistungstests, Beurteilung durch Assessment Centers, Persönlichkeitstests) nur mit Einwilligung des Bewerbenden, nur durch Fachleute – Bewerber
hat das Recht auf Einsicht in eigene Testergebnisse.
• Gesundheitsfragebogen/Versicherungen: Kein Zugang des Arbeitgebers zu Gesundheitsdaten, strikte Trennung
zu betrieblicher Krankenkasse.
• Ärztliche Eignungsgutachten: ärztliche Schweigepflicht, Aussagen gegenüber Arbeitgeber nur über Tauglichkeit,
Auskunft über Suchtkrankheiten nur bei Beeinträchtigung der Arbeitstauglichkeit oder Gefährdung Dritter.
• Genetische Untersuchungen: nicht erlaubt, Ausnahme: bei Stelle mit Sicherheitsrisiko für Dritte.
• Drogentests bei Lehrlingen: nur mit Einwilligung, nur bei überwiegenden Sicherheitsinteressen, ärztliche Auskunft gegenüber Arbeitnehmer nur über Tauglichkeit.
Nichtanstellung
Rückgabe der Bewerbungsunterlagen mit Ausnahme der Unterlagen, die dem Arbeitgeber gehören (z. B. Bewerbungsschreiben). Vernichtung von Kopien, Personalfragebögen, Referenzauskünften, gesundheitlichen Daten
usw. bei Wegfall des Bearbeitungszwecks - Weitere Aufbewahrung nur mit Zustimmung des Bewerbers für festgelegte Dauer.
Während und nach dem Arbeitsverhältnis
Rechte und Pflichten des Personalvermittlers und
-verleihers
Rechte und Pflichten des Arbeitnehmers
Aufbewahrung durch Personalvermittlung und -verleih
Nur mit schriftlicher Zustimmung des Arbeitnehmers
(Art. 17 und Art. 35 AVV).
Auskunftsrecht
Bleibt auch nach Austritt bestehen (Art. 11 DSG, Ausnahmen Art. 12 DSG).
Rechte und Pflichten des Arbeitgebers
Rechte und Pflichten des Arbeitnehmers
Aufbewahrung durch den Arbeitgeber
Grundsätzlich Pflicht zur Löschung und Vernichtung der
Daten bei Beendigung des Arbeitsverhältnisses (Wegfall
des Bearbeitungszwecks) – Aufbewahrung wenn gerechtfertigt.
Auskunftsrecht
Bleibt auch nach Austritt bestehen (Art. 11 DSG, Ausnahmen Art. 12 DSG).
Personalakte
Alle Dokumente, die der Arbeitgeber über den Arbeitnehmer im Zusammenhang mit dem Arbeitsverhältnis
bearbeitet – Unzulässigkeit von "grauen" Dossiers (geheime Akten/Aufzeichnungen).
Auskunftsrecht
Recht auf Auskunft (Art. 11 DSG), Ausnahmen (Art. 12
DSG).
Berichtigungsrecht/Löschungsrecht
Recht, unrichtige Daten berichtigen und ggf. löschen
zu lassen gemäss Art. 7 DSG.
Anmeldepflicht für Datensammlungen
Anmeldepflicht gemäss Art. 15 DSG, Ausnahmen gemäss Art. 15 Abs. 6 DSG und Art. 3a DSV.
Bekanntgabe von Daten an Dritte
Ins Ausland gemäss Art. 8 DSG und Art. 6 DSV.
Spezialgesetzliche Vorschriften.
Art. 16 ff. DSG.
Nur mit Zustimmung oder gesetzlicher Rechtfertigung.
Bearbeitung von Personendaten im Arbeitsbereich
Bekanntgabe von Daten an Dritte
Gesetzliche und/oder vertragliche Verschwiegenheitspflichten.
Art. 16 ff. DSG auch von Arbeitnehmern bei Bekanntgabe von Arbeitgeberdaten zu beachten– meist unzulässig, wenn kein Bezug zur Arbeit vorhanden.
Oktober 2013
30/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
6.2
Richtlinien der Datenschutzstelle
Die Datenschutzstelle hat zur Problematik der Überwachung der Arbeitnehmer am Arbeitsplatz
ein Merkblatt sowie eine Richtlinie erlassen, welche auf der Internetseite der Datenschutzstelle
unter http://www.dss.llv.li/ heruntergeladen werden können:
•
Merkblatt „Überwachung der Arbeitnehmer am Arbeitsplatz“
Das Merkblatt behandelt im Speziellen Videoüberwachung, Telefonüberwachung, Überwachung aus Sicherheitsgründen.
•
Richtlinie über Internet- und E-Mail-Überwachung am Arbeitsplatz für öffentliche Verwaltungen und Privatwirtschaft
•
Empfehlung zur Datensicherheit sowie zu den technischen und organisatorischen Massnahmen des Datenschutzes
6.3
Literatur und weiterführende Informationen
•
Artikel-29-Datenschutzgruppe, WP 48, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten, September 2001.
•
Artikel-29-Datenschutzgruppe, WP 163, Stellungnahme 5/2009 zur Nutzung sozialer Online-Netzwerke, Juni 2009.
•
Artikel-29-Datenschutzgruppe, WP 196, Stellungnahme 5/2012 zu Cloud Computing, Juli 2012.
•
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BFDI), Biometrie
und Chipausweise im Arbeitsalltag, gefunden unter
http://www.bfdi.bund.de/DE/Themen/Arbeit/Arbeitnehmerdatenschutz/Artikel/Chipausw
eise.html?nn=409756, besucht am 07.08.2013 (zit.: BFDI, Biometrie).
•
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BFDI), Telearbeit –
ein Datenschutzwegweiser, gefunden unter
http://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.pdf?__blob=
publicationFile, besucht am 07.08.2013 (zit.: BFDI, Telearbeit).
•
Datenschutzbeauftragter Kanton Zürich, Merkblatt Online-Recherchen über Stellenbewerber, Juli 2013.
•
Datenschutzstelle, Tätigkeitsbericht 2008 (zit.: Datenschutzstelle, Tätigkeitsbericht 2008).
•
Datenschutzstelle, Tätigkeitsbericht 2011 (zit.: Datenschutzstelle, Tätigkeitsbericht 2011).
•
Dunand Jean-Philippe/Mahon Pascal (Hrsg.), Commentaire du contrat de travail, Bern 2013
(zit.: Bearbeiter/in, Contrat de travail, Art. x N y).
•
EDÖB, Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich, Bearbeitung
durch private Personen, Version Mai 2011.
•
Egli Urs, Soziale Netzwerke und Arbeitsverhältnis – Über die Auswirkungen von Facebook,
Xing und Co auf den betrieblichen Alltag, Jusletter 17. Januar 2011.
•
Geiser Thomas/Müller Roland, Arbeitsrecht in der Schweiz, 2. Aufl., Bern 2012.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
31/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
•
Kor Michael, Soziale Netzwerke und Beschäftigtendatenschutz, Datenschutz und Datensicherheit (DuD) 10/2012.
•
Krause Christian, Praktische Auswirkungen bei der Nutzung sozialer Medien, gefunden unter https://www.datenschutzzentrum.de/sommerakademie/2012/sak12-ws1-praktischeauswirkungen-sozialer-medien.pdf, besucht am 07.08.2013.
•
Landesbeauftragter für den Datenschutz Rheinland-Pfalz, Orientierungshilfe Datenschutz
und Zeiterfassung, gefunden unter
http://www.datenschutz.rlp.de/downloads/oh/info_zeiterfassung.pdf, besucht am
07.08.2013.
•
Maurer-Lambrou Urs/Vogt Nedim Peter (Hrsg.), Basler Kommentar, Datenschutzgesetz,
2. Aufl., Basel 2006 (zit.: Bearbeiter/in, BSK Datenschutzgesetz, Art. x N y).
•
Meier Philippe, Protection des données, Bern 2011.
•
Mittelberger Philipp/Binder Gabriele, Datenschutzrechtliche Chancen und Risiken von
Cloud Computing, Jus & News 2011/2.
•
Mittelberger Philipp, Das liechtensteinische Datenschutzgesetz – eine Einführung, Liechtensteinische Juristen-Zeitung 2/03 (zit.: Mittelberger, Einführung).
•
Mittelberger Philipp, Die Einwilligung als zentrales Element des Datenschutzrechts, Liechtensteinische Juristen-Zeitung 4/06 (zit. Mittelberger, Einwilligung).
•
Mittelberger Philipp, Das Verhältnis der Geltung des Datenschutzgesetzes im Vergleich zu
Spezialgesetzen am Beispiel des SPG-Bereichs, Liechtensteinische Juristen-Zeitung 3/13
(zit.: Mittelberger, Spezialgesetze).
•
Pärli Kurt, Evaluieren, kontrollieren, überwachen: Datenschutz in Arbeitsverhältnissen, in:
Kieser Ueli/Pärli Kurt (Hrsg.), Datenschutz im Arbeits- Versicherungs- und Sozialbereich:
Aktuelle Herausforderungen, Schriftenreihe des Instituts für Rechtswissenschaft und
Rechtspraxis Universität St. Gallen, St. Gallen 2012.
•
Portmann Roland, BYOD – „Bring Your Own Device“, Private Smartphones im Geschäftsumfeld, digma 2012.1.
•
Rehbinder Manfred/Stöckli Jean-Fritz, Berner Kommentar, Band VI, 2. Abteilung,
2. Teilband, 1. Abschnitt, Bern 2010.
•
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008 (zit.: Bearbeiter/in, Handkommentar DSG, Art. x N y).
•
SECO, Wegleitung zu den Verordnungen 3 und 4 zum Arbeitsgesetz, 8. Aufl., Bern 2011.
•
Streiff Ullin/von Kaenel Adrian/Rudolph Roger, Arbeitskommentar – Praxiskommentar zu
Art. 319-362 OR, 7. Aufl., Zürich 2012.
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
32/33
DATENSCHUTZSTELLE
FÜRSTENTUM LIECHTENSTEIN
6.4
ABGB
ALVG
ArG
AVG
AVV
DSG
DSV
GLG
LdG
PGR
StPG
Gesetzesmaterialien
Allgemeines Bürgerliches Gesetzbuch
Arbeitslosenversicherungsgesetz (LGBl. 2010 Nr. 452)
Arbeitsgesetz (LGBl. 1967 Nr. 6)
Arbeitsvermittlungsgesetz (LGBl. 2000 Nr. 103)
Arbeitsvermittlungsverordnung (LGBl. 2000 Nr. 146)
Datenschutzgesetz (LGBl. 2002 Nr. 55)
Datenschutzverordnung (LGBl. 2002 Nr. 102)
Gleichstellungsgesetz (LGBl. 1999 Nr. 96)
Lehrerdienstgesetz (LGBl. 2004 Nr. 4)
Personen- und Gesellschaftsrecht (LGBl. 1926 Nr. 4)
Staatspersonalgesetz vom (LGBl. 2008 Nr. 144)
Bearbeitung von Personendaten im Arbeitsbereich
Oktober 2013
33/33