Immer häufiger werden im Bereich der Human Resources Dienstleistungen aus Kosten- oder Effizienzgründen an Drittunternehmen ausgelagert. Das Outsourcing ist dabei immer öfters auch mit einem grenzüberschreitenden Transfer von Personendaten verbunden. Im Folgenden geben wir Ihnen einen Überblick über die daten- und arbeitsrechtlichen Grundlagen und beschreiben 3 konkrete Praxisbeispiele zum Thema.
Gesetzliche Grundlagen
Sowohl das Datenschutzgesetz (nachfolgend «DSG») als auch das Arbeitsrecht (geregelt im Obligationenrecht, nachfolgend «OR») enthalten Bestimmungen über die Bearbeitung von Daten von Personen bzw. Arbeitnehmern. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Im Arbeitsbereich sind das bspw. die Personalien, Angaben in Bewerbungsunterlagen oder im Arbeitsvertrag sowie Angaben betreffend Krankheit oder Unfall.
Für jede Bearbeitung von Arbeitnehmerdaten sind zunächst die Grundsätze der rechtmässigen Datenbearbeitung einzuhalten (Art. 4 DSG). So muss die Bearbeitung u.a. verhältnismässig und für die betroffene Person erkennbar sein. Weiter dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei ihrer Beschaffung angegeben wurde. Den betroffenen Personen stehen Rechte zu, so namentlich das Recht auf Auskunft oder auf Berichtigung.
Im Arbeitsrecht gilt für die Bearbeitung von Arbeitnehmerdaten ein noch strengerer Massstab. Nach Art. 328b OR darf der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Mit anderen Worten ist jegliche Bearbeitung und damit auch die Übermittlung von Arbeitnehmerdaten, die keinen Bezug zum Arbeitsverhältnis haben, arbeitsrechtlich unzulässig. Diese Einschränkung gilt selbst dann, wenn die Datenbearbeitung nach dem DSG zulässig wäre.
Datenübermittlung an Dritte
Der Arbeitgeber darf ohne die Einwilligung der betroffenen Person keine Auskunft an Dritte erteilen oder arbeitsbezogene Arbeitnehmerdaten an Dritte übermitteln, sofern dies für die Durchführung des Arbeitsvertrages nicht notwendig ist. Dieser Grundsatz gilt auch dann, wenn Arbeitnehmerdaten an eine andere Stelle innerhalb der Unternehmensgruppe transferiert werden. Handelt es sich bei den Arbeitnehmerdaten um sog. besonders schützenswerte Personendaten, namentlich Daten über religiöse, politische oder gewerkschaftliche Ansichten oder Tätigkeiten sowie über die Gesundheit, ist die Bekanntgabe ohne Rechtfertigungsgrund überdies nach Art. 12 Abs. 2 lit. c DSG unzulässig. Als Rechtfertigungsgrund kommt die ausdrückliche Einwilligung des Arbeitnehmers infrage. Eine Einwilligung ist nur dann rechtmässig, wenn sie nach angemessener Information freiwillig erfolgt. Zudem hat die betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen. Allerdings wird in der Lehre diskutiert, ob infolge des Abhängigkeitsverhältnisses zwischen Arbeitnehmer und -geber eine freiwillige Einwilligung überhaupt möglich ist.
Datenübermittlung ins Ausland
Nach Art. 6 Abs. 1 DSG dürfen Personendaten nicht ins Ausland bekanntgegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen aus schweizerischer Sicht angemessenen Schutz gewährleistet. So ist ein grenzüberschreitender Datentransfer nur erlaubt, wenn entweder ein angemessener Datenschutz im Zielland besteht oder in Ermangelung dessen, der Datenschutz durch andere Garantien gewährleistet wird. Unter Umständen sind diese Garantien dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten («EDÖB») zu melden.
Der EDÖB veröffentlicht eine fortlaufend aktualisierte Liste über den weltweiten Stand des Datenschutzes. Wird bspw. eine Auslagerung von Dienstleistungen in die USA ins Auge gefasst, ist zu prüfen, ob der Dienstleiter sog. Privacy Shield zertifiziert ist, da das Datenschutzniveau der USA nicht als ausreichend eingestuft wird. Andernfalls müssen zwingend zusätzliche Garantien (z.B. Vertrag) bestehen, welche unter Umständen dem EDÖB gemeldet werden müssen.
Verhältnis Verantwortlicher und Auftragsdatenbearbeiter
Der Arbeitgeber in der Schweiz ist im Sinne des DSG als Verantwortlicher für die Daten seiner Arbeitnehmer zu qualifizieren. Der in- oder ausländische Dienstleister, der Arbeitnehmerdaten bearbeitet, gilt als sog. Auftragsdatenbearbeiter. Als Auftraggeber bleibt der Arbeitgeber gegenüber seinen Arbeitnehmern verantwortlich für die Einhaltung der arbeits- und datenschutzrechtlichen Vorschriften und haftet bei Verletzungen durch den Auftragsdatenbearbeiter. Daher ist es wichtig, einen Datenbearbeitungsvertrag (sog. data flow agreement) mit dem in- oder ausländischen Dienstleister abzuschliessen, in welchem die einzelnen Rechte und Pflichten beider Parteien detailliert festgehalten werden. Insbesondere ist darin festzuhalten, dass der Vertragspartner die Daten nur so bearbeiten darf, wie es der schweizerische Arbeitgeber selber tun dürfte.
Praxisbeispiel I: Payroll Outsourcing
Bei der Auslagerung der Lohnbuchhaltung sind v.a. folgende Arbeitnehmerdaten betroffen: Name, Funktion, Lohn, Sozialversicherungsnachweise und Krankheitsberichte. Insbesondere in den Sozialversicherungsnachweisen wie auch in Krankheitsberichten sind Gesundheitsdaten enthalten. Diese gelten als besonders schützenswerte Personendaten im Sinne des DSG. Bei der Bearbeitung von besonders schützenswerten Personendaten muss zwingend eine ausdrückliche Einwilligung des Arbeitnehmers vorliegen. Zudem hat der Arbeitgeber das Datenschutzniveau im Zielland abzuklären und schliesst sicherheitshalber ein data flow agreement mit dem ausländischen Dienstleister ab.
Praxisbeispiel II: Externes Bewerbungsmanagement
Beim externen Bewerbungsmanagement sind überwiegend folgende Personendaten betroffen: Personalien, Lebenslauf, Zeugnisse und Referenzangaben. Wiederum ist bei der grenzüberschreitenden Datenübermittlung der Arbeitgeber verpflichtet zu prüfen, ob das Zielland ausreichenden Datenschutz bietet. Aufgrund des Zweckbindungsgebots dürfen nur diejenigen Daten des Bewerbers, welche ausschliesslich für die konkrete Stellenbewerbung und für die Abklärung der Eignung für das Arbeitsverhältnis dienen, übermittelt werden. Der Arbeitgeber hat die Bewerber auf die Datenbearbeitung durch einen ausländischen Dienstleister beispielsweise im Stelleninserat hinzuweisen. Nach Beendigung des Bewerbungsprozesses sind die Daten auf Wunsch der Bewerber zu löschen. Damit der Arbeitgeber sichergehen kann, dass der ausländische Vertragspartner diese Pflichten und Grundsätze einhält, ist der Abschluss eines data flow agreements unumgänglich.
Praxisbeispiel III: Zentrales Global Human Resources Management
In weltweit tätigten Konzernen werden häufig in regelmässigen Abständen Arbeitnehmerdaten wie Lohn, Zeiterfassung oder Bonusberechnungen an das zentrale Headquarter ins In- oder Ausland übermittelt. Sofern diese Daten einer bestimmten Person zugeordnet werden können, müssen die arbeits- und datenschutzrechtlichen Grundlagen eingehalten werden, da die konzerninterne Datenweitergabe als Übermittlung an Dritte zu qualifizieren ist. Wiederum ist das Datenschutzniveau im Ausland zu eruieren, allenfalls eine Einwilligung der Arbeitnehmer einzuholen und ein data flow agreement abzuschliessen.
Wir unterstützen Sie gerne bei allen Fragen des Outsourcings im HR-Bereich.
