Unternehmen haben ein Interesse daran, nur Mitarbeiter zu beschäftigen, von denen keine Gefahr für die Sicherheit ausgeht. Gerade in Branchen wie der IT, dem Bankenwesen oder der Spitzentechnologie, bei denen Angestellte Zugang zu sensiblen Einrichtungen und Daten erhalten, besteht das Bedürfnis, Personensicherheitsprüfungen durchzuführen. Nachfolgend wird erläutert, welche datenschutzrechtlichen Vorgaben private Arbeitgeber dabei zu beachten haben.
Ausgangslage
Unternehmen dürfen von ihren eigenen oder externen Mitarbeitenden eine Personensicherheitsprüfung verlangen, wenn diese aufgrund ihrer Tätigkeit ein erhöhtes Risiko für das Unternehmen darstellen. Beschäftigte, die gemäss Risikoeinschätzung des Unternehmens eine solche Funktion ausüben, müssen eine Personensicherheitsprüfung akzeptieren, wobei natürlich stets der Einzelfall zu berücksichtigen ist. Mitarbeitende auf jeder Hierarchiestufe (Direktoren, IT-Spezialisten, Sekretariatsmitarbeiter, Lehrlinge, Reinigungspersonal usw.) können in eine Risikokategorie fallen, die eine Personensicherheitsprüfung verlangt. Die Kategorien müssen aufgrund einer unternehmensinternen Risikoanalyse und unter Berücksichtigung des Berufszweiges, der zu erbringenden Dienstleistung, der Zugriffsmöglichkeiten, der Sensibilität der zu bearbeitenden Daten etc., festgelegt werden. Nachfolgend finden Sie die wichtigsten Punkte, die bei der Personensicherheitsprüfung aus datenschutzrechtlicher Sicht zu beachten sind:
Rechtliche Grundlagen
Bei der Bearbeitung von Mitarbeiterdaten müssen Unternehmen sowohl das Datenschutzgesetz (insbesondere das Verhältnismässigkeitsprinzip) als auch die arbeitsrechtlichen Vorschriften berücksichtigen.
Aus der Sicht des Arbeitgebers ist Artikel 328b des Obligationenrechts massgebend. Der Arbeitgeber darf Daten über seine Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Wird den Mitarbeitenden eine Aufgabe in einem Risikobereich anvertraut, hat der Arbeitgeber ein Interesse daran, ihre Eignung für diese Aufgabe abzuklären. In diesen Fällen wird das Interesse des Arbeitgebers an einer Personensicherheitsprüfung regelmässig das persönliche Interesse der Mitarbeitenden am Schutz ihrer Privatsphäre überwiegen. Den Arbeitgeber trifft jedoch eine Fürsorgepflicht gegenüber den Mitarbeitenden, weshalb er sich bei der Datenbeschaffung auf die wirklich notwendigen Daten beschränken muss. Die genannten Grundsätze gelten auch, wenn der Arbeitgeber gestützt auf einen Vertrag mit einem Auftraggeber die Personenprüfung durchführt.
Darüber hinaus existieren in einigen Bereichen branchenspezifische Vorschriften. Im Bankensektor sind beispielsweise neben den bankenrechtlichen Bestimmungen auch die Rundschreiben der Eidgenössischen Finanzmarktaufsicht (FINMA) zu beachten. Die Rundschreiben der FINMA geben einzig die aufsichtsrechtliche Sicht wieder; bei der Umsetzung der verlangten Massnahmen hat die Bank als Arbeitgeberin jedoch immer auch die geltenden Datenschutz- und Arbeitsvorschriften zu beachten.
Fragestellungen
Wie müssen die Mitarbeitenden über die Personenprüfung informiert werden?
In einem laufenden Arbeitsverhältnis sind die Mitarbeitenden von ihrem Arbeitgeber vor der Personensicherheitsprüfung schriftlich über das Vorhaben zu informieren. Bei einem Bewerbungsgespräch für eine Stelle, die eine solche Prüfung erfordert, reicht vorerst ein mündlicher Hinweis. Gemäss dem Transparenzprinzip müssen die betroffenen Personen ausreichend über den Zweck der Datenbeschaffung und über die Aufbewahrungsdauer der Daten informiert werden. Der Arbeitgeber hat gegenüber dem einzelnen Mitarbeiter zu begründen, weshalb eine Personensicherheitsprüfung in seinem Fall notwendig ist. Ausserdem ist ihm mitzuteilen, wer die Prüfung durchführen wird. Dies insbesondere dann, wenn die Prüfung von einem externen Unternehmen und allenfalls im Ausland durchgeführt wird.
Zu welchem Zeitpunkt darf eine Personensicherheitsprüfung durchgeführt werden?
Idealerweise verlangt der Arbeitgeber die Prüfung bereits zu Beginn des Arbeitsverhältnisses. Unter gewissen Umständen ergibt sich die Notwendigkeit jedoch erst im Verlaufe des Arbeitsverhältnisses. In diesem Fall muss der Arbeitgeber dem Mitarbeitenden die Massnahme rechtzeitig mitteilen und ihm eine angemessene Bedenkfrist einräumen. Spricht sich ein Mitarbeiter in einem laufenden Arbeitsverhältnis gegen die geplante (gerechtfertigte) Personenprüfung aus, muss er die arbeitsrechtlichen Konsequenzen in Kauf nehmen.
Wie viele und welche Daten darf der Arbeitgeber verlangen?
Es hängt immer vom Einzelfall und insbesondere vom Risikobereich ab, welche Unterlagen der Arbeitgeber von den Mitarbeitenden verlangen darf.
Bei einem Einsatz eines Mitarbeitenden in einer externen Firma kann diese selber festlegen, welche Mitarbeiterfunktionen ein Risiko für sie darstellen und welche Datenüberprüfungen erforderlich sind. Auch in einem solchen Fall trifft den Arbeitgeber (der in der Regel gleichzeitig Auftragnehmer ist) eine Fürsorgepflicht gegenüber seinen Mitarbeitenden. Er hat sich zu vergewissern, dass die verlangte Personensicherheitsprüfung im vorgesehenen Umfang tatsächlich verhältnismässig ist.
In welcher Form dürfen die Personendaten der Mitarbeitenden bearbeitet werden?
Der Arbeitgeber darf die Personensicherheitsprüfung nur unter Mithilfe der betroffenen Mitarbeiter durchführen. Heimliche Überprüfungen sind nicht erlaubt. Verlangt der Arbeitgeber heikle Daten vom Mitarbeitenden wie beispielsweise einen Strafregisterauszug, muss er sich bewusst sein, dass es sich hierbei um besonders schützenswerte Personendaten handelt; die Prinzipien des Datenschutzes müssen folglich umso strenger eingehalten werden.
Falls der Arbeitgeber die Personenprüfung nicht selber durchführen kann oder will, ist auch eine Übertragung dieser Aufgabe an Dritte möglich. Er hat sich vorgängig zu vergewissern, dass der Dritte die Datensicherheit gewährleistet. Der Arbeitgeber bleibt verantwortlich für die Datenbearbeitungen und dafür, dass der Auftragnehmer die Daten nur so bearbeitet, wie der Arbeitgeber es selber tun dürfte (Artikel 10a Datenschutzgesetz, DSG).
Was ist bei einer Datenbearbeitung im Ausland zu beachten?
Wenn immer möglich ist die Personenprüfung in der Schweiz durchzuführen, da die Datenbearbeitungen im Ausland weniger gut kontrolliert werden können. Bei einer Datenübermittlung ins Ausland hat der Datenübermittler auf jeden Fall Artikel 6 DSG zu beachten. Weitere Informationen dazu finden Sie auf unserer Webseite (Datenschutz - Handel und Wirtschaft - Übermittlung ins Ausland).
Dürfen die für die Personensicherheitsprüfung erhobenen Daten nach der Überprüfung weiterverwendet werden?
Nein, die erhobenen Daten dürfen nicht zu weiteren Zwecken verwendet werden. Es ist wichtig, dass die Zugriffsrechte auf die Unterlagen der Personensicherheitsprüfung so weit wie möglich eingeschränkt werden. Nicht mehr benötigte Daten sind zu vernichten.
Kann der Mitarbeitende Auskunft verlangen über seine Personendaten?
Ja, der Mitarbeitende kann beim Arbeitgeber Auskunft verlangen über sämtliche ihn betreffende Daten, also z.B. über die vorhandenen Unterlagen zur Personensicherheitsprüfung (Art. 8 DSG).
Gibt es eine Möglichkeit für die Mitarbeitenden, sich der Personensicherheitsprüfung zu widersetzen?
Grundsätzlich müssen Mitarbeitende, die in einem erhöhten Risikobereich tätig sind, eine Personensicherheitsprüfung akzeptieren. Spricht sich ein Mitarbeitender in einem laufenden Arbeitsverhältnis gegen die geplante (gerechtfertigte) Personensicherheitsprüfung aus, muss er die arbeitsrechtlichen Konsequenzen in Kauf nehmen. Eventuell besteht für den betroffenen Mitarbeitenden die Möglichkeit, im Unternehmen eine andere Aufgabe wahrzunehmen, die keine Personensicherheitsprüfung verlangt, andernfalls muss er mit einer Kündigung rechnen.
Wenn der Mitarbeitende der Ansicht ist, dass sich die Personensicherheitsprüfung nicht rechtfertigen lässt - weil unverhältnismässig oder aufgrund der Tätigkeit nicht notwendig - empfehlen wir, dass er mit seinem Arbeitgeber das Gespräch sucht und Informationen darüber verlangt, wieso er in seiner Funktion die gewünschten Angaben liefern muss. Die Verhältnismässigkeit einer Personensicherheitsprüfung muss im Einzelfall geklärt werden. Der EDÖB ist nicht in der Lage, Einzelfälle zu prüfen. Vielmehr hat der Gesetzgeber für den privatrechtlichen Bereich in erster Linie vorgesehen, dass die betroffene Person selber aktiv wird und den zivilrechtlichen Klageweg beschreitet. Wir empfehlen daher den Mitarbeitenden, im Zweifelsfall einen Rechtsanwalt beizuziehen und beim zuständigen Zivilgericht Klage gegen den Arbeitgeber einzureichen.
Stand: März 2015