Die Bekanntgabe von Personaldaten ins Ausland

Die Übermittlung von Personaldaten ins Ausland in zentralisierte Datensammlungen wird, vor allem bei Konzerngesellschaften, immer mehr zur Norm. Angestrebt wird vor allem eine bessere Wirtschaftlichkeit der Lohnbewirtschaftung und der Personalrekrutierung.

Es gibt vier Hauptarchitekturen für eine Bereitstellung von Informationen über eine globale IT-Infrastruktur. Sie unterscheiden sich hauptsächlich in der geografischen Lage der Daten und der Datenschutzregelungen.
Die erste Architektur charakterisiert sich durch eine ausschliesslich zentrale Aufbewahrung der Daten. Der Zugriff und die Bearbeitung der Daten findet durch die berechtigten Filialen auf dem zentralen Server statt. Es existieren lokal keine elektronischen Kopien der zentralen Daten. Die berechtigten Firmen definieren die Anforderungen in den Datenschutzerklärungen aus Sicht des innerstaatlichen Datenschutzes. Eine solche Architektur kommt in der Regel für Personalbewirtschaftungssysteme (HR-Systeme) zur Anwendung.
Die zweite Architektur ist eine Variation der ersten. Sie unterscheidet sich dadurch, dass die Daten grundsätzlich lokal bewirtschaftet werden und nur ein Teil je nach Zweck in die zentrale Datensammlung transferiert wird und somit Dritten zur Verfügung steht. Der Transfer der Daten kann sowohl auf Anfrage als auch automatisiert erfolgen. Zum Beispiel können statistische Lohndaten, die lokal generiert werden, für eine unternehmensweite Nutzung zentral zur Verfügung stehen. Ein weiteres häufiges Anwendungsbeispiel besteht in der zentralen Verfügbarkeit von Personendaten oder Persönlichkeitsprofilen der Mitarbeitenden zur konzerninternen Personalsuche.

Die dritte Variante zeichnet sich durch eine strikte Trennung der Anwendung und der Daten aus. Die Daten werden ausschliesslich lokal bearbeitet. Das zentrale Anwendungssystem nimmt lediglich eine Vermittlungsfunktion zwischen einer datenliefernden Gesellschaft (Datenexporteur) und einer datenempfangenden Gesellschaft (Datenimporteur) wahr. Es verwaltet die Datenschutzerklärungen der Beteiligten und weiss somit, zwischen welchen Gesellschaften der Datenaustausch problemlos erfolgen kann. Ein Transfer der Daten erfolgt dann direkt zwischen Datenexporteur und Datenimporteur, nachdem das zentrale Anwendungssystem die Datenübermittlung gutgeheissen hat. Das zentrale Anwendungssystem verwaltet die Adressen aller beteiligten Datenbearbeitungssysteme und teilt diese bei Bedarf mit. Damit wird mit wenig Aufwand eine komplette Vermaschung (Jeder kennt Jeden) der Systeme erreicht.

Die vierte Variante entspricht der peer-to-peer Architektur. Jeder der beteiligten Partner bestimmt selber, welche Daten er an wen bekannt gibt. Eine vermittelnde Instanz wie in der dritten Variante existiert nicht. Der Datenexporteur muss aufgrund seiner lokalen Datenschutzrichtlinien entscheiden, ob er Personendaten übertragen darf. Eine zentrale Stelle, welche die Datenschutzerklärungen der Teilnehmerstaaten verwaltet, existiert nicht. Die Art und Weise der Datenübermittlung basiert auf bilateralen Abmachungen und kann sowohl auf Anfrage als auch direkt per Abrufverfahren erfolgen.

In jeder dieser Varianten wird die datenempfangende Gesellschaft im Ausland Dateninhaberin der übermittelten Daten, wenn sie über den Zweck und den Inhalt der zentralisierten Datensammlung entscheidet. Als solche ist sie für den Datenschutz und die Datensicherheit verantwortlich. In Bezug auf eine zentralisierte Datensammlung gelten die datenliefernden Gesellschaften als Zugriffsberechtigte mit besonderer Verantwortung. Sie müssen der datenempfangenden Gesellschaft Bedingungen in Bezug auf den Datenschutz aufstellen (Datenschutzregelung). Eine Muster-Datenschutzklausel hat der Europarat mit der Verabschiedung des Mustervertrages für die Sicherstellung eines gleichwertigen Datenschutzes im Rahmen des grenzüberschreitenden Datenverkehrs bereits 1992 aufgestellt.
Was die Datenbekanntgabe von der datenempfangenden Firma an Drittfirmen betrifft, hat die Kommission der Europäischen Gemeinschaften in einer Entscheidung vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer klare Bedingungen festgelegt.

Der Zweck der Datenübermittlung ins Ausland muss einem Rechtfertigungsgrund gemäss Art. 13 DSG entsprechen. Die kostengünstigere Lohnbewirtschaftung und Personalrekrutierung gilt als Rechtfertigungsgrund. Es dürfen jedoch nur jene Personendaten übermittelt werden, welche für die Erfüllung des angegebenen Zweckes nötig sind.

Bei der Datenbekanntgabe durch den Datenimporteur an Firmen in Drittstaaten hat dieser abzuklären, ob diese Drittstaaten über einen Datenschutz verfügen, der dem schweizerischen gleichwertig ist. Ansonsten ist der Datenschutz mit diesen Firmen vertraglich zu gewährleisten. Diese Verpflichtung ist insbesondere bei der Schaffung von Datenpools für die Stellenbesetzung innerhalb des Konzerns von Bedeutung.

Bei der Übertragung der Datenbearbeitung an Dritte hat der Auftraggeber dafür zu sorgen, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.

Die übermittelten Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Darum empfiehlt es sich, je nach Klassifizierung der Datenkategorien besondere Schutzmassnahmen zu ergreifen. Es muss garantiert sein, dass zu jeder Zeit der unberechtigte Zugang zur Infrastruktur und zu den Datenträgern unmöglich ist. Ebenso muss der Zugriff Unberechtigter auf die Personendaten, während deren Lagerung und Transport ausgeschlossen sein, indem die Daten verschlüsselt werden. Die Verschlüsselung hat nach dem aktuellen Stand der Technik zu erfolgen. Dies gilt sowohl für die Daten als auch für die Datenschutzerklärungen. Die Identifikation der gemäss Erklärungen Empfangsberechtigten muss eindeutig gewährleistet sein. Die Identifikation hat nach den neusten technischen Stand zu erfolgen. Damit jederzeit die Verarbeitung der Daten nachvollziehbar ist, muss sie protokolliert werden.

[Juli 2002]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/9--taetigkeitsbericht-2001-2002/die-bekanntgabe-von-personaldaten-ins-ausland.html