Datenschutzerklärung Personal Schweiz (DSG Art. 19; OR Art. 328b)

Die Datenschutzerklärung Personal ist ein in der Schweiz nach DSG Art. 19 (Informationspflicht bei Beschaffung von Personendaten, SR 235.1) geregeltes rechtsverbindliches schriftliches Dokument. Das revidierte Datenschutzgesetz hat die Informationspflichten der Arbeitgeberinnen erheblich erweitert: nach DSG Art. 19 muss die verantwortliche Stelle die betroffene Person bei der Beschaffung von Personendaten in transparenter Form über die Identität und Kontaktdaten der verantwortlichen Stelle, die bearbeiteten Personendaten und den Bearbeitungszweck informieren. Bei systematischer Datenbearbeitung — wie sie im Arbeitsverhältnis typischerweise vorliegt — sind zusätzlich Empfängerkategorien, Aufbewahrungsdauer und allfällige Drittlandtransfers zu nennen. Diese Pflichten gehen über die frühere Rechtslage des alten DSG hinaus und sind weitgehend kompatibel mit der EU-Datenschutz-Grundverordnung (DSGVO).

Grundlage der speziellen Schutzbestimmungen für Mitarbeitende bildet OR Art. 328b: Der Arbeitgeber darf Daten der mitarbeitenden Person nur bearbeiten, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind. Im Übrigen gelten die Bestimmungen des DSG. Diese Beschränkung der Zwecke unterscheidet das Schweizer Arbeitsrecht von vielen anderen Datenschutzregimes — Daten zu Familienplanung, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft oder politischen Überzeugungen dürfen nur in eng umgrenzten Ausnahmefällen bearbeitet werden, wenn ein sachlicher Bezug zur Tätigkeit besteht (z.B. Tendenzbetrieb).

Die Datenschutzerklärung Personal in der Schweiz strukturiert die Information in mehrere Pflichtbereiche: erstens die Identifikation der verantwortlichen Stelle (Arbeitgeberin) mit Firmenname, Geschäftsadresse, UID-Nummer und Kontaktperson für Datenschutz; zweitens die Datenkategorien (Stammdaten, Lohn- und Bankdaten, Qualifikationsdaten, Leistungs- und Beurteilungsdaten, Gesundheitsdaten, Daten aus Arbeitsplatzüberwachung); drittens die Bearbeitungszwecke gemäss DSG Art. 6 Abs. 3 (Zweckbindung); viertens die Empfänger oder Empfängerkategorien (interne Vorgesetzte, externe Auftragsbearbeiter, Sozialversicherungen); fünftens allfällige Drittlandtransfers nach DSG Art. 16 und 17; sechstens die Aufbewahrungsdauer differenziert nach Datenkategorie; siebtens die Rechte der mitarbeitenden Person (Auskunft nach DSG Art. 25, Berichtigung und Löschung nach DSG Art. 32).

Die Datenschutzerklärung Personal Schweiz wird typischerweise als Anlage zum Schweizer Arbeitsvertrag nach OR Art. 319 ausgehändigt. Bei bereits bestehenden Arbeitsverhältnissen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) eine separate Aushändigung mit schriftlicher Bestätigung der Kenntnisnahme. Aktualisierungen der Datenschutzerklärung — etwa bei Änderung der Lohnsoftware, Wechsel des Cloud-Anbieters oder Konzernreorganisation — sind den Mitarbeitenden zeitnah mitzuteilen, sofern die Änderungen wesentlich sind.

Verstösse gegen die Informationspflicht nach DSG Art. 19 können erhebliche Konsequenzen haben: nach DSG Art. 60 drohen bei vorsätzlichen Verstössen Bussen bis zu CHF 250 000 für die handelnde natürliche Person — also den/die Geschäftsführer/in oder Datenschutzverantwortliche/n persönlich. Zusätzlich können betroffene Mitarbeitende nach DSG Art. 32 zivilrechtliche Ansprüche auf Beseitigung, Unterlassung und Schadenersatz geltend machen. Die Datenschutzerklärung Personal ist abzugrenzen von anderen Dokumenten: sie ist nicht der Arbeitsvertrag selbst (dieser regelt die Vertragsbedingungen), nicht die Datenschutzerklärung der öffentlichen Website (diese richtet sich an Kunden) und nicht die Auftragsbearbeitungsvereinbarung nach DSG Art. 9 (diese regelt Beziehungen zu externen Dienstleistern). Das Bundesgericht (BGer) und der EDÖB haben in mehreren Stellungnahmen die Notwendigkeit einer differenzierten Personal-Datenschutzerklärung betont.

Die Datenschutzerklärung Personal in der Schweiz wird in mehreren Konstellationen benötigt, die sich aus dem revidierten Datenschutzgesetz, dem Schweizerischen Obligationenrecht und der internen Personalpraxis ergeben. Schweizer Arbeitgeberinnen müssen die Erfüllung der DSG-Pflichten aktiv dokumentieren.

Erste typische Situation — Begründung eines neuen Arbeitsverhältnisses: Bei jedem neuen Arbeitsvertrag nach OR Art. 319 ist die mitarbeitende Person spätestens bei der ersten Datenerhebung über die Bearbeitung zu informieren. In der Praxis erfolgt dies durch Aushändigung der Datenschutzerklärung Personal als Anlage zum Arbeitsvertrag — die mitarbeitende Person bestätigt mit ihrer Unterschrift die Kenntnisnahme. Die Dokumentation dient als Nachweis der Erfüllung der DSG-Pflicht nach Art. 19.

Zweite Situation — Rückwirkende Information bestehender Mitarbeitenden zum 1. September 2023: Mit Inkrafttreten des revidierten DSG am 1. September 2023 mussten Schweizer Arbeitgeberinnen ihre bestehende Belegschaft nachträglich informieren. Mitarbeitende, die vor diesem Datum eingestellt wurden, hatten nach altem DSG eine weniger umfangreiche Informationspflicht zu beanspruchen — die erweiterten Anforderungen nach revidiertem DSG erforderten eine Nachreichung der vollständigen Datenschutzerklärung. Diese Nachholpflicht wurde vom EDÖB mehrfach betont.

Dritte Situation — Wesentliche Änderung der Datenbearbeitung: Wenn die Arbeitgeberin wesentliche Änderungen an der Datenbearbeitung vornimmt — etwa Wechsel zu einer neuen Lohnsoftware mit ausländischem Hostingstandort, Implementierung eines HR-Analytics-Systems, Einführung einer Mitarbeiterüberwachung nach Verordnung 3 zum Arbeitsgesetz (ArGV 3) Art. 26 oder Anschluss an einen ausländischen Konzernsitz — muss eine aktualisierte Datenschutzerklärung Personal ausgehändigt werden. Geringfügige Anpassungen (z.B. neue Buchhaltungsauswertung) erfordern keine Neuausgabe.

Vierte Situation — Aufnahme in einen Talent Pool nach Bewerbungsverfahren: Bewerberinnen und Bewerber, die nach Abschluss eines Auswahlverfahrens in einen Talent Pool aufgenommen werden, müssen separat informiert werden — die ursprüngliche Bewerbungs-Einwilligung deckt keine längere Aufbewahrungsdauer von 12 bis 24 Monaten ab. Die separate Talent-Pool-Datenschutzerklärung enthält explizit die längere Aufbewahrung und das jederzeitige Widerrufsrecht.

Fünfte Situation — Internationale Konzerne mit grenzüberschreitendem HR-System: Bei Konzernen mit gemeinsamem HR-System auf einem zentralen Server in Deutschland, Frankreich oder den USA müssen die Mitarbeitenden über den Drittlandtransfer informiert werden. Die Datenschutzerklärung Personal listet konkret das Empfängerland, die Rechtsgrundlage des Transfers (DSG Art. 16: anerkanntes Land oder Art. 17: Standardvertragsklauseln, verbindliche Konzernregelungen) und die zusätzlichen Garantien.

Sechste Situation — Datenschutz-Folgenabschätzung nach DSG Art. 22: Bei Bearbeitungen mit hohem Risiko für die Persönlichkeitsrechte — etwa umfassende Mitarbeiterüberwachung mit Videoaufzeichnungen, biometrische Zutrittskontrolle, automatisierte Entscheide bei Beförderungen — muss eine Datenschutz-Folgenabschätzung erstellt werden. forms-legal.com bietet ergänzende Vorlagen für solche spezialisierten Bearbeitungen, die die Datenschutzerklärung Personal um detaillierte Bewertungen erweitern. Bei besonders schützenswerten Daten — Gesundheitsdaten, Daten zur Persönlichkeitsentwicklung — sind zusätzliche Schutzmassnahmen vorzusehen.

Die rechtssichere Datenschutzerklärung Personal in der Schweiz nach DSG Art. 19, Art. 6 und OR Art. 328b enthält spezifische Pflichtbestandteile, die der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in seinen Leitfäden konkretisiert hat. Die Vorlage von forms-legal.com strukturiert sämtliche Pflichtinhalte in einer vom EDÖB empfohlenen Reihenfolge.

Identifikation der verantwortlichen Stelle: Vollständiger Firmenname laut Handelsregister, Geschäftsadresse, 13-stellige UID-Nummer, Rechtsform. Bei Konzernen muss klar erkennbar sein, welche Konzerngesellschaft die Verantwortung trägt — die einzelne Arbeitgeberin als juristische Person ist verantwortliche Stelle nach DSG Art. 5 lit. j, nicht der Konzernsitz im Ausland. Kontaktperson für Datenschutzanfragen mit Funktion (z.B. Datenschutzberater, HR Business Partner Datenschutz) und E-Mail-Adresse — typischerweise ein Funktionspostfach wie [email protected].

Identifikation der betroffenen Person: Vor- und Nachname der mitarbeitenden Person, Funktion, Eintrittsdatum. Bei generischen Vorlagen für mehrere Mitarbeitende kann die Personalisierung durch Anlagebogen mit handschriftlicher Eintragung erfolgen. Wichtig: jede Aushändigung wird mit Datum und Unterschrift dokumentiert, um die Erfüllung der DSG-Pflicht nachzuweisen.

Datenkategorien mit konkreter Auflistung: Stammdaten (Name, Geburtsdatum, AHV-Nummer, Adresse, Familienverhältnisse für Familienzulagen nach FamZG); Lohn- und Bankdaten (Bruttogehalt, Bonuszahlungen, Bankverbindung, Sozialversicherungsbeiträge); Qualifikationsdaten (Diplome, Zertifikate, Sprachkenntnisse, Berufserfahrung); Leistungs- und Beurteilungsdaten (Mitarbeiterbeurteilungen, Zielvereinbarungen, Bonus-Berechnungen); Gesundheitsdaten als besonders schützenswerte Daten nach DSG Art. 5 lit. c (Krankheitstage, ärztliche Atteste, Mutterschaftsurlaub); Daten aus Arbeitsplatzüberwachung gemäss Verordnung 3 zum Arbeitsgesetz (ArGV 3) Art. 26 (Zutrittskontrolle, E-Mail-Logs).

Bearbeitungszwecke nach DSG Art. 6 Abs. 3 (Zweckbindung): Die Zwecke müssen konkret und erkennbar formuliert werden — pauschale Formulierungen wie „für administrative Zwecke" genügen nicht. Typische Zwecke: Begründung und Durchführung des Arbeitsverhältnisses nach OR Art. 319 ff.; Lohnabrechnung und Sozialversicherungsmeldungen nach AHVG, BVG, FamZG, UVG; Mitarbeiterbeurteilung und Personalentwicklung; Sicherheit und Compliance (Schutz vor unberechtigtem Zugriff, Compliance mit FINMA-Vorgaben für Banken oder Swissmedic für Pharma); Erfüllung gesetzlicher Pflichten gegenüber Steuer- und Sozialversicherungsbehörden.

Empfänger oder Empfängerkategorien nach DSG Art. 19 Abs. 2: Konkrete Empfänger oder zumindest Kategorien von Empfängern. Typische Empfänger: interne Empfänger (Vorgesetzte, HR-Abteilung, Geschäftsleitung); externe Pflichtempfänger (AHV-Ausgleichskasse, Pensionskasse, Familienausgleichskasse, UVG-Versicherer, Steuerverwaltung); Banken für Lohnüberweisung; externe Auftragsbearbeiter (Lohnsoftware-Anbieter, Cloud-Plattformen, externe HR-Beratungsunternehmen) mit Auftragsbearbeitungsvereinbarung nach DSG Art. 9.

Drittlandtransfers nach DSG Art. 16 und 17: Bei Datenübermittlung in Länder ohne angemessenen Datenschutz nach DSG Art. 16 (anerkannte Liste auf edoeb.admin.ch) müssen geeignete Garantien nach DSG Art. 17 angewandt werden — Standardvertragsklauseln (analog zur EU-DSGVO mit Schweizer Anpassungen vom Bundesrat genehmigt), verbindliche Konzernregelungen oder andere geeignete Schutzmassnahmen. Konkret zu nennen: Empfängerland (z.B. „USA, Microsoft Azure Cloud"), Rechtsgrundlage (z.B. „Standardvertragsklauseln 2021"), zusätzliche Garantien (z.B. „Verschlüsselung bei der Übertragung und Speicherung").

Aufbewahrungsdauer differenziert nach Datenkategorie: Stammdaten 10 Jahre nach Beendigung des Arbeitsverhältnisses (analog OR Art. 958f Geschäftsbücher); Lohndaten 10 Jahre (Geschäftsbücher und Steuerunterlagen); AHV-Daten 5 Jahre nach Pensionierung gemäss Verordnung über die Alters- und Hinterlassenenversicherung (AHVV); Gesundheitsdaten 5 Jahre nach letzter Krankheit (Krankentaggeldversicherung); Bewerbungsunterlagen 6 Monate nach Auswahlverfahren (EDÖB-Empfehlung); Beurteilungen 10 Jahre nach Austritt (Verjährung von Lohnnachforderungen nach OR Art. 128 fünf Jahre, plus Sicherheitsmarge).

Rechte der mitarbeitenden Person: Auskunftsrecht nach DSG Art. 25 — die Person kann jederzeit kostenlos Auskunft über die zu ihrer Person bearbeiteten Daten verlangen, Antwort innert 30 Tagen schriftlich. Berichtigungsrecht nach DSG Art. 32 für unrichtige Daten. Löschungsrecht in bestimmten Fällen, etwa nach Beendigung der Aufbewahrungspflicht. Beschwerderecht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, 3003 Bern. Verwandte Dokumente: Schweizer Arbeitsvertrag unbefristet nach OR Art. 319, Onboarding-Checkliste nach OR Art. 319 sowie Mitarbeiterbeurteilung nach OR Art. 321a — alle drei dokumentieren parallel den Beschäftigungsrahmen, in dem die Datenbearbeitung stattfindet.

Die korrekte Erstellung der Datenschutzerklärung Personal in der Schweiz erfordert eine systematische Bestandsaufnahme aller Datenbearbeitungen im Unternehmen und eine sorgfältige Formulierung der Zwecke und Empfänger. Schweizer KMU profitieren von der Strukturierung in einem Verzeichnis der Bearbeitungstätigkeiten nach DSG Art. 12.

Schritt 1 — Bestandsaufnahme der Datenbearbeitungen: Vor der Erstellung der Datenschutzerklärung wird eine Bestandsaufnahme aller HR-Datenbearbeitungen durchgeführt. Welche Personendaten werden erhoben? Aus welchen Quellen (Bewerbung, Onboarding, laufende Bearbeitung, Sozialversicherungsmeldungen)? Welche Software wird eingesetzt (Lohnsoftware wie Abacus, Sage, SAP HCM; HR-Cloud wie Workday, SuccessFactors)? Welche externen Dienstleister haben Zugriff (Treuhänder, Pensionskasse, externe Buchhalter)? Diese Bestandsaufnahme bildet das Verzeichnis der Bearbeitungstätigkeiten nach DSG Art. 12 — Pflicht für Unternehmen mit über 250 Mitarbeitenden oder bei Bearbeitung besonders schützenswerter Daten.

Schritt 2 — Identifikation der verantwortlichen Stelle eintragen: Vollständiger Firmenname laut Handelsregister, Geschäftsadresse, UID-Nummer (aus Handelsregisterauszug), Rechtsform. Bei Konzernen: die einzelne juristische Person als Arbeitgeberin ist verantwortliche Stelle, nicht der ausländische Konzernsitz. Kontaktperson für Datenschutz: bei Unternehmen mit über 250 Mitarbeitenden oder bei Bearbeitung besonders schützenswerter Daten ist nach DSG Art. 10 die Bestellung eines Datenschutzberaters Pflicht. Bei kleineren Unternehmen genügt ein/e benannte/r HR-Verantwortliche/r.

Schritt 3 — Datenkategorien spezifisch auswählen: Auswahl der tatsächlich bearbeiteten Datenkategorien aus der Liste — Stammdaten, Lohndaten, Qualifikationsdaten, Leistungsdaten, Gesundheitsdaten, Überwachungsdaten. Wichtig: nur tatsächlich bearbeitete Kategorien angeben, keine vorsorgliche Maximal-Liste. Bei Gesundheitsdaten und Daten aus Arbeitsplatzüberwachung sind zusätzliche Schutzmassnahmen erforderlich.

Schritt 4 — Zwecke konkret formulieren: Pauschale Zwecke wie „für administrative Zwecke" genügen dem Bestimmtheitsgrundsatz nach DSG Art. 6 Abs. 3 nicht. Korrekte Formulierungen: „Begründung und Durchführung des Arbeitsverhältnisses nach OR Art. 319 ff.", „Lohnabrechnung und Meldung an AHV-Ausgleichskasse, Pensionskasse, Familienausgleichskasse und UVG-Versicherer", „Mitarbeiterbeurteilung und Personalentwicklung gemäss internem Beurteilungssystem", „Sicherheit und Compliance gemäss FINMA-Rundschreiben oder Swissmedic-Vorgaben (branchenspezifisch)".

Schritt 5 — Empfänger konkret benennen oder kategorisieren: Interne Empfänger sind Vorgesetzte, HR-Abteilung, Geschäftsleitung; externe Pflichtempfänger sind AHV-Ausgleichskasse (z.B. Ausgleichskasse Banken, Ausgleichskasse Bundesamt für Sozialversicherungen), Pensionskasse (z.B. Swiss Life, AXA, Comparis), Familienausgleichskasse (kantonal); externe Auftragsbearbeiter sind Lohnsoftware-Anbieter (z.B. Abacus Hosting AG), HR-Cloud-Anbieter (z.B. Workday Switzerland), externe Buchhalter, externe Beratungsunternehmen. Bei Auftragsbearbeitern ist eine Auftragsbearbeitungsvereinbarung nach DSG Art. 9 abzuschliessen.

Schritt 6 — Drittlandtransfers analysieren und dokumentieren: Bei Cloud-Anbietern mit Servern im Ausland (Microsoft Office 365, Google Workspace, Salesforce) erfolgen Drittlandtransfers. Schritte: erstens Server-Standort beim Anbieter abfragen; zweitens prüfen, ob das Land vom Bundesrat als angemessen anerkannt ist (Liste auf edoeb.admin.ch); drittens bei nicht anerkannten Ländern Standardvertragsklauseln (SCC) abschliessen — die EU-Standardvertragsklauseln 2021 wurden vom Bundesrat genehmigt; viertens zusätzliche Garantien wie Verschlüsselung bei Übertragung und Speicherung; fünftens in der Datenschutzerklärung konkret nennen.

Schritt 7 — Aufbewahrungsdauer differenziert berechnen: Pro Datenkategorie wird die Aufbewahrungsdauer bestimmt — gesetzliche Pflicht oder verhältnismässige Frist nach DSG Art. 6 Abs. 4. Vorlage: Stammdaten und Lohndaten 10 Jahre nach Beendigung des Arbeitsverhältnisses (OR Art. 958f Geschäftsbücher); AHV-Daten 5 Jahre nach Pensionierung; Gesundheitsdaten 5 Jahre nach letzter Krankheit; Bewerbungsunterlagen 6 Monate nach Auswahlverfahren; Mitarbeiterbeurteilungen 10 Jahre nach Austritt.

Schritt 8 — Rechte erläutern und Aushändigung dokumentieren: Auskunftsrecht nach DSG Art. 25 erläutern (kostenlos, 30 Tage Antwortzeit). Berichtigungs- und Löschungsrecht nach DSG Art. 32. Beschwerderecht beim EDÖB. Aushändigung der Datenschutzerklärung mit Datum und Unterschrift der mitarbeitenden Person; Original in der Personalakte mit Aufbewahrung 10 Jahre. Bei wesentlichen Änderungen wird eine aktualisierte Datenschutzerklärung mit neuem Datum ausgehändigt.

Die Datenschutzerklärung Personal in der Schweiz unterliegt einem dichten regulatorischen Rahmen, der primär durch das revidierte Datenschutzgesetz vom 1. September 2023 und das Schweizerische Obligationenrecht geprägt ist. Verstösse können zu erheblichen Bussen, Schadenersatzforderungen und Reputationsschäden führen.

Informationspflicht nach DSG Art. 19: Beim Beschaffen von Personendaten muss die verantwortliche Stelle die betroffene Person in geeigneter Weise informieren. Mindestinhalte sind Identität und Kontaktdaten der verantwortlichen Stelle, bearbeitete Personendaten, Bearbeitungszweck, Empfängerkategorien, Aufbewahrungsdauer und Drittlandtransfers nach DSG Art. 17. Die Information muss vor oder bei der Datenerhebung erfolgen — bei Bewerbungen also vor Einreichung des Stellenbewerbung Formulars, bei Anstellung als Anlage zum Arbeitsvertrag.

Bearbeitungsgrundsätze nach DSG Art. 6: Personendaten dürfen nur rechtmässig bearbeitet werden (Abs. 1), die Bearbeitung muss verhältnismässig sein (Abs. 2), zweckbestimmt erfolgen (Abs. 3), transparent ausgestaltet sein (Abs. 4) und die Daten müssen richtig und nötigenfalls aktualisiert sein (Abs. 5). Die Daten müssen nach Wegfall des Bearbeitungszwecks gelöscht oder anonymisiert werden (Abs. 6).

Spezielle Bestimmungen für Arbeitnehmende nach OR Art. 328b: Der Arbeitgeber darf Daten nur bearbeiten, soweit sie die Eignung der mitarbeitenden Person für das Arbeitsverhältnis betreffen oder zur Vertragsdurchführung erforderlich sind. Diese Beschränkung schliesst die Bearbeitung von Daten aus, die ohne sachliche Rechtfertigung erfolgen — etwa Daten zu Familienplanung, Religionszugehörigkeit oder Gewerkschaftsmitgliedschaft.

Besonders schützenswerte Daten nach DSG Art. 5 lit. c: Gesundheitsdaten, Daten zur Persönlichkeitsentwicklung, biometrische Daten zur eindeutigen Identifizierung, genetische Daten, Daten über Massnahmen der sozialen Hilfe, religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten gelten als besonders schützenswert. Ihre Bearbeitung erfordert nach DSG Art. 31 Abs. 1 lit. a eine ausdrückliche Einwilligung der betroffenen Person oder eine andere Rechtsgrundlage. Im Arbeitsverhältnis ist dies typischerweise die Vertragsdurchführung nach OR Art. 328b — etwa bei Krankheitstagen für die Lohnfortzahlung nach OR Art. 324a.

Datenschutz-Folgenabschätzung nach DSG Art. 22: Bei Bearbeitungen mit hohem Risiko für die Persönlichkeitsrechte muss vorab eine Datenschutz-Folgenabschätzung erstellt werden. Hohes Risiko liegt vor bei umfassender Mitarbeiterüberwachung, automatisierten Entscheidungsprozessen, biometrischer Zutrittskontrolle, grenzüberschreitendem Datentransfer in nicht anerkannte Länder. Die Folgenabschätzung dokumentiert die Risiken, die getroffenen Schutzmassnahmen und die Restrisiken — bei verbleibenden hohen Restrisiken ist nach DSG Art. 23 der EDÖB zu konsultieren.

Auftragsbearbeitung nach DSG Art. 9: Die Bearbeitung kann durch Auftragsbearbeiter im Auftrag der Verantwortlichen erfolgen, sofern die Auftragsbearbeitung vertraglich oder gesetzlich vorgesehen ist und die folgenden Voraussetzungen erfüllt sind: erstens die Daten dürfen nur so bearbeitet werden, wie es die Verantwortliche selbst tun dürfte; zweitens keine Übermittlung an Dritte ohne Genehmigung der Verantwortlichen; drittens technische und organisatorische Sicherheitsmassnahmen.

Drittlandtransfers nach DSG Art. 16 und 17: Personendaten dürfen ins Ausland nur übermittelt werden, wenn das Empfängerland einen angemessenen Datenschutz gewährleistet. Der Bundesrat führt eine Liste der anerkannten Länder (publiziert auf edoeb.admin.ch). Bei nicht anerkannten Ländern müssen geeignete Garantien angewandt werden — Standardvertragsklauseln (analog EU-DSGVO mit Schweizer Anpassungen), verbindliche Konzernregelungen oder besondere Genehmigung des EDÖB.

Mitwirkungsgesetz (MWG, SR 822.14): Wo eine Arbeitnehmervertretung besteht, hat sie nach MWG Art. 9 ein Anhörungs- und Mitspracherecht bei Massnahmen zur Datenschutzgestaltung — etwa bei Einführung neuer HR-Software, Mitarbeiterüberwachung oder grenzüberschreitenden Datentransfers. Die Mitwirkung ist in der Datenschutzerklärung zu dokumentieren.

Branchenspezifische Vorschriften: Banken unterliegen FINMA-Rundschreiben (z.B. FINMA-RS 2018/3 Outsourcing) mit zusätzlichen Vorgaben für Personal-Datenbearbeitung. Pharma-Unternehmen unterliegen Swissmedic-Vorgaben. Das Bundesamt für Cybersicherheit (BACS) gibt Empfehlungen zur IT-Sicherheit. Bei grenzüberschreitenden Konzernen sind zusätzlich die Vorgaben des EU-Rechts (DSGVO) zu beachten.

Sanktionen nach DSG Art. 60: Bei vorsätzlichen Verstössen gegen die Informationspflicht nach DSG Art. 19 droht Busse bis zu CHF 250 000 für die handelnde natürliche Person. Bei Verstössen gegen Sorgfaltspflichten bei Drittlandtransfers nach DSG Art. 17 oder bei der Auftragsbearbeitung nach DSG Art. 9 ebenfalls Bussen bis CHF 250 000. Zusätzlich zivilrechtliche Ansprüche nach DSG Art. 32 (Beseitigung, Unterlassung, Schadenersatz und Genugtuung).

Häufige Fehler bei der Datenschutzerklärung Personal in der Schweiz untergraben den Schutz der Mitarbeitenden, schaffen Bussrisiken und führen zu Streitigkeiten mit Mitarbeitenden. Die folgenden Fehler treten in Schweizer KMU besonders häufig auf.

Fehler 1 — Pauschale Zweckangabe ohne Konkretisierung: Schweizer Arbeitgeberinnen verwenden oft pauschale Formulierungen wie „für administrative Zwecke" oder „im Rahmen des Arbeitsverhältnisses". Solche Pauschalformulierungen verstossen gegen den Bestimmtheitsgrundsatz nach DSG Art. 6 Abs. 3. Konsequenz: Bussrisiko bis CHF 250 000 nach DSG Art. 60 bei vorsätzlichen Verstössen. Korrekte Vorgehensweise: konkrete Zwecke benennen, etwa „Lohnabrechnung und Meldung an AHV-Ausgleichskasse, Pensionskasse, Familienausgleichskasse, UVG-Versicherer".

Fehler 2 — Fehlende Information über Drittlandtransfers: Bei Verwendung von Cloud-Anbietern mit Servern im Ausland (Microsoft Office 365, Google Workspace, Salesforce, Workday, SAP SuccessFactors) erfolgen automatisch Drittlandtransfers. Viele Schweizer KMU informieren ihre Mitarbeitenden nicht über diese Transfers. Konsequenz: Verletzung von DSG Art. 19 Abs. 2 Bst. d. Korrekte Vorgehensweise: konkrete Empfängerländer nennen (z.B. „USA, Microsoft Azure Cloud"), Rechtsgrundlage (Standardvertragsklauseln 2021), zusätzliche Garantien (Verschlüsselung).

Fehler 3 — Unbearbeitete Auftragsbearbeitungsvereinbarungen: Bei Einsatz externer Lohn-, HR- und Buchhaltungsdienstleister wird oft keine Auftragsbearbeitungsvereinbarung nach DSG Art. 9 abgeschlossen — die Datenbearbeitung erfolgt formell ohne Rechtsgrundlage. Konsequenz: bei Datenpannen drohen Schadenersatzforderungen und Bussen. Korrekte Vorgehensweise: schriftliche Auftragsbearbeitungsvereinbarung mit allen externen Dienstleistern, die Personendaten bearbeiten — typischerweise im Rahmen des Dienstleistungsvertrags als Anlage.

Fehler 4 — Bearbeitung diskriminierender Daten: Schweizer Arbeitgeberinnen erheben gelegentlich Daten zu Religion, Familienplanung, Gewerkschaftszugehörigkeit oder politischen Überzeugungen ohne sachliche Rechtfertigung. Solche Bearbeitungen verstossen gegen OR Art. 328b und können Diskriminierungsklagen nach Gleichstellungsgesetz GlG Art. 5 nach sich ziehen. Korrekte Vorgehensweise: nur eignungsbezogene Daten bearbeiten; bei sensiblen Daten sachliche Rechtfertigung dokumentieren (etwa religiöse Tendenzbetriebe nach Bundesverfassung Art. 15).

Fehler 5 — Fehlende Anpassung an das revidierte DSG vom 1. September 2023: Viele Schweizer KMU haben ihre Datenschutzerklärung Personal seit der DSG-Revision nicht angepasst. Das alte DSG hatte weniger umfangreiche Informationspflichten — die heutige Erklärung muss zusätzlich Empfängerkategorien, Aufbewahrungsdauer und Drittlandtransfers explizit nennen. Konsequenz: bei vorsätzlichem Verzicht auf Anpassung Bussen bis CHF 250 000. Korrekte Vorgehensweise: vollständige Überarbeitung nach Mustern des EDÖB.

Fehler 6 — Unklare oder fehlende Aufbewahrungsdauer: Die Aufbewahrungsdauer wird oft pauschal mit „bis zur Beendigung des Arbeitsverhältnisses" angegeben, ohne die nachvertragliche Aufbewahrung gemäss OR Art. 958f (10 Jahre) und die kategorienspezifischen Fristen zu nennen. Konsequenz: Verletzung des Verhältnismässigkeitsgrundsatzes nach DSG Art. 6 Abs. 4 (zu lange Aufbewahrung) oder Verstoss gegen Beweispflichten (zu kurze Aufbewahrung). Korrekte Vorgehensweise: differenzierte Aufbewahrungsdauer pro Datenkategorie mit Begründung.