Personenüberprüfungen: Das müssen Sie wissen

Die vom EDÖB veröffentlichten Erläuterungen gehen insbesondere auf die folgenden Fragegestellungen ein:

• Wie müssen die Mitarbeitenden über die Personenprüfung informiert werden?
• Zu welchem Zeitpunkt darf eine Personensicherheits-Prüfung durchgeführt werden?
• Wie viele und welche Daten darf der Arbeitgeber verlangen?
• In welcher Form dürfen die Personendaten der Mitarbeitenden bearbeitet werden?
• Was ist bei einer Datenbearbeitung im Ausland zu beachten?
• Dürfen die für die Personensicherheitsprüfung erhobenen Daten nach der Überprüfung weiterverwendet werden?
• Kann der Mitarbeitende Auskunft über seine Personendaten verlangen?
• Gibt es eine Möglichkeit für die Mitarbeitenden, sich der Personensicherheitsprüfung zu widersetzen?

Informationspflicht des Arbeitgebers

Die betroffenen Mitarbeiter sind über Personensicherheitsprüfungen zu informieren. Der EDÖB verlangt hier die Form der Schriftlichkeit, wohingegen bei der Information während dem Vorstellungsgespräch ein mündlicher Hinweis genügen soll. Jedenfalls wird die Information über den Beschaffungszweck der Daten sowie über die Dauer der Aufbewahrung verlangt. Ebenso muss gegenüber den betroffenen Mitarbeitern einzeln begründet werden, warum es einer Prüfung bedarf.

Zeitpunkt der Durchführung der Prüfung und die Zustimmungserfordernis

Es ist nicht zwingend, dass die Prüfung stets bei Beginn des Arbeitsverhältnisses durchgeführt wird. Unter Umständen können solche Abklärungen erst während eines laufenden Arbeitsverhältnisses notwendig werden, z.B. bei einem neuen entsprechenden Projekt oder Einsatz.

Es besteht ein grundsätzliches Bedürfnis von Arbeitgebern, bei Mitarbeitenden, welche in einem erhöhten Risikobereich tätig sind, eine Personensicherheits-Prüfung durchzuführen. Daher hat ein betroffener Mitarbeiter die Personensicherheits-Prüfung grundsätzlich zu akzeptieren. Verweigert er seine Zustimmung für eine gerechtfertigte Prüfung, muss er die arbeitsrechtlichen Konsequenzen, wie z.B. die Versetzung oder gegebenenfalls die Kündigung in Kauf nehmen. Sollte eine Personenrisikoprüfung hingegen nicht gerechtfertigt sein und einem Mitarbeiter aufgrund seiner Zustimmungsverweigerung gekündigt werden, dürfte sich eine solche Kündigung wohl als missbräuchlich erweisen.

Herausgabepflicht von Daten

Es kann nicht generell gesagt werden, welche Unterlagen ein Mitarbeiter herausgeben muss, damit im Einzelfall eine Prüfung durchgeführt werden kann. Dies hängt vom Einzelfall ab.

Wird der betroffene Mitarbeiter bei einer Drittfirma eingesetzt, muss sie bestimmen, für welche Funktionen sie eine Prüfung als notwendig erachtet. Der Arbeitgeber hat allerdings in jedem Fall dafür zu sorgen, dass die verlangte Sicherheitsprüfung nicht über das Ziel hinaus schiesst und verhältnismässig ist.

Form der Datenbearbeitung

Die Information und Zustimmung der betroffenen Mitarbeiter ist unbedingt notwendig. Es dürfen keine geheimen Prüfungen durchgeführt werden. Führt ein externer Dritter die Prüfung durch, muss sich der Arbeitgeber vergewissern, dass die Datensicherheit gewährleistet ist. Er bleibt in jedem Fall für die Datenbearbeitung verantwortlich. Bei einer Datenbearbeitung im Ausland, bzw. der Durchführung der Personensicherheitsprüfung im Ausland (was die Ausnahme darstellen sollte) sind in jedem Fall die entsprechenden datenschutzrechtlichen Bestimmungen zu beachten (vgl. Art. 6 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992; «DSG»).

Verwendungszweck und Einsichtsrecht

Die Daten, welche für eine Personensicherheitsüberprüfung erhoben werden, dürfen nach den datenschutzrechtlichen Grundsätzen nicht für andere als die angegebenen Zwecke verwendet und müssen, sofern sie nicht mehr benötigt werden, vernichtet werden. In jedem Fall sind sie gegen unbefugten Zugriff zu schützen.

Gemäss Art. 8 DSG kann der Mitarbeiter Einsicht über alle Daten verlangen, welche von ihm bearbeitet werden, also auch solche, die im Rahmen der Personensicherheitsprüfung bearbeitet werden.

Gesetzliche Grundlagen

Die vorgenannten Empfehlungen für die Personensicherheitsprüfungen setzen eigentlich nur das um, was sich bereits im schweizerischen Recht für die Datenbearbeitung ergibt: Nach Art. 328 Abs. 1 OR hat der Arbeitgeber im Arbeitsverhältnis die Persönlichkeit des Arbeitnehmers zu schützen und zu achten und darf nicht in die Persönlichkeit des Arbeitnehmers eingreifen, sofern solche Eingriffe nicht durch den Arbeitsvertrag gerechtfertigt sind. Zudem muss der Arbeitgeber im Rahmen des Arbeitsverhältnisses Eingriffe von Vorgesetzten, Mitarbeitern und Dritten abwehren.

Der Schutz persönlicher Daten des Arbeitnehmers im Arbeitsverhältnis ergibt sich, als Konkretisierung der Fürsorgepflicht des Arbeitgebers, einerseits aus Art. 328b OR, wonach der Arbeitgeber Daten über den Arbeitnehmer nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Zusätzlich gelten für den Arbeitgeber auch die Bestimmungen des DSG. Die entsprechenden (Sorgfalts-)Pflichten im Umgang mit Personendaten sind vom Arbeitgeber auch gegenüber einem potentiellen Arbeitnehmer, z.B. einem Stellenbewerber einzuhalten.

Das DSG schreibt bestimmte Bearbeitungsgrundsätze vor, die bei der Datenbearbeitung zu beachten sind. Vorbehalten bleibt ein spezieller Rechtfertigungsrund, der ein Abweichen von diesen Grundsätzen erlauben würde.

Daten dürfen nur rechtmässig, d.h. nicht durch illegale Mittel, und nach Treu und Glauben, d.h. für den Einzelnen erkennbar (transparent), erhoben werden. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Der Grundsatz der Verhältnismässigkeit muss ebenfalls eingehalten werden. Demnach dürfen so viele Daten wie nötig, aber so nur wenige wie möglich bearbeitet werden. Weitere allgemeine Grundsätze der Datenbearbeitung verlangen, dass nur richtige Daten bearbeitet werden und dass sie nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde (Zweckbindung). Bei der Datenbekanntgabe ins Ausland muss sichergestellt werden, dass die Persönlichkeit der betroffenen Personen nicht gefährdet wird. In bestimmten Fällen muss die Bekanntgabe dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten vorher gemeldet werden.

Im Übrigen können weitere branchentypische Schutzvorschriften bestehen, wie zum Beispiel die Rundschreiben der FINMA für den Bankenbereich, wobei auch in diesem Fall die vorher genannten gesetzlichen Regelungen des Arbeits- und Datenschutzrechts in jedem Fall Beachtung finden müssen.