«Viele KMUs haben das neue Datenschutzgesetz nicht auf dem Radar»

Ab dem 1. September 2023 gilt in der Schweiz ein neues Datenschutzgesetz. Was dieses für KMUs bedeutet und dass Verstösse mit bis zu 250 000 Franken Strafe gebüsst werden können, erklärt David Vasella, promovierter Jurist und Partner der Anwaltskanzlei Walder Wyss AG im Interview mit der Zürcher Wirtschaft.

Bild David Vasella

Dr. David Vasella beschäftigt sich seit vielen Jahren mit allen Facetten des Datenschutzes.

Eine kürzlich veröffentliche globale Studie* sorgte medial für Wirbel: demnach würden 68 Prozent der europäischen Unternehmen seit der Umstellung auf hybride Arbeitsformen Massnahmen zur Kontrolle der Mitarbeiterproduktivität entweder bereits eingeführt haben oder planen. Wie sehen Sie die Situation in der Schweiz?

David Vasella: Die Schweiz hat an besagter Studie nicht teilgenommen. Nach meiner Erfahrung sind ausgeklügelte Überwachungssysteme in der Schweiz kein allzu grosses Thema, die wenigsten Unternehmen haben sie im Einsatz. Eine gewisse Kontrolle von Mitarbeitern ist aber verbreitet, besonders in Branchen mit entsprechenden Bedürfnissen, etwa durch Fahrtenschreiber zum Optimieren der Route oder Überwachungen zur Kontrolle der Qualität oder der Diebstahlüberwachung.

Somit müssen sich die Arbeitnehmenden nicht vor einer 360 Grad Überwachung im Homeoffice fürchten?

Vasella: Wenn Mitarbeitende im Homeoffice arbeiten, kommen vermehrt Tools zum Einsatz, die einiges verraten. Man sieht z.B., ob Mitarbeitende online sind, und kann eher messen, was sie tun. Es gibt z.B. Tools, die aufzeichnen, wieviele Emails Mitarbeitende verschicken, welche Tasten sie drücken, wie lange sie nicht mehr getippt haben, oder die auch Bildschirmaufnahmen machen. Aber der Einsatz solcher Tools ist nicht häufig, soweit ich sehen kann. Eine 360-Grad-Überwachung von Mitarbeitenden, um ihre Arbeitsproduktivität zu messen, sehe ich in der Praxis kaum, und sie wäre auch nicht sinnvoll.

Was ist denn rechtlich erlaubt bei einer Überwachung im Homeoffice?

Vasella: Die Grenze zwischen einer berechtigten Leistungs- und Qualitätskontrolle und einem unerlaubten Eingriff in die Privatsphäre ist manchmal schmal. Vor allem das Arbeitsgesetz und das Datenschutzgesetz schützen die Gesundheit und die Privatsphäre der Arbeitnehmenden in der Schweiz. Wenn ein Tool eingesetzt wird, welches das Verhalten von Mitarbeitenden aufzeichnet, ist das nur erlaubt, wenn dafür ein vernünftiger Grund existiert, und auch nur so, wie es für diesen Zweck tatsächlich nötig ist. Unerlaubt wäre eine Überwachung des Verhaltens von Mitarbeitenden. Zudem müssen Mitarbeitende über Kontrollmassnahmen informiert werden. Viel häufiger als eine übermässige Überwachung von Mitarbeitenden sehe ich übrigens, dass das Datenschutzrecht als Waffe in einem Streit missbraucht wird.

Erzählen Sie…

Vasella: Der Datenschutz ist inzwischen nicht nur ein Schutz für Mitarbeitende – das ist er auch, aber er ist auch eine Waffe in der Hand der Mitarbeitenden und ihrer Anwälte. Es ist heute Standard, dass Arbeitnehmeranwälte im Vorfeld eines Streits ein Auskunftsbegehren stellen und sich dadurch Beweismittel für behauptete Verstösse verschaffen wollen. Teilweise ist das völlig berechtigt, aber oft ist es auch eine «fishing expedition», also ein breitbandiges Gesuch in der Hoffnung, etwas Verwertbares zu finden. Solche Auskunftsbegehren könnten rechtsmissbräuchlich sein, wenn das einzige Ziel darin besteht, sich eine bessere Position für eine arbeitsrechtliche Streitigkeit zu verschaffen.

Mit dem neuen Datenschutzgesetzt werden solche Fälle wohl eher noch zunehmen, weil das Auskunftsrecht breiter wird und die Folgen verschärft werden, wenn sie verletzt werden. Was bedeutet das insbesondere für KMUs?

Vasella: Die Stärkung des Datenschutzes und der Rechte betroffener Arbeitnehmenden kann dazu führen, dass ein KMU eher erpressbar wird. Das kann den Aufwand vergrössern und bis zu einem gewissen Grad auch die Rechtsrisiken. Das gilt besonders bei Streitigkeiten, bei denen sich der Gang zum Anwalt finanziell nicht lohnt, hier werden KMU oft nachgeben.

Ab dem 1. September 2023 gilt in der Schweiz das neue Datenschutzgesetz. Was ändert sich für KMU?

Vasella: Das Datenschutzrecht wird auf verschiedenen Ebenen verschärft. Eine Herausforderung besonders für KMU sind Dokumentations- und Prozessthemen. Bspw. müssen viele – nicht alle – KMU bestimmte Verzeichnisse über die Datenbearbeitungen führen, und sie brauchen Datenschutzerklärungen und bestimmte Verträge mit Dienstleistern und anderen Partnern. Für ein KMU ist es vor allem schwierig einzuschätzen, was konkret umgesetzt werden muss und wo tatsächlich Risiken liegen. Das setzt Erfahrung und eine gute Kenntnis des Datenschutzrechts voraus, und das bindet finanzielle und personelle Ressourcen für ein KMU. Dafür fehlt häufig das Verständnis, weil der Nutzen für die betroffenen Personen nicht immer klar ist. Für grosse Unternehmen ist der Aufwand leichter zu stemmen, und hier haben manche der neuen Anforderungen auch eher Sinn. Das Gesetz macht jedoch wenig Unterschiede zwischen Grossunternehmen und KMU.

Welche Überlegungen sollten sich KMUs zum neuen Datenschutzgesetz machen?

Vasella: Das KMU muss sich überlegen, wie wichtig Personendaten für sein Geschäft sind. Es ist ein Unterschied, ob man nur Mitarbeiterdaten bearbeitet oder ob man sich im B2C-Bereich bewegt und z.B. ein Online-Produkt im Massenmarkt anbietet, und ob man harmlose oder heikle Daten hat. Auch bei KMU, die für Grosskunden tätig sind, können faktisch strengere Anforderungen gelten. Ein KMU muss diese Anforderungen kennen. Es muss nicht jedes Iota umsetzen, aber sich nicht mit diesen Fragen auseinanderzusetzen, ist riskant.

Im schlimmsten Fall droht eine Maximalbusse von 250 000 Franken.

Das stimmt, das neue Datenschutzgesetz erhöht die Maximalbussen drastisch. Wenn beispielsweise jemand vorsätzlich die Informationspflicht verletzt, eine unvollständige oder falsche Datenschutzauskunft gibt oder Personendaten unerlaubterweise ins Ausland übermittelt, droht eine Busse von bis zu 250’000 Franken. Wichtig ist dabei: Eine Busse würde in den meisten Fällen nicht das KMU direkt treffen, sondern jene Person, die für die Verletzung effektiv verantwortlich ist. Das kann auch der Geschäftsführer sein. Das Risiko einer so hohen Busse ist zwar klein, aber es existiert.

KMU sollten keine Angst vor dem Datenschutz haben. Man kann mit wenig Aufwand viel erreichen.

David Vasella

Aus Ihrer Wahrnehmung: Sind sich KMUs dieser Risiken bewusst?

Vasella: Nein, die Mehrheit der KMU hat das Thema nicht auf dem Radar. In den meisten Fällen wird auch wenig passieren. Es besteht aber ein grösseres Risiko als heute, dass Untersuchungen zu Datenschutzverletzungen eingeleitet und auch Bussen ausgesprochen werden, und auch Reputationsrisiken nehmen zu, auch das Risiko, dass ein Vertragspartner im Fall einer Verletzung verärgert reagiert, einen Vertrag beendet oder Forderungen stellt.

Welche konkreten Tipps haben Sie in diesem Zusammenhang?

Vasella: KMU sollten keine Angst vor dem Datenschutz haben. Man kann mit wenig Aufwand viel erreichen. KMU sollten sich zuerst eine Übersicht über die Personendaten verschaffen, die sie auf ihren Systemen haben, und sie sollten sich über die Wichtigkeit der Daten und auch ihren Schutzbedarf Gedanken machen. Ein Verzeichnis der Datenbearbeitungen hilft für diese Übersicht. Dazu sollte man sich auch überlegen, wo welche Daten liegen und wie lange sie gespeichert werden. Dann müssen KMU verschiedene Datenschutzerklärungen haben, meistens wenigstens eine Datenschutzerklärung für Mitarbeitende und eine für sonstige Bearbeitungen, einschliesslich der Website. KMU sollten sich weiter überlegen, wo sie in der Wertschöpfungskette stehen, ob sie als Dienstleister für Kunden Personendaten bearbeiten und welche Dienstleister sie selbst einsetzen. Das wird bestimmte Verträge brauchen. Dazu gehört auch die Frage, ob KMU Daten ins Ausland bekanntgeben, auch das braucht bestimmte Verträge. Das braucht in den meisten Fälle fachliche Unterstützung, aber wie gesagt, die wesentlichen Aufgaben kann man mit wenig Aufwand bewältigen.

Zum Schluss nochmals zurück zum Homeoffice. Welche arbeitsrechtlichen Fragen sind hier für KMUs relevant?

Vasella: Auch wenn Mitarbeitenden im Homeoffice arbeiten, bleibt der Arbeitgeber dafür verantwortlich, dass sie einen guten Arbeitsplatz haben. Wenn er Homeoffice erlaubt, sollte er sich deshalb darum kümmern, ob Mitarbeitenden zu Hause eine vernünftige Umgebung haben. Dazu kann der Arbeitgeber z.B. in einem Videocall nachschauen. Die Verantwortung hört jedenfalls nicht an der Wohnungstür auf. Der Arbeitgeber sollte sich auch regelmässig nach dem Befinden seiner Mitarbeitenden erkundigen, das ist nicht nur anständig, sondern auch eine Pflicht. Zudem muss der Arbeitgeber meist auch die Arbeitsmaterialen wie Computer, Drucker und Toner stellen, wenn der Arbeitnehmende das für seine Arbeit braucht. Sinnvoll ist auch eine Schulung, wie der Arbeitnehmende mit sensiblen Daten umgehen soll.

Arbeiten unter Palmen oder an der Skipiste: Darf Homeoffice vom Ferienort bzw. aus dem Ausland gemacht werden?

Vasella: Einen Anspruch auf Homeoffice hat der Arbeitnehmende grundsätzlich nicht, wenn es nicht vereinbart wurde. Aber wenn beide mit der Arbeit aus dem Ausland einverstanden sind, spricht rechtlich nichts dagegen. Wenn Homeoffice grundsätzlich erlaubt wurde, muss der Arbeitnehmende über einen Auslandsaufenthalt zumindest informieren. Der Arbeitgeber muss sich dann um Fragen des Sozialversicherungs- und des Steuerrechts kümmern. Er sollte sich zudem überlegen, wie er den Zugriff auf heikle Daten aus dem Ausland absichern kann. Je nachdem, wie heikel diese Daten sind, sollte der Zugriff bspw. stärker eingeschränkt werden, und selbstverständlich sollte nur über eine verschlüsselte Verbindung zugegriffen werden können.

* Die Untersuchung wurde durch das Marktforschungsunternehmen Vanson Bourne durchgeführt.

Anna Birkenmeier

Redaktion Zürcher Wirtschaft

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist informativ.

icon_thumbs_up
icon_thumbs_down

Der Artikel ist ausgewogen.

icon_thumbs_up
icon_thumbs_down