Das revidierte Datenschutzgesetz (DSG), das seit September 2023 in Kraft ist, hat die Anforderungen an den Datenschutz am Arbeitsplatz verschärft. Gleichzeitig verbietet Art. 328b OR dem Arbeitgeber, Daten zu bearbeiten, die nicht für das Arbeitsverhältnis erforderlich sind. Was das konkret bedeutet — und welche Vorlagen Sie brauchen.
Grundprinzipien des Arbeitnehmerdatenschutzes
Nach Art. 328b OR gilt: Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind. Alles andere — politische Einstellungen, religiöse Überzeugungen, Freizeitaktivitäten — geht den Arbeitgeber nichts an.
Was darf gespeichert werden?
| Datenkategorie | Erlaubt? | Rechtsgrundlage |
|---|---|---|
| Name, Adresse, AHV-Nummer | Ja | Vertragsdurchführung |
| Lohndaten, Bankverbindung | Ja | Vertragsdurchführung |
| Arbeitszeugnisse, Diplome | Ja | Eignungsbeurteilung |
| Absenzen (Krankheit, Unfall) | Ja (ohne Diagnose) | Vertragsdurchführung |
| Gesundheitsdaten, Diagnosen | Nur mit Einwilligung | Art. 5 DSG |
| Politische Meinungen, Religion | Nein | Art. 328b OR |
| Social-Media-Profile (privat) | Nein | Art. 328b OR |
Überwachung am Arbeitsplatz
Art. 26 ArGV 3 verbietet Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen. Das klingt eindeutig, ist es aber nicht immer. Die Praxis unterscheidet:
| Überwachungsmassnahme | Erlaubt? | Bedingungen |
|---|---|---|
| Videoüberwachung (Eingang, Kasse) | Bedingt | Sicherheitszweck, verhältnismässig, Information |
| Videoüberwachung (Arbeitsplatz) | Nein | Dauerhaft verboten |
| GPS-Tracking (Firmenfahrzeuge) | Bedingt | Nur für Logistikzwecke, nicht zur Leistungskontrolle |
| E-Mail-Überwachung | Nein | Nur anonymisierte Auswertung der Nutzung |
| Internetnutzungs-Protokolle | Bedingt | Anonymisiert erlaubt, personenbezogen nur bei Verdacht |
| Keylogger, Screenshots | Nein | Generell verboten |
Was tun bei Verdacht auf Missbrauch?
Wenn ein konkreter Verdacht auf Missbrauch von IT-Ressourcen besteht — zum Beispiel exzessives privates Surfen oder Herunterladen verbotener Inhalte — darf der Arbeitgeber in einem Stufenverfahren vorgehen:
- Stufe 1: Anonymisierte Auswertung der Internetnutzung (Gesamtvolumen, besuchte Kategorien)
- Stufe 2: Personenbezogene Auswertung — nur wenn Stufe 1 einen Missbrauch nahelegt
- Stufe 3: Einsicht in konkrete Inhalte — nur mit Vorankündigung und unter Beizug einer neutralen Person
Vorlage: Datenschutzerklärung für Arbeitnehmer
Seit dem revidierten DSG muss jeder Arbeitgeber seine Mitarbeitenden aktiv informieren, welche Daten zu welchem Zweck bearbeitet werden. Eine Datenschutzerklärung nach DSG gehört in jeden Arbeitsvertrag oder als separates Dokument ins Personalhandbuch.
Die Erklärung muss mindestens enthalten: Verantwortliche Person, Zweck der Datenbearbeitung, Kategorien der bearbeiteten Daten, Empfänger, Aufbewahrungsdauer und Rechte der Betroffenen (Auskunft, Berichtigung, Löschung).
Aufbewahrungspflichten und -fristen
| Dokument | Aufbewahrungsfrist |
|---|---|
| Lohnabrechnungen | 10 Jahre |
| AHV/IV-Abrechnungen | 10 Jahre |
| Arbeitsvertrag | 10 Jahre nach Beendigung |
| Arbeitszeugnis (Kopie) | 10 Jahre |
| Bewerbungsunterlagen (abgelehnt) | 3 Monate, dann löschen |
| Absenzdaten (Krankheit) | 5 Jahre |
Rechtsquellen
Bundesgesetz über den Datenschutz (DSG). Obligationenrecht (OR), Art. 328b. Verordnung 3 zum ArG (ArGV 3), Art. 26. EDÖB, Leitfaden Datenschutz am Arbeitsplatz.