Das revidierte Schweizer Datenschutzgesetz (revDSG) ist seit 1. September 2023 in Kraft. Viele KMU haben die Umstellung noch nicht systematisch vollzogen. Hier die wichtigsten Punkte für die Personalarbeit.
Grundprinzipien
Das DSG folgt fünf Prinzipien, die jede Personalakte erfüllen muss:
1. Rechtmässigkeit — Datenverarbeitung muss einen legalen Grund haben
2. Verhältnismässigkeit — nur soviel wie nötig erfassen
3. Zweckbindung — Daten nur für den ursprünglich bestimmten Zweck nutzen
4. Richtigkeit — falsche Daten müssen korrigiert werden
5. Datensicherheit — angemessene technische und organisatorische Massnahmen
Was gehört in eine Personalakte?
Erlaubt und nötig:
- Stammdaten (Name, Geburtsdatum, AHV-Nummer)
- Arbeitsvertrag und Nachträge
- Lohnabrechnungen, BVG-Anschluss
- Bewilligungen (Arbeitsbewilligung, Führerschein)
- Arbeitszeugnisse und Qualifikationen
- Dokumentierte Feedbacks und Entwicklungspläne
Nur bei Notwendigkeit:
- Gesundheitsdaten (nur BU-Fälle und direkte Arbeitsplatzbezüge)
- Familienstand (nur für Familienzulagen)
- Religionszugehörigkeit (nur für steuerliche Quellensteuer, falls relevant)
Nicht erlaubt:
- Politische Überzeugung, sofern nicht direkt arbeitsbezogen
- Gewerkschaftszugehörigkeit ohne funktionalen Grund
- Private Kontaktdaten Dritter ohne Einwilligung
Aufbewahrungsfristen
- Bewerbungsunterlagen (abgelehnt): max. 3 Monate nach Absage, dann löschen
- Lohndokumente: 10 Jahre (OR Art. 958f)
- Personalakte nach Austritt: 10 Jahre — danach löschen oder anonymisieren
- Arbeitszeiterfassung: 5 Jahre (ArG)
Rechte der Mitarbeitenden
Nach DSG haben alle Mitarbeitenden drei Grundrechte:
Auskunftsrecht: Jede Person darf erfahren, welche Daten gespeichert sind. Antwort innert 30 Tagen, kostenlos.
Berichtigung: Falsche Daten müssen korrigiert werden.
Löschung: Daten, die nicht mehr benötigt werden, müssen gelöscht werden — ausser gesetzliche Aufbewahrungspflichten greifen.
Zugriff regeln
Nicht jede:r Mitarbeiter:in darf alle Personalakten einsehen. Typische Regelung:
- Geschäftsleitung: alle Daten der direkten Unterstellten
- HR: alle administrativen Daten
- Direkte Vorgesetzte: Daten für Führungsaufgaben
- Mitarbeiter selbst: eigene Daten
Das Zugriffsregime muss dokumentiert sein.
Datenpanne
Bei einer Datenpanne mit hohem Risiko für die Betroffenen muss der EDÖB (Eidgenössischer Datenschutzbeauftragter) innert 72 Stunden informiert werden. Dokumentieren Sie den Prozess, bevor eine Panne eintritt.
Auftragsverarbeitung
Wenn Sie Daten an Dritte weitergeben (Treuhänder, Cloud-Anbieter), brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Das gilt auch für Schweizer Anbieter.
HRio und DSG
HRio ist DSG-konform gebaut: Rollenbasierte Zugriffsrechte, Audit-Log aller Zugriffe, automatische Aufbewahrungsfrist-Überwachung, Schweizer Server. Ihr EDÖB-relevanter Teil der Hausaufgaben ist gemacht.
HRio kostenlos testen
Bis 5 Mitarbeitende für immer gratis.