Jede Organisation, die Mitarbeiterinnen und Mitarbeiter beschäftigt, verarbeitet dazu personenbezogene Daten von diesen. Dies beginnt bereits in der Bewerbungsphase vor dem eigentlichen Stellenantritt, wenn etwa Bewerbungsunterlagen gesichtet, Referenzen abgeklärt und Vorstellungsgespräche geführt werden. Es findet sodann während des Beschäftigungsverhältnisses statt, wenn Lohnzahlungen getätigt, Mitarbeitergespräche geführt oder Geschäftsreisen gebucht werden. Und es umfasst schliesslich auch den Stellenaustritt und eine allfällige darüber hinaus gehende Speicherung gewisser personenbezogener Daten.
Über all diese Datenverarbeitungen sind nicht nur die Betroffenen transparent zu informieren, sondern es sind dabei auch die anderen zentralen datenschutzrechtlichen Regeln zu beachten, allen voran die Rechtmässigkeit, Zweckbindung und Erforderlichkeit bzw. Verhältnismässigkeit von Datenverarbeitungen sowie die konsequente Löschung nicht mehr erforderlicher Datensätze.
-
Rechtsgrundlagen und Prinzipien
Die meisten Verarbeitungen personenbezogener Daten im Rahmen eines Beschäftigtenverhältnisses können mit der Anbahnung und Durchführung des Arbeitsvertrags rechtlich begründet werden (Art. 6 Abs. 1 Bst. b DSGVO) oder stützen sich auf eine gesetzliche Verpflichtung, wie etwa die Aufbewahrungsfristen für Lohnabrechnungen (Art. 6 Abs. 1 Bst. c DSGVO). Einzelne darüber hinaus gehende Verarbeitungen, wie etwa die Veröffentlichung von Portrait-Fotos auf der Webseite, bedürfen jedoch der Einwilligung der betroffenen Arbeitnehmer und Arbeitnehmerinnen (Art. 6 Abs. 1 Bst. a DSGVO). Da eine solche in einem Arbeitsverhältnis aber nur selten als wirklich freiwillig bezeichnet werden kann – denn dazu dürfte eine Verweigerung keinerlei negative Folgen für die betroffene Person haben –, wird sie nur in wenigen Fällen eine geeignete Rechtsgrundlage für eine Datenverarbeitung darstellen. Schliesslich verbleibt auch noch das berechtigte Interesse des Arbeitgebers als Rechtsgrundlage für gewisse Verarbeitungen personenbezogener Daten seiner Mitarbeitenden (Art. 6 Abs. 1 Bst. f DSGVO). Doch gilt es auch hier jeweils eine sehr sorgfältige Abwägung mit den schutzwürdigen Interessen der Beschäftigten vorzunehmen, bevor ein berechtigtes Interesse als zulässige Rechtsgrundlage für eine Datenverarbeitung herangezogen werden kann.
In Art. 88 DSGVO besteht ausserdem eine Öffnungsklausel für die Mitgliedstaaten, wonach sie spezielle gesetzliche Bestimmungen zur Regelung des Beschäftigtendatenschutzes erlassen können. Zwar hat Liechtenstein kein eigenständiges Gesetz zum Thema erlassen, aber es gelten auch hier einige spezielle Normen, die sich auf die Datenverarbeitung im Beschäftigungsverhältnis beziehen (z.B. Art. 26 Datenschutzgesetz (DSG), §1173a Art. 27 und 28a Allgemeines bürgerliches Gesetzbuch (ABGB), Art. 59 Verordnung I zum Arbeitsgesetz (ArGV I)). Darüber hinaus kommen auch weitere Normen des Grundrechts- und Persönlichkeitsschutzes zur Anwendung (z.B. Art. 3, 8 und 13 Gleichstellungsgesetz (GLG), Art. 39 Personen- und Gesellschaftsrecht (PGR)).
Hinweis: Handelt es sich bei den betroffenen Daten um besondere Kategorien personenbezogener Daten (z.B. biometrische Daten für ein Zutrittssystem, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten über strafrechtliche Verurteilungen und Straftaten), ist ihre Verarbeitung nur bei Zutreffen einer der Ausnahmen von Art. 9 Abs. 2 DSGVO bzw. in Liechtenstein der Bedingungen aus §1173a Art. 28a Abs. 2 Allgemeines bürgerliches Gesetzbuch (ABGB) erlaubt. Nebst dem Prinzip der Rechtmässigkeit sind im Beschäftigtendatenschutz aber auch alle anderen Grundsätze für die Verarbeitung personenbezogener Daten gemäss Art. 5 DSGVO zu beachten, wie insbesondere das Transparenz-, das Zweckbindungs- und das Verhältnismässigkeitsprinzip. So dürfen personenbezogene Daten auch im Beschäftigungsumfeld immer nur dann verarbeitet werden, wenn dies für den beabsichtigten festgelegten, eindeutigen und legitimen Zweck geeignet und erforderlich ist, und wenn die betroffenen Personen darüber informiert sowie über ihre Rechte aufgeklärt wurden (Art. 13 und 14 DSGVO).
Nachfolgend werden je nach Phase des Beschäftigungsverhältnisses bestimmte, datenschutzrechtlich relevante Themen herausgegriffen und in Hinblick auf den Datenschutz rechtlich eingeordnet.
-
Vor dem Stellenantritt
1. Bewerbungsunterlagen und Referenzen
Zur Anbahnung eines Beschäftigungsverhältnisses (Vertrag) ist es erforderlich, die verschiedenen Bewerber und Bewerberinnen kennenzulernen und auf ihre Geeignetheit für die offene Stelle zu beurteilen. Dazu darf ein Arbeitgeber Bewerbungsunterlagen einfordern, sichten und auswerten. Er hat dazu in Liechtenstein auch eine gesetzliche Ermächtigung in §1173a Art. 28a Abs. 1 ABGB*. Vor dem Einholen von persönlichen Referenzen (z.B. beim ehemaligen Arbeitgeber) ist jedoch stets zu informieren und die Einwilligung der Kandidaten einzuholen.
Wichtig ist, dass die Unterlagen der nicht eingestellten Kandidatinnen und Kandidaten nach Beendigung des Bewerbungsverfahrens wieder zurückgegeben oder spätestens nach vier bis fünf Monaten vernichtet werden. Diese Frist erlaubt es dem Arbeitgeber, sich noch gegen mögliche Vorwürfe der Diskriminierung im Bewerbungsverfahren gemäss Art. 8 oder 14 Gleichstellungsgesetz (GLG) zu verteidigen. Nur mit ausdrücklicher Einwilligung der Betroffenen dürfen deren Bewerbungsunterlagen länger aufbewahrt und allenfalls für künftige Rekrutierungsverfahren wiederverwendet werden.
Hinweis: Grundsätzlich sind Informationen bei den Kandidatinnen und Kandidatinnen selbst zu erheben. Ausserdem müssen die gesammelten Informationen stets für das konkrete Beschäftigungsverhältnis von Relevanz sein. Das Erheben von zusätzlichen «öffentlichen» Informationen im Internet, etwa durch Googlen von Stellenbewerberinnen und -bewerbern, ist somit im Regelfall nur in beruflichen sozialen Medien (z.B. LinkedIn oder XING) datenschutzrechtlich unproblematisch. Es ist den betroffenen Personen grundsätzlich auch immer die Möglichkeit zu geben, zu den im Internet aufgefundenen Informationen Stellung zu nehmen und sie allenfalls zu berichtigen.
2. Background-Checks, Betreibungs- und Strafregisterauszug (polizeiliches Führungszeugnis), Gesundheits-Auskünfte, Führerschein etc.
Sofern für die Besetzung der konkreten ausgeschriebenen Stelle tatsächlich erforderlich und geeignet, dürfen zur Anbahnung eines Beschäftigungsverhältnisses (Vertrag) Background-Checks durchgeführt oder Betreibungs- und Strafregisterauszug einverlangt werden. Dasselbe gilt für allfällige Gesundheits-Auskünfte oder das Vorweisen eines Führerscheins. Hierfür besteht in Liechtenstein auch eine gesetzliche Grundlage in §1173a Art. 28a ABGB*.
Da es sich dabei aber um besondere Kategorien personenbezogener Daten handeln kann (z.B. Gesundheitsdaten), ist in solchen Fällen die Verarbeitung nur unter den strengen Ausnahmen des Art. 9 Abs. 2 DSGVO zulässig und in Liechtenstein speziell unter den Bedingungen des §1173a Art. 28a Abs. 2 ABGB*.
3. Einstellungstests (Assessment-Center, Eignungstests etc.)
Auch Einstellungstests wie Eignungstests, Arbeitsproben oder sogenannte Assessment-Center sind nur zulässig unter der Voraussetzung, dass sie für die Besetzung der konkreten offenen Stelle erforderlich und geeignet sind. Es darf jeweils kein milderes Mittel zur Verfügung stehen. Standardmässige Intelligenz- oder Persönlichkeitstests oder graphologische Gutachten bei sämtlichen Einstellungen sind dagegen etwa nicht erlaubt. Es ist bei den angewandten Testverfahren ausserdem stets auf wissenschaftlich anerkannte Methoden und eine fachkundige Ausführung abzustellen.
Hinweis: Die Einwilligung der Kandidatinnen und Kandidaten stellt keine geeignete Rechtsgrundlage für Einstellungstests dar, da sie kaum auf freiwillige Art und Weise erfolgen kann.
4. Arbeitsvermittlung und Personalberatung
Bei der Arbeitsvermittlung oder Personalberatung ist ein zusätzlicher Verantwortlicher zwischengeschaltet. Auch hier gilt es daher ganz klar abzugrenzen und zu klären, welche personenbezogenen Daten von den Kandidatinnen und Kandidaten als erforderlich für die Arbeitsvermittlung bzw. Personalberatung gelten und daher vom Vermittler bzw. Berater legitim verarbeitet werden dürfen (z.B. zur Vertragserfüllung), an wen diese Daten in welchem Umfang weitergegeben werden und wann sie wieder vernichtet werden.
Falls Datensätze über die erste Arbeitsvermittlung bzw. Personalberatung hinaus aufbewahrt werden sollen, muss dafür die explizite Einwilligung der Kandidatinnen und Kandidaten eingeholt werden.
* Art. 28a - 3. bei der Verarbeitung personenbezogener Daten
1) Der Arbeitgeber darf vorbehaltlich Abs. 2 personenbezogene Daten über den Arbeitnehmer, einschliesslich personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten, verarbeiten, soweit dies erforderlich ist für:
a) die Entscheidung über die Begründung des Arbeitsverhältnisses, insbesondere die Eignung des Arbeitnehmers für das Arbeitsverhältnis;
b) die Durchführung oder Beendigung des Arbeitsverhältnisses; oder
c) die Erfüllung der sich aus diesem Gesetz ergebenden Rechte und Pflichten.
2) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 dann zulässig, wenn:
a) sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist; und
b) kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
-
Während des Beschäftigungsverhältnisses
1. Personalakte
Während eines Anstellungsverhältnisses führt ein Unternehmen regelmässig Akten zu seinen Mitarbeitern. Diese enthalten insbesondere die Personalien und Kontaktdaten, die Bewerbungsunterlagen, den Arbeitsvertrag, Lohnabrechnungen, Sozialversicherungsunterlagen etc. der Beschäftigten, aber unter Umständen auch Mitarbeiterbeurteilungen, Zwischenzeugnisse, allfällige Einwilligungs- oder Verschwiegenheitserklärungen, Arztzeugnisse etc. Die Akte enthält somit all das, was zur Durchführung des konkreten Beschäftigungsverhältnisses (Vertrag) geeignet und erforderlich ist.
Umgekehrt ist alles, was von diesen Kriterien nicht mehr gedeckt ist, von der Personalakte auszuschliessen bzw. gar nicht erst aufzunehmen oder aber zu löschen. Aus diesem Grund sollte in gewissen Zeitabständen eine Evaluation stattfinden, welche der in der Akte enthaltenen Daten wirklich noch aufbewahrt werden müssen und welche Informationen wieder gelöscht werden sollten, da sie zur Vertragsdurchführung, zur Wahrung berechtigter Interessen des Arbeitgebers oder aufgrund gesetzlicher Aufbewahrungspflichten nicht mehr erforderlich sind und ihre weitere Speicherung daher unverhältnismässig wäre. Es empfiehlt sich deshalb die Festlegung eines Löschkonzepts für die einzelnen Elemente einer Personalakte. Eine routinemässige Löschung bestimmter Dokumentkategorien nach Ablauf einer festgelegten Zeitspanne kann dann unter Umständen auch automatisiert erfolgen.
Für die Aufbewahrung besonders sensibler Daten in der Personalakte sollte ausserdem ein zusätzlicher Zugriffsschutz eingeführt werden. Dokumente wie ärztliche Gutachten u.ä. sollten beispielsweise nur in verschlossenen Umschlägen in der Akte aufbewahrt werden oder einer zusätzlichen Verschlüsselung unterzogen werden, damit sie nur von bestimmten befugten Personen oder aber im Beisein der betroffenen Person geöffnet werden können.
Hinweis: Nicht bei allen Dokumenten ist es erforderlich, dass in der Personalakte eine Kopie davon hinterlegt wird. So kann beispielsweise ein Führerschein für die Nutzung von Dienstfahrzeugen auch in regelmässigen Abständen vorgezeigt werden, ohne dass eine Kopie davon angefertigt und abgelegt wird.
2. Verschwiegenheitserklärung
Es empfiehlt sich, Mitarbeitende, die im Rahmen ihrer Anstellung mit der Verarbeitung personenbezogener Daten zu tun haben, auf den Datenschutz und eine entsprechende Vertraulichkeit zu verpflichten. Eine Vorlage für solch eine Verschwiegenheitserklärung kann hier aufgerufen werden.
3. Mitarbeiterbeurteilung
Es entspringt einem berechtigten Interesse des Arbeitgebers, regelmässig seine Beschäftigten in Hinblick auf ihre Leistung beurteilen zu können. Auch ist eine solche Verarbeitung personenbezogener Daten in Liechtenstein gemäss §1173 Art. 28a ABGB* erlaubt. Eine Beurteilung von Mitarbeitenden ist prinzipiell gerechtfertigt, solange sie nur auf den Arbeitsvertrag und die darin definierten Aufgaben der Mitarbeitenden bezogen ist. Es muss deshalb stets darauf geachtet werden, welche Informationen für die jeweilige Beurteilung wirklich erforderlich sind und somit erhoben bzw. ausgewertet werden dürfen. Darüber hinaus muss auch die erforderliche Aufbewahrungsdauer solcher Beurteilungen bedacht und gerechtfertigt sein.
4. Fotos und geschäftliche Kontaktdaten
Porträt-Fotos oder Fotos von Kleingruppen von Beschäftigten sind nur in äusserst wenigen Fällen für die Durchführung eines Arbeitsvertrags erforderlich (z.B. bei Fotomodellen). Es muss daher grundsätzlich immer eine schriftliche Einwilligung der Betroffenen für die Verwendung solcher Fotos eingeholt werden, auch wenn es nur um eine interne Veröffentlichung im Rahmen des Intranets oder einer Mitarbeiterzeitung geht. Handelt es sich um grosse Gruppenbilder von Veranstaltungen, worauf einzelne Personen nicht mehr eindeutig erkennbar sind, kann auf die Einholung einer Einwilligung verzichtet werden. Solche Aufnahmen können dem berechtigten Interesse einer Organisation entsprechen.
Die Veröffentlichung von geschäftlichen Kontaktdaten einzelner Mitarbeiterinnen und Mitarbeiter auf der Webseite eines Unternehmens kann etwa für Beschäftigte im Vertrieb mit Aussenkontakt auch ohne deren Einwilligung zulässig sein. Falls zusätzlich auch Fotos der Betroffenen publiziert werden sollen, muss dafür jedoch deren Einwilligung eingeholt werden.
5. Überwachung mittels Zeiterfassung, Videokameras, Zutrittsprotokoll, Log-Daten etc.
Aus Datenschutzsicht äusserst heikel ist jegliche Form der Überwachung von Beschäftigten durch den Arbeitgeber (z.B. Videokameras in Büros oder Pausenräumen, die gezielte Auswertung des GPS von Geschäftsfahrzeugen oder von Zugriffsprotokollen zur Leistungs- oder Verhaltenskontrolle etc.). Sie kann nur in einzelnen Ausnahmefällen und bei nachweislich sehr gewichtigen Gründen als verhältnismässig und damit gerechtfertigt erscheinen (z.B. Aufdeckung von Straftaten aufgrund eines konkreten Verdachts, konstante Ortung eines Geldtransporters u.ä.). Nur dann überwiegen die Interessen des Arbeitgebers gegenüber dem Persönlichkeitsrecht des Beschäftigten und nur dann handelt es sich nicht um eine umfassende und anlasslose Überwachung, die unzulässig ist.
Dasselbe gilt auch für die Weiterverwendung von einmal erhobenen Daten zu anderen Zwecken, wie etwa der gezielten Auswertung von Zutrittsprotokollen zur Erstellung von Profilen über einzelne Mitarbeiterinnen oder Mitarbeiter zur Leistungs- oder Verhaltenskontrolle. Auch dies ist im Normalfall untersagt.
6. E-Mail
Häufig wird die Frage gestellt, ob ein Arbeitgeber die dienstlich bereitgestellten Mail-Accounts und E-Mails von Beschäftigten einsehen darf. Dies ist aus Datenschutz-Sicht meistens zu verneinen, da in der überwiegenden Zahl der Fälle keine vorgängige klare Regelung geschaffen wurde und damit die schutzwürdigen Interessen der Betroffenen regelmässig überwiegen. Nur bei Vorliegen sehr gewichtiger berechtigter Interessen des Arbeitgebers, wie zum Beispiel bei einem begründeten Verdacht auf eine begangene Straftat im Arbeitsverhältnis, darf er einen Mail-Account und dessen Inhalt (soweit erforderlich) einsehen.
Es empfiehlt sich deshalb für Arbeitgeber, vorgängig eine klare Regelung zur Nutzung geschäftlicher E-Mail-Adressen zu erlassen und beispielsweise die private Nutzung gänzlich zu untersagen oder gemeinsam eine Lösung etwa für längerfristigen Abwesenheiten zu vereinbaren (z.B. Zugriffsrecht auf alles, was nicht in einem eindeutig als «privat» bezeichneten Ordner abgelegt ist). Der Mail-Account und sein Inhalt dürfen dann vom Arbeitgeber im Prinzip zur Gänze oder im Rahmen der erteilten Einwilligung eingesehen werden.
Allerdings muss sich ein Arbeitgeber bei jeglicher Einsichtnahme in dienstliche Mail-Accounts von Mitarbeitenden auf das absolut erforderliche Mass beschränken. So ist immer zu prüfen, ob allenfalls ein milderes Mittel zur Verfügung steht oder ob die Einsichtnahme wirklich erforderlich ist, und auf welche E-Mails sich die Erforderlichkeit tatsächlich bezieht. Ausserdem ist sicherzustellen, dass der Zugriff auf dienstliche E-Mails beschränkt bleibt. Auch wenn eine private Nutzung des Mail-Accounts untersagt war, dürfen allenfalls trotzdem vorhandene private E-Mails weder geöffnet noch kopiert werden. Darüber hinaus empfiehlt es sich, jede Einsichtnahme ausreichend zu dokumentieren und nach dem Vier-Augen-Prinzip durchzuführen, etwa im Beisein der oder des Datenschutzbeauftragten.
7. Elektronische Geräte (z.B. Handy, Laptop)
Die Nutzung der vom Arbeitgeber zur Verfügung gestellten elektronischen Geräte sollte im Rahmen eines Beschäftigtenverhältnisses ebenfalls klar geregelt werden (z.B. ob die private Nutzung erlaubt ist und wenn ja, in welchem Ausmass). Eine Checkliste für die Erstellung eines solchen Nutzungsreglements elektronischer Geräte findet sich hier. Ausserdem dürfen diese Geräte grundsätzlich nicht zur Überwachung der Mitarbeitenden verwendet werden (z.B. via Ortungsdienste, Log-Files etc.), ausser es gibt einen sehr triftigen Grund dafür (z.B. Aufdeckung einer Straftat).
Ist eine Privatnutzung erlaubt, sollte zudem klar festgelegt werden, wie persönliche oder vertrauliche Dateiordner gekennzeichnet werden müssen, damit kein unbefugter Zugriff darauf erfolgt. Das Gerät und sein «geschäftlicher» Inhalt gehören ja dem Arbeitgeber und können deshalb unter bestimmten Voraussetzungen auch von ihm eingesehen werden.
8. Geschäftsfahrzeuge und Flottenmanagement
Auch im Rahmen der Verwaltung von Geschäftsfahrzeugen und des Flottenmanagements werden personenbezogene Daten von Mitarbeitenden verarbeitet. Auch hier gilt wiederum, dass diese Verarbeitung auf das erforderliche Mass beschränkt sein muss und dass die Daten in der Regel nicht zur Überwachung und Profilbildung zu einzelnen Mitarbeitenden, wie etwa zur Leistungs- oder Verhaltenskontrolle, weiterverwendet werden dürfen.
9. Gesundheits- und biometrische Daten
Verarbeitet ein Arbeitgeber besondere Kategorien personenbezogener Daten seiner Mitarbeitenden, wie etwa Gesundheitsdaten oder biometrische Daten, so darf dies nur unter den strengen Voraussetzungen von Art. 9 Abs. 2 DSGVO bzw. in Liechtenstein §1173a Art. 28a Abs. 2 ABGB* geschehen. Auch hier muss stets die Erforderlichkeit der Verarbeitung für den verfolgten Zweck im Auge behalten werden. Ein Zutrittssystem mittels Fingerabdruck-Scanner kann zum Beispiel für zentrale Serverräumlichkeiten geeignet und verhältnismässig sein, es ist es aber wohl kaum für den Zutritt zu einer Kantine oder für ein allgemeines Arbeitszeiterfassungssystem. Insbesondere dürfen solche besonderen Kategorien personenbezogener Daten auch nicht zur Profil-Bildung über Mitarbeitende verwendet werden.
* Art. 28a - 3. bei der Verarbeitung personenbezogener Daten
1) Der Arbeitgeber darf vorbehaltlich Abs. 2 personenbezogene Daten über den Arbeitnehmer, einschliesslich personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten, verarbeiten, soweit dies erforderlich ist für:
a) die Entscheidung über die Begründung des Arbeitsverhältnisses, insbesondere die Eignung des Arbeitnehmers für das Arbeitsverhältnis;
b) die Durchführung oder Beendigung des Arbeitsverhältnisses; oder
c) die Erfüllung der sich aus diesem Gesetz ergebenden Rechte und Pflichten.
2) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist abweichend von Art. 9 Abs. 1 der Verordnung (EU) 2016/679 dann zulässig, wenn:
a) sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist; und
b) kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
-
Nach dem Stellenaustritt
1. E-Mails und Dateien von ehemals Beschäftigten
Grundsätzlich gehören E-Mails und Dateien ehemals Beschäftigter dem Unternehmen. Wie weit auch privat genutzte, dienstliche Mail-Accounts von ehemaligen Mitarbeitenden durch den Arbeitgeber einsehbar sind, richtet sich nach den selben Kriterien wie bei bestehenden Beschäftigten, welche hier ausgeführt werden. Nach dem Ende eines Anstellungsverhältnisses dürfen Mail-Accounts nur noch so lange gespeichert werden, wie dies allenfalls erforderlich ist, um eine reibungslose Arbeitsübergabe zu gewährleisten. Darüber hinaus dürfen sie nur aufbewahrt werden, wenn ein berechtigtes Interesse des Arbeitgebers überwiegt und dies rechtfertigt, so zum Beispiel zur Abwehr unberechtigter Ansprüche in einem Rechtsverfahren. In gewissen Fällen kann auch die ehemalige Funktion ausscheidender Beschäftigter einen Einfluss auf die Speicherdauer haben (z.B. Unternehmensleitung, die rechtsverbindliche Entscheide für das Unternehmen getroffen hat).
Hinweis: Die Datenschutzstelle erachtet den Zugriff auf Mail-Accounts ehemaliger Mitarbeitender für zulässig, wenn die folgenden Voraussetzungen erfüllt sind: Der/dem Mitarbeitenden wurde Gelegenheit gegeben, private E-Mails auszusortieren und private Kontakte entsprechend zu informieren. In kritischen Fällen können bei diesem «Aufräumen» des Mail-Accounts auch der Datenschutzbeauftragte oder ein Vorgesetzter etc. anwesend sein, wenn Gefahr besteht, dass etwa geschäftliche E-Mails unrechtmässig gelöscht werden könnten. Zudem sollte eine entsprechende Abwesenheitsnotiz im Mail-Account eingerichtet werden. Daraufhin kann der Zugriff des Arbeitsgebers durch Art. 6 Abs. 1 Bst. f DSGVO gerechtfertigt sein, wenn der Arbeitgeber konkrete unternehmerische Interessen am Zugriff geltend machen kann. Diese konkreten Interessen bestimmen auch die Dauer der Speicherung des Mail-Accounts. Sobald die Aufbewahrung durch keine konkreten unternehmerischen Interessen, etwa der Abwicklung eines Auftrags, mehr gerechtfertigt werden kann, ist dieser zu löschen. Hinweis: Häufig verlangen ehemalige Beschäftigte via datenschutzrechtliches Auskunftsrecht nachträglich eine Kopie von sämtlichen ihrer E-Mails und der von ihnen bearbeiteten Dokumente. Diese gehören aber grundsätzlich dem Unternehmen. Das datenschutzrechtliche Auskunftsrecht bezieht sich immer nur auf die personenbezogenen Daten der betroffenen Person, die verarbeitet wurden. Es umfasst nicht automatisch eine Kopie sämtlicher Unterlagen, in denen allenfalls der Name des oder der Betroffenen vorkommt. Mit dem Auskunftsrecht gemäss Art. 15 DSGVO soll die betroffene Person insbesondere in die Lage versetzt werden, ihre Rechte bezüglich Datenschutz wahrzunehmen.
2. Speicherfrist Personalakte (Arbeitsvertrag, Arbeitszeugnis etc.)
Nach dem Ende eines Beschäftigungsverhältnisses muss auch die jeweilige Personalakte nicht mehr in gleichem Umfang fortgeführt werden. Einige Elemente daraus sollten sofort bzw. möglichst bald nach Austritt der Mitarbeitenden vernichtet werden (z.B. Bewerbungsunterlagen, allfällig noch vorhandene Betreibungs- oder Strafregisterauszüge etc.). Anderes unterliegt einer gesetzlichen Aufbewahrungsfrist, wie zum Beispiel der Arbeitsvertrag oder Lohnabrechnungen, die gemäss Personen- und Gesellschaftsrecht (PGR) auch nach Stellenaustritt noch während 10 Jahren aufbewahrt werden müssen. Auch Unterlagen, die das Unternehmen aufgrund eines überwiegenden berechtigten Interesses noch benötigt (z.B. zur Abwehr unberechtigter Ansprüche in einem Rechtsverfahren), dürfen solange erforderlich über das Anstellungsverhältnis hinaus aufbewahrt werden.
Ein Arbeitszeugnis wiederum kann vom Beschäftigten gemäss §1173a Art. 36 ABGB in Liechtenstein jederzeit, auch nach Stellenaustritt, vom (ehemaligen) Arbeitgeber verlangt werden. Dieser Anspruch verjährt erst nach 10 Jahren.* Auch ein Arbeitszeugnis und die es begründenden Unterlagen müssen daher bis 10 Jahre nach Stellenaustritt der betroffenen Person aufbewahrt werden.
Allfällige schriftliche Einwilligungen, beispielsweise zur Verwendung von personenbezogenen Daten in einer Firmenchronik, dürfen ebenfalls weiterhin bzw. bis zu ihrem Widerruf aufbewahrt werden.
Hinweis: Grundsätzlich sollte für Personalakten ehemaliger Beschäftigter ebenfalls ein Löschkonzept erstellt werden und standardisierte Dokumente nach Ablauf festgelegter Fristen allenfalls automatisiert gelöscht werden. 3. Firmenchronik und Archiv
In Firmenchroniken kommt es naturgemäss immer wieder vor, dass personenbezogene Daten wie Namen oder Fotos von (ehemaligen) Beschäftigten erwähnt bzw. abgedruckt sind. Da solche Firmenchroniken aber zumeist einem unbestimmten Kreis von Personen zugänglich sind oder zugänglich gemacht werden können, sind auch dafür immer schriftliche Einwilligungen der betroffenen Personen einzuholen.
Die Speicherung von Basisdaten wie etwa des Namens, der Kontaktdaten, der Funktion und des Beschäftigungszeitraums ehemaliger Mitarbeiterinnen und Mitarbeiter für rein interne statistische und Archiv-Zwecke ohne Veröffentlichung in einer Firmenchronik u.ä. ist durch das berechtigte Interesse des Arbeitgebers gedeckt und bedarf keiner Einwilligung. Die Betroffenen müssen nur darüber informiert werden. Sollen die Daten jedoch zum Beispiel an einen Ehemaligenverein weitergegeben werden, ist wiederum eine Einwilligung dafür erforderlich.
* Die arbeitsrechtlichen Bestimmungen des ABGB wurden weitgehend aus dem schweizerischen Obligationenrecht (OR), SR 220, übernommen, da dieses als Rezeptionsvorlage diente (z.B. entspricht §1173a Art. 36 ABGB dem Art. 330a OR). Es ist daher auch von einer Übernahme der entsprechenden Verjährungsfristen auszugehen.