Rechtsauskünfte / Arbeitgeberrichtlinien

Arbeitsrecht

Seit Anfangs 2014 ist der Zugang zum Online-Handbuch des Arbeitgebers des Centre Patronal im Mitgliederbeitrag der Swissmechanic-Aktivmitglieder inbegriffen. Dieses löst das Online-Tool „AVAR-WEB“ von Swissmechanic ab. Das Handbuch des Arbeitgebers erläutert das komplexe schweizerische Arbeitsrecht und ist unter folgendem Link verfügbar:

Handbuch des Arbeitgebers

Für Fragen zum Handbuch des Arbeitgebers kontaktieren Sie bitte das Centre Patronal
Telefon +41 (0)21 796 32 21
support@handbuchdesarbeitgebers.ch

 

Rechtsauskünfte

Für Rechtsauskünfte zum Arbeitsrecht kontaktieren Sie uns bitte unter
Telefon 071 626 28 01 oder recht@swissmechanic.ch.

 

Empfehlungen für den Arbeitgeber

Die Empfehlungen für den Arbeitgeber können von Swissmechanic-Mitgliedern via E-Mail  info@swissmechanic.ch  angefordert werden.


Datenschutzgrundverordnung der EU – DSGVO - Was ist zu tun?

Die neue Datenschutzgrundverordnung (DSGVO) der EU tritt am 25. Mai 2018 in Kraft. Bereits ist im Swissmechanic Journal ein allgemeiner Beitrag zur DSGVO erschienen. Als Ergänzung zeigt vorliegender Artikel auf, was Schweizer Unternehmen mit Bezug zur EU im Hinblick auf Inkrafttreten der DSGVO im Wesentlichen zu beachten haben.

Zur Erinnerung: Wann findet die DSGVO auf Schweizer Unternehmen Anwendung?

Die DSGVO gilt insbesondere für alle Unternehmen, welche ihren Sitz nicht in der EU haben und Daten von natürlichen Personen in der EU selbst bearbeiten, soweit sie diesen Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Keine Anwendung findet die DSGVO auf Schweizer Unternehmen, nur weil diese aus der EU stammende Grenzgänger beschäftigen. Bearbeiten Unternehmen mit Sitz in der Schweiz im Auftrag eines EU-Unternehmens Daten von natürlichen Personen in der EU, ist die Verordnung anwendbar.

Personendaten sind Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Dies sind z.B. Namen, Adresse, Telefonnummern, Informationen zu psychischen, physischen, kulturellen, wirtschaftliche oder sozialen Eigenschaften der natürlichen Person.

Keine Anwendung findet die DSGVO auf die Daten von juristischen Personen.

Was ist zu tun?

Damit oben genannte Personendaten rechtmässig bearbeitet werden dürfen, ist die Einwilligung der betroffenen Person erforderlich. Der betroffenen Personen ist mitzuteilen, dass ihre Daten bearbeitet werden, durch wen diese Bearbeitung erfolgt (in den allermeisten Fällen durch das Unternehmen selbst) und der Bearbeitungszweck (z.B. Erfüllung Vertrag). Diese Informationsangabe sollte direkt bei der betroffenen Person erfolgen (z.B. im Vertrag). Mit Vorteil lässt man sich bei Beginn der Vertragsbeziehung die Einwilligung durch die Vertragspartei erteilen.

Die Einwilligung sollte folgenden Mindestinhalt aufweisen (vorbehalten bleibt die Anpassung an die konkreten Verhältnisse): „Ich stimme zu, dass meine persönlichen Daten (z.B. Name, Adresse, E-Mail, Telefonnummer, etc.) zum Zweck der … (z.B. Vertragserfüllung, Werbung) durch … (Unternehmen) verarbeitet und gespeichert werden. Diese Einwilligung kann jederzeit kostenlos widerrufen werden. “

Der betroffenen Personen sind auch Informationen zur ihren Rechten in Bezug auf die Datenbearbeitung (Hinweis auf Auskunfts-, Löschungs- und Widerrufsrecht, geplante Speicherdauer) mitzuteilen. Dazu reicht ein Informationsblatt oder ein Verweis auf der Homepage (z.B. im Impressum).

Die Informationsangabe sollte folgenden Mindestinhalt aufweisen (vorbehalten bleibt die Anpassung an die konkreten Verhältnisse): „Die Daten werden nur zum angegebenen Zweck bearbeitet. Es besteht keine Absicht, die erhobenen Daten an Dritte weiterzugeben. Die Daten werden solange, als es der Zweck erfordert, gespeichert. Werden die Daten nicht mehr benötigt, werden diese gelöscht. Die betroffene Person hat jederzeit das Recht auf Auskunft über ihre Daten, Berichtigung, Löschung, Einschränkung der Bearbeitung und Datenübertragbarkeit.“

Über die Datenbearbeitung ist ein Verzeichnis zu führen. Dieses ist im Umfang sehr überschaubar (Muster z.B. auf der Homepage des Bayerischen Landesamts für Datenaufsicht). Das Verzeichnis muss nur einmal erstellt werden, solange sich an der Datenbearbeitung im Unternehmen nichts ändert. Kein Verzeichnis ist erforderlich, wenn die Datenbearbeitung nur gelegentlich erfolgt, z.B. Bearbeitung von Personendaten bei einzelnen Bestellungen.

Für Unternehmen, die ihren Sitz nicht in der EU haben, wird die Bestellung eines Vertreters in der EU vorgeschrieben. Erfolgt die Datenbearbeitung jedoch nur gelegentlich, muss kein Vertreter bestellt werden. Nur gelegentlich wäre die Datenbearbeitung beispielsweise bei einem Onlineshop, der zwar auch Käufer aus der EU anspricht, aber tatsächlich nur wenige Kunden aus der EU hat.

Unternehmen haben die Sicherheit der bearbeiteten Daten zu gewährleisten. Im Regelfall sind Standardmassnahmen ausreichend. Dazu gehören insbesondere aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmässige Datensicherung und Virenscanner.

 

Nützliche Hinweise

Das Bayerische Landesamt für Datenaufsicht hat auf seiner Homepage unter „EU-Datenschutz-Grundverordnung“ verschiedene kompakte Hilfsblätter inkl. Erläuterungen und Vorlagen für KMU’s zur Umsetzung der DSGVO publiziert.