Zeiterfassung - das revidierte Datenschutzgesetz Schweiz

• Schweiz
• Arbeitsgesetz

Ab dem 1. September 2023 tritt das revidierte Datenschutzgesetz (revDSG) in Kraft. Was sind schützenswerte und besonders schützenswerte Personendaten? Welche Risikobereiche gilt es bei Cloudlösungen zu analysieren? Welche Personendaten kennt ein Zeiterfassungssystem? Was gilt es betreffend Datenschutz, Zeiterfassung und Cloudlösungen zu beachten?

Neues Datenschutzgesetz - die wichtigsten Veränderungen?

Das revDSG führt folgende wesentliche Veränderungen für Unternehmen ein.

1. Nur noch die Daten natürlicher Personen sind künftig betroffen bzw. geschützt, die von juristischen Personen nicht mehr.
2. Genetische und biometrische Daten werden in die Definition der besonders schützenswerten Daten aufgenommen.
3. Die Grundsätze "Privacy by Design" und "Privacy by Default" werden eingeführt.
4. Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht.
5. Die Informationspflicht wird ausgeweitet: Bei jeder Beschaffung von Personendaten – und nicht mehr nur von sogenannten besonders schützenswerten Daten – muss die betroffene Person vorgängig informiert werden.
6. Ein Verzeichnis der Bearbeitungstätigkeiten wird obligatorisch. Die Verordnung zum Gesetz sieht jedoch eine Ausnahme für KMU vor, die weniger als 250 Arbeitnehmende beschäftigen und deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt. Bundesgesetz über den Datenschutz - Verzeichnis der Bearbeitungstätigkeit
7. Eine rasche Meldung ist erforderlich, wenn die Datensicherheit verletzt wurde. Sie ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten.
8. Der Begriff Profiling (die automatisierte Bearbeitung personenbezogener Daten) wurde in das Gesetz aufgenommen.

Datenschutz bei SaaS Lösungen

Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, identifiziert bei der Datenbearbeitung in der Cloud fünf Risikobereiche, welche in einer detaillierten Risikoanalyse zu beurteilen sind:

• Vertragsgestaltung
• Orte der Datenbearbeitungen einschliesslich ausländische Behördenzugriffe
• Vertraulichkeit/Geheimnisschutz, Verschlüsselung und Schlüsselmanagement
• Daten über die Nutzerinnen und Nutzer der Cloud-Dienste

• Unterauftragsverhältnisse

Detaillierte Informationen zu den Risikobereichen entnehmen Sie dem entsprechenden Merkblatt von Privatim: Cloud-Merkblatt.

Schützenswerte bzw. besonders schützenswerte Personendaten

Was ist der Unterschied?

Personendaten gemäss Bundesgesetz über den Datenschutz (DSG)

Art.3 Begriffe

1. Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen;
2. Betroffene Personen: natürliche oder juristische Personen, über die Daten bearbeitet werden;
3. besonders schützenswerte Personendaten:

1. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
2. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
3. genetische Daten,
4. biometrische Daten, die eine natürliche Person eindeutig identifizieren,
5. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,
6. Daten über Massnahmen der sozialen Hilfe

Welche personenbezogenen Daten können in einer Zeiterfassung auftreten?

Untenstehende Aufzählung gibt eine Auswahl an möglichen Daten, welche eine Zeiterfassungslösung betreffen könnte. Sämtliche Daten fallen nicht unter den Art. 5c DSC "Besonders schützenswerte Personendaten":

Mitarbeiterverzeichnis

• Name, Vorname
• E-Mail Adresse
• Geburtsdatum
• AHV-Nummer (Optional)
• Pensum
• Organisationszugehörigkeit

• Abteilung
• Bereich
• Team
• Organisationseinheit

Abrechnungsdaten, Plandaten

• Abwesenheiten*
  • Abwesenheiten wie Ferien, Krankheit, Unfall pro Mitarbeitender.
  • Ereignis (Tag) und Zeit (Stunden)
• Saldi*
  • Kontostände der Mitarbeitenden
  • Überstunden
  • Überzeit
  • Ferien
• Zeitmeldungen
  • Zeitmeldungen aus der Zeiterfassung
  • Kommen, Gehen, Pausen
• Zeitabrechnung
  • Pro Mitarbeitenden und Tag ein Soll - / Ist – Vergleich mit Saldobildung
• Regelverstösse
  • Blockzeitverletzungen
  • Gleitzeitverletzungen
  • Pausenkorrekturen
• Einsatzplanung (nur bei TimeRocket+)*
  • Mitarbeiterfunktion
• Spesen (nur bei TimeRocket+)*
  • Spesen pro Mitarbeitenden und Ereignis
• Projektabrechnungen (nur bei TimeRocket+)*
  • Geleistete Stunden auf Kostenstellen, Aufträgen, Projekten, etc.
  • Pro Mitarbeitenden und Tag

* In TimeRocket definiert der Kunde, welche Abwesenheiten, Saldi, Zusatzfelder, Projektstrukturen, etc. pro Mitarbeitenden geführt werden. Calitime AG hat keinen Einfluss darauf, welche Daten die Kunden zusätzlich in TimeRocket speichern oder in Textfelder eintragen (z.B. Grund für eine Abwesenheit). Es obliegt der Verantwortung des Kunden, keine besonders schützenswerte Personendaten gemäss DSG, Art5, c in TimeRocket zu führen.

Die aufgeführten Daten sind nicht abschliessend und dienen als Basis für eine Risikoanalyse.

Best Practice - wie machen wir das mit dem Datenschutz in TimeRocket?

• Die Daten sind in der Schweiz gehostet
• Die Datenbank wird mit TDE (Transparent Data Encryption) ver- und entschlüsselt.
• Die Datenbank wird anhand eines Sicherungskonzepts gesichert und die Sicherungen werden entsprechend aufbewahrt.
• Der Datenverkehr läuft ausschliesslich über HTTPS, TLS Mindestversion für das API ist 1.2. TimeRocket verwendet ein verifiziertes Zertifikat.
• Für den Zugriff speichert TimeRocket keine Kennwörter der User. Die Authentifizierung geschieht über einen Identity Provider (OAuth protocol, openId authentication).

Alles geregelt im Auftragsverarbeitungsvertrag

Regeln Sie mit einem Auftragsverarbeitungsvertrag die Zuständigkeiten der Verarbeitung personenbezogener Daten durch den Auftragnehmer.  Folgende Punkte sollten darin geregelt sein:

• Gegenstand des Auftrages (Verarbeitung personenbezogener Daten durch den Auftragsnehmer)
  • Zur Prüfung und Wartung automatisierter Verfahren
  • Zur Wartung des Systems (Updates, Prüfung von Fehlverhalten, Gewährleistung eines reibungslosen Betriebs)
  • Zur Erbringung der Dienstleistungen aus dem Hauptvertrag
  • Profilingaktionen, welche dazu dienen, die Dienstleistungen aus dem Hauptvertrag zu verbessern
  • Zur Erbringung von Supportleistungen
• Verantwortlichkeiten
• Weisungen des Auftraggebers
• Pflichten des Auftraggebers
• Leistungsort
• Pflichten des Auftragnehmers
• Unterauftragsverhältnisse
• Technische und organisatorische Massnahmen zur Datensicherheit
• Haftung
• Löschung und Rückgabe von personenbezogenen Daten
• Salvatorische Klausel
• Gerichtsstand

Fazit

Unabhängig davon, ob Sie ihre Zeiterfassungslösung (modern) in der Cloud betreiben oder in ihrem eigenen Rechenzentrum, gilt es, dem Datenschutz gerecht zu werden. Überlassen Sie den Betrieb von Softwarelösungen Ihrem SaaS Anbieter, es bleibt mehr Zeit für Ihr Tagesgeschäft.

Microsoft 365 - Ihr Identity Provider für TimERocket

Microsoft 365, Google oder SwissID sind Spezialisten im Bereich der Identifizierung von Personen. TimeRocket bietet die Möglichkeit, z.B. Microsoft 365 als Identity Provider zu nutzen. Dank einem Identity Provider kann der Mitarbeitende dasselbe Login von Microsoft auch für seine Zeiterfassung verwenden. Alles zu dem Thema haben wir im Beitrag "Im Fokus - Zeiterfassung mit Microsoft 365  Login" für Sie zusammengefasst.

Gesetzliche Vorschriften & Zeiterfassung

Weitere spannende Beträge mit gesetzlichem Charakter haben wir hier zusammengestellt:

• Im Fokus - Pausen gemäss Arbeitsgesetz
• Im Fokus - Überstunden
• Im Fokus - Überzeit
• Das Leben passiert - Ferienkürzung bei Krankheit
• Swissness - ein starkes Argument
• Taggen Sei Ihre Arbeitszeit im Homeoffice
• Teilzeitarbeit - Eine Challange für die moderne Zeiterfassung

Quelle

Neues Datenschutzgesetz (revDSG) (admin.ch)

Bundesgesetz über den Datenschutz