Notfallnummer: Private Kontaktdaten rechtssicher organisieren – was Schweizer Unternehmen beachten sollten

In Ausnahmefällen ist es oft entscheidend, schnell und zuverlässig mit Mitarbeitenden in Kontakt zu treten. Etwa bei Cybervorfällen, einem schweren Unfall oder dem spontanen Ausfall einer Schlüsselperson ist sofortiges Handeln gefragt. Oft sind hierfür private Telefonnummern und E-Mail Adressen der Mitarbeitenden erforderlich. Häufig stellt sich dann die Frage: Darf der Arbeitgeber auf private Telefonnummern oder E-Mail-Adressen zugreifen, um Mitarbeitende im Notfall zu erreichen? Dieser Beitrag gibt praktische Empfehlungen für Unternehmen.

Warum eine klare Regelung wichtig ist

Bei privaten Telefonnummern und E-Mail-Adressen handelt es sich um Personendaten, da diese sich auf eine bestimmte oder zumindest bestimmbare Person beziehen. Das Speichern, Aufbewahren oder Verwenden von solchen Personendaten fällt unter das Bundesgesetz über den Datenschutz (DSG). Gemäss Art. 6 DSG muss die Bearbeitung dieser Daten rechtmässig sowie nach Treu und Glauben erfolgen und verhältnismässig sein. Sodann dürfen Personendaten nur zu dem Zweck bearbeitet werden, für den sie erhoben wurden. Werden die Daten nicht mehr ihrem Zweck entsprechend gebraucht, sind sie zu löschen.

Zusätzlich regelt Art. 328b OR, dass der Arbeitgeber Daten über Mitarbeitende nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind.

Wie ist konkret vorzugehen?

Damit die Nutzung privater Kontaktdaten durch Unternehmen datenschutzkonform erfolgt, empfiehlt es sich, vor der Erhebung oder Nutzung privater Kontaktdaten klar festzulegen, für welche konkreten Notfallszenarien die Daten benötigt werden. Eine vorgängige Zweckbestimmung ist zentral, denn jede Datenbearbeitung muss klar begründet sein und darf nicht «auf Vorrat» erfolgen.

Sodann sind nur die für den konkreten Notfallzweck erforderlichen Daten (z.B. Telefonnummer und E-Mail-Adresse) zu erheben und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung auf das Minimum beschränkt ist. Es empfiehlt sich, den Zugriff je nach Rolle zu verteilen, namentlich nur an Personen aus dem HR oder dem Sicherheitsverantwortlichen. Die Daten sind periodisch zu verifizieren.

Mitarbeitende müssen vor der Erhebung über den Zweck, den Umfang, die Empfänger, die Aufbewahrungsdauer und ihre Rechte informiert werden. Dies kann in Arbeitsverträgen, Personalreglementen oder internen Richtlinien geschehen. Besonders wichtig ist die Erkennbarkeit des Zwecks und die Beschränkung der Nutzung auf Notfälle.

Freiwillige Einwilligung einholen

Wo die Erforderlichkeit der Datenerhebung und -verwendung zur Durchführung der Arbeitsvertrages für den Arbeitgeber nicht eindeutig ist, empfiehlt sich die Einholung einer freiwilligen Einwilligung der Mitarbeitenden. Alternativ kann ein überwiegendes privates Interesse des Arbeitgebers an der Notfallkommunikation als Rechtfertigung dienen, sofern die Interessenabwägung und Verhältnismässigkeit gewahrt sind.

Vorgehen bei bereits erhobenen Personendaten

Wenn das Unternehmen bereits Personendaten gespeichert hat, so dürfen diese im Notfall nur verwendet werden, wenn der ursprüngliche Zweck diese Nutzung abdeckt. Fehlt die Zweckgebundenheit, so kann nachträglich eine Einwilligung bei den betroffenen Personen eingeholt werden oder ein überwiegendes Interesse in einem Notfall dokumentiert werden.

Fazit

Die Erhebung privater Kontaktdaten wie Telefonnummern und E-Mail-Adressen für klar definierte Notfallszenarien ist somit zulässig, wenn der Zweck den Mitarbeitenden kommuniziert wird und die Bearbeitung mit diesem Zweck vereinbar bleibt. Wer also den Zweck, Umfang und Zugriff sauber definiert, minimiert rechtliche Risiken und stellt gleichzeitig sicher, im Ernstfall handlungsfähig zu bleiben.