Datenschutz in der Pensionskasse: Compliance-Pflichten und praktische Umsetzung

Einleitung

Mit dem Inkrafttreten des revidierten Datenschutzgesetzes (DSG) am 1. September 2023 hat sich das regulatorische Umfeld hinsichtlich Datenschutzes für Schweizer Pensionskassen deutlich verschärft. Vorab ist zu klären, welchem Datenschutz-Regime eine Pensionskasse und ihre Servicegesellschaft untersteht. Sodann sind Compliance-Massnahmen zu treffen, um die Vorgaben sachgerecht umzusetzen.

Anwendbare Bestimmungen

Für Pensionskassen sind insbesondere folgende gesetzliche Bestimmungen datenschutzrechtlich relevant:

• Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (BVG; SR 831.40): Enthält spezifische Regelungen zur Datenbearbeitung durch Vorsorgeeinrichtungen, insbesondere Art. 85a BVG („Schutz der Persönlichkeitsrechte bei der Datenbearbeitung“). Diese Bestimmung verpflichtet Pensionskassen, die Grundsätze der Verhältnismässigkeit, Zweckbindung und Transparenz zu wahren. Die Bestimmungen im BVG gehen den Datenschutzbestimmungen als Lex Specialis vor.
• Verordnung über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (BVV 2; SR 831.441.1): Präzisiert die Datenbearbeitung im Zusammenhang mit versicherungstechnischen Aufgaben (vgl. Art. 96a BVV 2 zur Bearbeitung von Gesundheitsdaten).
• Bundesgesetz über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1): Der Allgemeinte Teil des Sozialversicherungsrechts gilt auch für Pensionskassen. Es finden sich einige Themen z.B. zum elektronischen Datenaustausch (Art. 76a ATSG) und zur Akteneinsicht (Art. 47 ATSG), die auch für die datenschutzrechtlichen Themen von Pensionskassen relevant sind.
• Freizügigkeitsgesetz (FZG; SR 831.42): Regelt die Ansprüche und Abläufe beim Austritt aus einer Pensionskasse, insbesondere die Übertragung des Freizügigkeitskapitals an eine neue Einrichtung. Dabei dürfen Stammdaten, Freizügigkeitskapital, technischer Zinssatz, Versicherungsdauer und Geburtsdatum verarbeitet werden.
• Bundesgesetz über die Unfallversicherung (UVG; SR 832.20): Kommt zur Anwendung, wenn Pensionskassen mit Unfallversicherern Leistungen koordinieren müssen, insbesondere bei Zusatzversicherungen oder parallelen Rentenbezügen. Art. 97 UVG erlaubt die Bearbeitung und den Austausch von Gesundheitsdaten, Angaben zum Unfallhergang sowie Leistungsentscheiden zwischen den beteiligten Versicherungsakteuren.
• Bundesgesetz über die Invalidenversicherung (IVG; SR 831.20): Relevanz besteht insbesondere bei der Prüfung eines Invaliditätsgrads oder der Koordination von Rentenansprüchen. Gemäss Art. 66a f. IVG dürfen Vorsorgeeinrichtungen Einsicht in IV-Entscheide, medizinische Gutachten und Angaben zur Arbeitsfähigkeit nehmen, um ihre eigenen Leistungspflichten sachgerecht zu prüfen.
• Datenschutzgesetz (DSG; SR 235.1): Das DSG gilt grundsätzlich für alle Datenbearbeitungen durch private und öffentliche Akteure in der Schweiz. Es regelt unter anderem die Grundsätze der rechtmässigen Datenbearbeitung (Art. 6 DSG), die Informationspflichten (Art. 19 DSG), das Auskunftsrecht (Art. 25 DSG) sowie die Datenschutz-Folgenabschätzung (Art. 22 DSG) und Meldepflichten bei Verletzungen der Datensicherheit (Art. 24 DSG).
• Datenschutzverordnung (DSV; SR 235.11): Ergänzt das DSG durch detaillierte Ausführungsbestimmungen, etwa zur Ausgestaltung der Bearbeitungsverzeichnisse, zur Form der Auskunftserteilung oder zur Risikoabschätzung.
• Obligationenrecht (OR; SR 220), Art. 328b OR: Die Arbeitgeber – und damit auch Pensionskassen im Verhältnis zu ihren Mitarbeitenden – dürfen Daten nur bearbeiten, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind. Diese Bestimmung wird oft als arbeitsrechtliches Datenschutzgebot verstanden und kann auch auf personalbezogene Prozesse innerhalb der Pensionskasse Anwendung finden.
• Zivilgesetzbuch (ZGB; SR 210), Art. 28 ff.: Diese Bestimmungen schützen die Persönlichkeit der betroffenen Personen umfassend. Die Bearbeitung von Personendaten kann unter Art. 28 ZGB fallen, wenn sie das Recht auf Privatsphäre oder persönliche Integrität verletzt. Im Streitfall können Ansprüche auf Unterlassung, Beseitigung oder Schadenersatz geltend gemacht werden.

Bundesorgan oder privater Verantwortlicher?

Für obligatorische Vorsorgeeinrichtungen ist Art. 2 Abs. 1 lit. a DSG entscheidend, wonach Bundesorgane (dazu zählen Einrichtungen, die öffentlich-rechtlich organisiert sind oder im gesetzlichen Auftrag des Bundes handeln) speziellen datenschutzrechtlichen Anforderungen unterliegen.

Im Gegensatz dazu gelten ausserobligatorische Vorsorgeeinrichtungen als private Verantwortliche im Sinne von Art. 5 lit. j DSG, weshalb für sie primär die allgemeinen Bestimmungen für private Personen des DSG und der DSV Anwendung finden (Art. 40 DSG).

sondern haben die Geschäftsführung und den operativen Betrieb an eine sog. Servicegesellschaft delegiert, die sich um alles kümmert. Der Vertrag wird dabei mit der Servicegesellschaft und nicht mit einzelnen Mitarbeitern abgeschlossen. In diesem Fall legt diese Servicegesellschaft – handelnd über ihre Mitarbeiter – in der Regel auch (alleine) fest, wie die Personendaten bearbeitet werden. Sie wird damit datenschutzrechtlich zur sog. Verantwortlichen, d.h. sie wird für die Einhaltung der meisten Pflichten unter dem DSG direkt verantwortlich.

Hat eine PK-Stiftungen die Geschäftsführung und den operativen Betrieb an eine sog. Servicegesellschaft übertragen, die sämtliche Aufgaben im Zusammenhang mit der Verwaltung übernimmt, so trifft sie die wesentlichen Entscheide über Zweck und Mittel der Bearbeitung von Personendaten. Sie bestimmt insbesondere, welche Daten auf welche Weise bearbeitet werden, und agiert dabei eigenverantwortlich. Sie wird damit zur Verantwortlichen im Sinne des DSG und trägt damit die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben. Es kann aber durchaus auch vorkommen, dass aufgrund des Servicevertrages die Verantwortung bei der PK-Stiftung verbleibt und damit die Servicegesellschaft ausschliesslich Auftragsverarbeiterin bleibt. Eine klare Regelung hilft die zwischen den Parteien zu klären.

 Zentrale datenschutzrechtliche Pflichten

Pensionskassen unterliegen je nach dem, ob sie sich im obligatorischen oder überobligatorischen Bereich befinden im öffentlich-rechtlichen oder privatrechtlichen Datenschutzrecht. Dies wirkt sich direkt auf den Umfang und die Art der datenschutzrechtlichen Pflichten aus.

Pflichten für alle Pensionskassen (im obligatorischen und überobligatorischen Bereich):

• Einhaltung der Datenschutzgrundprinzipien (Art. 6 DSG): Die Einhaltung der Datenschutzgrundprinzipien gemäss Art. 6 DSG ist sowohl für die Pensionskasse (PK) als auch für ihre beauftragte Servicegesellschaft zwingend. Diese Grundsätze – insbesondere Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung, Transparenz, Richtigkeit der Daten und Datensicherheit – sind bei jeder Bearbeitung personenbezogener Daten zu wahren. Wird die Datenbearbeitung durch eine Servicegesellschaft durchgeführt, so muss sichergestellt sein, dass diese die Vorgaben ebenfalls strikt einhält. Handelt die Servicegesellschaft als Verantwortliche, obliegt ihr die unmittelbare Pflicht zur Umsetzung der Grundprinzipien. Dazu gehört insbesondere, dass die Bearbeitung einen klaren, rechtlich zulässigen Zweck verfolgt, nur so viele Daten bearbeitet werden, wie für diesen Zweck erforderlich sind, und dass angemessene technische und organisatorische Massnahmen zum Schutz der Daten getroffen werden. Wird die Servicegesellschaft hingegen als Auftragsbearbeiterin tätig, verbleibt die datenschutzrechtliche Verantwortung bei der PK, die dafür sorgen muss, dass die Servicegesellschaft vertraglich zur Einhaltung der Datenschutzgrundsätze verpflichtet wird und deren Einhaltung kontrolliert. In beiden Fällen ist entscheidend, dass die Grundprinzipien nicht nur formal erfüllt, sondern effektiv in der täglichen Bearbeitungspraxis umgesetzt werden.
  • Verzeichnis der Bearbeitungstätigkeiten (Art. 12 DSG i.V.m. Art. 3 ff. DSV):
    Die Führung eines detaillierten Verzeichnisses der Bearbeitungstätigkeiten gemäss Art. 12 DSG wird zur Pflicht. Hier müssen sämtliche die Bearbeitungszwecke, die Personendatenkategorien und der Kategorien der betroffenen Personen, die Kategorien der Empfänger, die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer, die Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8 DSG sowie die Angabe des Staates in welchen Personaldaten bekanntgegeben werden und welche Garantien gemäss Artikel 16 Absatz 2 vorliegen. Auch bei vermeintlich kleinen Einrichtungen entfällt die Ausnahmeregelung, da regelmässig besonders schützenswerte Daten, wie Gesundheits- oder Lohndaten, bearbeitet werden (Art. 24 lit. a DVV). Ein Muster für ein Bearbeitungsverzeichnis von ASIP finden sie hier.
• Privacy by Design & Default (Art. 7 DSG):
  Im Sinne von Privacy by Design und Default müssen Pensionskassen zudem sicherstellen, dass bereits bei der Planung und Gestaltung von IT-Systemen und Geschäftsprozessen der Datenschutz standardmässig gewährleistet ist. Dies betrifft insbesondere digitalisierte Leistungsprozesse, interne Verwaltungssysteme sowie externe Plattformen. Dies gelingt in der Praxis immer dann, wenn Bearbeitungsprozesse auch einer Datenschutzfolgenabschätzung (vgl. anschliessender Punkt) unterzogen werden, da damit vertiefte Überlegungen über Risiken und Mitigationsmassnahmen gemacht werden.
• Datenschutz-Folgenabschätzung (DSFA; Art. 22 DSG i.V.m. Art. 6 DSV):
  Bei hohem Risiko für die Grundrechte – z. B. bei der Bearbeitung von Gesundheitsdaten, Profilingdaten oder neuen Technoligen – ist eine strukturierte Risikoanalyse erforderlich.
• Meldung von Datenschutzverletzungen (Art. 24 DSG):
  Verletzungen mit hohem Risiko für Betroffene müssen unverzüglich dem EDÖB gemeldet werden. Es empfiehlt sich, den Vorfall zu dokumentieren und ein Risiko-Asssement vorzunehmen, bevor eine Meldung erfolgt. Die Vorsorgeeinrichtung ist gehalten einen entsprechenden Prozess zu definieren und diesen auch vorab zu testen. Meldungen an den EDÖB, welche die Schwelle eines hohen Risikos erreichen können via Meldeformular
• Informationspflichten (Art. 19 DSG und Art. 86b BVG):
  Betroffene sind transparent über Umfang, Zweck, Empfänger, Speicherfristen und ihre Rechte zu informieren – schriftlich, verständlich und rechtzeitig. Dabei ist der Mindestinhalt der Information pro Bearbeitung zu beachten. Darüber hinaus bestehen spezialgesetzliche Informationspflichten nach Art. 86b BVG, welche z.T. Personendaten beinhalten.
• Verträge mit Auftragsbearbeitern (Art. 9 DSG i.V.m. Art. 7 DSV): Pensionskassen müssen datenschutzkonforme Regelungen mit Ihren Auftragsverarbeitern treffen. Dies beinhaltet insbesondere Weisungsbindung, Subunternehmerklauseln, Sicherheitsvorgaben und Datenrückgabe. Ein Muster für Auftragsverarbeitungen können Sie kostenpflichtig bei uns beziehen.
• Bestellung eines Datenschutzberaters (Art. 10 Abs. 1 DSG): Für den rein überobligatorischen Bereich ist eine Ernennung eines Datenschutzberaters nicht zwingend. Dies führt aber dazu, dass bei Datenschutzfolgenabschätzungen der EDÖB zu konsultieren ist (Art. 23 DSG). Siehe dazu aber für den obligatorischen Bereich unten.

Erweiterte Pflichten für Bundesorgane (im obligatorischen Bereich):

• Vorliegen einer gesetzlichen Grundlage (Art. 34 DSG): Bundesorgane dürfen Personendaten grundsätzlich nur bearbeiten, wenn hierfür eine gesetzliche Grundlage vorliegt. In Art. 85a BVG wird der Schutz der Persönlichkeitsrechte bei der Datenbearbeitung geregelt. Danach dürfen Personendaten nur durch die Vorsorgeeinrichtung bearbeitet werden, wenn dies notwendig ist, um die gesetzlichen Aufgaben der beruflichen Vorsorge zu erfüllen. Besonders schützenswerte Personendaten und Persönlichkeitsprofile dürfen nur bearbeitet werden, wenn dies zur Erfüllung dieser Aufgaben unerlässlich ist. Damit wird die Zweckbindung, das Verhältnismässikeits-, Transparenz und Erforderlichkeitsprinzip nochmals hervorgehoben. Eine gesetzliche Grundlage im formellen Sinn ist immer dann erforderlich, wenn besonders schützenswerte Personendaten bearbeitet werden, wenn ein Profiling erfolgt oder wenn die Art oder der Zweck der Bearbeitung potenziell einen schwerwiegenden Eingriff in die Grundrechte der betroffenen Person darstellt. Ausnahmsweise genügt in den Fällen des Profilings oder der Bearbeitung besonders schützenswerter Daten auch eine gesetzliche Grundlage im materiellen Sinn – vorausgesetzt, die Bearbeitung ist zur Erfüllung einer im formellen Gesetz definierten Aufgabe unentbehrlich und der Bearbeitungszweck bringt keine besonderen Risiken für die Grundrechte der betroffenen Person mit sich. Unabhängig von den vorstehenden Anforderungen dürfen Bundesorgane Personendaten auch dann bearbeiten, wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt oder wenn die Person ihre Daten allgemein zugänglich gemacht hat, ohne der Bearbeitung zu widersprechen. Ferner ist eine Bearbeitung zulässig, wenn sie notwendig ist, um Leben oder körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen und eine rechtzeitige Einwilligung nicht eingeholt werden kann. Schliesslich kann der Bundesrat die Bearbeitung bewilligen, sofern er zum Schluss kommt, dass dadurch keine Gefährdung der Rechte der betroffenen Person entsteht. Es muss folglich immer erst eine Rechtgrundlagenanalyse erfolgen, bevor eine Bearbeitung vorgenommen werden kann (vgl. dazu Merkblatt des EDÖB betr. «Planung und Begründung des Online-Zugangs zu Personendaten“. Je nach dem ist sodann auch eine Datenschutzfolgenabschätzung notwendig.
• Erstellen eines Bearbeitungsreglements (Art. 6 DVV): Wenn eine Vorsorgeeinrichtung oder ein von ihr beauftragter Auftragsbearbeiter automatisierte Datenbearbeitungen vornimmt, muss ein Bearbeitungsreglement erstellt werden, sofern eine der folgenden Voraussetzungen erfüllt ist:
• Es werden besonders schützenswerte Personendaten verarbeitet,
• es wird ein Profiling durchgeführt,
• die Bearbeitung erfolgt auf Grundlage von 34 Abs. 2 lit. c DSG (Verweigerung von Auskunftsrechten bei überwiegendem öffentlichem Interesse),
• es werden Personendaten an Kantone, ausländische Behörden, internationale Organisationen oder private Personen weitergegeben,
• es erfolgt eine Verknüpfung von Datenbeständen, oder
• es wird gemeinsam mit anderen Bundesorganen ein Informationssystem betrieben oder ein gemeinsamer Datenbestand bewirtschaftet.

Das Bearbeitungsreglement muss insbesondere Angaben enthalten zur internen Organisation, zu den Verfahrensabläufen bei der Datenbearbeitung, zu den Kontrollmechanismen sowie zu den technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit.

Zudem ist das Reglement regelmässig zu aktualisieren und der oder dem zuständigen Datenschutzberater zur Verfügung zu stellen. Der EDÖB stellt ein Grundgerüst für ein Bearbeitungsreglement für Bundesorgane zur Verfügung.

• Bestellung eines Datenschutzberaters (Art. 10 DSG i.V.m. Art. 25ff. DSV.): Das Bundesorgan muss eine unabhängige, fachlich qualifizierte Ansprechperson für interne Beratung und Koordination mit dem EDÖB bezeichnen (Art. 28 DSV). Der Datenschutzberater ist verantwortlich für 1) die Anwendung der Datenschutzvorschriften mit, indem sie oder er insbesondere die Bearbeitung von Personendaten prüft und Korrekturmassnahmen empfiehlt, wenn eine Verletzung der Datenschutzvorschriften festgestellt wird und berät den Verantwortlichen bei der Erstellung der Datenschutz-Folgenabschätzung und überprüft deren Ausführung, 2) dient als Anlaufstelle für die betroffenen Personen und 3) schult und berät die Mitarbeitenden des Bundesorgans in Fragen des Datenschutzes. Angesichts der limitierten personellen Ressourcen vieler Pensionskassen greifen diese häufig auf externe Berater (Wir stehen als externe Datenschutzberater zur Verfügung) zurück. Eine solche Auslagerung an externe Dienstleister ist zulässig, muss aber durch vertragliche Regelung datenschutzkonform abgesichert sein. Der Datenschutzberater ist dem EDÖB via Meldeportal zu melden. Die Pensionskasse hat zudem gegenüber dem Datenschutzberater die Pflicht, Zugang zu Auskünften, Bearbeitungsverzeichnissen und Personendaten zu gewähren und ihm Verletzungen der Datensicherheit mitzuteilen (Art. 27 DSV).
• Einwilligung bei Profiling (Art. 6 Abs. 7 lit. c DSG): Bundesorgane benötigen eine Einwilligung für das Profiling von Personendaten. Eine gesetzliche Grundlage für Profiling im Rahmen der BVG besteht nicht.
• Meldepflichten bzw. Konsultationen:
  • Meldung der Datenbearbeitungen an den EDÖB: Das Bearbeitungsverzeichnis ist dem EDÖB zu melden (Art. 12 Abs. 4 DSG). Der EDÖB hat dazu ein Meldeportal DataReg
  • Konsultation bei risikobehafteten Bearbeitungen (Art. 23 DSG): Zwingend ist eine Meldung an den EDÖB vor Beginn einer Bearbeitung von Personendaten, wenn nach einer Datenschutz-Folgenabschätzung und entsprechenden Mitigationsmassnahmen ein hohes Risiko verbleibt.
  • Meldung der Projekte zur automatisierten Bearbeitung von Personendaten an den EDÖB (Art. 31 DSV): Bundesorgane melden dem EDÖB die geplanten automatisierten Bearbeitungstätigkeiten im Zeitpunkt des Entscheids zur Projektentwicklung oder der Projektfreigabe. Die Meldung muss die Angaben nach Artikel 12 Absatz 2 Buchstaben a–d DSG sowie das voraussichtliche Datum des Beginns der Bearbeitungstätigkeiten enthalten. Der EDÖB nimmt diese Meldung in das Register der Bearbeitungstätigkeiten auf. Das verantwortliche Bundesorgan aktualisiert die Meldung beim Übergang in den produktiven Betrieb oder bei der Projekteinstellung.
• Kennzeichenpflicht bei automatisierten Einzelentscheidungen (Art. 21 Abs. 4 DSG): Wenn ein Einzelfallentscheid durch ein Bundesorgan automatisiert ergeht, so hat es diesen entsprechend zu kennzeichnen (Art. 21 Abs. 4 DSG). Dies ist z.B. bei Entscheiden, die durch Künstliche Intelligenz generiert wurden zu beachten.
• Bekanntgabe von Personendaten ins Ausland (Art. 16 DSG und Art. 8ff DSV): Eine Bekanntgabe ins Ausland ist grundsätzlich unter Einhaltung von Art. 16 DSG und Art. 8 DSV möglich. Bundesorgane können zur Gewährleistung des geeigneten Datenschutzes auch spezifische Garantien, die sie erarbeiten vorgängig dem EDÖB mitteilen.
• Bekanntgabe an Dritte und deren Beschränkung (Art. 36 DSG i.V.m. Art. Art. 86a BVG): Eine Bekanntgabe an Dritte ist nur erlaubt, wenn dafür eine gesetzliche Grundlage besteht so insbesondere auch mittels automatisierter Informations- und Kommunikationsdienste (Abs. 5) bzw. im Einzelfall, wenn die Voraussetzungen gemäss Abs. 2 BVG erfüllt sind. Eine Bekanntgabe im Zusammenhang mit den Öffentlichkeitsgesetz bzw. bei überwiegendem öffentlichem Interesse dürfte im Kontext von Pensionskassen eher selten vorkommen. Gegen die Datenbekanntgabe kann eine betroffene Person widersprechen (Art. 37 BVG). Art. 86a BVG ermöglicht die Bekanntgabe an Dritte, sofern keine überwiegenden Privatinteressen entgegenstehen.
• Zusätzliche Informationspflichten (Art. 29 und 30 DSV): Es besteht eine zusätzliche Informationspflicht bei Bekanntgabe an Dritte (Art. 29 DSV), nämlich darüber, wie aktuell, zuverlässig und vollständig die bekanntgebenden Personendaten sind. Bei einer systematischen Beschaffung von Personendaten ist die betroffene Person darüber zu informieren, sofern sie nicht zur Auskunft verpflichtet ist (Art. 30 DSV).
• Protokollierung (Art. 4 DSV): Bei der automatisierten Bearbeitung von besonders schützenswerte Personendaten in grossem Umfang oder beim Profiling mit hohem Risiko muss, wenn die präventiven Massnahmen den Datenschutz nicht gewährleisten können, das verantwortliche Bundesorgan und sein Auftragsbearbeiter zumindest das Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten der Daten protokolieren (Art. 4 Abs. 2 DSV). Die Protokollierung muss Aufschluss geben über die Identität der Person, die die Bearbeitung vorgenommen hat, die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität der Empfängerin oder des Empfängers der Daten. Die Protokolle müssen während mindestens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Personen zugänglich sein, denen die Überprüfung der Anwendung der Datenschutzvorschriften oder die Wahrung oder Wiederherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden.
• Spezielle Aufbewahrungs-, Archivierungs- und Löschpflichten (Art. 38 DSG und 15 DVV): Nach Art. 41 Abs. 8 BVG i.V.m. Art. 27j BVV 2 in Pensionskassen gehalten bei Ausrichtung von Leistungen bis 10 Jahre nach Beendigung der Leistungspflicht, wenn keine Vorsorgeleistungen ausgerichtet werden bis die versicherte Person ihr 100. Altersjahr vollendet hat oder vollendet hätte und im Freizügigkeitsfalls bis zehn Jahre nach der Überweisung der Austrittsleistung der versicherten Person auf die neue Vorsorgeeinrichtung oder auf eine Einrichtung, welche Freizügigkeitskonten oder ‑policen führt. Bei Liquidation einer Einrichtung der beruflichen Vorsorge ist es Aufgabe der Liquidatoren, für die korrekte Aufbewahrung der Unterlagen besorgt zu sein (Art. 27k BVV 2). Danach gilt der allgemeine Grundsatz, dass Personendaten zu löschen oder zu anonymisieren sind, sobald der Bearbeitungszweck entfällt. In Übereinstimmung mit dem Archivierungsgesetz vom 26. Juni 1998 müssen Pensionskassen in der obligatorischen Vorsorge, dem Bundesarchiv alle Personendaten anbieten, die sie nicht mehr ständig benötigen. Zuvor sind die nicht archivwürden Personendaten zu vernichten, ausser sie werden anonymisiert oder sind zu Beweis- oder Sicherheitszwecken oder zur Wahrung der schutzwürdigen Interessen der betroffenen Person aufzubewahren.
• Datenbearbeitung für Forschung, Planung und Statistik (Art. 39 DSG): Bundesorgane dürfen Personendaten für Forschung, Planung und Statistik ebenfalls verwenden, müssen aber sicherstellen, dass Dritte diese nicht weitergeben und eine Re-Identifizierung ausgeschlossen ist.
• Ansprüche und Verfahren betroffener Personen gegenüber Bundesorganen: Die in Art. 41 DSG gewährten Rechte entsprechen im Kern inhaltlich denjenigen nach Art. 25 ff. DSG. Einzige Besonderheit betrifft der Einsichtsverweigerung gemäss Art. 42 DSG besteht. Bestreffend dem Verfahren unterscheidet sich dies aber, da hier dann verwaltungsrechtliche Verfahren gemäss VwVG zum Zuge kommen.

Erleichterungen und Freiwillige Massnahmen

• Informationspflichten (Art. 21 DSG): Es gib auch Erleichterungen zu Informationspflichten in Art. 21 Abs. 3 lit. d DSG für Bundesorgane, insofern nicht Art. BVG anwendbar ist. So kann z.B. eine Information unterbleiben, wenn eine Ermittlung oder eine behördliche oder ein gerichtliches Verfahren gefährdet würde. Dies kann z.B. dann bei Pensionskassen zu Anwendung kommen, wenn Missbrauchsfälle geprüft werden.
• Strafbestimmungen: Bundesorgane unterliegen keiner strafrechtlichen Sanktionierung nach Art. 60 ff. DSG, aber der administrativen Kontrolle durch den EDÖB mit Weisungs- und Prüfungsrechten.
• Verhaltenskodizes (Art. 11 DSG): Bundesorgane können dem EDÖB Verhaltenskodizes vorlegen (Art. 11 Abs. 1 DSG), dies muss kein Verband der Vorsorgeeinrichtungen für sie vornehmen.

Fazit und Handlungsempfehlung

Für die Praxis bedeutet dies: Das Aufsetzen eines Datenschutzmanagement-Systems d.h. einer Datenschutz-Governance ist unerlässlich. Dabei ist bei jeder Bearbeitung ist zu prüfen, ob es sich um eine im obligatorischen oder überobligatorischen Bereich handelt. Insbesondere die zusätzlichen Pflichten für Bundesorgane sind sicherzustellen. Knappe Ressourcen können durch externe Unterstützung abgedeckt werden.

Quellen

• Fachmitteilung Nr. 130 des Schweizerischen Pensionskassenverbands vom 11. April 2022: Überblick über das neue Datenschutzrecht