Fachmitteilung Nr. 91 als pdf - Mit uns
Fachmitteilung Nr. 91 als pdf - Mit uns
Fachmitteilung Nr. 91 als pdf - Mit uns
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Schweizerischer Pensionskassenverband<br />
Association suisse des Institutions de prévoyance<br />
Associazione svizzera delle Istituzioni di previdenza<br />
Kreuzstrasse 26<br />
8008 Zürich<br />
Telefon 043 243 74 15/16<br />
Telefax 043 243 74 17<br />
E-Mail info@asip.ch<br />
Website www.asip.ch<br />
Zürich, 3. September 2012<br />
<strong>Fachmitteilung</strong> <strong>Nr</strong>. <strong>91</strong><br />
Datenschutz<br />
Ausgangslage<br />
Immer wieder gab die Frage des Datenflusses zwischen der Vorsorgeeinrichtung (VE) und<br />
dem ihr angeschlossenen Arbeitgeber zu Diskussionen Anlass. Im Urteil vom 10. 04. 2012<br />
(A-4467/2011) hat das Bundesverwaltungsgericht nun ausdrücklich festgehalten, dass die<br />
Bearbeitung und Bekanntgabe von Personendaten dem Datenschutzgesetz (DSG, ergänzt<br />
durch die spezialgesetzlichen Normen des BVG und des OR) unterstehen und dass die VE<br />
nur solche Personendaten an den Arbeitgeber weitergeben darf, die für die Erfüllung der<br />
arbeitsvertraglichen und der im Rahmen der beruflichen Vorsorge anfallenden Aufgaben des<br />
Arbeitgebers objektiv notwendig sind. Nach Auffassung des Bundesverwaltungsgerichts verletzt<br />
die Zustellung der Vorsorgeausweise in unverschlossenen Couverts an die Arbeitgebenden<br />
zwecks Weiterleitung an die bei ihnen versicherten Arbeitnehmenden den Grundsatz<br />
der Datensicherheit (Art. 7 DSG).<br />
I. Bearbeiten von Personendaten durch den Arbeitgeber<br />
Der Arbeitgeber darf Daten über die Arbeitnehmenden nur bearbeiten, soweit sie sich auf<br />
dessen Eignung für das Arbeitsverhältnis beziehen oder zur Durchführung des Arbeitsvertrags<br />
erforderlich sind (Art. 328b OR). Der Arbeitgeber hat grundsätzlich kein Anrecht auf<br />
Informationen betreffend die persönlichen Vermögensverhältnisse und Gesundheitsdaten.<br />
Zudem unterstehen die in die Durchführung des BVG involvierten Personen des Arbeitgebers<br />
und die Arbeitgebervertreter im paritätischen Führungsorgan der VE der Schweigepflicht<br />
von Art. 86 BVG. Dadurch soll verhindert werden, dass der Arbeitgeber die konkreten<br />
Vorsorgeverhältnisse <strong>als</strong> eines der Kriterien dafür heranzieht, ob zum Beispiel im Rahmen
einer Restrukturierungsmassnahme das Arbeitsverhältnis mit einer bestimmten angestellten<br />
Person aufgelöst werden soll.<br />
II. Bearbeiten von Personendaten durch die Vorsorgeeinrichtung<br />
Die Organe der Vorsorgeeinrichtungen und die von ihnen mit der Aufgabenerfüllung betrauten<br />
Dritten sind an die Art. 4ff. DSG (allgemeine Datenschutzbestimmungen) gebunden. Insbesondere<br />
müssen die Personendaten vor unbefugtem Zugriff gesichert sein (Art. 7 DSG).<br />
Die Grundsätze der Bearbeitung von Personendaten des DSG gelten auch in der weitergehenden<br />
beruflichen Vorsorge. Die Nichteinhaltung stellt eine nicht rechtfertigungsfähige Persönlichkeitsverletzung<br />
dar (Art. 12 DSG).<br />
1. Schweigepflicht<br />
Auskunftsbegehren der versicherten Personen bei ihrer VE dürfen zu keinen negativen Auswirkungen<br />
auf ihr Arbeitsverhältnis führen, weshalb die <strong>Mit</strong>arbeitenden der Vorsorgeeinrichtungen<br />
der Schweigepflicht gemäss Art. 86 BVG unterstehen. Die Verletzung dieser Pflicht<br />
wird mit Gefängnis bis zu sechs Monaten oder mit Busse bis zu CHF 30‘000 bestraft; vorbehalten<br />
bleibt das Vorliegen eines Verbrechens oder Vergehens, das nach Strafgesetzbuch<br />
mit einer strengeren Strafe bedroht wird, wie z.B. die Amtsgeheimnisverletzung (Art. 320<br />
StGB). Die Schweigepflicht gilt gegenüber „Dritten“, <strong>als</strong>o gegenüber all den Stellen und Personen,<br />
die nicht zur VE gehören. Obwohl sie auf die obligatorische berufliche Vorsorge beschränkt<br />
ist, gilt sie auch bei umhüllenden Vorsorgeeinrichtungen. Bei rein überobligatorischen<br />
Vorsorgeeinrichtungen gelten der Persönlichkeitsschutz nach Art. 28 ZGB sowie der<br />
datenschutzrechtliche Berufsgeheimnisschutz nach Art. 35 DSG.<br />
2. Datenbekanntgabe gegenüber Dritten<br />
Art. 86a BVG regelt abschliessend die zulässige Bekanntgabe von Personendaten an Dritte<br />
und geht der allgemeinen Datenbearbeitungsbestimmung von Art. 85a BVG vor. Sofern kein<br />
überwiegendes Privatinteresse entgegensteht, ist die Datenbekanntgabe ohne schriftliches<br />
Ersuchen z.B. zwischen den verschiedenen Organen der beruflichen Vorsorge zulässig, soweit<br />
die Daten für die Aufgabenerfüllung notwendig sind (Art. 86a Abs. 2 lit. a BVG). Weiter<br />
ist die Bekanntgabe von Personendaten zulässig, wenn die betroffene Person im Einzelfall<br />
schriftlich eingewilligt hat. Die Einwilligung ist nur gültig, wenn sie nach angemessener Information<br />
freiwillig erfolgt ist. Bei der Bearbeitung besonders schützenswerter Daten im Sinne<br />
von Art. 3 lit. c DSG (z.B. Gesundheitsdaten) muss die Einwilligung ausdrücklich erfolgen.<br />
In der weitergehenden und ausserobligatorischen beruflichen Vorsorge gelten die gleichen<br />
Voraussetzungen (Art. 4 Abs. 5 DSG). Bei einem Outsourcing hat sich die VE zu vergewissern,<br />
dass der Dritte die Datensicherheit gewährleistet (Art. 10a Abs. 2 DSG).<br />
2
Fazit und Empfehlungen<br />
Der Arbeitgeber ist hinsichtlich der Personendaten der Arbeitnehmenden/Versicherten <strong>als</strong><br />
Dritter zu behandeln. Es steht ihm lediglich insoweit Einsicht in Personendaten zu, <strong>als</strong> diese<br />
für die Wahrnehmung seiner arbeitsrechtlichen und berufsvorsorgerechtlichen Pflichten (z.B.<br />
Auskunftspflicht gemäss Art. 331 Abs. 4 OR) unabdingbar ist. Dies gilt insbesondere auch für<br />
die Vertreter sowohl des Arbeitgebers <strong>als</strong> auch der Arbeitnehmenden im paritätischen Organ<br />
hinsichtlich individualisierter, vor allem gesundheitsbezogener Daten über versicherte Arbeitnehmende.<br />
Eine Einschränkung des Einsichtsrechts der Arbeitgeberseite in Personaldossiers<br />
der Vorsorgeeinrichtung ist gerechtfertigt, da diese Detailkenntnisse für die dem paritätischen<br />
Organ zukommenden Aufgaben irrelevant sind. Sinngemässe Überlegungen gelten<br />
auch für die paritätische Verwaltung auf Stufe Vorsorgewerk.<br />
Wir empfehlen folgende Massnahmen:<br />
1. Es ist sicherzustellen, dass Informationen nur an diejenigen Personen fliessen, die sie<br />
effektiv auch brauchen. Insbesondere bei Konstellationen von Personalunionen (z. B. bei<br />
Personen aus dem Personalwesen, die gleichzeitig für die VE tätig sind) sind Kommunikationsschranken<br />
einzubauen.<br />
2. Bei Übertragung der Führung der Versichertendossiers an einen aussenstehenden Dritten<br />
(nicht den Arbeitgeber) im Sinne eines Outsourcings: Sicherstellung der Gewährleistung<br />
der Datensicherheit durch diesen Dritten gemäss Art. 10a Abs. 2 DSG.<br />
3. Periodischer Versand wichtiger, die versicherte Person besonders und persönlich interessierender<br />
Daten, wie zum Beispiel der Vorsorgeausweis, entweder direkt an den Versicherten<br />
oder dann in einem verschlossenem Couvert an den Arbeitgeber zwecks Weiterleitung<br />
an den Versicherten.<br />
ASIP<br />
Hanspeter Konrad<br />
3