VISCHER ist eine Schweizer Anwaltskanzlei, die sich der rechtlichen Lösung von Geschäfts-, Steuer- und Regulierungsfragen widmet.
SWISS LAW AND TAX
Dienstleistungen
Immaterialgüterrecht
Life Sciences, Pharma, Biotechnologie
Prozessführung und Schiedsgerichtsbarkeit
Lernen Sie unser Team kennen
Unser Know-how, unsere Expertise und unsere Publikationen
Alle anzeigen
Events
Blog
Wir entwickeln nicht nur juristische Lösungen für unsere Klientinnen und Klienten, wir entwickeln auch neue Formate dafür.
VISCHER Legal Innovation Lab
Red Ink
Karriere
Kategorie: Data & Privacy
Mit dem revidierten Datenschutzgesetz (revDSG) kommen auf viele Betriebe am 1. September 2023 neue Herausforderungen zu. Für eine Kategorie von Organisationen gelten jedoch erschwerte Bedingungen: Betriebe, die mit öffentlichen Aufgaben betraut sind. Dazu gehören Versicherer in der obligatorischen Krankenpflegeversicherung (OKP) und Unfallversicherung (UVG), aber beispielsweise auch (im Obligatorium tätige) Pensionskassen-Stiftungen (PK) und Verbandsausgleichskassen (VAK). Sie alle setzen öffentliches Recht wie namentlich das KVG, UVG, BVG oder AHVG um und unterliegen daher im Datenschutzrecht den Regeln für öffentliche Organe – selbst dann, wenn sie privatwirtschaftlich ins Leben gerufen und organisiert sind.
Meist handelt es sich um bundesrechtliche Aufgabenträger, in gewissen Fällen wie etwa den VAK sogar um öffentlich-rechtliche Anstalten des Bundesrechts, weshalb in diesen Fällen das revDSG gilt. Ausnahmsweise können sie auch kantonalrechtlich reguliert sein. Dann gilt das kantonale Datenschutzrecht, auf das wir hier nicht eingehen wollen; die Vorgaben sind dort meist ähnlich. Sie gelten beispielsweise für die kantonalen Ausgleichskassen oder staatlichen Pensionskassen der Kantone.
Die Folge davon ist, dass sie im Datenschutz in Bezug auf ihre Tätigkeiten im "obligatorischen" Bereich die Regeln von Bundesorganen (oder ausnahmsweise kantonalen Organen) befolgen müssen. Diese Regeln sind strenger als jene für privatwirtschaftliche Unternehmen. Sie dürfen zum Beispiel Personendaten nur bearbeiten soweit das Gesetz dies vorsieht. Die Nutzung für Marketingzwecke scheidet zum Beispiel im obligatorischen Bereich regelmässig aus. Das galt allerdings schon bisher und stellt darum in den meisten Fällen kein Problem dar. Mit dem revDSG kommen jedoch auch neue Pflichten auf diese Institutionen zu. Diese möchten wir nachfolgend beleuchten und erläutern, wie sie umgesetzt werden können. Ähnliches gilt übrigens auch für kantonale Organe, da auch alle Kantone ihre Datenschutzgesetze in vergleichbarer Weise wie das revDSG revidiert haben oder dies noch tun werden.
Zunächst aber ein Thema, das in der Praxis für Verwirrung gesorgt hat. Es geht um die rechtliche Stellung der PK-Stiftungen und weiteren Organisationen, die öffentliche Aufgaben erfüllen. Viele von ihnen betreiben ihr Geschäft nicht selbst, sondern haben die Geschäftsführung und den operativen Betrieb an eine sog. Servicegesellschaft delegiert, die sich um alles kümmert. Der Vertrag wird dabei mit der Servicegesellschaft und nicht mit einzelnen Mitarbeitern abgeschlossen. In diesem Fall legt diese Servicegesellschaft – handelnd über ihre Mitarbeiter – in der Regel auch (alleine) fest, wie die Personendaten bearbeitet werden. Sie wird damit datenschutzrechtlich zur sog. Verantwortlichen, d.h. sie wird für die Einhaltung der meisten Pflichten unter dem revDSG direkt verantwortlich.
Ob die Stiftung (oder weiteren Institutionen) ebenfalls als originär Verantwortliche im Sinne des revDSG gilt, weil sie es ist, die den gesetzlichen Auftrag hat und durch ihr Mandat an die Servicegesellschaft bzw. ihre Pflicht zur Umsetzung des BVG den Zweck der Bearbeitung festlegt, ist nicht abschliessend geklärt. In den Verträgen mit den Servicegesellschaften wird oft nichts darüber festgehalten und der Stiftungsrat macht in der Praxis regelmässig keinerlei Vorgaben betreffend die Datenbearbeitung. Zudem ergibt sich die datenschutzrechtliche Verantwortlichkeit nicht in erster Linie aus dem, was vereinbart wurde, sondern daraus, wer faktisch die datenschutzrechtlichen Rahmenbedingungen der Datenbearbeitungen, d.h. deren "Zwecke und Mittel", festlegt. Zwar liegt es nahe, denjenigen, der den gesetzlichen Auftrag zur Durchführung einer Tätigkeit hat, kurzerhand als "Verantwortlichen" zu bezeichnen, doch knüpft die Definition von Art. 5 Bst. j revDSG nicht daran an, wer entscheiden sollte, sondern wer es tut.
Allerdings: In aller Regel treten die Mitarbeiter der Servicegesellschaft unter dem Namen und für die Stiftung auf und sind oft auch als Geschäftsführer im Handelsregister eingetragen. Sie werden daher neben den Stiftungsräten üblicherweise zu weiteren formellen oder mindestens faktischen Organen der Stiftungen – und sei es nur, weil sie eine Datenbearbeitung für die Stiftung vornehmen und damit faktisch entscheiden. Spätestens dadurch werden auch die Stiftungen zu Verantwortlichen des revDSG, weil Art. 55 ZGB bestimmt, dass die Handlungen von formellen und faktischen Organen – hier das Festlegen der Datenbearbeitungen – auch den jeweiligen Institutionen zugerechnet werden. Die leitenden Mitarbeiter einer Servicegesellschaft handeln mit anderen Worten sowohl für die Servicegesellschaft (zur Erfüllung ihres Mandats der Stiftung) als auch für die Stiftung. Die Datenbearbeitung wird die Datenbearbeitung der Stiftung, was auch Sinn der Sache ist.
Somit sind die beiden – Servicegesellschaft und Stiftung – typischerweise "gemeinsame" Verantwortliche. Die Folge ist, dass die Stiftung für die Datenbearbeitung der Servicegesellschaft mitverantwortlich wird und daher auch für deren datenschutzrechtlichen Verfehlungen ins Recht gefasst werden kann. Sie muss zudem sicherstellen, dass das revDSG eingehalten wird. Aus diesem Grund ist es ratsam, den Datenschutz in den Vereinbarungen zwischen den Servicegesellschaften und den Stiftungen zu regeln, auch wenn das gesetzlich nicht vorgeschrieben ist. Wir können hier gerne entsprechende Klauseln liefern.
Die Stiftungen haben überdies aufgrund ihrer gesetzlich zwingenden Oberaufsicht betreffend die Einhaltung der Gesetze (vgl. z.B. Art. 51a BVG) eine vom revDSG unabhängige Verantwortlichkeit für die Einhaltung des revDSG. Sie sind damit also doppelt verantwortlich für die Compliance der Servicegesellschaft, auch wenn sie damit operativ nichts zu tun haben, ja sogar im Normalfall nicht einmal Zugang zu den Personendaten erhalten dürfen.
Die nachfolgende Illustration zeigt die Verhältnisse auf (Auszug aus einer Präsentation von David Rosenthal zum Thema Verantwortlichkeit im Datenschutz):
Nach der hier vertretenen Ansicht nicht richtig ist die teils geäusserte Auffassung, dass die Servicegesellschaft in der Regel "nur" eine Auftragsbearbeiterin der Stiftung ist. Das ist sie nur in den seltenen Fällen, in denen sie lediglich ihr von den Organen der Stiftung entsprechend genau aufgetragene und vordefinierte Datenbearbeitungen ausführt (z.B. Erstellen oder Versenden von Vorsorgeausweisen). In diesen Fällen wird die Geschäftsführung von jemand anderem erledigt, der auch festlegt, wie die Daten der Stiftung zu bearbeiten sind. Ausser in solchen Fällen sollte daher auch kein Auftragsbearbeitungsvertrag abgeschlossen werden.
In der Praxis kommt teilweise auch die Frage auf, ob die Servicegesellschaft ihrerseits als eigenständiges Bundesorgan neben der Stiftung gilt. Dem ist nach unserer Auffassung nicht so; es liegt keine sog. Aufgabenübertragung von der Stiftung an die Servicegesellschaft vor, denn eine solche müsste im Gesetz vorgesehen sein. Es gilt hier vielmehr eine funktionale Betrachtung: Die Tätigkeit der Servicegesellschaft im obligatorischen Bereich für die Stiftung wird der Tätigkeit der Stiftung in diesem Bereich zugerechnet, d.h. es handelt sich um das ein und dasselbe Bundesorgan, bloss verteilt auf zwei juristische Personen, weil dessen Mitarbeitern aus beiden Organisationen stammen.
Entsprechend sind die Mitarbeiter sowohl der Stiftung als auch der Servicegesellschaft, soweit sie im obligatorischen Bereich tätig sind, derselben Schweigepflicht unterstellt. Beide führen das BVG durch, sei es als Organe oder als "Funktionäre". Darum ist es beispielsweise einem Arbeitgeber erlaubt, die Angaben über seine Arbeitnehmer den für eine PK tätigen Mitarbeitern der Servicegesellschaft zu geben. Wo die Servicegesellschaft punkto Datenbearbeitung nicht nur ausführt, sondern entscheidet, ist wie dargelegt auch kein Auftragsbearbeitungsvertrag nötig. Dass die PK und die Servicegesellschaft die Zuständigkeiten und Verantwortlichkeiten im Bereich des Datenschutzes untereinander vertraglich regeln, ist primär eine interne Absicherung der beiden. Wesentlich ist die Delegation der Geschäftsführung, was eben immer auch die (gesetzeskonforme) Durchführung der Datenbearbeitung umfasst.
Allerdings gelten die Regelungen für Bundesorgane nur für jene Datenbearbeitungstätigkeiten, welche zur Erfüllung der öffentlichen Aufgabe beispielsweise gemäss BVG ausgeführt werden. In den anderen Bereichen (z.B. bei der Bearbeitung von Daten über das eigene Personal oder den überobligatorischen Tätigkeiten) sind die Stiftung und Servicegesellschaft in der Regel privatrechtliche Institutionen und unterliegen den entsprechenden Bestimmungen des revDSG. Ausnahmen gelten dort, wo die betreffende Körperschaft dem kantonalen Recht unterliegt (z.B. kantonale Pensionskassen).
Ist die rechtliche Einordnung geklärt und damit auch das anwendbare Recht, stellt sich die Frage nach den zusätzlichen Pflichten nach dem revDSG (oder kantonalen Datenschutzrecht, auf das wir hier allerdings nicht weiter eingehen). Diese gelten zusätzlich zu den Grundanforderungen des revDSG. Für letztere empfehlen wir den Organisationen eine Gap-Analyse auf der Basis von https://privacyscore.ch, einem Service, mit dem jede Organisation in der Schweiz kostenlos seinen Umsetzungsstand im Hinblick auf das revDSG mitsamt konkreten Handlungsempfehlungen ermitteln kann.
Die wichtigsten Sonderpflichten:
Die Aufstellung der Sonderpflichten zeigt, dass auf PK-Stiftungen, ihre Servicegesellschaften und weiteren "privaten" Bundesorgane einige zusätzliche Aufgaben zukommen – dies wegen ihrer Qualifikation als öffentliche Organe. Eine "de minimis"-Regelung gibt es dabei leider nicht, auch wenn davon auszugehen ist, dass der Gesetzgeber wohl nicht vor Augen hatte, dass seine strengeren Vorgaben nicht nur von der Bundesverwaltung und den weiteren Anstalten des Bundes zu befolgen sind, sondern eben auch von vielen sehr kleinen Organisationen der Privatwirtschaft. Ändern wird sich daran aber so rasch nichts.
In der Praxis stellt sich dabei die Frage, wer sich um welche Pflichten kümmern soll. Hier hat sich bewährt, dass die operative Umsetzung der Datenschutz-Compliance derjenigen Stelle auferlegt wird, welche die Geschäftsführung innehat. Das wird bei den meisten PK-Stiftungen die jeweilige Servicegesellschaft sein. Diese Stelle wird als Teil ihrer Geschäftsführungsaufgaben den Mitarbeitern die nötigen Weisungen erteilen, Betroffenenbegehren beantworten lassen, für eine angemessene Datensicherheit und passende Verträge mit den Auftragsbearbeitern sorgen, das Bearbeitungsverzeichnis führen, die Datenschutzerklärung unterhalten, die DSFA durchführen und die weitere Dokumentation, die oben erwähnt ist, sicherstellen.
Einen Überblick über die für den Datenschutz nach revDSG nötigen, sinnvollen und nützlichen Dokumente haben wir hier auf einer Seite zusammengestellt (wir bieten diese bei Bedarf alle an):
Die obersten (gesetzlichen) Leitungsorgane der PK-Stiftungen und weiteren "privaten" Bundesorgane sollten sich dagegen um die Oberaufsicht über die Einhaltung des Datenschutzes kümmern, was ein regelmässiges Reporting zu diesem Thema erfordert. Hierfür kann, wie oben dargelegt, der Datenschutzberater eingesetzt werden, der ohnehin benannt werden muss. Einen solchen wird jede PK-Stiftung oder anderes privates Bundesorgan zwar selbst und separat ernennen müssen, auch wenn sie nur eine von vielen ist, welche eine bestimmte Servicegesellschaft betreut. Auch das Bearbeitungsverzeichnis, das Bearbeitungsreglement, die Datenschutzerklärung etc. wird für jedes Bundesorgan formal separat geführt werden müssen. Betreut eine Servicegesellschaft jedoch mehrere Stiftungen auf dieselbe Art und Weise, kann sie dieselben Inhalte für alle Stiftungen verwenden und damit Skaleneffekte erzielen, d.h. die Kosten tief halten. Sie kann mithin die Datenschutz-Compliance als einen weiteren Service ihrer Leistung verkaufen, auch wenn sie die Compliance auch aus eigener Pflicht erfüllen muss.
Melden Sie sich bei uns, wenn Sie weitere Fragen haben oder Unterstützung oder einen gesetzlichen Datenschutzberater brauchen. Wir helfen Ihnen gerne weiter.
Autor: David Rosenthal
Team Head
Zahlreiche Schweizer Unternehmen, aber auch öffentliche Einrichtungen setzen, auf die Cloud-Dienste...
Welcher Erlass gilt wo und wie? Was ist dabei zu tun? Sieben kurze Schulungsvideos In...
In vielen Banken, Versicherungen und anderen Schweizer Finanzinstituten laufen derzeit Projekte zum...