Close
Wonach suchen Sie?
Site search
1. Juni 2023 Pensionskassen: Diese DSG-Sonderpflichten gelten für sie
  • Pensionskassen sind im Obligatorium "Bundesorgane"
  • Das revDSG sieht daher zusätzliche Pflichten für sie vor
  • Ein "Datenschutzberater" muss ernannt werden

Mit dem revidierten Datenschutzgesetz (revDSG) kommen auf viele Betriebe am 1. September 2023 neue Herausforderungen zu. Für eine Kategorie von Organisationen gelten jedoch erschwerte Bedingungen: Betriebe, die mit öffentlichen Aufgaben betraut sind. Dazu gehören Versicherer in der obligatorischen Krankenpflegeversicherung (OKP) und Unfallversicherung (UVG), aber beispielsweise auch (im Obligatorium tätige) Pensionskassen-Stiftungen (PK) und Verbandsausgleichskassen (VAK). Sie alle setzen öffentliches Recht wie namentlich das KVG, UVG, BVG oder AHVG um und unterliegen daher im Datenschutzrecht den Regeln für öffentliche Organe – selbst dann, wenn sie privatwirtschaftlich ins Leben gerufen und organisiert sind.

Meist handelt es sich um bundesrechtliche Aufgabenträger, in gewissen Fällen wie etwa den VAK sogar um öffentlich-rechtliche Anstalten des Bundesrechts, weshalb in diesen Fällen das revDSG gilt. Ausnahmsweise können sie auch kantonalrechtlich reguliert sein. Dann gilt das kantonale Datenschutzrecht, auf das wir hier nicht eingehen wollen; die Vorgaben sind dort meist ähnlich. Sie gelten beispielsweise für die kantonalen Ausgleichskassen oder staatlichen Pensionskassen der Kantone.

Auch Private als "Bundesorgane"

Die Folge davon ist, dass sie im Datenschutz in Bezug auf ihre Tätigkeiten im "obligatorischen" Bereich die Regeln von Bundesorganen (oder ausnahmsweise kantonalen Organen) befolgen müssen. Diese Regeln sind strenger als jene für privatwirtschaftliche Unternehmen. Sie dürfen zum Beispiel Personendaten nur bearbeiten soweit das Gesetz dies vorsieht. Die Nutzung für Marketingzwecke scheidet zum Beispiel im obligatorischen Bereich regelmässig aus. Das galt allerdings schon bisher und stellt darum in den meisten Fällen kein Problem dar. Mit dem revDSG kommen jedoch auch neue Pflichten auf diese Institutionen zu. Diese möchten wir nachfolgend beleuchten und erläutern, wie sie umgesetzt werden können. Ähnliches gilt übrigens auch für kantonale Organe, da auch alle Kantone ihre Datenschutzgesetze in vergleichbarer Weise wie das revDSG revidiert haben oder dies noch tun werden.

Verantwortlich sind die Servicegesellschaften …

Zunächst aber ein Thema, das in der Praxis für Verwirrung gesorgt hat. Es geht um die rechtliche Stellung der PK-Stiftungen und weiteren Organisationen, die öffentliche Aufgaben erfüllen. Viele von ihnen betreiben ihr Geschäft nicht selbst, sondern haben die Geschäftsführung und den operativen Betrieb an eine sog. Servicegesellschaft delegiert, die sich um alles kümmert. Der Vertrag wird dabei mit der Servicegesellschaft und nicht mit einzelnen Mitarbeitern abgeschlossen. In diesem Fall legt diese Servicegesellschaft – handelnd über ihre Mitarbeiter – in der Regel auch (alleine) fest, wie die Personendaten bearbeitet werden. Sie wird damit datenschutzrechtlich zur sog. Verantwortlichen, d.h. sie wird für die Einhaltung der meisten Pflichten unter dem revDSG direkt verantwortlich.

Ob die Stiftung (oder weiteren Institutionen) ebenfalls als originär Verantwortliche im Sinne des revDSG gilt, weil sie es ist, die den gesetzlichen Auftrag hat und durch ihr Mandat an die Servicegesellschaft bzw. ihre Pflicht zur Umsetzung des BVG den Zweck der Bearbeitung festlegt, ist nicht abschliessend geklärt. In den Verträgen mit den Servicegesellschaften wird oft nichts darüber festgehalten und der Stiftungsrat macht in der Praxis regelmässig keinerlei Vorgaben betreffend die Datenbearbeitung. Zudem ergibt sich die datenschutzrechtliche Verantwortlichkeit nicht in erster Linie aus dem, was vereinbart wurde, sondern daraus, wer faktisch die datenschutzrechtlichen Rahmenbedingungen der Datenbearbeitungen, d.h. deren "Zwecke und Mittel", festlegt. Zwar liegt es nahe, denjenigen, der den gesetzlichen Auftrag zur Durchführung einer Tätigkeit hat, kurzerhand als "Verantwortlichen" zu bezeichnen, doch knüpft die Definition von Art. 5 Bst. j revDSG nicht daran an, wer entscheiden sollte, sondern wer es tut.

… und über die Organhandlungen auch die Stiftungen

Allerdings: In aller Regel treten die Mitarbeiter der Servicegesellschaft unter dem Namen und für die Stiftung auf und sind oft auch als Geschäftsführer im Handelsregister eingetragen. Sie werden daher neben den Stiftungsräten üblicherweise zu weiteren formellen oder mindestens faktischen Organen der Stiftungen – und sei es nur, weil sie eine Datenbearbeitung für die Stiftung vornehmen und damit faktisch entscheiden. Spätestens dadurch werden auch die Stiftungen zu Verantwortlichen des revDSG, weil Art. 55 ZGB bestimmt, dass die Handlungen von formellen und faktischen Organen – hier das Festlegen der Datenbearbeitungen – auch den jeweiligen Institutionen zugerechnet werden. Die leitenden Mitarbeiter einer Servicegesellschaft handeln mit anderen Worten sowohl für die Servicegesellschaft (zur Erfüllung ihres Mandats der Stiftung) als auch für die Stiftung. Die Datenbearbeitung wird die Datenbearbeitung der Stiftung, was auch Sinn der Sache ist.

Somit sind die beiden – Servicegesellschaft und Stiftung – typischerweise "gemeinsame" Verantwortliche. Die Folge ist, dass die Stiftung für die Datenbearbeitung der Servicegesellschaft mitverantwortlich wird und daher auch für deren datenschutzrechtlichen Verfehlungen ins Recht gefasst werden kann. Sie muss zudem sicherstellen, dass das revDSG eingehalten wird. Aus diesem Grund ist es ratsam, den Datenschutz in den Vereinbarungen zwischen den Servicegesellschaften und den Stiftungen zu regeln, auch wenn das gesetzlich nicht vorgeschrieben ist. Wir können hier gerne entsprechende Klauseln liefern.

In der Regel keine Auftragsbearbeitung

Die Stiftungen haben überdies aufgrund ihrer gesetzlich zwingenden Oberaufsicht betreffend die Einhaltung der Gesetze (vgl. z.B. Art. 51a BVG) eine vom revDSG unabhängige Verantwortlichkeit für die Einhaltung des revDSG. Sie sind damit also doppelt verantwortlich für die Compliance der Servicegesellschaft, auch wenn sie damit operativ nichts zu tun haben, ja sogar im Normalfall nicht einmal Zugang zu den Personendaten erhalten dürfen.

Die nachfolgende Illustration zeigt die Verhältnisse auf (Auszug aus einer Präsentation von David Rosenthal zum Thema Verantwortlichkeit im Datenschutz):

Nach der hier vertretenen Ansicht nicht richtig ist die teils geäusserte Auffassung, dass die Servicegesellschaft in der Regel "nur" eine Auftragsbearbeiterin der Stiftung ist. Das ist sie nur in den seltenen Fällen, in denen sie lediglich ihr von den Organen der Stiftung entsprechend genau aufgetragene und vordefinierte Datenbearbeitungen ausführt (z.B. Erstellen oder Versenden von Vorsorgeausweisen). In diesen Fällen wird die Geschäftsführung von jemand anderem erledigt, der auch festlegt, wie die Daten der Stiftung zu bearbeiten sind. Ausser in solchen Fällen sollte daher auch kein Auftragsbearbeitungsvertrag abgeschlossen werden.

Wer ist nun das Bundesorgan?

In der Praxis kommt teilweise auch die Frage auf, ob die Servicegesellschaft ihrerseits als eigenständiges Bundesorgan neben der Stiftung gilt. Dem ist nach unserer Auffassung nicht so; es liegt keine sog. Aufgabenübertragung von der Stiftung an die Servicegesellschaft vor, denn eine solche müsste im Gesetz vorgesehen sein. Es gilt hier vielmehr eine funktionale Betrachtung: Die Tätigkeit der Servicegesellschaft im obligatorischen Bereich für die Stiftung wird der Tätigkeit der Stiftung in diesem Bereich zugerechnet, d.h. es handelt sich um das ein und dasselbe Bundesorgan, bloss verteilt auf zwei juristische Personen, weil dessen Mitarbeitern aus beiden Organisationen stammen.

Entsprechend sind die Mitarbeiter sowohl der Stiftung als auch der Servicegesellschaft, soweit sie im obligatorischen Bereich tätig sind, derselben Schweigepflicht unterstellt. Beide führen das BVG durch, sei es als Organe oder als "Funktionäre". Darum ist es beispielsweise einem Arbeitgeber erlaubt, die Angaben über seine Arbeitnehmer den für eine PK tätigen Mitarbeitern der Servicegesellschaft zu geben. Wo die Servicegesellschaft punkto Datenbearbeitung nicht nur ausführt, sondern entscheidet, ist wie dargelegt auch kein Auftragsbearbeitungsvertrag nötig. Dass die PK und die Servicegesellschaft die Zuständigkeiten und Verantwortlichkeiten im Bereich des Datenschutzes untereinander vertraglich regeln, ist primär eine interne Absicherung der beiden. Wesentlich ist die Delegation der Geschäftsführung, was eben immer auch die (gesetzeskonforme) Durchführung der Datenbearbeitung umfasst. 

Allerdings gelten die Regelungen für Bundesorgane nur für jene Datenbearbeitungstätigkeiten, welche zur Erfüllung der öffentlichen Aufgabe beispielsweise gemäss BVG ausgeführt werden. In den anderen Bereichen (z.B. bei der Bearbeitung von Daten über das eigene Personal oder den überobligatorischen Tätigkeiten) sind die Stiftung und Servicegesellschaft in der Regel privatrechtliche Institutionen und unterliegen den entsprechenden Bestimmungen des revDSG. Ausnahmen gelten dort, wo die betreffende Körperschaft dem kantonalen Recht unterliegt (z.B. kantonale Pensionskassen).

Was sind die besonderen Pflichten?

Ist die rechtliche Einordnung geklärt und damit auch das anwendbare Recht, stellt sich die Frage nach den zusätzlichen Pflichten nach dem revDSG (oder kantonalen Datenschutzrecht, auf das wir hier allerdings nicht weiter eingehen). Diese gelten zusätzlich zu den Grundanforderungen des revDSG. Für letztere empfehlen wir den Organisationen eine Gap-Analyse auf der Basis von https://privacyscore.ch, einem Service, mit dem jede Organisation in der Schweiz kostenlos seinen Umsetzungsstand im Hinblick auf das revDSG mitsamt konkreten Handlungsempfehlungen ermitteln kann.

Die wichtigsten Sonderpflichten:

  • Bearbeitungsverzeichnis (Art. 12 revDSG): Die meisten Unternehmen und privatrechtliche Organisationen mit weniger als 250 Mitarbeitenden müssen normalerweise kein Bearbeitungsverzeichnis führen. Gemeint ist ein Inventar aller Bearbeitungstätigkeiten (wie z.B. HR-Administration, Website, Newsletter, Buchhaltung, E-Mail-System, Dateiablage). Die genannte Ausnahme von Art. 24 Datenschutzverordnung (DSV) gilt allerdings von vornherein nur für "private Personen". Das sind die PK-Stiftungen und ihre Servicegesellschaften im obligatorischen Bereich wie erwähnt nicht.

    Auch im überobligatorischen Bereich werden sie oftmals nicht von der Ausnahmeregelung profitieren können, weil nur greift, wo keine besonders schützenswerte Personendaten in grossem Umfang bearbeitet werden. Auch wenn nicht genau definiert ist, wann von einem "grossen Umfang" die Rede ist, dürfte das Kriterium jedenfalls im Falle einer PK erfüllt ein, bearbeiten diese doch regelmässig etliche Gesundheitsdaten und Daten über Massnahmen der sozialen Hilfe.

    Wir empfehlen daher, ein umfassendes Bearbeitungsverzeichnis zu führen. In der Praxis sehen wir allerdings oft, dass die Bearbeitungsaktivitäten viel zu detailliert aufgeschlüsselt werden und sich die Institutionen das Leben damit unnötig erschweren. Bundesorgane müssen ihre Bearbeitungsverzeichnisse übrigens dem EDÖB melden.
  • Bearbeitungsreglement (Art. 6 DSV): Private Organisationen müssen ein solches in den meisten Fällen nicht führen, Stiftungen (und weiteren Institutionen, die als Bundesorgane gelten) und ihre Servicegesellschaften jedoch im Grunde immer. Es genügt zur Begründung der Pflicht, dass sie besonders schützenswerte Personendaten bearbeiten, was sie regelmässig tun werden. Die Bezeichnung "Bearbeitungsreglement" ist jedoch etwas verwirrlich. Es ist im Grunde eine Zusammenstellung von Angaben zur internen Organisation betreffend die Datenbearbeitungen als Bundesorgan, Angaben zu internen Datenschutz-Prozessen ("Datenbearbeitungs- und Kontrollverfahren") und Angaben zu den Massnahmen der Datensicherheit.

    Wir stellen hier eine mit Kollegen von IT & Law Consulting und WalderWyss erarbeitete Vorlage für ein solches Bearbeitungsreglement kostenlos zur Verfügung. Um den Aufwand in Grenzen zu halten, ist es als Übersicht ausgestaltet, die festhält, wo die einzelnen Aspekte geregelt sind. Bezüglich der Datensicherheit kann also zum Beispiel auf eine interne Regelung zur Informationssicherheit verlinkt werden oder eine Übersicht mit den Massnahmen zur Datensicherheit (hierfür bieten wir ebenfalls eine einfache Vorlage auf einem Blatt zum Ankreuzen an). Für die Abläufe zu den Betroffenenbegehren kann wiederum auf die interne Weisung zum Datenschutz verwiesen werden, die sowieso jeder Betrieb haben sollte.
  • Protokollierung (Art. 4 DSV): Auch hier gelten für Bundesorgane strengere Anforderungen als für Private. Sie müssen die computergestützte Bearbeitung von Personendaten explizit protokollieren. Die DSV spricht vom Speichern, Verändern, Lesen, Bekanntgeben, Löschen und Vernichten von Daten. In der Praxis bedeutet dies, dass die benutzten Computersysteme die entsprechenden Handlungen aufzeichnen müssen, d.h. mindestens welcher Benutzer zu welchem Zeitpunkt welche dieser Handlungen vorgenommen und wem er Daten allenfalls gesendet hat.

    Im Protokoll muss nach unserer Ansicht nicht stehen, was der Inhalt der Handlung war (also z.B. welche Änderung vorgenommen worden ist) oder welchen konkreten Datensatz er betroffen hat. Es wird in der Praxis jedoch sinnvoll sein, letzteres mit Hilfe eines nicht sprechenden Referenzcodes (also z.B. eine Datensatznummer) ebenfalls festzuhalten. Wir gehen davon aus, dass die meisten heute benutzten IT-Anwendungen dieses Erfordernis bereits unterstützen. Zu beachten ist allerdings, dass diese Protokolle länger als heute üblich aufbewahrt werden müssen, nämlich für mindestens ein Jahr (sofern notwendig auch länger) – und getrennt vom System, wo sie anfallen (hier empfiehlt sich z.B. eine automatisierte Speicherung der Logs in der Cloud oder die Duplizierung und separate Speicherung der Backups).
  • Datenschutzberater (Art. 10 revDSG): Für private Organisationen ist er freiwillig, für Bundesorgane hingegen Pflicht – der sog. Datenschutzberater. Er hat in einem Bundesorgan die Aufgabe, bei der Anwendung der Datenschutzvorschriften "mitzuwirken", indem er bei der Erstellung der sog. Datenschutz-Folgenabschätzungen (Art. 22 revDSG) berät (sie aber nicht erstellt) und die Einhaltung des Datenschutzes prüft und bei Verletzungen Korrektur "empfiehlt" (Art. 26 DSV). Der Datenschutzberater ist zudem Anlaufstelle für betroffene Personen (und den EDÖB) und schult und berät das Bundesorgan in Datenschutzfragen. Wie intensiv ist nicht vorgeschrieben. Die Erläuterungen zur Verordnung halten allerdings fest, dass die Rolle nicht als Überwachungsorgan zu verstehen ist, sondern als beratende und unterstützende Stelle; er muss nicht mit systematischen Kontrollen aktiv prüfen, sondern kann reaktiv vorgehen. Allerdings sind der Person alle Verletzungen der Datensicherheit zu melden, nicht nur diejenigen, die dem EDÖB gemeldet werden müssen (über die Meldung an den EDÖB entscheidet jedoch das Bundesorgan, nicht der Datenschutzberater).

    Als Datenschutzberater im Sinne des Gesetzes kommt nur in Frage, wer über Fachkenntnisse im Datenschutz verfügt und wer in seiner Stellung fachlich unabhängig und weisungsungebunden ist (Art. 26 DSV). Er muss nach unserer Ansicht frei von Interessenkonflikten sein, d.h. darf selbst kein Interesse an den Datenbearbeitungen des jeweiligen Bundesorgans haben und daher ausserhalb seiner Rolle als Datenschutzberater auch nicht darin involviert sein. Er muss über die nötigen Ressourcen und Zugangsrechte verfügen und sich an die oberste Leitung wenden können; seine Kontaktdaten müssen publiziert und er muss dem EDÖB gemeldet werden (Art. 27 DSV).

    Der Datenschutzberater kann sowohl intern als auch extern besetzt werden. Im Falle einer externen Besetzung kommt auch eine juristische Person als formaler Auftragnehmer in Frage, aber die Aufgabe muss von einer bestimmten natürlichen Person ad personam ausgeführt werden, auch wenn sie auf weitere Fachkräfte zurückgreifen darf und ihr Name nicht publiziert werden muss. Dieselbe Person kann für mehrere Bundesorgane tätig sein.

    Kommt eine Servicegesellschaft zum Einsatz und hat sie selbst eine Stelle für den Datenschutz, so empfiehlt es sich, eine davon unabhängige Person als Datenschutzberater zu mandatieren. Wir empfehlen in solchen Fällen, dass diese Aufgabe nicht eine Person innerhalb der Servicegesellschaft übernimmt, sondern eine unabhängige Stelle, die direkt gegenüber der Stiftung rechenschaftspflichtig ist. Damit können drei Fliegen mit einer Klappe geschlagen werden:

    – Erstens ist damit das gesetzliche Erfordernis der Benennung eines Datenschutzberaters erfüllt.
    – Zweitens werden etwaige Interessenkonflikte vermieden.
    – Drittens kommen auch die Stiftungsräte damit ihrer Sorgfaltspflicht nach, die Datenbearbeitung durch die Servicegesellschaft zu überwachen. Das ist nicht zuletzt wichtig, damit sich die einzelnen Stiftungsräte vor einer strafrechtlichen Verantwortlichkeit unter dem revDSG schützen können, die mindestens im überobligatorischen Bereich auch für sie bestehen kann, wenn sie die vom revDSG sanktionierten Verstösse nicht verhindert. Um dies zu erreichen, müssen die Stiftungsräte die Stellen, denen sie die Datenbearbeitung delegieren, sorgfältig ausgewählt, instruiert und überwacht werden.

    Die Erfahrung zeigt, dass die Einhaltung des Datenschutzes von den Stiftungsräten heute nicht überwacht wird. Die meisten Stiftungsräte sind vielmehr im Blindflug, was den Datenschutz der Servicegesellschaft betrifft. Hat die Stiftung ihren eigenen Datenschutzberater, kann sie ihn alle sechs bis zwölf Monate die Datenschutz-Compliance der Geschäfte prüfen und ihr Bericht erstatten lassen. Für diese Zwecke haben wir übrigens den VISCHER Privacy Score entwickelt: Die Servicegesellschaft wird aufgefordert, das Excel entsprechend dem Stand der Dinge auszufüllen. Der Datenschutzberater prüft das Ergebnis und erstattet den Stiftungsräten seinen Bericht und Empfehlungen, die dann ggf. von der Servicegesellschaft umzusetzen sind.

    Ein externer Datenschutzberater kostet zwar, aber die Kosten sind nach unserer Erfahrung nicht sehr hoch, da er keine extensive Überwachung und Beratung vornehmen muss. Bei der Lösung, die wir vom VISCHER Data & Privacy Team unseren Klienten vermitteln, muss beispielsweise mit Kosten ab CHF 500 im Monat gerechnet werden. Wer eine unabhängige interne Lösung realisieren kann, fährt noch günstiger, allerdings haben viele der Institutionen diese nicht, gerade weil sie so aufgestellt sind, dass sie alle Arbeiten an die Servicegesellschaften delegieren.
  • Datenschutzerklärung (Art. 19 revDSG): Sie wird unter dem revDSG grundsätzlich zur Pflicht. Bundesorgane brauchen zwar aufgrund einer Ausnahmeregelung normalerweise keine Datenschutzerklärung, jedenfalls soweit ihre Datenbearbeitung sich im Rahmen dessen bewegt, was das Gesetz vorsieht (Art. 26 revDSG). Die Informationspflicht besteht jedoch selbst für Bundesorgane, wo diese systematisch Personendaten beschaffen, ohne dass sich die Bundesorgane auf eine Pflicht der betroffenen Personen zur Bekanntgabe der Daten berufen können (Art. 30 DSV). Weil eine Datenschutzerklärung für die Datenbearbeitungen im überobligatorischen Bereich ohnehin erforderlich ist, empfehlen wir, dass eine solche für alle Tätigkeiten publiziert wird. Dies kann in der Regel die Servicegesellschaft tun, auch wenn sie darin auf die jeweilige Stiftung bzw. ihren Auftraggeber und Mitverantwortlichen hinweisen muss.
  • Meldung von Projekten an den EDÖB (Art. 31 DSV): Bundesorgane müssen anders als private Organisationen dem EDÖB melden, wenn sie eine neue Computeranwendung einführen wollen. Damit ist nicht der Ersatz einer bestehenden Software oder beispielsweise die Migration in die Cloud gemeint, sondern die Einführung einer neuen Bearbeitungsaktivität, also, wenn eine PK für ihre Versicherten bzw. Destinatären beispielsweise eine neue Self-Service-App einführt. Die Meldepflicht dient vor allem dazu, den EDÖB auf dem Laufenden zu halten, was wo in der Bundesverwaltung läuft. Es ist dies kein Bewilligungsverfahren.
  • Datenschutz-Folgenabschätzungen (Art. 22 revDSG): PK-Stiftungen und OKP- und UVG-Versicherer werden in aller Regel für ihre Kernbearbeitungstätigkeiten eine Datenschutz-Folgenabschätzung (DSFA) durchführen müssen. Die Ausnahmeregelung für gesetzliche Bearbeitung gilt für sie nicht. Eine DSFA durchzuführen ist weniger aufwändig als es auf den ersten Blick erscheinen mag. Auch hierfür gibt es Vorlagen, mit welchen diese Aufgabe durchgeführt werden kann.

    Nicht auf den ersten Blick klar ist, ob die Pflicht zur Durchführung einer DSFA auch dann gilt, wenn ab dem 1. September 2023 nur bestehende Datenbearbeitungen fortgeführt werden. Konzeptionell ist das Instrument der DSFA so ausgelegt, dass es vor der Einführung einer Datenbearbeitung anzuwenden ist. Die Übergangsregelung in Art. 69 revDSG impliziert jedoch, dass Art. 22 revDSG nur dann nicht gelten soll, wenn bei einer vorbestehenden Datenbearbeitung nach dem 1. September 2023 keine neuen Daten beschafft werden und sie unverändert bleibt. Daraus kann im Umkehrschluss gefolgert werden, dass auch für bestehende Datenbearbeitungen, für welche an sich nach Art. 22 revDSG eine DSFA durchgeführt werden muss, eine solche zum 1. September 2023 hin vorzunehmen ist. Das kann nicht nur die Kernprozesse betreffen, sondern auch Zusatzanwendungen wie beispielsweise ein App für Arbeitgeber oder Arbeitnehmer.
  • Rechtsgrundlage für Profiling (Art. 34 revDSG): Schon bisher benötigten Bundesorgane für ihre Bearbeitungstätigkeiten eine Rechtsgrundlage. Ab dem 1. September 2023 ändert sich aber, dass eine gesetzliche Grundlage im formellen Sinn neu für jedes Profiling erforderlich wird. Als Profiling gilt nicht das Erstellen von Persönlichkeitsprofilen, wie der Begriff vermuten lässt, sondern jede automatisierte Bewertung von Eigenschaften einer Person – selbst wenn dies einzig nach einer vom Benutzer im Computer einprogrammierten Regel erfolgt. Der Begriff der "Bewertung" umfasst mithin alle Selektionen oder Auswertungen, denen ein Ermessen in der Beurteilung einer Person zugrunde liegt.

    Die neue Regelung ist also strenger als das bisherige Recht. Bisher war für viele dieser Fälle keine Grundlage in einem formellen Gesetz erforderlich. Stellt eine PK beispielsweise eine Liste derjenigen Personen zusammen, die möglicherweise an einem bestimmten Angebot interessiert sind, liegt bereits ein Profiling vor. Gibt es dafür keine Grundlage in einem formellen Gesetz, ist dies normalerweise unzulässig. Solche Aktivitäten müssen also auf den überobligatorischen Bereich beschränkt werden.
  • Ausnahme von den Strafbestimmungen (Art. 60 ff. revDSG): Das revDSG bringt neue oder ausgebaute Strafnormen mit sich. Diese gelten allerdings nur für "private Personen". Wenn also eine Servicegesellschaft oder Stiftung im obligatorischen Bereich eine der sanktionierten Bestimmungen des revDSG verletzt, hat dies keine private Person als Verantwortliche getan, weshalb auch keine Strafbarkeit der natürlichen Personen gegeben ist, die für sie handeln. Betrifft der Verstoss allerdings gleichzeitig auch den überobligatorischen Bereich, greift die Strafnorm. Im obligatorischen Bereich sind die Servicegesellschaften, PK-Stiftungen und weiteren "privaten" Bundesorgane also etwas bessergestellt als privatwirtschaftliche Institutionen, aber faktisch nur geringfügig.

Wer soll sich um welche Pflichten kümmern?

Die Aufstellung der Sonderpflichten zeigt, dass auf PK-Stiftungen, ihre Servicegesellschaften und weiteren "privaten" Bundesorgane einige zusätzliche Aufgaben zukommen – dies wegen ihrer Qualifikation als öffentliche Organe. Eine "de minimis"-Regelung gibt es dabei leider nicht, auch wenn davon auszugehen ist, dass der Gesetzgeber wohl nicht vor Augen hatte, dass seine strengeren Vorgaben nicht nur von der Bundesverwaltung und den weiteren Anstalten des Bundes zu befolgen sind, sondern eben auch von vielen sehr kleinen Organisationen der Privatwirtschaft. Ändern wird sich daran aber so rasch nichts.

In der Praxis stellt sich dabei die Frage, wer sich um welche Pflichten kümmern soll. Hier hat sich bewährt, dass die operative Umsetzung der Datenschutz-Compliance derjenigen Stelle auferlegt wird, welche die Geschäftsführung innehat. Das wird bei den meisten PK-Stiftungen die jeweilige Servicegesellschaft sein. Diese Stelle wird als Teil ihrer Geschäftsführungsaufgaben den Mitarbeitern die nötigen Weisungen erteilen, Betroffenenbegehren beantworten lassen, für eine angemessene Datensicherheit und passende Verträge mit den Auftragsbearbeitern sorgen, das Bearbeitungsverzeichnis führen, die Datenschutzerklärung unterhalten, die DSFA durchführen und die weitere Dokumentation, die oben erwähnt ist, sicherstellen.

Einen Überblick über die für den Datenschutz nach revDSG nötigen, sinnvollen und nützlichen Dokumente haben wir hier auf einer Seite zusammengestellt (wir bieten diese bei Bedarf alle an):

Die obersten (gesetzlichen) Leitungsorgane der PK-Stiftungen und weiteren "privaten" Bundesorgane sollten sich dagegen um die Oberaufsicht über die Einhaltung des Datenschutzes kümmern, was ein regelmässiges Reporting zu diesem Thema erfordert. Hierfür kann, wie oben dargelegt, der Datenschutzberater eingesetzt werden, der ohnehin benannt werden muss. Einen solchen wird jede PK-Stiftung oder anderes privates Bundesorgan zwar selbst und separat ernennen müssen, auch wenn sie nur eine von vielen ist, welche eine bestimmte Servicegesellschaft betreut. Auch das Bearbeitungsverzeichnis, das Bearbeitungsreglement, die Datenschutzerklärung etc. wird für jedes Bundesorgan formal separat geführt werden müssen. Betreut eine Servicegesellschaft jedoch mehrere Stiftungen auf dieselbe Art und Weise, kann sie dieselben Inhalte für alle Stiftungen verwenden und damit Skaleneffekte erzielen, d.h. die Kosten tief halten. Sie kann mithin die Datenschutz-Compliance als einen weiteren Service ihrer Leistung verkaufen, auch wenn sie die Compliance auch aus eigener Pflicht erfüllen muss.  

Melden Sie sich bei uns, wenn Sie weitere Fragen haben oder Unterstützung oder einen gesetzlichen Datenschutzberater brauchen. Wir helfen Ihnen gerne weiter.

Autor: David Rosenthal

Autor