Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch
Bern, den 8. Juli 2009
Empfehlung
gemäss
Art. 27 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG)
betreffend
die Zustellung von Pensionskassenausweisen an die Arbeitgeber durch die Einrichtung der beruflichen Vorsorge X (nachfolgend Einrichtung X).
I.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
1 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurde von betroffenen Bürgern darauf aufmerksam gemacht, dass die Einrichtung X, den persönlichen Pensionskassenausweis nicht direkt an die versicherte Person, sondern an die Adresse des Arbeitgebers sendet. Der Arbeitgeber verteilt die Pensionskassenausweise anschliessend an seine Arbeitnehmer.
2 Der EDÖB ist grundsätzlich davon ausgegangen, dass eine Verletzung des Datenschutzes vorliegen könnte und hat daher mit der Einrichtung X Kontakt aufgenommen. Aufgrund der zur Verfügung gestellten Unterlagen geht hervor, dass die Einrichtung X die persönlichen Pensionskassenausweise nicht an die Privatadresse der versicherten Person, sondern direkt an eine vom Arbeitgeber genannte Couvertadresse mit dem Vermerk „vertraulich“ sendet.
3 Inhaltlich enthält der Pensionskassenausweis neben den Stammdaten über die versicherte Person, Daten betreffend Leistungen im Alter, Leistungen bei Invalidität, Leistungen im Todesfall, Entwicklung der Altersguthaben sowie eine Rubrik Freizügigkeit. Unter dieser Rubrik Freizügigkeit wird das Total der eingebrachten Freizügigkeitsleistung, die Freizügigkeitsleistung und der mögliche Betrag für den Vorbezug zugunsten Wohneigentum ausgewiesen. Ausserdem erscheinen auf dem Pensionskassenausweis Informationen über den möglichen Einkauf und die Beiträge sowie Angaben über die Zusammensetzung der Personalvorsorge Kommission.
4 Zusätzlich können, laut Auskunft der Einrichtung X , situations-/systembedingt noch weitere Informationen unter der Rubrik Hinweise auf dem Pensionskassenausweis vermerkt sein, so z. B. die Vormerkung Bezug Alterskapital statt Rente, eingeschränkter Versicherungsschutz,
2/8
Meldung Erwerbsunfähigkeit, Anspruch auf Invaliditätsleistungen, temporäre Erwerbsunfähigkeit, provisorischer Versicherungsschutz.
5 Der EDÖB hat der Einrichtung X in mehreren Schreiben begründet, weshalb die praktizierte Datenweitergabe an den Arbeitgeber nicht datenschutzkonform ist. Im Schreiben vom 3. Juni 2008 hat der EDÖB zwei Varianten vorgeschlagen, wie das rein organisatorische Problem datenschutzkonform und gleichzeitig wirtschaftsfreundlich gelöst werden könnte. Nachdem eine interne Arbeitsgruppe der Einrichtung X die unterbreiteten Vorschläge geprüft hatte, teilte die Einrichtung X dem EDÖB mit, dass sie keinen der unterbreiteten Vorschläge annehmen und an der bisherigen Datenbearbeitungspraxis festhalten wolle. Auch der nachfolgende Schriftenwechsel zwischen dem EDÖB und der Einrichtung X führte zu keiner Einigung.
II.
Erwägungen des Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten
Zuständigkeit des EDÖB 6 Der Pensionskassenausweis, den die Einrichtung X aufgrund von Informationen der versicherten Person und des Arbeitgebers bearbeitet, enthält Daten, die nach Art. 3 lit. a DSG als Personendaten zu qualifizieren sind. Je nachdem ob unter der Rubrik Hinweis auch noch Gesundheitsdaten aufgelistet werden, sind diese Daten zudem nach Art. 3 lit. c Ziff. 2 DSG als besonders schützenswerte Personendaten zu qualifizieren.
7 Unter „Bearbeiten“ im Sinne von Art. 3 lit. e DSG wird jeder Umgang mit personenbezogenen Informationen verstanden, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten. Die Einrichtung X beschafft Informationen von Versicherten und Arbeitgebern und erstellt hieraus einen persönlichen Pensionskassenausweis. Daher liegt eine Datenbearbeitung im Sinne von Art. 3 lit. e DSG vor.
8 Unter „Bekanntgeben“ definiert Art. 3 lit. f DSG das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben und Veröffentlichen. Nach der Lehre ist darunter jede aktive Weitergabe und jedes passive Zugänglichmachen zu verstehen, die es einem Dritten ermöglichen, vom Inhalt der personenbezogenen Daten Kenntnis zu nehmen (BSK DSG, Urs Belser, Art. 3 N 30). Die Datenbekanntgabe ist datenschutzrechtlich einer der heikelsten Bearbeitungsschritte, weil die Daten den ursprünglichen Herrschaftsbereich verlassen und in den Bereich eines Dritten gelangen, wodurch ein hohes Potential für Persönlichkeitsverletzungen geschaffen wird. Eine Bekanntgabe liegt vor, wenn durch eine Datenbearbeitung eine Person Zugang zu Informationen erhält, die ihr vorher nicht bekannt waren oder wenn der Umfang der Personendaten, die einem bestimmten Personenkreis zugänglich sind, erweitert wird (YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, Art. 3 DSG N 74 f.).
9 Als Dritter wird jede andere Person oder Stelle und jedes andere Bundesorgan betrachtet, das nicht mit dem Datenbearbeiter übereinstimmt. Es sind dies Personen, welche Zugang zu Informationen erhalten, welche ihnen vorgängig nicht bekannt waren (YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, Art. 3 DSG N 74). So gelten im Versicherungsbereich alle Personen oder Stellen ausserhalb des Versicherungsträgers des betreffenden Sozialversicherungszweiges, so etwa Arbeitgeber, andere (Privat-) Versicherungen oder sonstige Behörden als Dritte. Nichts anderes gilt, wenn der betreffende Sozialversicherungsträger rechtlich oder faktisch mit einer anderen Versicherung verbunden ist (etwa Zusatzversicherung, berufliche Vorsorge). Ist ein Sozialversicherer gleichzeitig als Privatversicherer tätig, hat er die
3/8
Schweigepflicht gegenüber den Privatversicherern zu wahren. Die Schweigepflicht ist grundsätzlich auch innerhalb der Behörde zu beachten. Daran ändert nichts, dass diese Personen innerhalb des Versicherungsträgers ihrerseits der Schweigepflicht unterstehen (KIESER UELI, ATSG Kommentar, 2. Auflage, Zürich/Basel/Genf 2009, Art. 33 N 10 f.). Da der Arbeitgeber gegenüber der Einrichtung X Dritter ist, gibt diese mit der Zustellung des Pensionskassenausweises einer bei ihr versicherten Person an deren Arbeitgeber Personendaten bekannt und ermöglicht es dem Arbeitgeber vom Inhalt der personenbezogenen Informationen Kenntnis zu nehmen. Hierbei handelt es sich, entgegen den Ausführungen der Einrichtung X, um Information, über welche die Einrichtung X vorgängig nicht verfügt hat (siehe unten).
10 Nach Art. 3 lit. h DSG gelten als Bundesorgane, Behörden und Stellen des Bundes, soweit sie mit Aufgaben des Bundes betraut sind. Private werden nur soweit wie Bundesorgane behandelt, als sie Personendaten für die Erfüllung einer öffentlichen Aufgabe des Bundes bearbeiten. In den anderen Fällen unterstehen sie dem Privatrecht (BSK-DSG, URS MAURER-LAMBROU/SIMON KUNZ, Art. 2 N 15 f.; BSK DSG Kommentar, URS BELSER, Art. 3 N 35). Wenn eine Privatperson sowohl private Aufgaben als auch öffentlich-rechtliche Aufgaben des Bundes wahrnimmt, gilt sie für die öffentlich-rechtliche Aufgaben als Bundesorgan i. S. v. Art. 2 Abs. 1 lit. b DSG und Art. 3 lit. h DSG (BSK DSG, URS MAURER-LAMBROU/SIMON KUNZ, Art. 2 N 15 f.; BSK DSG, URS BELSER Urs, Art. 3 N 35). Die Einrichtung X bietet im Bereich des Bundesgesetzes über die berufliche Alters-, Hinterlassenen- und Invalidenversicherung (BVG, SR 831.40) sowohl im obligatorischen als auch im überobligatorischen Bereich Versicherungen an. Auf dem Pensionskassenausweis können Daten sowohl aus der obligatorischen als auch der überobligatorischen Versicherung aufgelistet sein. Zwischen der Vorsorgeeinrichtung und dem Versicherten besteht kein vertragliches, sondern ein gesetzliches Rechtsverhältnis, das mit Antritt des Arbeitsverhältnisses wirksam wird (Art. 10 BVG). Die Vorsorgeeinrichtung ist zur Leistungserbringung in der obligatorischen Vorsorgeversicherung verpflichtet. Die Einrichtung X ist in diesem Bereich als Bundesorgan gemäss Art. 3 lit. h DSG anzusehen, da ihr eine öffentlich-rechtliche Bundesaufgabe übertragen wurde.
11 Das DSG ist anwendbar, da die Einrichtung X als Bundesorgan Personendaten bearbeitet und nach Art. 2 Abs. 2 DSG keine Ausnahmen vom Geltungsbereich vorliegen. 12 Da die Einrichtung X Personendaten in der obligatorischen Vorsorgeversicherung im Sinne von Art. 3 lit. e DSG bearbeitet und als Bundesorgan nach Art. 2 Abs. 1 lit. b DSG i.V. mit Art. 3 lit. h DSG anzusehen ist, kommt das DSG zur Anwendung. Bundesorgane haben neben den allgemeinen Datenschutzbestimmungen nach Art. 4 – 11 DSG grundsätzlich die Bestimmungen von Art. 16 – 25 bis DSG zu berücksichtigen.
13 Die Aufsicht für Bundesorgane richtet sich nach Art. 27 DSG. Der EDÖB überwacht nicht nur die Einhaltung des Datenschutzgesetzes sondern auch die übrigen datenschutzrechtlichen Erlasse des Bundes (BBl 1988 II 479). Er klärt von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab (Art. 27 Abs. 2 DSG). Ergibt die Abklärung, dass Datenschutzvorschriften verletzt werden, empfiehlt der EDÖB, das Bearbeiten zu ändern oder zu unterlassen (Art. 27 Abs. 4 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, so kann die Angelegenheit dem Departement zum Entscheid vorgelegt werden (Art. 27 Abs. 5 DSG). Gegen die der betroffenen Person mitgeteilte Verfügung und gegen den Entscheid der Beschwerdebehörde kann der EDÖB Beschwerde führen (Art. 27 Abs. 6 DSG i.V.mit Art. 35 lit. b des Bundesgesetzes vom 17. Juni 2005 über das Bundesverwaltungsgericht [Verwaltungsgerichtsgesetz, VGG, SR 173.32]).
14 Demzufolge ist der EDÖB für den Erlass der Empfehlung zuständig und berechtigt.
4/8
Inhaltliches 15 Gegenstand der vorliegenden Empfehlung ist die Datenbearbeitung der Einrichtung X in ihrer Funktion als Bundesorgan im Bereich der obligatorischen Vorsorgeversicherung. Für den Bereich der über-obligatorischen Vorsorgeversicherung ist die Einrichtung X als Privatperson einzustufen, auf welche grundsätzlich die allgemeinen Datenschutzbestimmungen nach Art. 4 bis Art. 11 DSG und die Datenschutzbestimmungen nach Art. 12 – 15 DSG zur Anwendung kommen. Die Aufsicht richtet sich in diesem Fall nach Art. 29 DSG. Der EDÖB behält sich vor, für den Bereich der überobligatorischen Vorsorgeversicherung eine separate Empfehlung zu erlassen.
16 Bundesorgane dürfen Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Für die Bearbeitung von Personendaten durch Bundesorgane gilt somit der Grundsatz des Verbots der Datenbearbeitung mit Erlaubnisvorbehalt. Zudem müssen Bundesorgane, soweit nicht besondere gesetzliche Vorschriften bestehen, bei der Datenbearbeitung immer auch die Grundsätze von Art. 4 DSG beachten (BBl 1988 467).
17 Nach Art. 19 DSG dürfen Bundesorgane Daten nur bekannt geben, wenn dafür eine Rechtsgrundlage im Sinne von Art. 17 DSG besteht oder die Ausnahmen gemäss Art. 19 DSG vorhanden sind. Werden besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet, ist ein Gesetz im formellen Sinn erforderlich (Art. 17 Abs. 2 DSG), es sei denn, es kommen die Ausnahmen von Art. 17 Abs. 2 lit. a – c DSG zum Zuge.
18 Die gesetzliche Grundlage besteht, wenn die Weitergabe der Daten in einem Gesetz, einer Verordnung oder in einem Vertrag vorgesehen ist. Sie muss sich ausdrücklich auf den Transfer der Daten als solchen beziehen, d.h. sie muss eine Ermächtigung oder Verpflichtung zur Datenbekanntgabe enthalten. Hingegen spielt es keine Rolle, ob die Datenbekanntgabe ein Recht oder eine Pflicht der bekannt gebenden Behörde oder als Anspruch des Empfängers der Daten umschrieben wird. Der Artikel 19 DSG stellt eine Art allgemeine Amts- und Rechtshilfebestimmung und eine Ausführungsbestimmung zum allgemeinen Amtsgeheimnis dar. Auch wenn die Voraussetzungen nach Art. 19 DSG erfüllt sind, muss das zuständige Organ zusätzlich noch prüfen, ob mit der Bekanntgabe nicht gegen die Grundsätze von Artikel 4 DSG verstossen wird (BBl 1988 469).
19 Nach Art. 19 Abs. 4 DSG ist die Datenbekanntgabe an Dritte abzulehnen, einzuschränken oder mit Auflagen zu versehen, wenn gesetzliche Geheimhaltungs- und Schweigepflichten bestehen. 20 Im Bereich des BVG bestehen datenschutzrechtliche Spezialbestimmungen (Art. 85a BVG, Art. 85b BVG, Art. 86 BVG, Art. 86a BVG und Art. 87 BVG) die als lex specialis dem DSG vorgehen (BBl 1988 II 471, 1988 II 444). Die Bestimmungen sind mit dem Bundesgesetz vom 23. Juni 2000 ins BVG eingefügt worden und ersetzen die Verordnung vom 7. Dezember 1987 über die Ausnahmen von der Schweigepflicht in der beruflichen Vorsorge und über die Auskunftspflicht der AHV/IV-Organe (VSABV; SR 831.462.2). Sie dienen als Rechtsgrundlage für die Datenbearbeitung im Bereich des BVG. Nach Art. 86 BVG haben Personen, welche an der Durchführung sowie Kontrolle oder Beaufsichtigung der Durchführung des BVG beteiligt sind, gegenüber Dritten Verschwiegenheit zu bewahren. Die in Art. 86 BVG bestehende Schweigepflicht wird durch die Vorschriften der Datenbekanntgabe in Art. 86a BVG - Art. 87 BVG relativiert.
21 Entgegen der Ansicht der Einrichtung X trifft es nicht zu, dass dem Arbeitgeber mit dem Pensionskassenausweis ausschliesslich zusammenfassend diejenigen Informationen übermittelt werden, welche er bereits der Versicherung auf dem Anmeldeformular mitgeteilt hat. Der Pensionskassenausweis ist vom Anmeldeformular klar zu unterscheiden. In beiden Vorgängen werden nicht dieselben Daten bearbeitet und die Empfänger der Daten unterscheiden sich ebenfalls, weshalb eine Datenbekanntgabe vorliegt. Nach Art. 11 BVG hat der Arbeitgeber die Pflicht, sich einer Vorsorgeeinrichtung anzuschliessen oder selbst eine Vorsorgeeinrichtung zu errichten (Mitwirkung bei der Durchführung der Vorsorge). Er hat gegenüber der Vorsorgeeinrichtung beim Anmeldevorgang gemäss Art. 10 der Verordnung über die berufliche
5/8
Alters-, Hinterlassenen- und Invalidenvorsorge (SR 831.441.1, BVV 2) eine Auskunftspflicht. Demgegenüber entspringt die Zustellung des Pensionskassenausweises hingegen der Informationspflicht der Versicherung gegenüber dem Versicherten gemäss Art. 86b BVG (siehe unten). Auf dem Pensionskassenausweis sind Informationen aufgeführt, welche auf dem Anmeldeformular des Arbeitgebers bzw. Arbeitnehmers noch nicht vorhanden waren, so z. B. die Höhe der Freizügigkeitsleistung und allenfalls Gesundheitsdaten. Wenn der Arbeitgeber letztere hinsichtlich der Anmeldung bei der obligatorischen Versicherung einsehen könnte, wäre dies für sich betrachtet bereits nicht datenschutzkonform. Deshalb ist von einer Datenbekanntgabe an einen Dritten auszugehen.
22 Indem die Einrichtung X auf dem Pensionskassenausweis Daten aus der obligatorischen Vorsorgeversicherung (Sozialversicherung) und der überobligatorischen Vorsorgeversicherung (Privatversicherung) in einem Ausweis zusammenfasst, gibt sie gleichzeitig sowohl Daten aus der Sozialversicherung als auch der Privatversicherung dem Arbeitgeber bekannt. Sofern diese Datenbekanntgabe an den Arbeitgeber von der Schweigepflicht nicht ausgenommen ist, muss von einer Verletzung der Schweigepflicht ausgegangen werden (Art. 86 BVG i.V.mit Art. 76 Abs. 4 BVG).
23 Die gesetzliche Grundlage für die Zustellung von Pensionskassenausweisen ist in Art. 86b BVG vorhanden (Informationspflicht des Versicherten). Diese Bestimmung, die mit dem Bundesgesetz vom 3. Okt. 2003 (1. BVG-Revision) eingefügt wurde, ersetzt die Weisungen des Bundesrates über die Pflicht der registrierten Vorsorgeeinrichtungen zur Auskunftserteilung an Ihre Versicherten vom 11. Mai 1988 (BBl 1988 II 641f.). Nach dieser Bestimmung ist die Vorsorgeeinrichtung gesetzlich verpflichtet, den Versicherten jährlich in geeigneter Form zu informieren über a) die Leistungsansprüche, den koordinierten Lohn, den Beitragssatz und das Altersguthaben, b) die Organisation und die Finanzierung und c) die Mitglieder des paritätisch besetzten Organs nach Art. 51 BVG. Neben diesen Mindestinformationen erteilen die Vorsorgeeinrichtungen nach Art. 86b Abs. 2 BVG auf Anfrage des Versicherten hin weitere Informationen (aufgeforderte Datenbekanntgabe). Aufgrund des Gesetzeswortlautes ist klar ersichtlich, dass die im Pensionskassenausweis festgehaltenen Informationen ausschliesslich für die Versicherten bestimmt sind. Es war Absicht des Gesetzgebers, einen allgemeinen Informationsgrundsatz zu schaffen, welcher die Vorsorgeeinrichtungen verpflichtet, ihre Versicherten über deren persönlichen Leistungsansprüche und über die allgemeine Tätigkeit der Vorsorgeeinrichtung jährlich unaufgefordert zu orientieren. Bereits die Weisungen (siehe oben) hatten den Zweck, dass die Vorsorgeeinrichtungen die Versicherten minimal informieren. Sie sind vom Bundesrat erlassen worden, weil er eine sehr unterschiedliche Informationspraxis der Vorsorgeeinrichtungen festgestellt hatte. Die jährliche Information über die konkrete persönliche Vorsorgesituation versetzt die Versicherten sowohl in den Stand die Entwicklung ihrer individuellen Vorsorgesituation jederzeit nachvollziehen als auch sich ein Bild über die gesamte Tätigkeit der Vorsorgeeinrichtung machen zu können. Die verbesserte Information des Versicherten hat zum Ziel mehr Transparenz zu schaffen und verstärkt damit das Vertrauen der versicherten Person in die Vorsorgeeinrichtung und in die berufliche Vorsorge allgemein (BBl 2000 2678 ff., vgl. dazu auch ISABELLE VETTER-SCHREIBER, Berufliche Vorsorge, Kommentar BVG, Art. 86b N 4).
24 Die nach Art. 86b BVG erlaubte unaufgeforderte Datenbekanntgabe dient einzig der Information der versicherten Person, damit sich diese über ihre persönliche Vorsorgesituation und Leistungsansprüche ein Bild machen kann. Sie kann daher nicht als Ermächtigung für die Datenbearbeitung an einen Dritten herangezogen werden. Verletzt die Vorsorgeeinrichtung diese Auskunftspflicht, kann dies strafrechtliche Konsequenzen nach sich ziehen (Art. 75 BVG).
25 Mit der Zustellung des Pensionskassenausweises erfüllt die Einrichtung X eine ihr in Art. 86b BVG gesetzliche vorgegebene Offenlegungs- und Informationspflicht gegenüber dem Versicherten während des Versicherungsverhältnisses. Der Versicherte hat einen rechtlich erzwingbaren Anspruch, dass er jährlich von der Vorsorgeeinrichtung über seine
6/8
Vorsorgesituation unterrichtet wird (ISABELLE VETTER-SCHREIBER, Berufliche Vorsorge, Kommentar BVG, Art. 86b N 3).
26 Eine gesetzliche Grundlage, die es rechtfertigten würde, dass sich der Arbeitgeber einen ersten Überblick über die die persönliche Vorsorgesituation des Arbeitnehmers verschaffen kann und sogar Kenntnis von Gesundheitsdaten erhält, ist in Art. 86b BVG entgegen der Meinung der Einrichtung X gerade nicht vorhanden. Auch kann nicht mit der Begründung, der Arbeitgeber unterliege als Durchführungsorgan der Schweigepflicht die Datenbekanntgabe gerechtfertigt werden. Der Arbeitgeber ist in diesem Fall ungeeignetes Durchführungsorgan, weil er selber ein eigenes Interesse an der Kenntnis der Daten hat. Die Schweigepflicht nach Art. 86 BVG und die Informationspflicht nach Art. 86b BVG sind klar zu unterscheiden. Sie sind einander sachfremd und haben bei Nichtbeachtung unterschiedliche strafrechtliche Folgen (Art. 86 BVG i.V. mit Art. 76 Abs. 4 BVG sowie Art. 86b BVG i.V. mit Art. 75 BVG). Daher ist von einer Verletzung der Schweigepflicht auszugehen, da aus Art. 86b BVG keine gesetzliche Grundlage für die Bekanntgabe des Pensionskassenausweises und damit keine Ausnahme von Art. 86 BVG abgeleitet werden kann.
27 Weiter wäre zu prüfen, ob eine Datenbekanntgabe nach Art. 86a BVG in Frage käme. Art. 86a BVG entspricht sinngemäss Artikel 1 Absatz 1 VSABV (siehe vorgehend). Es wird unterschieden zwischen einer Datenbekanntgabe im Einzelfall auf schriftliches und begründetes Gesuch hin, sowie Fällen, in denen Daten ohne weiteres oder auf Anfrage hin bekannt gegeben werden dürfen. Ferner ist in Fällen, in denen die Datenbekanntgabe an Dritte nicht ausdrücklich vorgesehen ist, die Zustimmung der betroffenen Person erforderlich.
28 Art. 86a Abs. 1 BVG regelt abschliessend die Datenbekanntgabe im Einzelfall aufgrund eines schriftlichen Gesuches durch eine Stelle, welche im Gesetz ausdrücklich genannt ist. Der Arbeitgeber ist nicht erwähnt. Zudem fordert er die Pensionskassenausweise nicht gesuchsweise im Einzelfall an, sondern er bekommt diese von der Versicherung unaufgefordert zugestellt, weshalb Art. 86a Abs. 1 BVG von vorneherein nicht anwendbar ist. Die Angabe einer Zustelladresse durch den Arbeitgeber ändert nichts an der unaufgeforderten Zustellung durch die Vorsorgeversicherung (siehe unten zu Art. 328b OR).
29 Nach Art. 86a Abs. 2 BVG dürften Daten auch unaufgefordert und ausserhalb von Einzelfällen bekannt gegeben werden. So dürften nach Art. 86a Abs. 2 lit. a BVG Daten an den Arbeitgeber bekannt gegeben werden, wenn er mit der Durchführung des gleichen Gesetzes betraut ist, für ihn die Daten für die Erfüllung der ihm nach diesem Gesetz übertragenen Aufgaben erforderlich sind und keine überwiegenden Privatinteressen entgegenstehen. Weder ist in der obligatorischen Vorsorgeversicherung die Erhebung von Gesundheitsdaten durch den Arbeitgeber erlaubt, noch darf der Arbeitgeber bei der überobligatorischen Versicherung Einblick in Gesundheitsdaten erhalten (KURT PÄRLI, Datenaustausch zwischen Arbeitgeber und Versicherung, 1/2004 HAVE/REAS, S. 32 ff.). Es ist kein Grund ersichtlich, wozu der Arbeitgeber auch andere Versichertendaten des Arbeitnehmers für die Erfüllung seiner BVG-Pflichten benötigt. Der Datenbekanntgabe stehen zudem die überwiegenden Privatinteressen des Versicherten entgegen (BGE vom 25. Juli 2001, 2A 96/2000). Grundsätzlich sind die auf dem Pensionskassenausweis enthaltenen Daten nicht besonders schützenswerte Daten im Sinne von Art. 3 lit. c DSG. Im Kontext des Arbeits- und Versicherungsverhältnisses sind Gesundheitsdaten aber nicht auszuschliessen, weshalb Versicherungsdaten eine spezielle Qualität zukommt. Im Pensionskassenausweis der Einrichtung X sind Daten des Versicherten über seine konkrete persönliche Vorsorgesituation aufgeführt, so auch Freizügigkeitsleistungen. Es können aber offenbar auch Gesundheitsdaten mitgeteilt werden, wie eingeschränkter Versicherungsschutz und temporäre Erwerbsunfähigkeit. Der Pensionskassenausweis kann also nicht nur Informationen über die finanzielle Situation des Arbeitnehmers, sondern mitunter auch die gesundheitliche Situation enthalten. Der Arbeitnehmer hat ein überwiegendes Privatinteresse keine vermögens- und versicherungsrechtlichen und allenfalls keine Gesundheitsdaten seinem Arbeitgeber bekannt zu geben. Ausserdem hat der Arbeitgeber nach Art. 328b OR keinen
7/8
Anspruch auf diese Daten (siehe unten). Da der Arbeitnehmer die Versichertendaten des Arbeitnehmers nicht für die Erfüllung der gesetzlichen Pflichten gemäss BVG benötigt und der Arbeitnehmer ein überwiegendes Privatinteresse an der Geheimhaltung seiner persönlichen Daten hat, enthält Art. 86a Abs. 2 lit. a BVG kein Ausnahmegrund von der Schweigepflicht.
30 Wenn überhaupt dürfen Daten weitergegeben werden, wenn sie für den in Frage stehenden Zweck erforderlich sind (Art. 86a Abs. 5 BVG). Es ist nicht ersichtlich, zu welchem vorsorgerechtlichen Zweck der Arbeitgeber die persönlichen Vorsorgedaten seiner Arbeitnehmer benötigt. Deshalb ist nach Art. 86a Abs. 5 BVG die Datenbekanntgabe an den Arbeitgeber zweckwidrig
31 Entgegen der Auffassung der Vorsorgeeinrichtung steht die Datenbekanntgabe an den Arbeitgeber auch nicht im Einklang mit Art. 328b OR und der daraus fliessenden Fürsorgepflicht. Weder benötigt der Arbeitgeber die Kenntnis dieser Daten um seiner Auskunfts- und Fürsorgepflicht nachzukommen, noch benötigt der Arbeitgeber, entgegen der Auffassung der Einrichtung X, die Versicherungsdaten zur Erfüllung des Arbeitsvertrages. Art. 328b OR hat einen weit reichenden Regelungsgehalt. Er beschränkt die zulässige Datenbearbeitung im Arbeitsverhältnis auf den Bezug zum Arbeitsplatz. Demnach darf der Arbeitnehmer Daten nur dann bearbeiten, wenn sie die Eignung des Arbeitsverhältnisses betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Aufgrund seiner aus Art. 328b OR fliesenden Fürsorgepflicht hat der Arbeitgeber alles zu unterlassen, was den berechtigten Interessen des Arbeitsnehmers schaden könnte. Persönliche Verhältnisse, Eigenschaften, Neigungen, die nicht wesentlich die beruflichen Fähigkeiten bestimmen, gehen den Arbeitgeber nichts an und dürfen von ihm weder erfragt noch gespeichert werden (MARTIN WINTERBERGER-YANG, Basler Kommentar, Art. 328b/362 OR N 1 ff.). So stehen nach Art. 328b OR bereits Lohndaten früherer Arbeitgeber in keinen Zusammenhang mit dem aktuellen Arbeitsverhältnis. Zudem dürfte der Arbeitgeber auch keinen Zugang zum Gesundheitsfragenbogen haben (MARTIN WINTERBERGER- YANG, BSK DSG, Art. 328b OR, N2 ff. N 8 und N 13). Bereits unter dem Blickwinkel des Art. 328b OR dürfte der Arbeitnehmer keine Kenntnis haben von den persönlichen Vermögensverhältnissen und den Gesundheitsdaten. Davon abgesehen ist Art. 328b OR keine Ausnahme, welche Art. 86 BVG relativieren würde.
32 Entgegen der Meinung der Einrichtung X ist nicht der Arbeitgeber für die Zustellungspraxis der Einrichtung X datenschutzrechtlich verantwortlich. Vorliegend ist es nicht der Arbeitgeber, der diese Daten einfordert, sondern die Einrichtung X, welche diese Daten dem Arbeitgeber unaufgefordert zusendet. Daran ändert nichts, dass der Arbeitgeber auf Aufforderung der Versicherung hin eine Zustelladresse angibt und die Versicherung die Pensionskassenausweise an diese Adresse, gemäss eigener Mitteilung, mit dem Vermerk „vertraulich“ zustellt. Bevor die Daten in den Herrschaftsbereich des Arbeitgebers gelangen, verlassen sie zunächst den Herrschaftsbereich der Versicherung. Da der Arbeitgeber ein Dritter ist und er Daten erhält, die ihm vorher in diesem Umfang nicht bekannt waren, findet eine Datenbekanntgabe an einen Dritten statt. Die Versicherung hat technische und organisatorische Massnahmen zu treffen, damit gewährleistet werden kann, dass die Pensionskassenausweise nicht an den Arbeitgeber, sondern vertraulich an die versicherte Person kommen. Ziel ist es, dass ein allfälliges unbefugtes Bearbeiten von Personendaten verhindert wird. Dieses rein organisatorische Problem kann die Vorsorgeeinrichtung nicht auf die Unternehmen abwälzen (KURT PAULI, Basler Kommentar Datenschutzgesetz, Art. 7 N 7). Für die Datensicherheit bei der Übermittlung von Pensionskassenausweisen ist nach Art. 7 DSG die Vorsorgeeinrichtung zuständig.
33 Da die Einrichtung X den Arbeitgebern unaufgeforderte Pensionskassenausweise zustellt, welche nicht persönlich an die versicherten Personen adressiert sind, gibt sie einem Dritten ohne gesetzliche Erlaubnis Daten bekannt, weshalb von einer Verletzung der Schweigepflicht auszugehen ist (Art. 86a BVG i. V. m Art. 76 Abs. 4 BVG).
8/8
III.
Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
Die Einrichtung X stellt die von ihr praktizierte Datenbekanntgabe der Pensionskassenausweise von bei ihr versicherten Personen an deren Arbeitgeber unverzüglich ein. Die Einrichtung X versendet die Pensionskassenausweise in einer Art und Weise, dass gewährleistet ist, dass diese direkt und ausschliesslich an die versicherten Personen gelangen. Die Einrichtung X teilt dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innerhalb von 30 Tagen ab Erhalt dieser Empfehlung mit, ob sie die Empfehlung annimmt oder ablehnt. Die vorliegende Empfehlung wird in Anwendung von Art. 30 Abs. 2 DSG in anonymisierter Form publiziert.
EIDGENÖSSISCHER DATENSCHUTZ- UND ÖFFENTLICHKEITSBEAUFTRAGTER
Jean-Philippe Walter
Wird diese Empfehlung nicht befolgt oder abgelehnt, so kann der EDÖB die Angelegenheit dem Eidgenössischen Departement des Innern (EDI) zum Entscheid vorlegen (Art. 27 Abs. 5 DSG). Die Empfehlung wird dem Eidgenössischen Departement des Innern (EDI) zur Orientierung zugestellt (Art. 27 Abs. 4 DSG).