Das revidierte Datenschutzgesetz ist nun seit gut zwei Jahren in Kraft. Dies gibt Anlass zu einem Rückblick auf die ersten Erfahrungen und einem Ausblick auf die weitere Entwicklung.
Ausgangssituation
Für die Pensionskassen hat das per 1. September 2023 revidierte Datenschutzgesetz neue Anforderungen hinsichtlich der Bearbeitung von Personendaten mit sich gebracht. Die meisten Pensionskassen haben sich inzwischen mit dem Thema Datenschutz-Compliance näher befasst. Zunächst galt es, die eigene Situation datenschutzrechtlich zu erfassen und einzuordnen.
Handlungsbedarf gab es beispielsweise in folgenden Bereichen:
- Erstellen eines Verzeichnisses der Bearbeitungstätigkeiten und Registrierung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
- Analyse der Rechtsbeziehungen mit Dritten: Datenschutzrechtliche Qualifikation als Verantwortlicher oder Auftragsbearbeiter; Erstellen und Verhandeln entsprechender Verträge
- Datenschutzerklärungen: Information der von Datenbearbeitungen Betroffenen
- Ernennung eines Datenschutzberaters und Registrierung beim EDÖB
- Erstellen eines Bearbeitungsreglements / einer internen Datenschutzrichtlinie
- Prüfen, Etablieren und Dokumentieren von technischen und organisatorischen Massnahmen (TOM’s)
- Etablieren von Prozessen, z. B. für Auskunftsbegehren und Verletzungen der Datensicherheit
- Analyse von Datentransfers und Treffen von Massnahmen, z. B. Reduktion / Anonymisierung von Personendaten, Erkennen von (nicht offensichtlichen) Transfers ins Ausland
Erste Erfahrungen mit dem Datenschutzgesetz
Datenschutz-Compliance war in den vergangenen zwei Jahren vermehrt ein Thema – nicht nur, aber auch bei Pensionskassen. Folgende Entwicklungen waren dabei unter anderem zu beobachten:
- Der EDÖB hat seit Inkrafttreten des neuen Gesetzes diverse Merkblätter, Leitfäden und Vorlagen publiziert.
- Der EDÖB führte einige Untersuchungen zu Datenschutzverletzungen durch – soweit ersichtlich, betraf keine davon eine Pensionskasse. Dennoch waren Pensionskassen verschiedentlich von DatenschutzVerletzungen betroffen.
Typische Beispiele waren:
- Versand personenbezogener Daten an falsche Adressaten
- Datenleck bei Subunternehmern
- Weiterleiten von über den Bearbeitungszweck hinausgehenden Personendaten oder fehlende Pseudonymisierung von Personendaten bei der Weiterleitung an Drittparteien
- Die ersten einschlägigen Strafverfahren, mit welchen sich die kantonale Justiz beschäftigte, betrafen unter anderem unbeantwortete, zu spät beantwortete und unvollständig beantwortete Auskunftsgesuche. Die daraus fliessenden ersten Erkenntnisse sind bei der Beantwortung von Auskunftsgesuchen umzusetzen. Es bestätigt sich, dass Prozesse zur Sicherstellung der Einhaltung von Fristen sowie eine sorgfältige Formulierung von Antworten auf Auskunftsgesuche wichtig sind.
- Seit dem 1. April 2025 gilt für Cyberangriffe auf kritische Infrastrukturen eine Meldepflicht an das Bundesamt für Cybersicherheit (BACS). Auch Pensionskassen sind grundsätzlich meldepflichtig und müssen daher, wenn sie mit einem Cyberangriff konfrontiert sind, abklären, ob konkret eine Meldepflicht besteht.
- Versicherte, Mitarbeiter von Pensionskassen und Dienstleister sind inzwischen stärker sensibilisiert hinsichtlich Datenschutz, es kommen vermehrt Fragen auf.
Festellen lässt sich schliesslich in der Praxis, dass Löschkonzepte häufig noch nicht vollständig aufgesetzt und technisch implementiert sind. Es werden teilweise ausdrückliche Einwilligungen von Datensubjekten verlangt, welche nach Schweizer Recht nicht zwingend erforderlich wären, und die Datenbearbeitung wird damit unnötig erschwert. In solchen Fragen empfiehlt sich jeweils eine sorgfältige Abklärung der rechtlichen Anforderungen und technischen Möglichkeiten zum Schutze der Interessen der Pensionskassen und ihrer Destinatäre.
Ausblick
Datenschutz-Compliance ist mit der Umsetzung der neuen Anforderungen nicht abgeschlossen – vielmehr ist sie ein laufender Prozess, der gesteuert und überwacht werden muss. Die zunehmende Digitalisierung (einschliesslich KI) zeigt in der Praxis auch, dass ITSicherheit und Datenschutz eng zusammenhängen.
Wie der Datenschutzberater seine Aufgaben erfüllt, wie die Pensionskasse ihre Datenschutz-Compliance regelt, ist gesetzlich nicht festgelegt. Dies gibt den Pensionskassen jetzt die Chance, ihre Datenschutz-Compliance passend auf ihre konkrete Situation zu entwickeln (z. B. Einbezug IKS, regelmässiges Reporting Datenschutzberater, Schulungen angepasst auf PK-Themen und ergänzend zu den Datenschutz-Schulungen beim Arbeitgeber, konkrete Prozesse im Falle einer Datenschutz-Verletzung).
Das Umfeld einer Pensionskasse ist in Bewegung. So werden neue Dienstleister beigezogen, es gibt neue Subunternehmer oder eine neue IT-Software wird genutzt, für die Datenschutz-Compliance wichtige Personen verlassen das Unternehmen oder übernehmen eine neue Aufgabe, die rechtlichen Rahmenbedingungen entwickeln sich.
Dies gebietet es, die wesentlichen Unterlagen und Prozesse regelmässig auf ihre Aktualität zu kontrollieren und gegebenenfalls anzupassen. Je nachdem wird auch eine Datenschutz-Folgenabschätzung oder eine Prüfung der Daten- und IT-Sicherheit oder eine Anpassung von Verträ- gen erforderlich sein. Es hängt dabei von den konkreten Umständen im Einzelfall ab, welche Aspekte in welcher Tiefe und Häufigkeit zu beurteilen sind. Sind die Verträge und die Zusammenarbeit mit Dienstleistern etabliert und die Verhältnisse statisch, ist der Handlungsbedarf gering. Werden neue Tools, Software, Dienstleister etc. eingeführt, ist eine Prüfung auch aus Sicht von Datenschutz und IT-Sicherheit nötig.
Auch die periodische Sensibilisierung von Mitarbeitern lohnt sich, da Datenschutz-Verletzungen oft auf Unachtsamkeit oder Unwissen zurückzuführen sind. Zur Minimierung der Risiken lohnt es sich auch, kritischen Anwendungen und Pflichten, deren Verletzung zu Strafen führen kann, besondere Beachtung zu schenken.
