Das Bundesamt für Sozialversicherungen BSV hat mit Datum vom 11. Mai 2023 die “Mitteilungen über die berufliche Vorsorge Nr. 161″ veröffentlicht. Die Mitteilungen enthalten “Hinweise” und “Stellungnahmen” zu diversen Themen und Rechtsprechungshinweise.
Die Hinweise betreffen auch die Totalrevision des DSG und entsprechende Anpassungen im Bereich der beruflichen Vorsorge. Leider oder glücklicherweise äussert sich das BSV nicht zur umstrittenen, aber sehr praxisrelevanten Frage, ob die Geschäftsführerin einer Vorsorgeinrichtung als Auftragsbearbeiterin oder aber als Verantwortliche tätig ist. Bemerkenswert ist aber folgender Hinweis auf die ausser- oder überobligatorische Vorsorge, bei der Vorsorgeeinrichtungen nicht als Bundesorgane, sondern als Private tätig sind:
Im Bereich der weitergehenden und ausserobligatorischen Vorsorge gelten orsorgeeinrichtungen als Private und unterstehen daher den Vorschriften des DSG (mit den Ausnahmen von Art. 49 Abs. 2 BVG). Geltungsbereich und Grundsätze des Datenschutzes bleiben auch nach der Totalrevision des DSG im Wesentlichen unverändert: Die Bearbeitung von Personendaten durch eine Vorsorgeeinrichtung unterliegt dem privatrechtlichen Persönlichkeitsschutz. Sie muss rechtmässig erfolgen und darf nicht unverhältnismässig, muss also in Einzelfall zweckmässig und erforderlich sein. Erhöhte Anforderungen bestehen hinsichtlich der Bearbeitung von besonders schützenswerten Personendaten (z.B. Gesundheitsdaten), womit Vorsorgeeinrichtungen regelmässig zu tun haben. Die Bearbeitung solcherart Daten, zu der auch deren Aufbewahrung und Weitergabe zählt, setzt im Bereich der über- und ausserobligatorischen Vorsorge die Einwilligung der betroffenen Person voraus. Besondere Anforderungen verankert das revidierte Datenschutzrecht neu in Bezug auf «Profiling», also für die automatisierte Verarbeitung und Bewertung personenbezogener Daten
Diese Aussage ist falsch. Die Bearbeitung besonders schützenswerter Personendaten setzt keine Einwilligung voraus, auch nicht, wenn es die Bearbeitung durch eine Vorsorgeeinrichtung ist. Das nDSG definiert die Anforderungen an eine Einwilligung und verlangt Ausdrücklichkeit bei der Bearbeitung besonders schützenswerter Personendaten; dies aber nur dann, falls eine Einwilligung erforderlich ist. Das trifft nur zu, wenn eine Bearbeitung einen Grundsatz verletzt und nicht anders aus durch eine Einwilligung gerechtfertigt werden kann. Dazu haben wir im Zusammenhang mit Profiling – die Frage stellt sich hier gleichermassen – bereits ausführlich berichtet: Neues DSG: kein grundsätzliches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko