Der EDÖB hat sich auf seiner Website unter FAQ → Versicherungen zur Frage geäussert, ob eine Dienstleistungsgesellschaft, an welche eine Vorsorgeeinrichtung einen Teil oder die Gesamtheit des operativen Geschäftsbetriebs übertragen hat, eine Auftragsbearbeiterin oder eine Verantwortliche ist.
In welcher datenschutzrechtlichen Rolle die Geschäftsführerin einer Vorsorgeeinrichtung tätig ist – das kann eine Pensionskasse, eine Anlagestiftung oder eine Freizügigkeitsstiftung sein –, ist lange und intensiv diskutiert worden:
- Der Schweizerischer Pensionskassenverband ASIP hatte in der Fachmitteilung Nr. 131 “Wegleitung zur Umsetzung des neuen DSG” vom 20. Oktober 2022 die Auffassung vertreten, “[h]at die VE ihre Verwaltung an einen Dritten ausgelagert, so erfolgt die Datenbearbeitung durch die Verwaltung (als Auftragsbearbeiter) im Auftrag der VE”.
- Wohl aufgrund dieser Aussage haben bestimmte Dienstleisterinnen im Markt ebenfalls die Meinung vertreten, dass sie bei der Geschäftsführung für Vorsorgeeinrichtungen immer und zwingend als Auftragsbearbeiterinnen tätig werden.
- Generell ist aber anerkannt, dass nicht alle Dienstleister auch Auftragsbearbeiter sind – entscheidend ist vielmehr, ob sie faktisch über Zwecke und Mittel der Bearbeitung entscheiden oder ob ihnen diese Freiheit nicht belassen wird. Zumindest bei einer umfassenden Auslagerung der Geschäftsführung ist schwer zu vertreten, dass der Rahmen einer Auftragsbearbeitung nicht verlassen wird. Aus diesem Grund ging die wohl überwiegende Auffassung dahin, Geschäftsführerinnen von VE im Regelfall nicht als Auftragsbearbeiter einzustufen, sondern als – alleine oder gemeinsam – Verantwortliche (wir haben diese Auffassung vertreten, und ebenso bspw. David Rosenthal).
Der EDÖB hatte im Tätigkeitsbericht 2023/2024 sodann festgehalten,
In der Praxis kommt es vor, dass Vorsorgeeinrichtungen einen Teil oder die Gesamtheit des operativen Geschäftsbetriebs an eine externe Gesellschaft übertragen. Solche Dienstleistungsgesellschaften sind im Auftrag der Vorsorgeeinrichtung tätig und handeln als Auftragsdatenbearbeiter im Sinne von Art. 9 DSG.
In den am 11. Dezember 2024 veröffentlichen Angaben differenziert der EDÖB nun zu recht, wie folgt:
Vorsorgeeinrichtungen (Pensionskassen), welche in der Regel als Stiftungen organisiert sind, sind zur Erfüllung der obligatorischen Versicherung der beruflichen Vorsorge verpflichtet. In der Praxis kommt es vor, dass Vorsorgeeinrichtungen einen Teil oder die Gesamtheit des operativen Geschäftsbetriebs an eine externe Gesellschaft übertragen. In Bezug auf ihre Rolle und datenschutzrechtliche Qualifikation können solche Dienstleistungsgesellschaften je nach Konstellation entweder als Auftragsbearbeiterinnen oder als Verantwortliche auftreten.
Für Fälle, in denen nur bestimmte operative Tätigkeiten übertragen werden und die Vorsorgeeinrichtung massgeblich in den Prozess eingebunden bleibt, kann die Form der Auftragsbearbeitung zutreffend sein. Bei Konstellationen, in welchen die Übertragung umfassender ist und diese nicht nur einzelne Operationen oder Datenbearbeitungen, sondern die autonome Erfüllung von Aufgaben der beruflichen Vorsorge betrifft, kann die Dienstleistungsgesellschaft eine Verantwortliche darstellen. Dies ist insbesondere der Fall, wenn die Dienstleistungsgesellschaft die Geschäftsführung der Vorsorgeeinrichtung übernimmt oder tatsächlich mit weitergehender Autonomie entscheidet. Auch bei der Übertragung spezifischer Aufgaben der Vorsorgeeinrichtung kann die Dienstleistungsgesellschaft eine Verantwortliche sein, wenn sie sich beispielsweise um die Beziehung zu den Versicherten kümmert und in diesem Rahmen selbstständig Entscheidungen trifft. Somit müssen in diesem Zusammenhang stets die vereinbarten vertraglichen Verhältnisse hinsichtlich der Aufgabenteilung sowie die konkreten Umstände berücksichtigt werden.
Diese Hinweise gehen so auf die konkreten Umstände des Einzelfalls ein, wie es die Kriterien der Unterscheidung zwischen Verantwortlichen und Auftragsbearbeitern eben verlangen. Das bedeutet auch, dass ein gewisser Spielraum bestehen bleibt. Denn die Rollen hängen generell auch von der Vertragsgestaltung ab, denn diese bestimmt mit darüber, welche Autonomie dem Dienstleister effektiv zukommt. Letztlich bleibt die Bestimmung der Rollen eine schwierige Kunst – hier, aber auch bspw. bei der Immobilienbewirtschaftung (wo die Praxis oft eine gemeinsame Verantwortlichkeit annimmt), oder bei der Refinanzierung von Hypotheken bzw. Verbriefungen und in diversen weiteren Konstellationen.
Nicht Gegenstand der Hinweise des EDÖB sind die Fragen, unter welchen Voraussetzungen eine gemeinsame Verantwortung vorliegt und was im Fall der Doppelorganschaft gilt, d.h. dann, wenn eine Person sowohl im Stiftungsrat der Vorsorgeeinrichtung als auch bei der Geschäftsführerin eine leitende Position einnimmt.