Der EDÖB hat sich auf sei­ner Web­site unter FAQ → Ver­si­che­run­gen zur Fra­ge geäu­ssert, ob eine Dienst­lei­stungs­ge­sell­schaft, an wel­che eine Vor­sor­ge­ein­rich­tung einen Teil oder die Gesamt­heit des ope­ra­ti­ven Geschäfts­be­triebs über­tra­gen hat, eine Auf­trags­be­ar­bei­te­rin oder eine Ver­ant­wort­li­che ist.

In wel­cher daten­schutz­recht­li­chen Rol­le die Geschäfts­füh­re­rin einer Vor­sor­ge­ein­rich­tung tätig ist – das kann eine Pen­si­ons­kas­se, eine Anla­ge­stif­tung oder eine Frei­zü­gig­keits­stif­tung sein –, ist lan­ge und inten­siv dis­ku­tiert worden:

  • Der Schwei­ze­ri­scher Pen­si­ons­kas­sen­ver­band ASIP hat­te in der Fach­mit­tei­lung Nr. 131 “Weg­lei­tung zur Umset­zung des neu­en DSG” vom 20. Okto­ber 2022 die Auf­fas­sung ver­tre­ten, “[h]at die VE ihre Ver­wal­tung an einen Drit­ten aus­ge­la­gert, so erfolgt die Daten­be­ar­bei­tung durch die Ver­wal­tung (als Auf­trags­be­ar­bei­ter) im Auf­trag der VE”.
  • Wohl auf­grund die­ser Aus­sa­ge haben bestimm­te Dienst­lei­ste­rin­nen im Markt eben­falls die Mei­nung ver­tre­ten, dass sie bei der Geschäfts­füh­rung für Vor­sor­ge­ein­rich­tun­gen immer und zwin­gend als Auf­trags­be­ar­bei­te­rin­nen tätig werden.
  • Gene­rell ist aber aner­kannt, dass nicht alle Dienst­lei­ster auch Auf­trags­be­ar­bei­ter sind – ent­schei­dend ist viel­mehr, ob sie fak­tisch über Zwecke und Mit­tel der Bear­bei­tung ent­schei­den oder ob ihnen die­se Frei­heit nicht belas­sen wird. Zumin­dest bei einer umfas­sen­den Aus­la­ge­rung der Geschäfts­füh­rung ist schwer zu ver­tre­ten, dass der Rah­men einer Auf­trags­be­ar­bei­tung nicht ver­las­sen wird. Aus die­sem Grund ging die wohl über­wie­gen­de Auf­fas­sung dahin, Geschäfts­füh­re­rin­nen von VE im Regel­fall nicht als Auf­trags­be­ar­bei­ter ein­zu­stu­fen, son­dern als – allei­ne oder gemein­sam – Ver­ant­wort­li­che (wir haben die­se Auf­fas­sung ver­tre­ten, und eben­so bspw. David Rosen­thal).

Der EDÖB hat­te im Tätig­keits­be­richt 2023/2024 sodann festgehalten,

In der Pra­xis kommt es vor, dass Vor­sor­ge­ein­rich­tun­gen einen Teil oder die Gesamt­heit des ope­ra­ti­ven Geschäfts­be­triebs an eine exter­ne Gesell­schaft über­tra­gen. Sol­che Dienst­lei­stungs­ge­sell­schaf­ten sind im Auf­trag der Vor­sor­ge­ein­rich­tung tätig und han­deln als Auf­trags­da­ten­be­ar­bei­ter im Sin­ne von Art. 9 DSG.

In den am 11. Dezem­ber 2024 ver­öf­fent­li­chen Anga­ben dif­fe­ren­ziert der EDÖB nun zu recht, wie folgt:

Vor­sor­ge­ein­rich­tun­gen (Pen­si­ons­kas­sen), wel­che in der Regel als Stif­tun­gen orga­ni­siert sind, sind zur Erfül­lung der obli­ga­to­ri­schen Ver­si­che­rung der beruf­li­chen Vor­sor­ge ver­pflich­tet. In der Pra­xis kommt es vor, dass Vor­sor­ge­ein­rich­tun­gen einen Teil oder die Gesamt­heit des ope­ra­ti­ven Geschäfts­be­triebs an eine exter­ne Gesell­schaft über­tra­gen. In Bezug auf ihre Rol­le und daten­schutz­recht­li­che Qua­li­fi­ka­ti­on kön­nen sol­che Dienst­lei­stungs­ge­sell­schaf­ten je nach Kon­stel­la­ti­on ent­we­der als Auf­trags­be­ar­bei­te­rin­nen oder als Ver­ant­wort­li­che auftreten.

Für Fäl­le, in denen nur bestimm­te ope­ra­ti­ve Tätig­kei­ten über­tra­gen wer­den und die Vor­sor­ge­ein­rich­tung mass­geb­lich in den Pro­zess ein­ge­bun­den bleibt, kann die Form der Auf­trags­be­ar­bei­tung zutref­fend sein. Bei Kon­stel­la­tio­nen, in wel­chen die Über­tra­gung umfas­sen­der ist und die­se nicht nur ein­zel­ne Ope­ra­tio­nen oder Daten­be­ar­bei­tun­gen, son­dern die auto­no­me Erfül­lung von Auf­ga­ben der beruf­li­chen Vor­sor­ge betrifft, kann die Dienst­lei­stungs­ge­sell­schaft eine Ver­ant­wort­li­che dar­stel­len. Dies ist ins­be­son­de­re der Fall, wenn die Dienst­lei­stungs­ge­sell­schaft die Geschäfts­füh­rung der Vor­sor­ge­ein­rich­tung über­nimmt oder tat­säch­lich mit wei­ter­ge­hen­der Auto­no­mie ent­schei­det. Auch bei der Über­tra­gung spe­zi­fi­scher Auf­ga­ben der Vor­sor­ge­ein­rich­tung kann die Dienst­lei­stungs­ge­sell­schaft eine Ver­ant­wort­li­che sein, wenn sie sich bei­spiels­wei­se um die Bezie­hung zu den Ver­si­cher­ten küm­mert und in die­sem Rah­men selbst­stän­dig Ent­schei­dun­gen trifft. Somit müs­sen in die­sem Zusam­men­hang stets die ver­ein­bar­ten ver­trag­li­chen Ver­hält­nis­se hin­sicht­lich der Auf­ga­ben­tei­lung sowie die kon­kre­ten Umstän­de berück­sich­tigt werden.

Die­se Hin­wei­se gehen so auf die kon­kre­ten Umstän­de des Ein­zel­falls ein, wie es die Kri­te­ri­en der Unter­schei­dung zwi­schen Ver­ant­wort­li­chen und Auf­trags­be­ar­bei­tern eben ver­lan­gen. Das bedeu­tet auch, dass ein gewis­ser Spiel­raum bestehen bleibt. Denn die Rol­len hän­gen gene­rell auch von der Ver­trags­ge­stal­tung ab, denn die­se bestimmt mit dar­über, wel­che Auto­no­mie dem Dienst­lei­ster effek­tiv zukommt. Letzt­lich bleibt die Bestim­mung der Rol­len eine schwie­ri­ge Kunst – hier, aber auch bspw. bei der Immo­bi­li­en­be­wirt­schaf­tung (wo die Pra­xis oft eine gemein­sa­me Ver­ant­wort­lich­keit annimmt), oder bei der Refi­nan­zie­rung von Hypo­the­ken bzw. Ver­brie­fun­gen und in diver­sen wei­te­ren Konstellationen.

Nicht Gegen­stand der Hin­wei­se des EDÖB sind die Fra­gen, unter wel­chen Vor­aus­set­zun­gen eine gemein­sa­me Ver­ant­wor­tung vor­liegt und was im Fall der Dop­pel­or­gan­schaft gilt, d.h. dann, wenn eine Per­son sowohl im Stif­tungs­rat der Vor­sor­ge­ein­rich­tung als auch bei der Geschäfts­füh­re­rin eine lei­ten­de Posi­ti­on einnimmt.