Der Countdown läuft. In rund zweieinhalb Monaten tritt auch in der Schweiz das neue Datenschutzgesetz (NDSG) in Kraft. Dieses schützt zwei Dinge: die Persönlichkeit und die Grundrechte von Einzelpersonen (natürlichen Personen). Und zwar dann, wenn Private oder staatliche Stellen ihre Daten bearbeiten. 

Wichtig ist: Für das NDSG gibt es keine gesetzliche Übergangsfrist, alle Rechte und Pflichten gelten nach dem Inkrafttreten des neuen Gesetzes. Für Pensionskassen gilt dabei folgende Unterscheidung:

Partner-Inhalte
 
 
 
 
 
 
  • Bundesorgan: Obligatorische berufliche Vorsorge – Datenbearbeitung auf Basis formeller gesetzlicher Grundlage: Ermächtigung durch Art 85a BVG und Art. 25 FZG
  • Privatperson: Freiwillige und überobligatorische Vorsorge (auch Rückversicherungsverhältnis oder Verwaltungsantrag) – Datenbearbeitung richtet sich nach dem NDSG

Einheitliche Lösung anstreben

«Eine Trennung der Vorschriften für die obligatorische und die überobligatorische Vorsorge ist für Pensionskassen nicht praktikabel», konstatierte Nicole Gisler, Leiterin der Rechtsberatung bei Libera, anlässlich des VPS-Epas-Vorsorge Summits im Mai. Daher, so die einhellige Meinung verschiedener Expertinnen und Experten, sollten Vorsorgeeinrichtungen eine einheitliche Lösung anstreben und sich dabei an den strengeren Vorschriften orientieren (Vorschriften für Bundesorgane).

Vorsicht sei vor allem bei der Datenbekanntgabe ins Ausland geboten. «Die damit verbundenen Pflichten sind primär vom Zielland abhängig.» Zudem ist bei der Bearbeitung der Daten durch Dritte zu beachten, dass die Daten so bearbeitet werden, wie es der Verantwortliche selbst tun dürfte, und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet. «Des Weiteren muss sich der oder die Verantwortliche vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.»

HZ Insurance-Newsletter DAILY
Das werktägliche Newsupdate für Insurance-Professionals. Zur Tagesmitte erfahren Sie im «DAILY», was die nationale und internationale Versicherungswelt bewegt und worüber gerade gesprochen wird.
HZ Insurance-Newsletter DAILY

Dokumentation sollte übersichtlich sein

Die Pensionskassen-Experten von Libera empfehlen bei der Umsetzung des NDSG folgendes Vorgehen:

  • Phase 1: Ernennung eines/einer Datenschutzbeauftragten; Dokumentation der internen Vorgänge und des Bearbeitungsverzeichnisses (umfasst unter anderem die Angabe des Bearbeitungszweckes sowie der Kategorien der bearbeiteten Personendaten, der betroffenen Personen und der Empfänger inklusive der Länder, in welche Personendaten bekannt gegeben werden).
  • Phase 2: Vertragsunterlagen prüfen und allfällige ADV erstellen
  • Phase 3: Wo nötig, Datenschutzfolgeabschätzung vornehmen
  • Phase 4: Informationspflicht, Betroffenenrechte, Meldeverfahren, etc. festlegen

Eigentlich, so das Fazit von Nicole Gisler, sei das NDSG nichts Neues, ausser dass die Pensionskassen die Schritte nun dokumentieren müssen. «Dies soll möglichst einfach, kurz und übersichtlich geschehen», empfiehlt sie. «Zum Beispiel im Vorsorgereglement, indem die Datenschutzerklärung im Einstellungsprozess eingebaut und mit der Jahresrechnung versandt und auf der Website veröffentlicht wird.»

Rechtliche Grundsätze des neuen Datenschutzgesetzes

Folgende Grundsätze müssen von Bundesorganen und privaten Verantwortlichen ab dem 1. September 2023 gemäss dem neuen Datenschutzgesetz eingehalten werden: Rechmässigkeit, Verhältnismässigkeit, Zweckbindung und Vereinbarkeit, Treu und Glaube, Datenrichtigkeit sowie Datensicherheit.