Versand von Pensionskassenausweisen – Schwierigkeiten in der Praxis

Anlässlich unserer Kontrolle bei der vom Entscheid des Bundesverwaltungsgerichts vom 10. April 2012 betroffenen Pensionskasse AXA Winterthur konnten wir feststellen, dass sie ihre Praxis entsprechend dem Urteil geändert hat. Andere Akteure der beruflichen Vorsorge haben jedoch ihre Praxis offenbar noch nicht angepasst.

In seinem Entscheid vom 10. April 2012 hat das Bundesverwaltungsgericht (BVGer) für die Weitergabe der Daten durch die schweizerischen Vorsorgeeinrichtungen willkommene Grundsätze aufgestellt. So hat es namentlich der Praxis ein Ende gesetzt, die darin bestand, den Arbeitgebenden die Pensionskassenausweise in einem unverschlossenen Couvert zuzustellen. Dabei wurden die Persönlichkeitsrechte der Arbeitnehmenden verletzt. Gemäss der nunmehr gefestigten Rechtsprechung müssen die Ausweise so zugestellt werden, dass einzig die versicherte Person - unter Ausschluss von Dritten, namentlich des Arbeitgebenden - von ihrem Inhalt Kenntnis nehmen können (vgl. unseren 20. Tätigkeitsbericht 2012/2013, Ziff. 1.7.2).

Der Begriff des Dritten spielte für die Lösung des Problems eine zentrale Rolle. Obwohl er im Datenschutzgesetzhäufig verwendet wird, ist er nicht definiert. Das BVGer hat daher die Frage im Lichte der funktionsbezogenen Umschreibung geklärt. Nach dieser Theorie sind Dritte alle Personen, welche aufgrund der Art ihres Tätigkeitsbereichs in einem Unternehmen die betreffenden Personendaten für die Erfüllung ihrer jeweiligen Aufgaben nicht benötigen.

Als Beispiel zur Veranschaulichung dieses Falls erwähnt das BVGer die Situation eines Abteilungsleiters, der willentlich oder aus Nachlässigkeit Einsicht in die Personalakte eines Arbeitnehmenden nimmt, der einer anderen Abteilung angehört. Nach Auffassung des Gerichts stellt dieser Sachverhalt eine Bekanntgabe an Dritte dar, auch wenn sie innerhalb derselben Organisation erfolgt. Eine solche Verbreitung der Information ist aus Sicht des Datenschutzes nur zulässig, wenn ein

Rechtfertigungsgrund vorliegt (also ein Gesetz, die Einwilligung des Betroffenen, ein überwiegendes privates oder öffentliches Interesse); andernfalls bedeutet die Bekanntgabe der Daten eine widerrechtliche Verletzung der Persönlichkeit des betroffenen Arbeitnehmenden.

Vorliegend wurde festgehalten, dass die beruflichen Vorsorgeeinrichtungen, unabhängig von ihrer Rechtsform, öffentliche Aufgaben erfüllen. Sie gelten dann als Bundesorgane, wenn sie Verpflichtungen wahrnehmen, die ihnen vom Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (BVG) übertragen werden. Diese Feststellung ist wichtig, denn die geltenden Bestimmungen sind unterschiedlich, je nachdem ob eine Bearbeitung von einem Privatunternehmen oder von einer öffentlichen Verwaltung vorgenommen wird. Der Gesetzgeber hat nämlich für die Datenbearbeitung durch Organe des Bundes restriktivere Bedingungen vorgesehen. In einem solchen Fall kann nur eine gesetzliche Grundlage eine Bearbeitung rechtfertigen, im Gegensatz zu Privaten, die sich auf mehrere Rechtfertigungsgründe berufen können.

Im vorliegenden Fall kam das BVGer zum Schluss, dass es keine gesetzliche Grundlage gibt, die eine Ausnahme von der im Vorsorgebereich geltenden Schweigepflicht rechtfertigen würde, und dass somit keinerlei Rechtfertigung für die Übermittlung der Ausweise an die Arbeitgebenden oder jeden anderen Dritten geltend gemacht werden kann.

Überdies ist daran zu erinnern, dass die Pensionskassenausweise Informationen enthalten, die im Arbeitsverhältnis eine strategische Bedeutung haben können. Man kann daraus namentlich folgende Angaben entnehmen: die Freizügigkeitsleistungen, die neu eintretende Mitarbeiter einbringen, die Einkäufe von Versicherungsjahren, den Vorbezug eines Teils der Pensionskassenguthaben für den Erwerb von Wohneigentum, ob und wann sich das Guthaben infolge Ehescheidung verändert hat oder Hinweise betreffend eine temporäre Erwerbsunfähigkeit. All diese Elemente können zu anderen Zwecken als der beruflichen Vorsorge genutzt werden.

Die Vorsorgeeinrichtung muss daher sämtliche notwendigen Massnahmen treffen, um sicherzustellen, dass die bisweilen besonders schützenswerten Daten der Versicherten nicht beim Versand offen gelegt werden. Die Datensicherheit muss gewahrt bleiben; sie ist eng mit der Sorgfaltspflicht der Vorsorgeeinrichtung verbunden. Diese muss folglich die Ausweise entweder direkt in einem geschlossenen Umschlag an die Privatadresse der Versicherten oder an den Arbeitgebern in einem verschlossenen Couvert zur Verteilung senden. In diesem Fall muss auf dem Umschlag der Name des Empfängers und der Vermerk «Persönlich» angebracht sein.

Trotz einer klaren Stellungnahme des BVGer in dieser Sache erhalten wir immer noch Hinweise auf Versäumnisse. Es ist daher daran zu erinnern, dass der Entscheid, wenngleich er zunächst nur die Prozessparteien betrifft, eine Präzisierung des Datenschutzrechts darstellt, die allgemeine und abstrakte Geltung hat. Die so entwickelte Rechtsprechung gilt für alle betroffenen Akteure und fördert gleichzeitig die Rechtssicherheit.

In Anbetracht der obigen Ausführungen werden wir die künftigen Entwicklungen auf diesem Gebiet weiterhin aufmerksam verfolgen.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/21--taetigkeitsbericht-2013-2014/versand-von-pensionskassenausweisen--schwierigkeiten-in-der-prax.html