An seiner Sitzung vom 31. August 2022 hat der Bundesrat das Inkrafttreten des neuen Datenschutzgesetzes (DSG) zum 1. September 2023 bestätigt. Ebenfalls hat der Bundesrat die neue Datenschutzverordnung (DSV) publiziert, welche zusammen mit dem DSG in Kraft getreten ist. Die Revision des DSG ist insbesondere vor dem Hintergrund der europäischen Verordnung (EU) 2016/679 vom 27. April 2016, der Datenschutz-Grundverordnung (DSGVO), zu sehen. Für die Schweiz ist es zentral, weiterhin von der EU als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt zu werden, damit die grenzüberschreitende Datenübermittlung auch künftig ohne Hürden möglich bleibt. Die Schweizer Datenschutzbestimmungen wurden zu diesem Zweck an die DSGVO angeglichen, weichen jedoch in verschiedenen Punkten von den Regelungen der DSGVO ab.
Die neuen Vorgaben sind umfassender, griffiger und teilweise sogar schärfer als die bisherigen. Datenschutz erhält mit dem neuen DSG einen noch höheren Stellenwert. Daher ist es umso wichtiger, einen gesetzeskonformen Datenschutz zu etablieren und die Vorgaben sorgfältig umzusetzen.
In der beruflichen Vorsorge ist zu beachten, dass die spezialgesetzlichen Datenschutzvorschriften des BVG und des FZG mitunter die Vorschriften des DSG verdrängen können. Vorsorgeeinrichtungen, die die obligatorische berufliche Vorsorge durchführen, unterliegen den vorsorgerechtlichen Datenschutzvorschriften. Die Vorschriften des DSG, insbesondere die Grundsätze der Datenbearbeitung, finden ergänzend Anwendung. Vorsorgeeinrichtungen gelten gemäss dem DSG als Bundesorgane und benötigen für die Bearbeitung und Bekanntgabe von Personendaten eine gesetzliche Grundlage, welche mit Art. 85a ff. BVG vorliegt. Im Bereich der weitergehenden, über- und ausserobligatorischen beruflichen Vorsorge gelten Vorsorgeeinrichtungen als private Personen, und es sind allein die Vorschriften des DSG (mit Ausnahmen) anwendbar. Als private Personen dürfen sie Personendaten auch ohne gesetzliche Grundlage bearbeiten, sofern die Persönlichkeit der betroffenen Personen dabei nicht widerrechtlich verletzt wird. Das totalrevidierte DSG ändert nichts an dieser Systematik.
Das neue DSG gilt nach wie vor für die Bearbeitung von Personendaten natürlicher Personen, also Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Besondere Regeln gelten insbesondere für besonders schützenswerte Personendaten, wie beispielsweise Gesundheitsdaten. Daten von juristischen Personen werden hingegen vom neuen DSG nicht mehr erfasst.
Die Grundsätze der Datenbearbeitung bleiben im Wesentlichen unverändert. Es wird nach wie vor von einer rechtmässigen und verhältnismässigen Bearbeitung ausgegangen. Die Daten dürfen nur zweckgemäss beschafft und bearbeitet werden. Sie sind zu vernichten, sobald sie für den Bearbeitungszweck nicht mehr erforderlich sind.
Die Valitas nimmt ihre Verantwortung gegenüber der für die Geschäftsführung und das Pensionskassenmanagement anvertrauten Sammelstiftung, den angeschlossenen Unternehmen und den damit betreuten Versicherten wahr. Bis zum Inkrafttreten des Gesetzes wurden bestehende Prozesse überdacht, überarbeitet und neu implementiert. Zudem wurden, wo nötig, auch neue Prozesse aufgesetzt. Insbesondere wurde ein Verzeichnis der Bearbeitungstätigkeiten erstellt, über die Beschaffung von Personendaten informiert, ein Prozess zur Datenschutz-Folgenabschätzung und zur Meldung von Verletzungen der Datensicherheit eingeführt. Ebenso wurde der Prozess zur Auskunftserteilung angepasst, und ein neuer Prozess für die Datenherausgabe oder -übertragung auf Verlangen wurde implementiert.
Im Rahmen der DSG-Umsetzung haben wir sämtliche uns anvertrauten Stiftungen sowie die Valitas AG als gemeinsame Verantwortliche im Register der Bearbeitungstätigkeiten – EDÖB (Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte) eingetragen. Zum Vollzug des neuen DSG ist anzumerken, dass der EDÖB weitergehende Untersuchungs- und Handlungskompetenzen erhalten hat und Verwaltungsmassnahmen ergreifen kann. Zusätzlich wurde der Anwendungsbereich der Sanktionen erweitert und die möglichen Bussen, die nun bis zu CHF 250‘000 betragen können, deutlich erhöht. Dies veranlasste uns, weitere Massnahmen wie, wo nötig, geschützten E-Mail-Verkehr und anonymisierte Verzeichnisse für unsere Partner wie Broker, Vermittler oder Experten für berufliche Vorsorge einzuführen. Zudem haben wir unsere Mitarbeiter flächendeckend über das neue Datenschutzgesetz informiert und geschult. Neue Mitarbeitende werden systematisch beim Onboardingprozess in unsere DSG-Richtlinien eingeführt. Über unsere Homepage werden sämtliche Kunden, Versicherte, Partner und Interessierte datenschutzrechtlich durch unsere Datenschutzerklärung https://www.valitas.ch/de/datenschutz aufgeklärt und informiert. Bei Bedarf können Sie uns in Bezug auf den Datenschutz unter der neu eingeführten E-Mail-Adresse datenschutz@valitas.ch kontaktieren. Ihre Anfrage wird direkt an unseren Datenschutzkoordinator weitergeleitet. Dieser ist befugt, den Sachverhalt mit unserem Datenschutzberater zu klären und entsprechende Massnahmen festzulegen.
Selbstverständlich ist Datenschutz als ein kontinuierlicher und sich ständig anpassender sowie verbessernder Prozess zu verstehen. Wir sind fortlaufend dabei, unsere Prozesse zu überprüfen und sie bei Bedarf anzupassen. Leider hat dies auch die unangenehme Tatsache zur Folge, dass der Austausch von Personendaten mit unseren Partnern teilweise erschwert oder unmöglich gemacht wird. Die Grundlage für den Austausch von Personendaten beruht stets auf der gesetzlichen Grundlage. Das bedeutet, dass wir zunehmend auf eine individuelle Vollmacht der Versicherten angewiesen sind, insbesondere bei Beratern.
Das Inkrafttreten des neuen DSG liegt noch nicht lange zurück, weshalb sich die gesamte Branche im Umgang mit Personendaten noch orientieren muss. Der eine oder andere Prozess erfährt aufgrund der präzisierten gesetzlichen Auslegung oder der gemachten Erfahrungen sicherlich Änderungsbedarf.
Wir bitten Sie um Verständnis für die Umsetzung der neuen gesetzlichen Vorgaben, insbesondere im Umgang mit besonders schützenswerten Personendaten.