Die Pensionskasse befindet sich an einem der Standorte des Unternehmens. Sie nutzt bestimmte IT-Dienste des Arbeitgebers, wie z. B. das E-Mail-Programm Outlook, um mit unseren Versicherten zu kommunizieren, oder den Online-Speicher OneDrive (auch wenn der Zugang gesichert und speziell für die Pensionskasse ist), der auf den Servern des Arbeitgebers gehostet wird, sowie verschiedene Tools (Buchhaltungssoftware, Zahlungssoftware). Könnte dies ein Problem darstellen?
Der Arbeitgeber und seine Pensionskasse sind völlig getrennte Einheiten. In seinem Urteil vom 10. April 2012 (A-4467/2011) stellte das Bundesverwaltungsgericht klar, dass die Bearbeitung und Veröffentlichung von Personendaten unter das Bundesgesetz über den Datenschutz (DSG, ergänzt durch die gesetzlichen Spezialnormen des BVG und des OR) fällt und dass die Vorsorgeeinrichtung dem Arbeitgeber nur diejenigen Personendaten übermitteln darf, die für die Erfüllung der im Arbeitsvertrag und im Rahmen der beruflichen Vorsorge vorgesehenen Aufgaben objektiv notwendig sind. Gemäss dem Bundesverwaltungsgericht verstösst es gegen den Grundsatz der Datensicherheit (Art. 7 DSG), wenn Vorsorgeausweise in unverschlossenen Umschlägen an die Arbeitgeber zur Weiterleitung an die bei ihnen versicherten Arbeitnehmenden abgegeben werden. Dies wird natürlich auch unter dem neuen Datenschutzgesetz gelten. Aus diesem Grund muss die Pensionskasse, die nach dem geltenden Datenschutzgesetz und dem neuen Datenschutzgesetz Verantwortliche ist, sicherstellen, dass der Arbeitgeber keinen Zugriff auf die persönlichen Daten der Versicherten und Rentnerinnen und Rentner hat. In Bezug auf das revDSG sollte die Pensionskasse mit dem Cloud-Anbieter des Arbeitgebers einen Vertrag zur Auftragsdatenverarbeitung («Data Processing Agreement») aushandeln, der sicherstellt, dass die IT-Dienste des Arbeitgebers für den Arbeitgeber in Bezug auf die persönlichen Daten der Versicherten und Rentnerinnen und Rentner absolut undurchlässig sind. Da der Zugang sicher und spezifisch für die Pensionskasse ist, scheint das (geltende und neue) Datenschutzgesetz eingehalten zu werden. Wichtig ist, dass die Buchhaltungssoftware und die Zahlungssoftware auch für den Arbeitgeber undurchlässig sind. Dies alles sollte jedoch im Vertrag (zumindest in einer Vertragsklausel) vorgesehen werden.