• Schweizerischer
  • Pensionskassenverband
  • für eine starke berufliche
  • Vorsorge
  • Automatisierte Prozesse der Datenverarbeitung
Frage
Welche Datenverarbeitungsprozesse gelten im Pensionskassenbereich als automatisiert?
Umsetzung

Unter «Automatisierung» sind «automatisierte Einzelentscheide» zu verstehen. Dabei trifft die Maschine eine Entscheidung aufgrund einer von der Maschine sich antrainierten oder von einem Menschen einprogrammierten Bewertung der der Maschine vorliegenden Personendaten.

Im Hinblick auf die Datensicherheit (Art. 8 revDSG) sind geeignete technische und organisatorische Massnahmen für die Gewährleistung einer angemessenen Datensicherheit vorzukehren. Die Datensicherheit zielt auf den Schutz der Vertraulichkeit (keine unbefugten Zugriffe), der Integrität (Korrektheit bzw. Unversehrtheit) sowie der Verfügbarkeit (Zugriff auf Daten) von Daten. Neu sind datenschutzfreundliche Voreinstellungen («privacy by design and default»1) erforderlich (Art. 7 Abs. 3 revDSG).

Die Vorsorgeeinrichtung hat mit Blick auf das Profiling bzw. das Profiling mit hohem Risiko abzuklären, welche Datenverarbeitungsprozesse im Pensionskassenbereich als automatisiert gelten, da der Datenschutz auch technisch gewährleistet sein muss.

Dabei gibt es beispielswiese folgende Möglichkeiten der Prozessautomatisierung (Entlastung der Mitarbeitenden bei der Bearbeitung: Robotic Process Automation [RPA]): 1. Zahlungseingangsprozess, 2. Eintrittsprozess, 3. Lohn- und Beschäftigungsgradänderung, 4. Einkaufsanfrage.

Bei der Erstellung von Vorsorgeausweisen empfiehlt es sich, der Informationspflicht gemäss Art. 21 Abs. 4 revDSG nachzukommen und einen Verweis beispielsweise mit dieses Dokument wurde automatisch erstellt anzubringen (ASIP-Fachmitteilungen Nr. 130, S. 4, und Nr. 131, S. 9).

[1] «Privacy by design» beinhaltet die Pflicht, Prozesse und Projekte so zu gestalten, dass die Einhaltung des Datenschutzes von Anfang an berücksichtigt wird. Im Sinne von «privacy by default» ist mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.

Zurück zur Übersicht