Wenn eine Vorsorgeeinrichtung im Bereich ihrer Tätigkeit als Bundesorgan Dienstleistungen an einen Datenschutzverantwortlichen (wie PK-Experte, Anwalt, etc.) outsourced, dann muss der externe Dienstleister ebenfalls über einen Datenschutzberater verfügen.

Als Verantwortlicher muss er wie die Vorsorgeeinrichtung selbst alle gesetzlichen Anforderungen erfüllen, dies im Unterschied zum Auftragsbearbeiter.

Im Verhältnis der Vorsorgeeinrichtung (Verantwortliche) zu einem Dritten, der ebenfalls Verantwortlicher ist (insbesondere zu Organen gemäss Art. 52 BVG), empfiehlt sich eine vertragliche Regelung für den Datentransfer von der Vorsorgeeinrichtung zu diesem Dritten (Abgrenzung der Verantwortlichkeiten gemäss revDSG und Art. 52 BVG) (ASIP-Fachmitteilung Nr. 131, S. 8).