B u n d e s v e r w a l t u n g s g e r i c h t T r i b u n a l a d m i n i s t r a t i f f é d é r a l T r i b u n a l e a m m i n i s t r a t i v o f e d e r a l e T r i b u n a l a d m i n i s t r a t i v f e d e r a l
Abteilung I A-4467/2011
U r t e i l v o m 1 0 . A p r i l 2 0 1 2 Besetzung
Richterin Marianne Ryter Sauvant (Vorsitz), Richter Lorenz Kneubühler, Richter André Moser, Gerichtsschreiberin Tanja Haltiner.
Parteien
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauf- tragter EDÖB, Feldeggweg 1, 3003 Bern, Beschwerdeführer,
gegen
AXA Stiftung Berufliche Vorsorge Winterthur, Legal and Compliance, Postfach 300, 8401 Winterthur, Beschwerdegegnerin,
Eidgenössisches Departement des Innern EDI, Inselgasse 1, 3003 Bern, Vorinstanz.
Gegenstand
Empfehlung gemäss Art. 27 DSG betreffend Zustellung von Pensionskassenausweisen.
A-4467/2011 Seite 2 Sachverhalt: A. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurde von Bürgern auf die Praxis der AXA Stiftung Berufliche Vorsorge Winterthur (AXA) aufmerksam gemacht, persönliche Pensionskassen- ausweise nicht direkt an die versicherten Personen, sondern allesamt un- verschlossen in einem Couvert mit dem Vermerk "Vertraulich" an die Ad- resse der jeweiligen Arbeitgebenden zwecks betriebsinterner Verteilung zu versenden. Auf Anfrage bestätigte die AXA, dass die Pensionskassen- ausweise aller Versicherten offen den Arbeitgebenden zwecks Weiterlei- tung zugestellt würden. Die Versendung der Pensionskassenausweise di- rekt an die Arbeitnehmenden sei aus organisatorischen Gründen nicht möglich. Mit Datum vom 8. Juni 2009 erliess der EDÖB nach Durchführung mehre- rer Schriftenwechsel eine Empfehlung an die Adresse der AXA. Er hielt fest, dass sie die praktizierte Bekanntgabe von Daten der bei ihr versi- cherten Personen an deren Arbeitgebende unverzüglich einstellen und die Pensionskassenausweise künftig in einer Art und Weise versenden solle, welche gewährleiste, dass diese direkt und ausschliesslich an die versicherte Person gelangten. B. Nachdem die AXA die Empfehlung mit Schreiben vom 10. August 2009 abgelehnt hatte, legte der EDÖB die Angelegenheit mit Schreiben vom 27. August 2009 dem Eidgenössischen Departement des Innern (EDI) zum Entscheid gemäss Art. 27 Abs. 5 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (Datenschutzgesetz, DSG, SR 235.1) vor. Dabei beantragte er entsprechend seiner Empfehlung vom 8. Juni 2009, die AXA sei mittels Verfügung zu verpflichten, die von ihr praktizierte Be- kanntgabe der Daten der bei ihr versicherten Personen an deren Arbeit- gebende unverzüglich einzustellen und die Pensionskassenausweise künftig in einer Art und Weise zu versenden, die gewährleiste, dass diese direkt und ausschliesslich an die jeweilige versicherte Person gelangten. Das EDI holte im Rahmen des Beweisverfahrens beim Bundesamt für Sozialversicherung (BSV) eine Drittmeinung ein. Das BSV kam in seiner Vernehmlassung vom 22. Dezember 2009 zum Schluss, dass weder von einer Datenbekanntgabe ohne gesetzliche Grundlage noch von einer Schweigepflichtverletzung seitens der AXA auszugehen sei.
A-4467/2011 Seite 3 Mit Verfügung vom 15. Juni 2011 gab das EDI dem Antrag des EDÖB nicht statt und stellte fest, dass die Praxis der AXA, die Pensionskassen- ausweise den Arbeitgebenden zur Weiterleitung an die Arbeitnehmenden zu übergeben, keine rechtlichen Normen verletze und daher dem Legali- tätsprinzip entspreche. C. In der Folge erhob der EDÖB (nachfolgend: Beschwerdeführer) mit Schreiben vom 12. August 2011 Beschwerde beim Bundesverwaltungs- gericht. Er beantragt, die Verfügung des EDI (nachfolgend: Vorinstanz) vom 15. Juni 2011 sei aufzuheben und die AXA (nachfolgend: Beschwer- degegnerin) sei anzuweisen, den bei ihr versicherten Personen die per- sönlichen Pensionskassenausweise künftig so zuzustellen, dass aus- schliesslich diese selbst, aber insbesondere nicht deren Arbeitgebende, Kenntnis vom Inhalt dieser Ausweise erlangen könnten. Mit Beschwerdeantwort vom 8. September 2011 beantragt die Beschwer- degegnerin die Abweisung der Beschwerde. In ihrer Vernehmlassung vom 27. September 2011 beantragt die Vorin- stanz ebenfalls, die Beschwerde sei abzuweisen und die angefochtene Verfügung demgemäss zu bestätigen. Der Beschwerdeführer hält mit Schreiben vom 18. Oktober 2011 an sei- nen Anträgen und Ausführungen gemäss Beschwerdeschrift fest. D. Auf weitere Sachverhaltselemente und Parteivorbringen wird – sofern entscheidrelevant – im Rahmen der nachfolgenden Erwägungen einge- gangen.
Das Bundesverwaltungsgericht zieht in Erwägung: 1. 1.1. Gemäss Art. 31 des Bundesgesetzes über das Bundesverwaltungs- gericht vom 17. Juni 2005 (Verwaltungsgerichtsgesetz, VGG, SR 173.32) beurteilt das Bundesverwaltungsgericht Beschwerden gegen Verfügun- gen nach Art. 5 des Bundesgesetzes vom 20. Dezember 1968 über das Verwaltungsverfahren (VwVG, SR 172.021). Weil keine Ausnahme nach
A-4467/2011 Seite 4 Art. 32 VGG vorliegt und das EDI eine Vorinstanz nach Art. 33 Bst. d VGG ist, ist das Bundesverwaltungsgericht zur Beurteilung der vorliegen- den Beschwerde zuständig. 1.2. Im Rahmen der Aufsicht über Bundesorgane ist der EDÖB gemäss Art. 27 Abs. 6 DSG befugt, gegen Verfügungen eines Departements nach Art. 27 Abs. 5 DSG Beschwerde zu führen, wobei sich das Beschwerde- verfahren nach den allgemeinen Bestimmungen über die Bundesrechts- pflege richtet (YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008, Art. 27 Abs. 6 Rz. 24). 1.3. Auf die form- und fristgerecht eingereichte Beschwerde (Art. 50 und 52 VwVG) ist daher einzutreten. 2. Das Bundesverwaltungsgericht prüft die Entscheide seiner Vorinstanzen mit voller Kognition. Gerügt werden kann daher gemäss Art. 49 VwVG die Verletzung von Bundesrecht – einschliesslich Überschreitung oder Miss- brauch des Ermessens –, die unrichtige oder unvollständige Feststellung des rechtserheblichen Sachverhalts sowie die Unangemessenheit des angefochtenen Entscheids. 3. Umstritten ist vorliegend, ob eine Datenbekanntgabe von der Beschwer- degegnerin an die Arbeitgebenden stattgefunden hat bzw. ob Letztere wie der Beschwerdeführer behauptet, als Dritte zu qualifizieren sind oder dem Standpunkt der Beschwerdegegnerin zu folgen ist, wonach keine Daten- bekanntgabe vorliegen könne, da die Arbeitgebenden als Stiftungsorgane mit der Durchführung der beruflichen Vorsorge betraut seien und daher nicht als Dritte gelten könnten. Die Vorinstanz ist in ihrer Verfügung in Be- zug auf den Arbeitgebenden nicht bereits aufgrund der Anmeldung der versicherten Arbeitnehmenden bei der Vorsorgeeinrichtung bekannte Da- ten von einer Datenbekanntgabe ausgegangen. Sie hat die Arbeitgeben- den jedoch aufgrund der Qualifikation als Organe der Vorsorgestiftung nicht als Dritte eingestuft und in der Folge eine Verletzung der Schweige- pflicht seitens der Beschwerdegegnerin verneint. Das BSV hat diesbe- züglich erklärt, im obligatorischen Bereich des Bundesgesetzes vom 25. Juni 1982 über die berufliche Alters-, Hinterlassenen- und Invaliden- vorsorge (Bundesgesetz über die berufliche Vorsorge, BVG, SR 831.40) würden keine Daten bekanntgegeben, welche die Arbeitgebenden nicht bereits aufgrund ihrer Mitgliedschaft im paritätischen Organ der Vorsor-
A-4467/2011 Seite 5 geeinrichtung kennen würden oder problemlos selbst berechnen könnten. Aber auch wenn von einer Datenbekanntgabe ausgegangen würde, sei diese nicht zweckwidrig, da die Arbeitgebenden von der Vorsorgestiftung gewisse Daten benötigten, um ihrer gesetzlichen Beitragspflicht gemäss Art. 66 BVG und ihrer Informationspflicht nach Art. 333 Abs. 4 des Obliga- tionenrechts vom 30. März 1911 (OR, SR 220) nachzukommen. Dabei erhielten sie jedoch keinen Einblick in besonders schützenswerte Perso- nendaten. Im Folgenden sind vorab die anwendbaren Rechtsgrundlagen sowie de- ren Verhältnis zueinander darzulegen. In einem zweiten Schritt ist zu prü- fen, ob eine datenschutzrechtlich relevante Datenbekanntgabe stattge- funden hat und falls ja, ob diesbezüglich ein Verstoss gegen die mass- geblichen Gesetzesbestimmungen und damit eine widerrechtliche Per- sönlichkeitsverletzung vorliegt. 4. 4.1. Jeder Mensch hat nach Art. 8 Abs. 1 der Konvention vom 4. November 1950 zum Schutze der Menschenrechte und Grundfreihei- ten (EMRK, SR 0.101) das Recht auf Achtung seines Privatlebens. Unter diesem Blickwinkel werden die Speicherung und Verwertung von Informa- tionen durch den Staat sowie die Einsicht in gespeicherte Informationen beurteilt. Gemäss Art. 13 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV, SR 101) hat jede Person An- spruch auf Achtung ihrer Privatsphäre und Schutz vor Missbrauch ihrer persönlichen Daten (vgl. diesbezüglich auch BGE 136 II 508 E. 6.3.1 f.). Dieser Anspruch bildet Teil der verfassungsmässigen Garantie der Privat- sphäre und Kernbestandteil des Datenschutzgesetzes (Art. 1 DSG) und räumt jeder Person das Recht darauf ein, selbst zu entscheiden, wann und wem sie persönliche Lebenssachverhalte, aber auch Gedanken, Empfindungen und Ähnliches preisgibt. Dieses verfassungsmässige Recht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV und Art. 8 Ziff. 1 EMRK) lässt grundsätzlich ohne Rücksicht darauf, wie sensibel die fraglichen Informationen tatsächlich sind, dem Einzelnen die Herrschaft über seine personenbezogenen Daten zukommen und schützt ihn vor Beeinträchtigungen, die durch die staatliche Bearbeitung seiner persönli- chen Daten entstehen (RAINER J. SCHWEIZER, in: Die Schweizerische Bundesverfassung, Kommentar, Ehrenzel- ler/Mastronardi/Schweizer/Vallender [Hrsg.], 2. Auflage, Zürich 2008, Art. 13 Rz. 37 ff.; JÖRG PAUL MÜLLER/MARKUS SCHEFER, Grundrechte in
A-4467/2011 Seite 6 der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. Auflage, Bern 2008, S. 164 ff.; URS MAURER- LAMBROU/SIMON KUNZ, in: Basler Kommentar zum Datenschutzgesetz, 2. Auflage, Basel 2006, Maurer-Lambrou/Vogt [Hrsg.], Art. 1 Rz. 19 und 23 mit Hinweisen, nachfolgend "BSK-DSG"; REBEKKA RIESSELMANN- SAXER, Datenschutz im privatrechtlichen Arbeitsverhältnis, Diss. Bern 2002, S. 3 f. mit Hinweis; KURT PÄRLI, Datenaustausch zwischen Arbeit- geber und Versicherung, Diss. Bern 2003, S.127 f.). 4.2. Für die Beurteilung der Anwendbarkeit des Bundesdatenschutz- rechts bzw. für die Abgrenzung privat- oder öffentlich-rechtlich ist auf die Natur des zugrunde liegenden Verhältnisses abzustellen; die Beziehung zwischen dem Datenbearbeitenden und der betroffenen Person ist in ei- ner gesamthaften Betrachtung zu prüfen (vgl. BGE 122 I 153 E. 2c; DAVID ROSENTHAL/YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 2 Abs. 1 Rz. 17). Vorliegend handelt es sich bei der Daten- bearbeiterin um eine Vorsorgestiftung, betroffen sind die bei ihr im Rah- men der obligatorischen beruflichen Vorsorge versicherten Personen. Die hier in Frage stehende Rechtsbeziehung ist ohne Weiteres gesetzliche Folge des Arbeitsvertrags (vgl. Art. 10 BVG), d.h. der Arbeitnehmende kann grundsätzlich weder den Abschluss noch den Partner oder Inhalt der Rechtsbeziehung bestimmen, es fehlt an den zentralen Elementen der (privatrechtlichen) Vertragsfreiheit. Der erwähnte gesetzliche An- schluss an die Stiftung bewirkt, dass der einzelne Arbeitnehmende auch ohne Weiteres ihren reglementarischen Bestimmungen unterworfen ist (HANS MICHAEL RIEMER/GABRIELA RIEMER-KAFKA, Das Recht der berufli- chen Vorsorge in der Schweiz, 2. Auflage Bern 2006, § 4 Rz. 11; PÄRLI, a.a.O., S. 83 mit Hinweisen). Als Bundesaufgabe nach Art. 113 BV ist die berufliche Vorsorge dem öffentlichen Recht zuzuordnen. Die unter Bun- desaufsicht stehenden Vorsorgeeinrichtungen, die an der Durchführung der obligatorischen Versicherung beteiligt sind (Art. 48 Abs. 1 BVG), gel- ten als mit einer öffentlichen Aufgabe des Bundes betraute juristische Personen und sind damit in Bezug auf den Datenschutz trotz ihrer feh- lenden Verfügungsmacht als Bundesorgane i.S.v. Art. 2 Abs. 1 Bst. b DSG i.V.m. Art. 3 Bst. h DSG zu qualifizieren, sofern sie Personendaten für die Erfüllung einer öffentlichen Aufgabe des Bundes bearbeiten, was vorliegend der Fall ist (JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 3 Bst. h Rz. 99; KURT PÄRLI, Handkommentar zum BVG, Schneider/Geiser/Gächter [Hrsg.], Bern 2010, Art. 85a Rz. 2 mit Hinweis; MAURER-LAMBROU/ KUNZ, BSK-DSG, a.a.O., Art. 2 Rz. 16 und 18).
A-4467/2011 Seite 7 4.3. Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Es ergänzt und konkretisiert damit den bereits durch das Schwei- zerische Zivilgesetzbuch vom 10. Dezember 1907 (ZGB, SR 210) ge- währleisteten Schutz (BGE 136 II 508 E. 6.3.2; BGE 127 III 481 E. 3.a.bb mit Hinweis). Da jegliche Form des Datenbearbeitens das verfassungs- rechtlich verankerte Recht auf informelle Selbstbestimmung sowie allge- mein das Recht auf persönliche Freiheit gemäss Art. 10 BV tangiert, ist sie nur dann rechtmässig, wenn die in Art. 36 BV vorgesehenen Schran- ken eingehalten sind. Die Bestimmungen des Datenschutzrechts sind letztlich Wertungen darüber, wann eine Datenbearbeitung einen schwer- wiegenden Grundrechtseingriff darstellt. Der bereichsspezifische Gesetz- geber ist nicht an das Schutzniveau des Datenschutzgesetzgebers ge- bunden; er kann andere Wertungen bzw. Regelungen vorsehen (MAU- RER-LAMBROU/KUNZ, BSK-DSG, a.a.O., Art. 1 Rz. 15; JÖHRI, Handkom- mentar zum DSG, a.a.O., Art. 17 Rz. 35 f.). Das Bundesgericht hat dies- bezüglich festgehalten, dass sich weder aus dem Gesetz noch aus den allgemeinen Grundsätzen ergebe, dass das Datenschutzgesetz inhaltli- che Anforderungen an die Ausgestaltung anderer, spezieller Gesetze ent- halte (BGE 124 I 176 E. 5c/ee). Der Gesetzgeber kann somit in bereichs- spezifischen Rechtsgrundlagen von gewissen allgemeinen Prinzipien oder Wertungen des Datenschutzrechts abweichen, so dass einzelnen Bestimmungen des Datenschutzgesetzes keine eigenständige materielle Bedeutung mehr zukommt. Soweit aber nicht eine abschliessende spezi- algesetzliche Norm vorliegt, müssen die Bundesorgane immer auch die allgemeinen Bestimmungen von Art. 4 ff. DSG beachten. Schliesslich sind die Grundsätze des Datenschutzgesetzes auch bei der Auslegung be- reichsspezifischer Normen zu berücksichtigen (vgl. Urteil des Bundesge- richts 2A.534/2001 vom 15. März 2002 E. 5, BGE 126 II 126 E. 5b und 5c; Botschaft vom 23. März 1988 zum DSG in BBl 1988 II 467; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 17 Rz. 5). Das Datenschutzgesetz will also in der Regel neben anderen Erlassen angewandt werden. Es ist jedoch nicht ausgeschlossen, dass eine ande- re Bestimmung des schweizerischen Rechts dem Datenschutzgesetz als lex specialis vorgeht. Ob der Gesetzgeber mit einer spezialgesetzlichen Norm eine bestimmte, auch vom Datenschutzgesetz geregelte Frage für den betreffenden Spezialfall abschliessend regeln wollte, ist durch Geset- zesauslegung festzustellen. Beispielsweise setzt der Gesetzgeber der Datenbearbeitung durch Arbeitgebende über das Datenschutzgesetz hi- nausgehende Schranken, indem diese Daten über Arbeitnehmende ge-
A-4467/2011 Seite 8 mäss Art. 328b Satz 1 OR nur bearbeiten dürfen, soweit sie deren Eig- nung für das Arbeitsverhältnis betreffen oder zur Durchführung des Ar- beitsvertrags erforderlich sind (ROSENTHAL/JÖHRI, Handkommentar zum DSG, a.a.O., Art. 2 Abs. 1 Rz. 2 f.). Wenn eine spezialgesetzliche Rechtsgrundlage für die Bearbeitung von Personendaten vorhanden ist, so erfolgt diese grundsätzlich rechtmässig (STEPHAN C. BRUNNER, Das revidierte Datenschutzgesetz und seine Auswirkungen im Gesundheits- und Versicherungswesen in: Datenschutz im Gesundheits- und Versiche- rungswesen, Schaffhauser/Horschik [Hrsg.], St. Gallen 2008, S. 145; vgl. auch Art. 4 Abs. 3 DSG). Im Bereich der obligatorischen beruflichen Vor- sorge ist die Datenbearbeitung bzw. -bekanntgabe durch Bundesorgane in Art. 85a bis 87 BVG geregelt. Wenn das Spezialrecht strengere Daten- schutznormen oder wie hier eine in sich geschlossene Datenschutzkon- zeption enthält, so gehen diese Bestimmungen ausnahmsweise jenen des allgemeinen Datenschutzgesetzes vor (BBl 1988 II 444, 471). 4.4. Auf die Vorsorgeeinrichtungen als Bundesorgane i.S.v. Art. 2 Abs. 1 Bst. b DSG sind die Bestimmungen des Datenschutzgesetzes aber er- gänzend anwendbar (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 86a Rz. 6, vgl. auch hinten E. 8.3). Das Datenschutzgesetz ist nämlich ein "Querschnitts- bzw. Einheitsgesetz", dessen Geltungsbereich sich nicht nur auf Datenbearbeitungen durch private Personen erstreckt, sondern wie erwähnt auch auf Bundesorgane, welche Personendaten bearbeiten (BBl 1988 II 444; PÄRLI, a.a.O., S. 141; MAURER-LAMBROU/ KUNZ, BSK- DSG, a.a.O., Art. 1 Rz. 6). Darunter sind gemäss Art. 3 Bst. h DSG Be- hörden und Dienststellen des Bundes sowie Personen zu verstehen, die mit öffentlichen Aufgaben des Bundes betraut sind. Bundesorgane sind von Amtes wegen verpflichtet, sowohl die Bestimmungen des Daten- schutzgesetzes als auch datenschutzrechtliche Normen anderer Bundes- erlasse einzuhalten und unterstehen grundsätzlich den strengeren öffent- lich-rechtlichen Bestimmungen von Art. 16 bis 25 bis DSG. Dies liegt darin begründet, dass Bundesbehörden gegenüber Privatpersonen grundsätz- lich hoheitlich auftreten und sie Personendaten auch gegen den Willen der Betroffenen erheben können. Für Datenbearbeitungen durch Bun- desbehörden gelten daneben jedoch auch die allgemeinen Datenschutz- bestimmungen (Art. 4 bis 11a DSG), die sowohl auf private Personen als auch auf Bundesorgane anwendbar sind (JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 3 Bst. h Rz. 99 und ROSENTHAL/JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 2 Abs. 1 Rz. 18 f.; MAURER-LAMBROU/KUNZ, BSK-DSG, a.a.O., Art. 1 Rz. 12; PÄRLI, a.a.O. S. 152).
A-4467/2011 Seite 9
5.1. Unter Personendaten (bzw. "Daten" im Sinne des Datenschutzge- setzes) sind alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 Bst. a DSG). Als Angaben gelten al- le Informationen, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet sind, ungeachtet dessen, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombinationen aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Entscheidend für die Qualifikation als Personendaten ist, dass sich die Angaben einer oder mehreren Personen zuordnen las- sen. Sogenannte Sachdaten sind daher immer dann auch Personenda- ten, wenn sie mit einer Person in Verbindung gebracht werden können. Eine Person ist zudem dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich um diese ganz bestimmte Person handelt. Wie der Bezug zur betroffenen Person hergestellt wird, ist ohne Bedeutung. Als Personendaten gelten schliesslich auch Angaben, bei denen eine Person lediglich bestimmbar ist, weil deren Identifikation durch die Kom- bination verschiedener Informationen ohne einen unverhältnismässigen Aufwand möglich ist. Der für die Bestimmung einer Person zu betreiben- de Aufwand ist aber dann nicht mehr vertretbar, wenn nach der allgemei- nen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Inte- ressent diesen auf sich nehmen wird (vgl. BBl 1988 II 444 f.; URS BELSER, BSK-DSG, a.a.O., Art. 3 Rz. 5 f.). Ob eine Information aufgrund zusätzli- cher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person bezieht (Art. 3 Bst. a DSG), beurteilt sich aus der Sicht des jeweiligen Inhabers der Informati- on. Im Falle der Weitergabe von Informationen ist dabei ausreichend, wenn der Empfänger die betroffene Person zu identifizieren vermag (Ur- teil des Bundesgerichts 1C_285/2009 vom 8. September 2010 E. 3.4 mit Hinweisen). Der Begriff der Personendaten geht ausserordentlich weit, weshalb auch der sachliche Geltungsbereich des Datenschutzgesetzes ausserordent- lich weit ist und selbst Daten mit sehr geringem Personenbezug und ge- ringer Gefährdung der Persönlichkeit der betroffenen Person erfasst wer- den. Diesem Umstand trägt das Datenschutzgesetz dadurch Rechnung, dass die Anforderungen, die es bei korrekter Anwendung aufstellt, umso
A-4467/2011 Seite 10 tiefer sind, je geringer die Persönlichkeit der betroffenen Personen ge- fährdet ist (vgl. ROSENTHAL, Handkommentar zum DSG, a.a.O., Art. 3 Rz. 2). 5.2. Nicht in Frage steht, dass es sich vorliegend um Informationen han- delt, die als Angaben im Sinne des Datenschutzgesetzes anzusehen sind (vgl. vorangehende E. 5.1). Auch das zweite Kriterium – der Personenbe- zug – kann ohne Weiteres bejaht werden, da auf dem jeweiligen Pensi- onskassenausweis Name und Adresse vermerkt sind und sich daraus somit direkt ergibt, wem die darauf verzeichneten Daten zuzuordnen sind. Damit sind die betroffenen Personen offensichtlich bestimmt und die in den fraglichen Ausweisen enthaltenen Angaben klar als Personendaten zu qualifizieren. 6. 6.1. Bearbeiten von Daten im Sinne von Art. 2 Abs. 1 DSG bedeutet je- der Umgang mit Personendaten, unabhängig von den angewandten Mit- teln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwen- den, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). 6.2. Der Begriff der Bekanntgabe als der heikelste Bearbeitungsschritt mit entsprechend hohem Potenzial für Persönlichkeitsverletzungen ist in Art. 3 Bst. f DSG definiert als das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen. In der Leh- re wird darunter grösstenteils jede aktive Weitergabe und jedes passive Zugänglichmachen von Personendaten, z.B. durch Herumliegenlassen vertraulicher Akten verstanden, die es einem Dritten ermöglichen, vom Inhalt personenbezogener Informationen Kenntnis zu nehmen. RIESSEL- MANN-SAXER stellt sich demgegenüber auf den Standpunkt, die Bekannt- gabe durch passive Weitergabe im Sinne einer Einsichtgewährung sei von der blossen Verletzung des Grundsatzes der Datensicherheit zu un- terscheiden. Erstere liege vor, wenn die Daten mit entsprechendem Wil- len zur Bekanntgabe zugänglich gemacht werden, Letztere gründe auf einer eigentlichen Nachlässigkeit des Verantwortlichen. So oder anders ist erforderlich, dass die Daten einem Dritten tatsächlich zugänglich ge- macht werden. Wer schon Zugang zu bestimmten Daten hat, dem können sie nicht mehr zugänglich gemacht werden; mit anderen Worten können Daten nur bekanntgegeben werden, wem sie nicht schon bzw. nicht in diesem Umfang bekannt sind (JÖHRI, Handkommentar zum DSG, a.a.O.,
A-4467/2011 Seite 11 Art. 3 Bst. f Rz. 75 f.; ROSENTHAL, Handkommentar zum DSG, a.a.O., Art. 6 Rz. 4; URS BELSER, BSK-DSG, a.a.O., Art. 3 Rz. 30; YVONNE JÖH- RI/MARCEL STUDER, BSK-DSG, a.a.O., Art. 19 Rz. 1; RIESSELMANN- SAXER, a.a.O., S. 18; BBl 1988 II 447; zur Datensicherheit vgl. hinten E. 9). 6.3. Die Beschwerdegegnerin hat die Vorsorgeausweise willentlich un- verschlossen an die Arbeitgebenden zugestellt, d.h. es wurde zweifelsfrei Einsicht gewährt. Den Ausweisen ist unter anderem zu entnehmen, wel- che Freizügigkeitsleistungen neu eintretende Versicherte einbringen, wann und in welcher Höhe versicherte Personen Einkäufe in die Pensi- onskasse tätigen bzw. Pensionskassenguthaben für den Erwerb von Wohneigentum vorbeziehen, ob und wann ihr Guthaben sich infolge Ehe- scheidung verändert hat und auf welchen Betrag sich ihre angesparten Pensionskassenguthaben belaufen. Unter Umständen befinden sich Hin- weise betreffend provisorischem Versicherungsschutz oder temporärer Erwerbsunfähigkeit auf dem Vorsorgeausweis. Zudem wird alljährlich die Höhe der Freizügigkeitsleistung bekanntgegeben (Art. 24 des Freizügig- keitsgesetzes vom 17. Dezember 1993 [FZG, SR 831.42]). Zu klären ist in diesem Zusammenhang, ob die Arbeitgebenden in Bezug auf die soeben erwähnten Daten als Dritte zu qualifizieren sind, so dass von einer datenschutzrechtlich relevanten Bekanntgabe auszugehen ist oder ob sie aufgrund ihrer Aufgaben im Rahmen der beruflichen Vorsorge oder innerhalb der Vorsorgestiftung bereits Kenntnis von obgenannten Daten haben, womit eben keine Datenbekanntgabe vorliegen würde (vgl. dazu auch E. 3). 6.3.1. Der Gesetzgeber hat es unterlassen, in den Legaldefinitionen von Art. 3 DSG den Begriff des Dritten zu konkretisieren. Dieser wird jedoch in diversen Bestimmungen verwendet und ist daher von einiger Bedeutung. Grundsätzlich sind drei Betrachtungsweisen denkbar, um den Begriff des Dritten zu bestimmen. Die funktionsbezogene Umschreibung fasst den Begriff am engsten: Demnach sind all jene Dritte, welche nicht aufgrund ihrer Aufgabe Zugriff auf die Daten erhalten. Bei der rechtlichen Betrach- tungsweise hingegen gilt als Dritter, wer nicht derselben rechtlichen Ein- heit angehört bzw. bei dem es sich um eine andere juristische oder natür- liche Person handelt. Am weitesten wird der Begriff des Dritten aufgrund der wirtschaftlichen Betrachtungsweise gefasst: Als Dritte zu qualifizieren sind danach all jene, die ausserhalb einer wirtschaftlichen Einheit, z.B. eines Konzerns, stehen. Infolge konsequenter Anwendung des Vertrau-
A-4467/2011 Seite 12 lichkeitsprinzips (vgl. Art. 7 Abs. 1 DSG und Art. 9 Abs. 1 Bst. g der Ver- ordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz [VDSG, SR 235.11]), wonach der Zugriff der berechtigten Personen auf diejenigen Personendaten zu beschränken ist, die sie für die Erfüllung ih- rer Aufgabe benötigen, kann grundsätzlich nur die erstgenannte, funkti- onsbezogene Begriffsbestimmung massgebend sein. Dritte sind dement- sprechend all diejenigen, welche die betreffenden Personendaten für die Erfüllung ihrer jeweiligen Aufgabe nicht benötigen. Als Bekanntgabe an einen Dritten gilt demnach beispielsweise die Einsichtnahme eines Abtei- lungsleiters in die Personalakte eines Arbeitnehmenden, der nicht dersel- ben Abteilung innerhalb desselben Betriebs angehört (RIESSELMANN- SAXER, a.a.O, S. 20 mit Hinweisen). Ziel vorgenannter Bestimmung ist – analog zum gleichlautenden Art. 33 des Bundesgesetzes vom 6. Oktober 2000 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1) – u.a. der Schutz der Persönlichkeit betroffener Personen, welche sowohl durch die Weitergabe entsprechender Daten nach aussen als auch innerhalb derselben Behörde tangiert wird. Dies lässt sich eben- falls aus der Tatsache schliessen, dass die Schweigepflicht grundsätzlich auch innerhalb derselben Behörde zu beachten ist, solange damit nicht die Durchführung der beruflichen Vorsorge verunmöglicht wird. Daran än- dert nichts, dass die einzelnen Personen innerhalb der Behörde ihrerseits der Schweigepflicht unterstehen. Alle Personen und Stellen ausserhalb der entsprechenden Behörde – wie etwa Arbeitgebende – haben umso mehr als Dritte zu gelten (vgl. UELI KIESER, ATSG-Kommentar, 2. Auflage, Zürich/Basel/Genf 2009, Art. 33 Rz 10 f. mit Hinweisen; PÄRLI, Hand- kommentar zum BVG, a.a.O., Art. 86 Rz. 3, 5 und 13 f. mit Hinweisen; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 3 Bst. f. Rz. 75). 6.3.2. 6.3.2.1 Die paritätische Verwaltung nach Art. 51 BVG ist das oberste Or- gan einer Vorsorgeeinrichtung. Der Grundgedanke von Art. 51 BVG ist die Einführung einer beitragsunabhängigen und vollen paritätischen, d.h. effektiv gleichberechtigten Mitbestimmung der Arbeitnehmervertretung in privatrechtlichen Personalvorsorgestiftungen, also die Statuierung einer echten Sozialpartnerschaft auf dem Gebiet der beruflichen Vorsorge. Dies muss für die Anwendung dieser Bestimmung (Auslegung und Füllung all- fälliger Lücken des darauf beruhenden Reglements) wegleitend sein. Die volle Parität gemäss Art. 51 BVG wurde vorab als Minimalvorschrift zum Schutz der Arbeitnehmenden eingeführt, so dass sie zu deren Ungunsten nicht verändert werden darf, es den Arbeitgebenden jedoch freisteht, auf
A-4467/2011 Seite 13 ihre Vertretungsrechte ganz oder teilweise zu verzichten (RIEMER/RIEMER- KAFKA, a.a.O., § 2 Rz. 54 und 69; THOMAS GÄCHTER/MAYA GECKELER HUNZIKER, Handkommentar zum BVG, a.a.O., Art. 51 Rz. 12 f. mit Hin- weisen). Dem paritätischen Organ kommen eigentliche Mitbestimmungs- und nicht nur blosse Mitspracherechte zu, wobei alle Vertretenden abso- lut gleichberechtigt sind. Ob zur Vertretung auf beiden Seiten externe Personen wie Rechtsanwälte oder Experten beigezogen werden dürfen, ist gesetzlich nicht geregelt, wird jedoch von der Lehre entsprechend der bisherigen Praxis bejaht. Alle strategischen Entscheide als Kernaufgaben des obersten Organs dürfen nicht auf aussenstehende Dritte übertragen werden, d.h. bestimmte zentrale Führungsaufgaben müssen vom paritäti- schen Organ selbst wahrgenommen werden. Dieses kann indessen ihm zustehende operative Kompetenzen beispielsweise an ein besonderes Fachgremium delegieren, insbesondere im Bereich der Vermögensver- waltung i.S.v. Art. 51 Abs. 2 Bst. c BVG, wo den Mitgliedern des paritäti- schen Organs oftmals das nötige Fachwissen fehlt. In Anbetracht der zu- nehmenden Komplexität der zu bewältigenden Aufgaben führen man- gelnde Fachkenntnisse und das Bedürfnis nach Professionalität vermehrt dazu, dass Vorsorgeeinrichtungen bestimmte Aufgaben an aussenste- hende Dienstleistende auslagern. Ebenso kann es – vor allem bei gros- sen Personalvorsorgeeinrichtungen – zweckmässig sein, wenn gewisse Aufgaben einzelnen Mitgliedern oder Ausschüssen des Führungsorgans zugewiesen werden. Solche Ausschüsse müssen nicht zwingend paritä- tisch zusammengesetzt, jedoch durch das paritätische Organ gewählt sein und kontrolliert werden können (GÄCHTER/GECKELER HUNZIKER, Handkommentar zum BVG, a.a.O., Art. 51 Rz. 29 f. und Rz. 54 ff. je mit Hinweisen; RIEMER/RIEMER-KAFKA, a.a.O., § 2 Rz. 58 f.). 6.3.2.2 Im Sinne einer informationellen Gewaltenteilung ist eine gewisse Abschottung zwischen Verwaltungseinheiten sicherzustellen, damit nicht jede Amtsstelle in alle Personendaten beliebig Einblick nehmen kann, die im Staat bearbeitet werden (BBl 1988 II 469). Dieser Grundsatz der in- formationellen Trennung ist nicht nur bei der Datenbekanntgabe zwischen verschiedenen Bundesorganen zu beachten, sondern auch innerhalb ei- ner Behörde sicherzustellen (JÖHRI, Handkommentar zum DSG, a.a.O., Art. 19 Rz. 6 mit Hinweisen). Die in Art. 7 DSG geforderte Vertraulichkeit der Daten ist nicht vorhanden, wenn Arbeitgebende Einblick in Gesund- heits- und andere versicherungsrechtliche Daten erhalten. Die Verwaltung einer Vorsorgeeinrichtung muss deshalb so organisiert sein, dass weder der Arbeitgebende selber noch ein Organ oder Stellvertreter Zugang zu den Daten der versicherten und bei ihm angestellten Personen erhält, an-
A-4467/2011 Seite 14 sonsten eine widerrechtliche Datenbearbeitung vorliegt. Namentlich die fehlende Trennung zwischen Arbeitgeber- und Versicherungsfunktion kann dazu führen, dass die Arbeitgebenden Einblick in Versicherungsda- ten erhalten (PÄRLI, a.a.O., S. 3 und 9). Wenn ein Mitarbeitender der Per- sonalabteilung eines Arbeitgebenden gleichzeitig verantwortlich ist für die Abwicklung organisatorischer Belange der Vorsorgeeinrichtung, so dient das Wissen, das er in seiner Funktion als Vertretender der Vorsorgeein- richtung erlangt, zwei Herren. Hat der Arbeitgebende dadurch uneinge- schränkten Zugang zu den Versicherungsdossiers der Vorsorgeeinrich- tung, ist die Ausgangslage mit einer verpönten Personalunion vergleich- bar. Folgt man der herrschenden Lehre, so wird alles Wissen eines Organs der juristischen Person selbst zugerechnet, d.h. das Wissen der Vorsor- geeinrichtung über die im persönlichen Ausweis enthaltenen Daten wird zum Wissen des jeweiligen Arbeitgebenden. Die Lehre wird allerdings in ihrer Absolutheit in Frage gestellt. So wird angeregt, eine angemessene Informationsbewirtschaftung solle dazu führen, dass Informationen an diejenigen Stellen gelangten, welche sie auch benötigten. Die richtige Kanalisation des Informationsflusses und insbesondere eine adäquate Zugangsregelung können durch Kommunikationsschranken innerhalb des Betriebs, sogenannte "Chinese Walls" sichergestellt werden. Diese ver- hindern, dass Unbefugte Zugang zu für sie nicht relevante Informationen erhalten. Die Notwendigkeit solcher Schranken ergibt sich wie erwähnt bereits aus dem in Art. 7 DSG verankerten Gebot der Datensicherheit. So verlangt denn auch der EDÖB in seinem Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich eine strikte Trennung zwischen dem Personaldienst des Arbeitgebenden und dem Verwaltungspersonal der Versicherung. Die Führung der Dossiers der versicherten Personen kann grundsätzlich aussenstehenden Dritten übertragen werden. Da- durch lässt sich der unbefugte Datenaustausch als Folge von Personal- union oder ungenügenden Kommunikationsschranken vermeiden, wobei der grundlegend unbefriedigende Zustand nur mit einem Verbot der Wahrnehmung beider Aufgaben in Personalunion geändert werden kann (HANS MICHAEL RIEMER, Berührungspunkte zwischen beruflicher Vorsorge und Arbeitsrecht, SZS 2009, S. 119 f. mit Hinweisen; GABRIELA RIEMER- KAFKA, Datenschutz zwischen Arbeitgeber und Versicherungsträgern, SJZ 96/2000, S. 288, 291 f. mit Hinweisen; PÄRLI, a.a.O., S. 210 ff. mit Hinweisen; EDÖB, Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich, Version Mai 2011, S. 10 Ziff. 3.1.4,
A-4467/2011 Seite 15 http://www.edoeb.admin.ch > Dokumentation > Leitfäden, besucht am 2. März 2012; zum Grundsatz der Datensicherheit vgl. hinten E. 9). 6.3.2.3 In Bezug auf die Auskunftspflicht einer Vorsorgeeinrichtung ge- genüber ihren Versicherten hat das BSV in diesem Zusammenhang Fol- gendes festgehalten: Im Rahmen ihrer Organisation kann die Vorsorgeeinrichtung ihre Vorsor- gewerke als unmittelbare Kontaktstellen zu den Versicherten bezeichnen, so dass sämtliche Anfragen, Informationen, Anweisungen usw. über diese laufen. Anderseits ist die Übertragung von solchen Aufgaben nicht zwin- gend erforderlich, auch dann nicht, wenn die paritätische Verwaltung auf Stufe der Vorsorgewerke organisiert ist. Die alltägliche Geschäftsführung wird nämlich in der Regel nicht vom Stiftungsrat oder vom paritätischen Organ des Vorsorgewerkes persönlich betreut. Vielmehr wird damit eine Geschäftsstelle beauftragt. Ein Bedürfnis nach Direktinformationen besteht z.B. in den Fällen, in de- nen der Arbeitnehmende ein legitimes Interesse daran hat, dass sein Ar- beitgebender von seinem Auskunftsbegehren nichts erfährt. Dies kann insbesondere bei Erkundigungen nach der Höhe der Freizügigkeitsleis- tung der Fall sein. Wenn sich die versicherte Person an die im Rahmen des Vorsorgewerkes organisierte paritätische Verwaltung, in der ihr Ar- beitgebender oder dessen Vertretung Einsitz haben, oder an Mitarbeiten- de im Personalwesen, die das Vorsorgewerk betreuen, wenden muss, ist die Vertraulichkeit der Behandlung solcher Anfragen nicht gewährleistet. Dies kann die faktische Durchsetzung der Informationsansprüche der Ar- beitnehmenden beträchtlich erschweren. Die Autonomie der Vorsorgeein- richtung, sich nach ihrem Gutdünken zu organisieren, steht somit in Kon- flikt mit dem sich aus dem arbeitsrechtlichen Persönlichkeitsschutz des Arbeitnehmenden ergebenden Anspruch auf vertrauliche Behandlung seiner Anfrage im Bereich des Vorsorgeverhältnisses. Aus dem Sinn und Zweck von Art. 86 BVG ergibt sich, dass Auskunftsbegehren der versi- cherten Personen zu keinen negativen Auswirkungen auf ihr Arbeitsver- hältnis führen dürfen. Der Arbeitnehmende hat einen legitimen Anspruch darauf, dass der Arbeitgebende wegen allfälliger Interessenkollisionen von seiner Anfrage keine Kenntnis erhält (vgl. diesbezüglich hinten E. 9.3). Es ist somit organisatorisch die Möglichkeit zu schaffen, auf Wunsch des Arbeitnehmenden eine Auskunft in der Weise zu erteilen, dass der Arbeitgebende und andere mit der Geschäftsleitung der betref- fenden Unternehmung betraute Personen davon nichts erfahren. Die
A-4467/2011 Seite 16 Sammel- wie auch die übrigen Einrichtungen können dieses Problem z.B. dadurch lösen, dass wichtige, die versicherte Person besonders und per- sönlich interessierende Daten wie die Freizügigkeitsleistung periodisch auf einem Versicherungsausweis mitgeteilt werden (Mitteilungen des BSV über die berufliche Vorsorge Nr. 19 vom August 1991, Nr. 114 Auskunft in der beruflichen Vorsorge, Ziff.1 S. 2 f., http://www.bsv.admin.ch/vollzug/ documents/index/page:12/lang:deu/category:67, besucht am 2. März 2012). 6.3.3. 6.3.3.1 Im Fall der Beschwerdegegnerin setzt sich die Personalvorsorge- kommission als paritätisches Organ aus mindestens je einem Vertreter der Arbeitgeber- und –nehmerseite zusammen, wobei auch nicht versi- cherte Dritte als Mitglieder gewählt werden können (vgl. Art. 2 f. Organi- sationsreglement der Personalvorsorge-Kommission der Beschwerde- gegnerin [Organisationsreglement]). Die Personalvorsorge-Kommission wählt den Stiftungsrat und nimmt die Aufgaben wahr, die dieser ihr regle- mentarisch überträgt (vgl. Art. 6 Organisationsreglement). Die Kommissi- on ist ebenfalls Stiftungsorgan. Vorsorgekommissionen sind einerseits Vertreterinnen der angeschlossenen Firmen, zugleich aber auch dasjeni- ge Gremium, mittels welchem die in Art. 51 BVG vorgesehene paritäti- sche Verwaltung der Vorsorgeeinrichtung durchgeführt wird. Deshalb ha- ben sie grundsätzlich den gleichen Zugang zu den massgeblichen Infor- mationen wie die Gremien der paritätischen Verwaltung bei einer einzel- betrieblichen Vorsorgeeinrichtung (BGE 124 II 114 E. 2b mit Hinweisen). Zum Kreis der von der Schweigepflicht nach Art. 86 BVG erfassten Per- sonen gehören auch die Mitglieder des paritätischen Organs, welche als Organe der Stiftung fungieren (GECKELER HUNZIKER, Arbeitnehmermitbe- stimmung unter besonderer Berücksichtigung der paritätischen Verwal- tung nach Art. 51 BVG, Diss. Zürich/Basel/Genf 2010, S. 174 f.; PÄRLI, BVG-Kommentar, a.a.O., Art. 86 Rz. 12; RIEMER/RIEMER-KAFKA, a.a.O., § 2 Rz. 76). Obwohl den Mitgliedern der Kommission zwecks Erfüllung ih- rer Aufgaben ein umfassendes Einsichtsrecht zukommen muss, lässt sich aus den diesem Organ zustehenden Kompetenzen folgern, dass indivi- dualisierte, v.a. gesundheitsbezogene Daten über versicherte Arbeitneh- mende keine Relevanz für das dem paritätischen Gremium zukommende Handeln haben. Art. 51 BVG steht somit einer Einschränkung des Ein- sichtsrechts in Personaldossiers der Versicherung durch die Arbeitgeber- seite nicht im Weg. Darüber hinaus scheint fraglich, ob ein Stiftungsrats- mitglied – vorbehältlich der Pensionskassenverwaltung – überhaupt ein
A-4467/2011 Seite 17 rechtliches Interesse an schützenswerten Daten von Arbeitnehmenden haben kann (GECKELER HUNZIKER, a.a.O., S. 174; RIEMER-KAFKA, a.a.O., S. 288 mit Hinweisen; vgl. zudem vorne E. 6.3.2.1 zum Zweck von Art. 51 als Minimalvorschrift zugunsten der Arbeitnehmenden). 6.3.3.2 Die Personalvorsorge-Kommission der Beschwerdegegnerin nimmt strategische Aufgaben wie namentlich die Wahl des Stiftungsrats, den Erlass des Vorsorgeplans, Entscheide über die Finanzierung des Vorsorgewerks und über die Verwendung des freien Vermögens wahr und überprüft die Jahresrechnung (vgl. Art. 6 des Organisationsreglements). Dafür benötigten ihre Mitglieder keine Einsicht in die individuellen Daten der einzelnen Versicherten. Es ist für die Erfüllung ihrer Aufgabe irrele- vant, wer welche Einkäufe oder Vorbezüge getätigt hat; vielmehr reicht es, wenn sie um die Höhe des insgesamt vorhandenen Kapitals der Stif- tung wissen. Die Organstellung der Arbeitgebervertretung hat demge- mäss entgegen der Ansicht der Beschwerdegegnerin und der Vorinstanz nicht zur Folge, dass die Arbeitgebenden Kenntnis aller persönlichen Da- ten ihrer Arbeitnehmenden haben (müssen). Die diesbezüglichen vo- rinstanzlichen Ausführungen, wonach der Arbeitgebende "naturgemäss" Angestellte in die Personalvorsorge-Kommission entsende und es dem- nach klar sei, dass er als Teil des obersten Organs der Stiftung Einblick in diese Akten habe, solange nicht besonders schützenswerte Daten davon betroffen seien, vermag in doppelter Hinsicht nicht zu überzeugen. Einer- seits ist seitens des Arbeitgebenden wie erwähnt die Vertretung im paritä- tischen Organ nicht zwingend und an Dritte delegierbar, andererseits ist nicht auszuschliessen, dass – sofern die Vertretung des Arbeitgebenden infolge organisatorischer Mängel Einsicht in individuelle Versichertendos- siers erhält – besonders sensible Gesundheitsdaten nicht betroffen sind. Umso mehr ist die Einsicht auf die zur Wahrnehmung der obgenannten strategischen Aufgaben erforderlichen Informationen zu beschränken (vgl. dazu auch vorne E. 6.3.2). 6.3.4. 6.3.4.1 Die Beitragspflicht der Arbeitgebenden stellt den wichtigsten Teil des Inhalts der Rechtsbeziehung zwischen ihnen und der Vorsorgestif- tung dar (vgl. Art. 66 BVG; RIEMER/RIEMER-KAFKA, a.a.O., § 4 Rz. 6). Der Arbeitgebende, der obligatorisch zu versichernde Arbeitnehmende be- schäftigt, muss eine in das Register für die berufliche Vorsorge eingetra- gene Vorsorgeeinrichtung errichten oder sich einer solchen anschliessen (Art. 11 Abs. 1 BVG). Gemäss Art. 10 der Verordnung vom 18. April 1984
A-4467/2011 Seite 18 über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (SR 831.441.1) muss der Arbeitgebende der Vorsorgeeinrichtung alle versicherungspflichtigen Arbeitnehmenden melden und alle Angaben ma- chen, die zur Führung der Alterskonten und zur Berechnung der Beiträge nötig sind. 6.3.4.2 Für die Durchführung der beruflichen Vorsorge bzw. zur Erfüllung ihrer damit verbundenen Aufgaben benötigen die Arbeitgebenden Anga- ben im Zusammenhang mit der in Art. 66 BVG geregelten Beitragspflicht, d.h. Daten zwecks Anmeldung eines Arbeitnehmenden in die Vorsorge- einrichtung oder Angaben bei dessen Austritt. Es werden jedoch keine Angaben über die Höhe von Freizügigkeitsleistungen, über Bezüge für Wohneigentum oder über Einkäufe in die berufliche Vorsorge benötigt. Die in Erwägung 6.3.2.3 zitierte Mitteilung des BSV vom 19. August 1991 zeigt auf, dass den Arbeitgebenden die Höhe der Freizügigkeitsleistun- gen, die ihren einzelnen Arbeitnehmenden zustehen, grundsätzlich nicht bekannt ist und die Vertreter der Arbeitgebenden in der paritätischen Kommission keine Einsicht in Daten haben sollten, die sie nicht im Rah- men ihrer Beitragspflicht oder zur strategischen Führung der Stiftung be- nötigen. Idealerweise hat sich eine Vorsorgeeinrichtung demgemäss so zu organisieren, dass die Arbeitgebenden bzw. deren Vertretung keinen Einblick in die im Pensionskassenausweis enthaltenen, ihnen grössten- teils unbekannten und aufgrund der Beitragspflicht nicht errechenbaren Daten erhalten. 6.3.5. 6.3.5.1 Nach Art. 331 Abs. 4 OR hat der Arbeitgebende dem Arbeitneh- menden über die ihm gegen eine Vorsorgeeinrichtung zustehenden For- derungsrechte den erforderlichen Aufschluss zu erteilen. Der Arbeitge- bende ist indes nur auskunftspflichtig über die "Forderungsrechte", d.h. über den Arbeitnehmenden zustehende Rechte und Anwartschaften. In- dem der Arbeitgebende dem Arbeitnehmenden bei dessen Eintritt das Personalvorsorgereglement abgibt und ihm auch später regelmässig einmal jährlich, mindestens jedoch alle drei Jahre (Art. 24 Abs. 1 FZG analog), den Stand seiner Ansprüche bekanntgibt sowie allfällige Fragen beantwortet, wird er seinen Pflichten genügen. Die arbeitsrechtliche In- formationspflicht tritt hinter der vorsorgerechtlichen zurück und wird v.a. im Rahmen der arbeitsrechtlichen Vertragsverhandlungen, wenn letztere Pflicht noch nicht aktuell ist, Bedeutung haben (ULLIN STREIFF/ADRIAN VON KAENEL, Praxiskommentar zum Arbeitsvertrag, 6. Auflage 2006,
A-4467/2011 Seite 19 Art. 331 Rz. 10 mit Hinweisen; RIEMER, a.a.O., S. 120). In diese Richtung zielen auch die Weisungen des Bundesrates über die Pflicht der regis- trierten Vorsorgeeinrichtungen zur Auskunftserteilung an ihre Versicher- ten, gemäss welchen die Einrichtungen zu veranlassen haben, dass die bei ihnen angeschlossenen Arbeitgebenden ihre Arbeitnehmenden über die ihnen zustehenden Auskunftsrechte informieren (Mitteilung des BSV über die berufliche Vorsorge Nr. 10 vom 15. August 1988, Nr. 54, http://www.bsv.admin.ch/vollzug/documents/index/page:12/lang:deu/categ ory:67, besucht am 2. März 2012). Art. 55 Abs. 6 des Reglements 2005 der Stiftung Auffangeinrichtung BVG, wonach Vorsorgeausweise, Reglemente, Merkblätter und Formulare den angeschlossenen Betrieben zuzustellen und diese dafür verantwortlich sind, dass die versicherte Per- son in den Besitz der für sie bestimmten Unterlagen gelangt (Stiftung Auf- fangeinrichtung BVG, Reglement 2005 zur Vorsorge BVG, 2. Teil Allge- meine Bestimmungen, genehmigt vom Bundesrat am 27. Oktober 2004, http://www.chaeis.net/fileadmin/CHAEIS_SYNC/Internet/BVG_ALV/BVG_ ALV_Reglemente/D_Allgemeine%20Bestimmungen.pdf, besucht am 2. März 2012), legitimiert die Arbeitgebenden entgegen der Ansicht der Vorinstanz nicht, die im Vorsorgeausweis enthaltenen Daten zur Kenntnis zu nehmen. Der Hinweis auf die in welcher Form auch immer zu erfol- gende Zustellung und Weiterleitung impliziert noch keine Kenntnis der Daten. 6.3.5.2 Die Arbeitgebenden müssen somit über die individuelle Vorsorge- situation ihrer Arbeitnehmenden nicht informiert sein, um Letztere pflicht- gemäss über ihre Forderungsrechte zu unterrichten. Damit die Arbeit- nehmenden umfassend informiert sind und ihre Forderungen gegenüber der Vorsorgeeinrichtung geltend machen können, reichen allgemeine Hinweise theoretischer Natur; eine einzelfallspezifische Beratung ist hier- für nicht erforderlich, kann aber mit Einwilligung des betroffenen Arbeit- nehmenden erfolgen. Entgegen der Auffassung der Vorinstanz lässt sich aus Art. 331 Abs. 4 OR demnach nicht herleiten, dass die Beschwerde- gegnerin den Arbeitgebenden die im Vorsorgeausweis enthaltenen Daten weiterleiten darf. 6.3.6. Ebenso wenig lässt sich in der Fürsorgepflicht des Arbeitgebenden nach Art. 328 OR eine gesetzliche Grundlage für die Weitergabe der strit- tigen Daten erblicken. Im Gegenteil: Gemäss Art. 328 Abs. 1 OR hat der Arbeitgebende im Arbeitsverhältnis u.a. die Persönlichkeit des Arbeit- nehmenden zu achten und zu schützen, wozu auch dessen private Ge- heimsphäre zählt; die Missachtung des Datenschutzes führt zu einer Ver-
A-4467/2011 Seite 20 letzung der Persönlichkeit des betroffenen Arbeitnehmenden (STREIFF/ VON KAENEL, a.a.O., Art. 328 Rz. 7). Hinzu kommt, dass der Arbeitgebende Daten über den Arbeitnehmenden nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b OR). Vorgenannte Bestimmung beschränkt die zulässige Da- tenbearbeitung im Arbeitsverhältnis auf Fälle mit Arbeitsplatzbezug (STREIFF/VON KAENEL, a.a.O., Art. 328b Rz. 3, vgl. auch vorne E. 4.1 zur Anwendbarkeit des DSG). Unter den zur Durchführung des Arbeitsver- trags erforderlichen Datenbearbeitungen werden gemeinhin administrati- ve Belange verstanden, so etwa zur Erfüllung der gesetzlichen Verpflich- tungen gegenüber den Sozialversicherungen (STREIFF/VON KAENEL, a.a.O., Art. 328b Rz. 6). Damit wird jedoch der umgekehrte Fall der Da- tenbekanntgabe von den Arbeitgebenden an die Beschwerdegegnerin in Zusammenhang mit deren Beitragspflicht gemäss Art. 66 BVG angespro- chen, wovon nur diejenigen Daten aus dem Vorsorgeausweis betroffen sind, welche den Arbeitgebenden aufgrund ihrer Beitragspflicht ohnehin schon bekannt sind, d.h. in Bezug auf welche hier unbestrittenermassen keine Datenbekanntgabe vorliegt. 6.4. Zusammenfassend ist Folgendes festzuhalten: Da aus den Pensi- onskassenausweisen Daten zur persönlichen Vorsorgesituation der versi- cherten Arbeitnehmenden ersichtlich sind, welche die angeschlossenen Arbeitgebenden der Vorsorgeeinrichtung nicht bereits in Erfüllung ihrer Beitragspflicht nach Art. 66 BVG via Anmeldeformular mitteilen und daher weder bereits kennen noch berechnen können, liegt in Bezug auf diese Daten nach allen in Erwägung 6.3.1 erwähnten Definitionen eine Be- kanntgabe bzw. Weitergabe der entsprechenden Personendaten an einen Dritten im Sinne des Datenschutzgesetzes vor. Denn auch wenn die Ar- beitgebenden bzw. die sie vertretenden Personen gleichzeitig eine Or- ganfunktion innerhalb der Vorsorgeeinrichtung einnehmen, was v.a. in Bezug auf den vorliegend nicht zu thematisierenden Bereich der Verant- wortlichkeit relevant ist, benötigen sie die strittigen Angaben nicht zur Wahrnehmung der damit verbundenen strategischen Aufgaben und soll- ten aufgrund entsprechender, zu erwartender und wünschenswerter or- ganisatorischer Vorkehrungen der Vorsorgeeinrichtung gemäss vorste- henden Erwägungen (vgl. insbesondere E. 6.3.2) auch keine Kenntnis davon erhalten. Entgegen der Meinung der Vorinstanz und der Be- schwerdegegnerin sind die Arbeitgebenden bzw. ihre Vertreter in der pari- tätischen Kommission daher in Bezug auf Daten, die ihnen nicht bekannt
A-4467/2011 Seite 21 sind bzw. sein sollten, als Dritte zu qualifizieren. Zudem kann bei der praktizierten Zustellung der Pensionskassenausweise in offenen Couverts – auch wenn sie an eine von den Arbeitgebenden mit der Durchführung der beruflichen Vorsorge beauftragte Stelle, der die Daten allenfalls we- gen organisatorischer Mängel oder Personalunion schon bekannt wären, erfolgen würde – nicht ausgeschlossen werden, dass zusätzliche unbetei- ligte Dritte in darin enthaltene Daten, die ihnen bis anhin unbekannt wa- ren, Einblick erhalten. Die Voraussetzung des Bearbeitens gemäss Art. 2 Abs. 1 i.V.m. Art. 3 Bst. e und f DSG ist somit in Bezug auf die Beschwerdegegnerin erfüllt. Ob die entsprechenden Daten interessant für die Arbeitgebenden sind oder nicht, wie die Vorinstanz behauptet, ist irrelevant und verkennt den Zweck des Datenschutzgesetzes, welcher vorliegend im Schutz der Per- sönlichkeit der betroffenen versicherten Arbeitnehmenden bzw. im Ver- hindern unrechtmässigen Datenflusses zu erblicken ist (vgl. auch vorne E. 4.1). Zudem kann nicht ausgeschlossen werden, dass die bekanntge- gebenen Daten von den Arbeitgebenden zum Nachteil der Arbeitneh- menden verwendet werden könnten (vgl. dazu hinten E. 9.3). 7. Art. 4 DSG, welcher gleichermassen für die Datenbearbeitung durch Pri- vate und Bundesorgane gilt, verlangt, dass Personendaten nur rechtmäs- sig bearbeitet werden dürfen (Abs. 1), dass ihre Bearbeitung nach Treu und Glauben zu erfolgen hat und verhältnismässig sein muss (Abs. 2), dass Daten nur zu dem Zweck bearbeitet werden, der bei der Beschaf- fung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Abs. 3) und dass die Beschaffung der Daten und insbe- sondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein muss (Abs. 4). Die Grundsätze in Art. 4 Abs. 1 bis 4 DSG definieren positiv ausgedrückt, welche Verhaltensweisen im Rahmen einer Daten- bearbeitung per se eine Verletzung der Persönlichkeit der Betroffenen darstellen (ROSENTHAL, Handkommentar DSG, a.a.O., Art. 4 Rz. 2). Art. 4 Abs. 1 DSG enthält die an und für sich selbstverständliche Aussage, dass Personendaten nur rechtmässig bearbeitet werden dürfen. Eine Datener- hebung ist immer dann rechtswidrig, wenn ein Verstoss gegen eine Rechtsnorm vorliegt (MAURER-LAMBROU/STEINER, BSK-DSG, a.a.O., Art. 4 Rz. 5 f.). Die Personendaten müssen zudem vor unbefugtem Zugriff gesichert sein (Art. 7 Abs. 1 DSG).
A-4467/2011 Seite 22 Nachfolgend ist somit zunächst die Rechtmässigkeit der Bearbeitung der Personendaten bzw. der mit der Zustellpraxis der Beschwerdegegnerin verbundenen Bekanntgabe von Angaben über die berufliche Vorsorgesi- tuation der versicherten Personen an deren Arbeitgebende zu prüfen (E. 8). Danach wird auf den in vorliegendem Zusammenhang relevanten Grundsatz der Datensicherheit eingegangen (E. 9). 8. 8.1. 8.1.1. Bundesorgane müssen eine gesetzliche Grundlage für die Daten- bearbeitung haben (Art. 17 Abs. 1 DSG). Aus dieser Grundlage ergibt sich auch, ob und inwieweit sie im Rahmen einer bestimmten Datenbear- beitung von der Einhaltung der Bearbeitungsgrundsätze ausnahmsweise befreit sind, d.h. die ihnen übertragene Aufgabe erfüllen dürfen, auch wenn dies zu einer Verletzung der Persönlichkeit des Einzelnen führt (ROSENTHAL, Handkommentar zum DSG, a.a.O., Art. 4 Rz. 4). Ob die Da- tenbearbeitung auf Gesetzes- oder auf Verordnungsebene geregelt wer- den muss, ist nach allgemeinen gesetzestechnischen Grundsätzen zu beurteilen. Massgeblich ist, wieweit eine Datenbearbeitung in die Persön- lichkeit der Bürger eingreift. Aus diesen Gründen ist für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitspro- filen grundsätzlich eine formelle gesetzliche Grundlage notwendig (vgl. Art. 17 Abs. 2 DSG und allgemein zum Legalitätsprinzip: ULRICH HÄFE- LIN/GEORG MÜLLER/FELIX UHLMANN, Allgemeines Verwaltungsrecht, 6. Auflage Zürich/St. Gallen 2010, Rz. 377 ff.; EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, August 2001, Ziff. 2.1.1 S. 5, http://www.edoeb.admin.ch > Dokumentation > Leitfäden, besucht am 2. März 2012). 8.1.2. Nur in den Fällen von Art. 17 Abs. 2 Bst. a-c DSG können beson- ders schützenswerte Personendaten oder Personenprofile ausnahmswei- se ohne formelle gesetzliche Grundlage bearbeitet werden. Bei beson- ders schützenswerten Personendaten handelt es sich gemäss Legaldefinition von Art. 3 Bst. c DSG um Daten über die religiösen, welt- anschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätig- keiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie über administrative oder strafrecht- liche Verfolgungen und Sanktionen. Im Pensionskassenausweis aufge- führt sein könnten allenfalls Daten über die Gesundheit der versicherten
A-4467/2011 Seite 23 Personen. Wo dies der Fall ist, stellt die Beschwerdegegnerin jene Aus- weise jedoch künftig unbestrittenermassen direkt den betroffenen Perso- nen zu, so dass es sich bei den Gegenstand dieses Verfahrens bildenden Personendaten nicht um besonders schützenswerte i.S.v. Art. 3 Bst. c DSG handelt und die obgenannte Ausnahmebestimmung deshalb nicht zur Anwendung gelangt. Es bleibt ohnehin anzumerken, dass für die Be- kanntgabe von Personendaten durch Bundesorgane als Unterfall der Da- tenbearbeitung die in nachfolgender Erwägung erwähnte Spezialregelung von Art. 19 DSG zu beachten ist. 8.2. 8.2.1. Die Bekanntgabe von Personendaten muss grundsätzlich wie jede Art der Datenbearbeitung in einer Rechtsgrundlage i.S.v. Art. 17 DSG vorgesehen sein (Art. 19 Abs. 1 DSG). Die gesetzliche Grundlage muss sich ausdrücklich auf den Transfer von Daten als solchen beziehen, d.h. die Rechtsgrundlage muss eine Ermächtigung bzw. Verpflichtung zur Be- kanntgabe von Personendaten enthalten. Eine allgemeine Kompetenz zur Datenbearbeitung i.S.v. Art. 17 DSG genügt für die Datenbekanntgabe nicht (JÖHRI/STUDER, BSK-DSG, a.a.O., Art. 19 Rz. 25). 8.2.2. Art. 19 DSG sieht einige Ausnahmen vor, in denen eine Datenbe- kanntgabe trotz fehlender gesetzlicher Grundlage zulässig ist, um eine ra- tionelle Verwaltungstätigkeit und die Erfüllung gesetzlicher Aufgaben zu sichern. Diese Ausnahmen gelten jedoch nur in den Einzelfällen, die ab- schliessend aufgezählt und eng auszulegen sind. Die Ausnahmen betref- fen einzig die Weitergabe von Personendaten, nicht die Datenbearbeitung im Allgemeinen, d.h. die Bestimmungen in Art. 19 DSG entbinden nicht von der Schaffung der erforderlichen Rechtsgrundlagen für die Datenbe- arbeitung. Für die Bekanntgabe von Personendaten durch ein automati- siertes Abrufverfahren (z.B. Online-Zugriffe, Selfservice-prinzip) gelten diese Ausnahmen nicht (vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, a.a.O., Ziff. 2.3 S. 6; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 19 Rz. 7 und 20). 8.2.2.1 Vorliegend geht es nicht darum, Personendaten in einem Abruf- verfahren zugänglich zu machen. Die Frage, inwiefern Arbeitgebende an- gesichts des Anspruchs auf paritätische Verwaltung nach Art. 51 Abs. 1 BVG, aufgrund der Erfüllung ihrer Beitragspflicht nach Art. 66 BVG oder wegen arbeitsvertraglicher Pflichten Anspruch auf Kenntnis von Versi- chertendaten geltend machen können, wurde vorne in Erwägung 6.3 ge-
A-4467/2011 Seite 24 klärt. Danach besteht keine rechtliche Verpflichtung bzw. Notwendigkeit zur Bekanntgabe der vorliegend strittigen Daten. Zu prüfen bleibt daher, ob ein spezieller Grund gemäss Art. 19 DSG vorliegt, der im Einzelfall ei- ne Datenbekanntgabe trotz Fehlens einer (genügenden) gesetzlichen Grundlage rechtfertigen würde. Vorliegend kommt dafür mangels Einwilli- gung und allgemeinen Zugänglichmachens der Daten durch die betroffe- nen Personen nur Art. 19 Abs. 1 Bst. a in Betracht, wonach Bundesorga- ne Personendaten trotz fehlender rechtlicher Grundlage bekannt geben dürfen, wenn die Daten für den Empfänger im Einzelfall zur Erfüllung sei- ner gesetzlichen Aufgabe unentbehrlich sind, d.h. dieser ansonsten seine gesetzliche Aufgabe im konkreten Fall nicht erfüllen könnte. Empfänger können neben anderen Bundesorganen und kantonalen, kommunalen oder ausländischen Behörden auch natürliche oder juristische Privatper- sonen im In- und Ausland sein. Eine Datenbekanntgabe i.S.v. Art. 19 Abs. 1 Bst. a DSG kann nur in einem bestimmten Fall für einen einmali- gen Zweck sowie nur auf Anfrage erfolgen. Vorgenannte Bestimmung bie- tet somit keine Rechtsgrundlage für eine aktive Information durch eine Verwaltungsstelle (BBl 1988 II 469; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 19 Abs. 1 Rz. 21 und 24 f.; JÖHRI/STUDER, BSK-DSG, a.a.O., Art. 19 Rz. 42 f. und 45 mit Hinweisen). 8.2.2.2 Die durch Zustellung der Vorsorgeausweise erfolgte Datenbe- kanntgabe ist nicht auf Anfrage hin erfolgt; vielmehr versendet die Be- schwerdegegnerin die Ausweise in eigenem Interesse an die Arbeitge- benden, um Kosten einzusparen. Die Anwendbarkeit der Ausnahmebe- stimmung nach Art. 19 Abs. 1 Bst. a DSG ist daher bereits aufgrund die- ser Tatsache zu verneinen. 8.3. Im Sozialversicherungsrecht gelten spezielle Geheimhaltungspflich- ten, die eine Bekanntgabe von Personendaten nur ausnahmsweise zu- lassen. Ebenso gibt es eine Anzahl bereichsspezifischer Datenschutzbe- stimmungen, die den zulässigen Empfängerkreis und zum Teil auch die Art der Daten, die übermittelt werden, festlegen. Solche Bestimmungen gehen als Spezialnormen Art. 19 DSG vor (BBl 1988 II 471). Es bleibt da- her zu prüfen, ob eine spezialgesetzliche Ausnahme vorliegt, welche wei- ter geht als Art. 19 DSG und daher eine Datenbekanntgabe ausnahms- weise rechtfertigen würde. 8.3.1. Gemäss Art. 86 BVG haben Personen, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung des Bun- desgesetzes zur beruflichen Vorsorge beteiligt sind, gegenüber Dritten
A-4467/2011 Seite 25 Verschwiegenheit zu bewahren. Die Schweigepflicht bezieht sich auf alle Kenntnisse, die zum Stillschweigen verpflichtete Personen im Rahmen ih- rer vorgenannten Tätigkeit erlangen. Bundesorgane bzw. allgemein Per- sonen, die am Vollzug der Sozialversicherungsgesetze beteiligt sind, dür- fen Personendaten aus diesen Bereichen nur dann an Dritte bekanntge- ben, wenn das betreffende Gesetz eine Ausnahme von der grundsätzli- chen Schweigepflicht vorsieht (vgl. Botschaft vom 24. November 1999 über die Anpassung und Harmonisierung der gesetzlichen Grundlagen für die Bearbeitung von Personendaten in den Sozialversicherungen in: BBl 2000 261). Ausnahmen von der Schweigepflicht bedürfen folglich einer gesetzlichen Grundlage. Der Schweigepflicht unterstehen u.a. die Mitar- beitenden der Vorsorgeeinrichtungen, die in die Durchführung des Bun- desgesetzes über die berufliche Vorsorge involvierten Personen der Ar- beitgebenden sowie die Vertretung in der paritätischen Verwaltung der Vorsorgeeinrichtung (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 86 Rz. 10 und 12 mit Hinweis). 8.3.2. 8.3.2.1 Zufolge Art. 85a BVG sind die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe befugt, die Personendaten, einschliesslich besonders schüt- zenswerter Daten und Persönlichkeitsprofile, zu bearbeiten oder bearbei- ten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz über- tragenen Aufgaben zu erfüllen, namentlich um (Bst. a bis f): – die Versicherungsbeiträge zu berechnen und zu erheben; – Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und diese mit Leistungen anderer Sozialversicherungen zu koordinieren; – ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen; – die Aufsicht über die Durchführung dieses Gesetzes auszuüben; – Statistiken zu führen; – die Versichertennummer der AHV zuzuweisen oder zu verifizieren.
Die Liste der für zulässig erklärten Datenbearbeitungen ist nicht ab- schliessend (vgl. Gesetzestext "namentlich"). Zulässig ist jede Bearbei- tung von Personendaten, die vom zuständigen Organ in Erfüllung der im Bundesgesetz über die berufliche Vorsorge vorgesehenen Aufgabe not- wendig ist. Zu ergänzen ist, dass für die Bekanntgabe von Personenda-
A-4467/2011 Seite 26 ten Art. 86a BVG massgebend ist. Dieser Artikel erweitert und konkreti- siert die Schweigepflicht und geht der allgemeinen Datenbearbeitungsbe- stimmung in Art. 85a BVG vor. Gleiches gilt für die in Art. 85b BVG veran- kerte Akteneinsicht. Die Liste der Fälle zulässiger Datenbekanntgaben in Art. 86a BVG ist abschliessend; weitergehende Ausnahmen von der ge- setzlichen Schweigepflicht sind nicht vorgesehen (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 85a Rz. 10 und 12, Art. 86a Rz. 3 f.). Es dürfen zu- dem nur die Daten bekannt gegeben werden, welche für den in Frage stehenden Zweck erforderlich sind (Art. 86a Abs. 6 BVG). 8.3.2.2 Eine mögliche gesetzliche Grundlage für eine Ausnahme von der Schweigepflicht stellt das in Art. 85b BVG erwähnte Akteneinsichtsrecht dar: Sofern überwiegende Privatinteressen gewahrt bleiben, steht die Ak- teneinsicht Personen zu, die eine Verpflichtung nach diesem Gesetz ha- ben, für diejenigen Daten, die für die Wahrung des Anspruchs oder die Erfüllung der Verpflichtung erforderlich sind (Art. 85b Abs. 1 Bst. b BVG). Diese Regelung bezweckt klarzustellen, in welchen Fällen die Vorsorge- einrichtung zur Gewährung der Akteneinsicht befugt ist, ohne damit die Schweigepflicht nach Art. 86 BVG zu verletzen (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 85b Rz. 3 mit Hinweis). Daten dürfen überdies i.S. einer Ausnahme zur Schweigepflicht bekannt gegeben werden an andere mit der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe, sofern kein überwie- gendes Privatinteresse entgegensteht und wenn sie für die Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erforderlich sind (Art. 86a Abs. 2 Bst. a BVG). Eine Interessenabwägung erübrigt sich vorliegend, da der Einsichtsan- spruch im Fall beider vorgenannter gesetzlicher Bestimmungen auf Daten beschränkt ist, die für die Erfüllung einer Verpflichtung gemäss Bundes- gesetz über die berufliche Vorsorge notwendig sind. Die vorliegend um- strittenen Daten werden von den Arbeitgebenden weder zur Erfüllung ih- rer Beitragspflicht nach Art. 66 Abs. 2 bis 4 BVG benötigt noch im Rah- men der paritätischen Verwaltung nach Art. 51 Abs. 1 BVG. Arbeitsver- tragliche Pflichten, die einen Anspruch der Arbeitgebenden auf Einsicht begründen würden, sind gemäss Wortlaut von Art. 85b Abs. 1 Bst. b BVG und Art. 86a Abs. 2 Bst. a BVG unbeachtlich ("nach diesem Gesetz") und vorliegend auch nicht ersichtlich (vgl. vorne E. 6.3.5). Abgesehen davon dürfte auch in diesen beiden Konstellationen zumindest faktisch ein Ge- such um Akteneinsicht bzw. Datenbekanntgabe vorausgesetzt werden, während hier die Beschwerdegegnerin von sich aus aktiv geworden ist.
A-4467/2011 Seite 27 8.3.2.3 In den übrigen Fällen dürfen Personendaten an Dritte bekannt gegeben werden, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat oder, wenn das Einholen der Einwilligung nicht möglich ist, diese nach den Umständen als im Interesse des Versicherten voraus- gesetzt werden darf (Art. 86a Abs. 5 Bst. b BVG). Diese Regelung lehnt sich an Art. 19 Abs. 1 Bst. b DSG an (BBl 2000 266). Im vorliegenden Fall haben die betroffenen Personen weder in die Daten- bekanntgabe eingewilligt noch sind Gründe ersichtlich, welche das Einho- len der Einwilligung als unmöglich und die Bekanntgabe nach den Um- ständen als im Interesse der versicherten Personen erscheinen lassen würden. Im Gegenteil ist nicht auszuschliessen, dass die Arbeitnehmen- den durch die Bekanntgabe ihrer Daten an die Arbeitgebenden Nachteile zu erleiden haben (vgl. dazu hinten E. 9.3). 8.4. Weder auf Gesetzes- noch auf Verordnungsstufe findet sich eine ge- setzliche Grundlage für eine Ausnahme von der Schweigepflicht, welche die Bekanntgabe der Daten von der Beschwerdegegnerin an die Arbeit- gebenden der bei ihr versicherten Personen rechtfertigen würde. Es ist insbesondere kein Grund ersichtlich, weshalb die Arbeitgebenden die strittigen Versicherungsdaten der Arbeitnehmenden für die Erfüllung ihrer Pflichten im Zusammenhang mit der Durchführung der beruflichen Vor- sorge und im Übrigen auch bezüglich jener aus dem Arbeitsverhältnis be- nötigen würden (vgl. vorne E. 6.3.4 ff.). Vielmehr gilt die Schweigepflicht gemäss Art. 86 BVG auch für die Arbeitgebervertretung, die an der Durchführung der beruflichen Vorsorge beteiligt ist (PÄRLI, Handkommen- tar BVG, Art. 86 Rz. 12). Die Daten hätten folglich nicht weitergeleitet werden dürfen, d.h. die von der Beschwerdegegnerin praktizierte Datenbekanntgabe ist rechtswidrig und verletzt somit die Persönlichkeit der versicherten Personen. Überdies ist in nachfolgender Erwägung kurz auf einen in vorliegendem Zusam- menhang ebenfalls bedeutsamen Grundsatz des Datenschutzrechts, nämlich denjenigen der Datensicherheit, einzugehen. 9. 9.1. Aus Art. 8 EMRK erwächst dem Staat nicht nur die negative Ver- pflichtung auf Unterlassen jeder unrechtmässigen Beeinträchtigung der Privatsphäre des Einzelnen, sondern ebenso die positive Pflicht, Perso- nendaten effektiv und praktisch vor der Möglichkeit eines unautorisierten
A-4467/2011 Seite 28 Zugriffs zu schützen; es reicht nicht aus, wenn den Betroffenen eine Kla- gemöglichkeit gewährt wird (KURT PÄRLI, EMRK und Datenschutz am Ar- beitsplatz, digma 2009, Heft 1, S. 30 ff. mit Hinweisen insbesondere zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte). Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bear- beiten geschützt werden. Es handelt sich dabei um eine Dauerpflicht je- des Datenbearbeitenden; aufgrund veränderter Umstände nicht mehr ge- nügende Schutzmassnahmen sind anzupassen. Ziel der Datensicherheit ist nicht nur die Gewährleistung der Vertraulichkeit, der Verfügbarkeit und der Richtigkeit der Personendaten (vgl. diesbezüglich Art. 8 Abs. 1 VDSG, welcher auch für Bundesorgane gilt), vielmehr geht es ganz allgemein um die Verhinderung einer unbefugten Bearbeitung von Personendaten. Da- bei steht insbesondere der Schutz gegen Risiken der unbefugten oder zu- fälligen Vernichtung, des zufälligen Verlusts, technischer Fehler, der Fäl- schung, des Diebstahls oder der widerrechtlichen Verwendung sowie des unbefugten Änderns, Kopierens, Zugreifens oder anderer unbefugter Be- arbeitungen im Vordergrund. Gegenstand der Massnahmen ist nicht nur die EDV-gestützte, automati- sierte, sondern auch jegliche Form der manuellen Datenbearbeitung. Be- züglich Art und Umfang der zu treffenden Massnahmen gilt das Verhält- nismässigkeitsprinzip: Zufolge Art. 8 Abs. 2 VDSG sind insbesondere Zweck, Art und Umfang der Datenbearbeitung sowie der gegenwärtige Stand der Technik zu berücksichtigen und eine Einschätzung der mögli- chen Risiken für die betroffenen Personen vorzunehmen. Aufgrund der nicht abschliessenden Aufzählung in vorgenannter Bestimmung können und dürfen aber auch die Kosten der Massnahmen im Hinblick auf den angestrebten Schutzzweck berücksichtigt werden. Die allgemeinen finan- ziellen Möglichkeiten des Datenbearbeitenden sind jedoch zweitrangig (RIESSELMANN-SAXER, a.a.O, S. 33 f. mit Hinweisen; ROSENTHAL, Hand- kommentar zum DSG, a.a.O., Art. 7 Rz. 3 und 5 ff.; KURT PAULI, BSK- DSG, a.a.O., Art. 7 Rz. 2, 4 ff. und 17; EDÖB, Leitfaden für die Bearbei- tung von Personendaten in der Bundesverwaltung, a.a.O., Ziff. 2.7 S. 9). 9.2. Die Pensionskassenausweise der versicherten Personen sind trotz des Vermerks "Vertraulich" bei Zustellung an die Arbeitgebenden in keiner Weise gegen Einsichtnahme oder Kopieren geschützt (vgl. Art. 8 Abs. 1 Bst. e VDSG), insbesondere sind sie nicht einzeln in Couverts verpackt, mit einem (Klebe-)Siegel versehen oder nur nach Aufreissen einer perfo- rierten Sollbruchlinie einsehbar. Solche Massnahmen wären einfach zu
A-4467/2011 Seite 29 treffen und nicht allzu kostenintensiv. Die Beschwerdegegnerin hat in der Vergangenheit keine entsprechenden Massnahmen getroffen, sondern im Gegenteil bis anhin nicht einmal überprüft, ob besonders schützenswerte Daten Inhalt der einzelnen weitergeleiteten Vorsorgeausweise bilden. Damit verletzt sie zusätzlich den Grundsatz der Datensicherheit gemäss Art. 8 EMRK und Art. 7 DSG. 9.3. Weiter ist zu berücksichtigen, dass dem Datenschutz im Arbeitsver- hältnis auch eine anti-diskriminierende Funktion zukommt (PÄRLI, a.a.O., S. 20 mit Hinweisen). Die Daten der betroffenen Personen könnten zu Zwecken verwendet werden, die mit der Durchführung der beruflichen Vorsorge nichts zu tun haben und ebenso wenig im Interesse der Betrof- fenen liegen bzw. sie allfälligen Benachteiligungen im Arbeitsverhältnis aussetzen. Es kann nicht mit Sicherheit ausgeschlossen werden, dass die Daten beispielsweise im Zusammenhang mit Lohnverhandlungen von den Arbeitgebenden zulasten der Arbeitnehmenden verwendet werden könnten (vgl. dazu auch die Mitteilung des BSV vom 19. August 1991 in E. 6.3.2.3). Wer beispielsweise einen Vorbezug für Wohneigentum getä- tigt hat, ist ortsgebundener und daher vermehrt auf seine Stelle angewie- sen, was ihn abhängiger von seinem Arbeitgebenden macht. Für diesen wiederum spielen die Lohnkosten als variabler und beeinflussbarer Bud- getposten eine zentrale Rolle und bergen aus seiner Sicht im Vergleich zu den festen Kostenfaktoren am ehesten ein Sparpotential in sich (RIE- MER-KAFKA, a.a.O., S. 285). Die diesbezüglichen Bedenken des Be- schwerdeführers sind demnach gerechtfertigt. 10. 10.1. Die Beschwerdegegnerin macht als Grund für ihre Zustellpraxis wirtschaftliche Interessen geltend; konkret führt sie an, eine separate Zu- stellung der Pensionskassenausweise in verschlossenen Couverts an die Arbeitnehmenden stelle einen finanziellen Mehraufwand dar. Zudem weist sie auf Bestrebungen im Bereich der beruflichen Vorsorge hin, Kos- ten einzusparen und erklärt, ihre langjährige Zustellpraxis sei branchen- üblich. Dass die von der Beschwerdegegnerin praktizierte Zustellung der Vorsorgeausweise von bei ihr versicherten Personen in unverschlosse- nen Couverts an die Arbeitgebenden zwecks Weiterleitung sich auf keine gesetzliche Grundlage stützen kann und zudem dem Grundsatz der Da- tensicherheit widerspricht, wurde bereits dargelegt (vgl. E. 8 f.). Es stellt sich im Folgenden daher nur noch die Frage, in welcher Form die Zustel- lung der Pensionskassenausweise zu erfolgen hat bzw. welche Art der
A-4467/2011 Seite 30 Zustellung geeignet ist, den Grundsätzen des Datenschutzes, insbeson- dere demjenigen der Datensicherheit, Genüge zu tun. 10.2. Vorab gilt es in diesem Zusammenhang zu beachten, dass im Rahmen des vorliegenden Verfahrens die Rechte einer Vielzahl von Per- sonen in Frage stehen, deren Verteidigung der Beschwerdeführer mit seiner Empfehlung bzw. Beschwerde bezweckt. Das Ergebnis des Ver- fahrens kann somit indirekt Wirkung für all jene Personen zeitigen, die nach einer ähnlichen Methode vorgehen wie die Beschwerdegegnerin, was zusätzlich Licht auf die Tragweite des vorliegenden Falls und die von der Beschwerdegegnerin zu verlangende Art der Zustellung wirft (vgl. BGE 136 II 508 E. 6.3.2 betreffend Klageverfahren nach Art. 29 Abs. 4 i.V.m. Abs. 1 Bst. a DSG [sogenannter "Systemfehler"] mit Hinwei- sen). 10.3. Im Rahmen einer Interessenabwägung sind grundsätzlich auch rein wirtschaftliche Interessen des Datenbearbeitenden, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestal- ten oder die eigenen Geschäftsabläufe zu optimieren, schützenswert. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstellen (ROSENTHAL, Handkommentar DSG, a.a.O., Art. 13 Rz. 10; a.M. RAMPINI, BSK-DSG, a.a.O., Art. 13 Rz. 22). Vorliegend würde der Mehraufwand in- des die wirtschaftliche Existenz der Beschwerdegegnerin offensichtlich nicht in Frage stellen; dies wird ihrerseits auch nicht geltend gemacht. Die Vermeidung von finanziellem Mehraufwand ist grundsätzlich als gewinnstrebiges Interesse der Beschwerdegegnerin anzuerkennen, ver- mag aber dasjenige der betroffenen Personen am Schutz der eigenen Persönlichkeit ebenso wenig zu überwiegen wie das politische Argument der Forderung einer Kostenreduktion im Bereich der beruflichen Vorsor- ge. Auch der Hinweis auf die Langjährigkeit und angebliche Branchenüb- lichkeit der umstrittenen Zustellpraxis ist unbehelflich, zumal beispiels- weise die Pensionskasse des Bundes ebenso wie diejenige des Kantons Zürich die Pensionskassenausweise den bei ihr versicherten Personen direkt und verschlossen zustellen. 10.4. Die Beschwerdegegnerin hat demnach alle Massnahmen zu tref- fen, welche erforderlich sind um sicherzustellen, dass die Persönlichkeits- rechte der bei ihr versicherten Personen im Rahmen der Zustellung der Vorsorgeausweise nicht verletzt werden. D.h. sie hat die Ausweise in ei- ner geeigneten, den Grundsätzen des Datenschutzes angemessenen Form zu versenden. Konkret bedeutet dies, die Ausweise entweder den
A-4467/2011 Seite 31 Arbeitnehmenden einzeln direkt verschlossen per Post an ihre persönli- che Adresse oder zumindest in verschlossenen und mit dem jeweiligen Namen sowie dem Vermerk "Vertraulich" versehenen Couverts den Arbeitgebenden zur Weiterleitung zuzustellen. Es geht also letztlich nicht um ein gänzliches Verbot der Zusendung von Pensionskassenausweisen an die Arbeitgebenden, sondern lediglich als minimale Alternative zur di- rekten Zustellung an die Arbeitnehmenden darum, die Ausweise nicht wie in rechtswidriger Weise praktiziert frei zugänglich den Arbeitgebenden zu- zusenden. Aus unternehmerischer Sicht mag es gerechtfertigt erschei- nen, sich auf den finanziellen Mehraufwand bei (vereinzelter) manueller Zustellung zu berufen, doch lässt sich damit wie erwähnt der Eingriff in die Persönlichkeitsrechte der Betroffenen nicht rechtfertigen. Hinzu kommt, dass die Nichteinhaltung von Datenschutzvorschriften für eine Vorsorgeeinrichtung in der Öffentlichkeit, bei Arbeitgebenden und versi- cherten Personen ein Imageproblem hervorrufen kann. Deshalb stellt de- ren Einhaltung bei allen Arbeitsprozessen ein nicht zu unterschätzendes Qualitätsmerkmal dar und sollte von der Beschwerdegegnerin auch in ei- genem Interesse beachtet werden (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 85a Rz. 7). 11. Zusammenfassend bleibt Folgendes festzuhalten: Die betroffenen Infor- mationen sind als Personendaten zu qualifizieren und ihre Bearbeitung bzw. Bekanntgabe untersteht den Bestimmungen des Datenschutzgeset- zes, ergänzt durch die spezialrechtlichen Normen des Bundesgesetzes über die berufliche Vorsorge und des Obligationenrechts. Die Weitergabe der Daten durch die Beschwerdegegnerin an die Arbeitgebenden erfolgt ohne gesetzliche Grundlage in Verletzung ihrer Schweigepflicht. Die be- kanntgegebenen Daten sind für die Erfüllung der arbeitsvertraglichen so- wie der im Rahmen der beruflichen Vorsorge anfallenden Aufgaben der Arbeitgebenden nicht objektiv notwendig. Mit der Zustellung der Pensi- onskassenausweise in unverschlossenen Couverts an die Arbeitgeben- den zwecks Weiterleitung an deren bei ihr versicherten Arbeitnehmenden verstösst die Beschwerdegegnerin ausserdem gegen den in Art. 7 DSG festgehaltenen Grundsatz der Datensicherheit. Das strittige Verhalten der Beschwerdegegnerin verletzt somit mehrere wichtige datenschutzrechtli- che Grundsätze und Bestimmungen (Art. 4 Abs. 1 DSG und Art. 7 Abs. 1 DSG, Art. 85a, 85b und 86a BVG) und führt damit zu einer rechtswidrigen Persönlichkeitsverletzung der betroffenen versicherten Personen.
A-4467/2011 Seite 32 Demzufolge ist die Beschwerde des EDÖB gutzuheissen und die Be- schwerdegegnerin anzuweisen, den bei ihr versicherten Personen die persönlichen Vorsorgeausweise künftig so zuzustellen, dass ausschliess- lich die jeweilige versicherte Person und damit keine Dritten – insbeson- dere nicht deren Arbeitgebende – Kenntnis vom Inhalt des sie betreffen- den Ausweises erlangen kann (vgl. auch den Wortlaut von Art. 86b Abs. 1 Bst. a BVG, wonach die Vorsorgeeinrichtung ihre Versicherten jährlich in geeigneter Form u.a. über die Leistungsansprüche, den koordinierten Lohn, den Beitragssatz und das Altersguthaben zu informieren hat). 12. Bei diesem Verfahrensausgang wird – im Rahmen ihres Unterliegens – die sich mit eigenen Anträgen am Verfahren beteiligende Beschwerde- gegnerin kostenpflichtig (Art. 63 Abs. 1 VwVG, vgl. auch MICHAEL BEUSCH in: Kommentar zum Bundesgesetz über das Verwaltungsverfahren [VwVG-Kommentar], Auer/Müller/Schindler [Hrsg.], Zürich/St. Gallen 2008, Art. 63 Rz. 12). Die Beschwerdegegnerin ist als privatrechtliche Stiftung nach Art. 80 ff. ZGB zwar im öffentlich-rechtlichen Bereich tätig, besitzt aber keine Verfügungsbefugnis (vgl. vorne E. 4.1.2), so dass sie nicht als Bundesbehörde i.S.v. Art. 1 Abs. 2 Bst. e VwVG i.V.m. Art. 2 Abs. 4 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 (SR 172.010) gelten kann und kostenbefreit wäre (vgl. PI- ERRE TSCHANNEN in: VwVG-Kommentar, Art. 1 Rz. 22). Keine Verfahrens- kosten werden hingegen der unterliegenden Vorinstanz auferlegt (Art. 63 Abs. 2 VwVG). Die Verfahrenskosten sind nach dem Reglement vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bun- desverwaltungsgericht (VGKE, SR 173.320.2) festzulegen und werden vorliegend auf Fr. 2'500.– festgesetzt. 13. Als Bundesbehörde hat der obsiegende Beschwerdeführer gemäss Art. 7 Abs. 3 VGKE keinen Anspruch auf Parteientschädigung.
A-4467/2011 Seite 33 Demnach erkennt das Bundesverwaltungsgericht: 1. Die Beschwerde wird gutgeheissen und die Beschwerdegegnerin ange- wiesen, den bei ihr versicherten Personen die persönlichen Vorsorge- ausweise künftig so zuzustellen, dass ausschliesslich die jeweilige versi- cherte Person und damit keine Dritten – insbesondere nicht deren Arbeit- gebende – Kenntnis vom Inhalt des sie betreffenden Ausweises erlangen kann. 2. Die Verfahrenskosten von Fr. 2'500.– werden der Beschwerdegegnerin auferlegt. Der Betrag ist innert 30 Tagen nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen. Die Zustellung des Einzahlungsscheins erfolgt mit separater Post. 3. Es wird keine Parteientschädigung zugesprochen. 4. Dieses Urteil geht an: – den Beschwerdeführer (Gerichtsurkunde) – die Beschwerdegegnerin (Gerichtsurkunde) – die Vorinstanz (Ref-Nr. 331.0 / BIT; Gerichtsurkunde)
Für die Rechtsmittelbelehrung wird auf die nächste Seite verwiesen.
Die vorsitzende Richterin: Die Gerichtsschreiberin:
Marianne Ryter Sauvant Tanja Haltiner
A-4467/2011 Seite 34 Rechtsmittelbelehrung: Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bun- desgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen An- gelegenheiten geführt werden (Art. 82 ff., 90 ff. und 100 des Bundesge- richtsgesetzes vom 17. Juni 2005 [BGG, SR 173.110]). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Be- gründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).
Versand: