Datenschutz 2012/14
BVGE / ATAF / DTAF 273
2 Privatrecht – Zivilrechtspflege – Vollstreckung Droit privé – Procédure civile – Exécution Diritto privato – Procedura civile – Esecuzione 14 Auszug aus dem Urteil der Abteilung I i.S. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter gegen AXA Stiftung Berufliche Vorsorge Winterthur und Eidgenössisches Departement des Innern A‒4467/2011 vom 10. April 2012 Datenschutz. Zustellung von Pensionskassenausweisen. Recht auf informationelle Selbstbestimmung. Art. 8 Ziff. 1 EMRK. Art. 13 Abs. 2 BV. Art. 51, Art. 85a, Art. 85b, Art. 86 und Art. 86a BVG. Art. 328 und Art. 331 Abs. 4 OR. Art. 2 Abs. 1 Bst. b, Art. 3 Bst. e und f, Art. 4, Art. 7 Abs. 1, Art. 17, Art. 19 und Art. 27 Abs. 5 DSG. Art. 8 und Art. 9 Abs. 1 Bst. g VDSG.
2012/14 Datenschutz
274 BVGE / ATAF / DTAF
Protection des données. Remise de certificats de caisses de pension. Droit à l'autodétermination en matière d'information. Art. 8 par. 1 CEDH. Art. 13 al. 2 Cst. Art. 51, art. 85a, art. 85b, art. 86 et art. 86a LPP. Art. 328 et art. 331 al. 4 CO. Art. 2 al. 1 let. b, art. 3 let. e et f, art. 4, art. 7 al. 1, art. 17, art. 19 et art. 27 al. 5 LPD. Art. 8 et art. 9 al. 1 let. g OLPD.
Datenschutz 2012/14
BVGE / ATAF / DTAF 275
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurde von Bürgern auf die Praxis der AXA Stiftung Berufliche Vorsorge Winterthur (AXA) aufmerksam gemacht, persönliche Pensions- kassenausweise nicht direkt an die versicherten Personen, sondern allesamt unverschlossen in einem Couvert mit dem Vermerk « Vertrau- lich » an die Adresse der jeweiligen Arbeitgebenden zwecks betriebs- interner Verteilung zu versenden, was von der AXA auf Anfrage bestätigt wurde. Am 8. Juni 2009 erliess der EDÖB eine Empfehlung an die Adresse der AXA, welche diese mit Schreiben vom 10. August 2009 ablehnte. Der EDÖB gelangte mit Schreiben vom 27. August 2009 ans Eidgenössi- sche Departement des Innern (EDI) und beantragte, die AXA sei mittels Verfügung zu verpflichten, die von ihr praktizierte Bekanntgabe der Daten der bei ihr versicherten Personen an deren Arbeitgebende unver- züglich einzustellen. Mit Verfügung vom 15. Juni 2011 gab das EDI dem Antrag des EDÖB nicht statt und stellte fest, dass die Praxis der AXA, die Pensionskassen- ausweise den Arbeitgebenden zur Weiterleitung an die Arbeitnehmenden zu übergeben, keine rechtlichen Normen verletze und daher dem Legalitätsprinzip entspreche. In der Folge erhob der EDÖB (nachfolgend: Beschwerdeführer) mit Schreiben vom 12. August 2011 Beschwerde beim Bundesverwaltungs- gericht. Er beantragt, die Verfügung des EDI (nachfolgend: Vorinstanz) vom 15. Juni 2011 sei aufzuheben und die AXA (nachfolgend: Be-
2012/14 Datenschutz
276 BVGE / ATAF / DTAF
schwerdegegnerin) sei anzuweisen, den bei ihr versicherten Personen die persönlichen Pensionskassenausweise künftig so zuzustellen, dass aus- schliesslich die jeweilige versicherte Person selbst und damit keine Dritten – insbesondere nicht deren Arbeitgebende – Kenntnis vom Inhalt des sie betreffenden Ausweises erlangen könnten. Das Bundesverwaltungsgericht heisst die Beschwerde gut. Aus den Erwägungen: 3. Umstritten ist vorliegend, ob eine Datenbekanntgabe von der Beschwerdegegnerin an die Arbeitgebenden stattgefunden hat be- ziehungsweise ob Letztere, wie der Beschwerdeführer behauptet, als Dritte zu qualifizieren sind oder dem Standpunkt der Beschwerde- gegnerin zu folgen ist, wonach keine Datenbekanntgabe vorliegen könne, da die Arbeitgebenden als Stiftungsorgane mit der Durchführung der beruflichen Vorsorge betraut seien und daher nicht als Dritte gelten könnten. Die Vorinstanz ist in ihrer Verfügung in Bezug auf den Arbeitgebenden nicht bereits aufgrund der Anmeldung der versicherten Arbeitnehmenden bei der Vorsorgeeinrichtung bekannte Daten von einer Datenbekanntgabe ausgegangen. Sie hat die Arbeitgebenden jedoch aufgrund der Qualifikation als Organe der Vorsorgestiftung nicht als Dritte eingestuft und in der Folge eine Verletzung der Schweigepflicht seitens der Beschwerdegegnerin verneint. Das Bundesamt für Sozialver- sicherungen (BSV) hat diesbezüglich erklärt, im obligatorischen Bereich des Bundesgesetzes vom 25. Juni 1982 über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (BVG, SR 831.40) würden keine Daten bekannt gegeben, welche die Arbeitgebenden nicht bereits aufgrund ihrer Mitgliedschaft im paritätischen Organ der Vorsorge- einrichtung kennen würden oder problemlos selbst berechnen könnten. Aber auch wenn von einer Datenbekanntgabe ausgegangen würde, sei diese nicht zweckwidrig, da die Arbeitgebenden von der Vorsorgestiftung gewisse Daten benötigten, um ihrer gesetzlichen Beitragspflicht gemäss Art. 66 BVG und ihrer Informationspflicht nach Art. 333 Abs. 4 des Obligationenrechts vom 30. März 1911 (OR, SR 220) nachzukommen. Dabei erhielten sie jedoch keinen Einblick in besonders schützenswerte Personendaten. Im Folgenden sind vorab die anwendbaren Rechtsgrundlagen sowie deren Verhältnis zueinander darzulegen. In einem zweiten Schritt ist zu prüfen, ob eine datenschutzrechtlich relevante Datenbekanntgabe statt-
Datenschutz 2012/14
BVGE / ATAF / DTAF 277
gefunden hat und falls ja, ob diesbezüglich ein Verstoss gegen die massgeblichen Gesetzesbestimmungen und damit eine widerrechtliche Persönlichkeitsverletzung vorliegt. 4. 4.1 Jeder Mensch hat nach Art. 8 Abs. 1 der Konvention vom 4. November 1950 zum Schutze der Menschenrechte und Grundfrei- heiten (EMRK, SR 0.101) das Recht auf Achtung seines Privatlebens. Unter diesem Blickwinkel werden die Speicherung und Verwertung von Informationen durch den Staat sowie die Einsicht in gespeicherte Informationen beurteilt. Gemäss Art. 13 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV, SR 101) hat jede Person Anspruch auf Achtung ihrer Privatsphäre und Schutz vor Missbrauch ihrer persönlichen Daten (vgl. diesbezüglich auch BGE 136 II 508 E. 6.3.1 f.). Dieser Anspruch bildet Teil der verfassungsmässigen Garantie der Privatsphäre und Kernbestandteil des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) (Art. 1 DSG) und räumt jeder Person das Recht darauf ein, selbst zu entscheiden, wann und wem sie persönliche Lebenssachverhalte, aber auch Gedanken, Empfin- dungen und Ähnliches preisgibt. Dieses verfassungsmässige Recht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV und Art. 8 Ziff. 1 EMRK) lässt grundsätzlich ohne Rücksicht darauf, wie sensibel die fraglichen Informationen tatsächlich sind, dem Einzelnen die Herrschaft über seine personenbezogenen Daten zukommen und schützt ihn vor Beeinträchtigungen, die durch die staatliche Bearbeitung seiner persönlichen Daten entstehen (RAINER J. SCHWEIZER, in: Ehrenzeller/ Mastronardi/Schweizer/Vallender [Hrsg.], Die Schweizerische Bundes- verfassung, Kommentar, 2. Aufl., Zürich 2008, Art. 13 Rz. 37 ff.; JÖRG PAUL MÜLLER/MARKUS SCHEFER, Grundrechte in der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. Aufl., Bern 2008, S. 164 ff.; URS MAURER-LAMBROU/SIMON KUNZ, in: Maurer- Lambrou/Vogt [Hrsg.], Basler Kommentar zum Datenschutzgesetz, 2. Aufl., Basel 2006, Art. 1 Rz. 19 und 23 mit Hinweisen, nachfolgend: BSK-DSG; REBEKKA RIESSELMANN-SAXER, Datenschutz im privatrecht- lichen Arbeitsverhältnis, Diss. Bern 2002, S. 3 f. mit Hinweis; KURT PÄRLI, Datenaustausch zwischen Arbeitgeber und Versicherung, Diss. Bern 2003, S. 127 f.). 4.2 Für die Beurteilung der Anwendbarkeit des Bundesdaten- schutzrechts beziehungsweise für die Abgrenzung privat- oder öffentlich- rechtlich ist auf die Natur des zugrunde liegenden Verhältnisses abzustel-
2012/14 Datenschutz
278 BVGE / ATAF / DTAF
len; die Beziehung zwischen dem Datenbearbeitenden und der betroffen- en Person ist in einer gesamthaften Betrachtung zu prüfen (vgl. BGE 122 I 153 E. 2c; DAVID ROSENTHAL/YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, Zürich 2008, Art. 2 Abs. 1 Rz. 17). Vorliegend handelt es sich bei der Datenbearbeiterin um eine Vorsorgestiftung, betroffen sind die bei ihr im Rahmen der obligatorischen beruflichen Vorsorge versicherten Personen. Die hier in Frage stehende Rechts- beziehung ist ohne Weiteres gesetzliche Folge des Arbeitsvertrags (vgl. Art. 10 BVG), das heisst, der Arbeitnehmende kann grundsätzlich weder den Abschluss noch den Partner oder Inhalt der Rechtsbeziehung bestimmen, es fehlt an den zentralen Elementen der (privatrechtlichen) Vertragsfreiheit. Der erwähnte gesetzliche Anschluss an die Stiftung bewirkt, dass der einzelne Arbeitnehmende auch ohne Weiteres ihren reglementarischen Bestimmungen unterworfen ist (HANS MICHAEL RIEMER/GABRIELA RIEMER-KAFKA, Das Recht der beruflichen Vorsorge in der Schweiz, 2. Aufl., Bern 2006, § 4 Rz. 11; PÄRLI, a.a.O., S. 83 mit Hinweisen). Als Bundesaufgabe nach Art. 113 BV ist die berufliche Vorsorge dem öffentlichen Recht zuzuordnen. Die unter Bundesaufsicht stehenden Vorsorgeeinrichtungen, die an der Durchführung der obliga- torischen Versicherung beteiligt sind (Art. 48 Abs. 1 BVG), gelten als mit einer öffentlichen Aufgabe des Bundes betraute juristische Personen und sind damit in Bezug auf den Datenschutz trotz ihrer fehlenden Verfü- gungsmacht als Bundesorgane im Sinne von Art. 2 Abs. 1 Bst. b DSG in Verbindung mit Art. 3 Bst. h DSG zu qualifizieren, sofern sie Personen- daten für die Erfüllung einer öffentlichen Aufgabe des Bundes bearbei- ten, was vorliegend der Fall ist (JÖHRI, a.a.O., Art. 3 Bst. h Rz. 99; KURT PÄRLI, in: Schneider/Geiser/Gächter [Hrsg.], Handkommentar zum BVG, Bern 2010, Art. 85a Rz. 2 mit Hinweis, nachfolgend: Handkommentar zum BVG; MAURER-LAMBROU/KUNZ, a.a.O., Art. 2 Rz. 16 und 18). 4.3 Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Es ergänzt und konkretisiert damit den bereits durch das Schweizerische Zivilgesetzbuch vom 10. Dezember 1907 (ZGB, SR 210) gewährleisteten Schutz (BGE 136 II 508 E. 6.3.2, BGE 127 III 481 E. 3.a.bb mit Hinweis). Da jegliche Form des Datenbearbeitens das ver- fassungsrechtlich verankerte Recht auf informelle Selbstbestimmung sowie allgemein das Recht auf persönliche Freiheit gemäss Art. 10 BV tangiert, ist sie nur dann rechtmässig, wenn die in Art. 36 BV vorge- sehenen Schranken eingehalten sind. Die Bestimmungen des Daten- schutzrechts sind letztlich Wertungen darüber, wann eine Datenbear-
Datenschutz 2012/14
BVGE / ATAF / DTAF 279
beitung einen schwerwiegenden Grundrechtseingriff darstellt. Der be- reichsspezifische Gesetzgeber ist nicht an das Schutzniveau des Daten- schutzgesetzgebers gebunden; er kann andere Wertungen beziehungs- weise Regelungen vorsehen (MAURER-LAMBROU/KUNZ, a.a.O., Art. 1 Rz. 15; JÖHRI, a.a.O., Art. 17 Rz. 35 f.). Das Bundesgericht hat dies- bezüglich festgehalten, dass sich weder aus dem Gesetz noch aus den allgemeinen Grundsätzen ergebe, dass das Datenschutzgesetz inhaltliche Anforderungen an die Ausgestaltung anderer, spezieller Gesetze enthalte (BGE 124 I 176 E. 5c/ee). Der Gesetzgeber kann somit in bereichs- spezifischen Rechtsgrundlagen von gewissen allgemeinen Prinzipien oder Wertungen des Datenschutzrechts abweichen, sodass einzelnen Bestimmungen des Datenschutzgesetzes keine eigenständige materielle Bedeutung mehr zukommt. Soweit aber nicht eine abschliessende spezialgesetzliche Norm vorliegt, müssen die Bundesorgane immer auch die allgemeinen Bestimmungen von Art. 4 ff. DSG beachten. Schliesslich sind die Grundsätze des Datenschutzgesetzes auch bei der Auslegung bereichsspezifischer Normen zu berücksichtigen (vgl. Urteil des Bundes- gerichts 2A.534/2001 vom 15. März 2002 E. 5; BGE 126 II 126 E. 5b und 5c; Botschaft vom 23. März 1988 zum DSG in BBl 1988 II 467; JÖHRI, a.a.O., Art. 17 Rz. 5). Das Datenschutzgesetz will also in der Regel neben anderen Erlassen angewandt werden. Es ist jedoch nicht ausgeschlossen, dass eine andere Bestimmung des schweizerischen Rechts dem Datenschutzgesetz als lex specialis vorgeht. Ob der Gesetzgeber mit einer spezialgesetzlichen Norm eine bestimmte, auch vom Datenschutzgesetz geregelte Frage für den betreffenden Spezialfall abschliessend regeln wollte, ist durch Gesetzesauslegung festzustellen. Beispielsweise setzt der Gesetzgeber der Datenbearbeitung durch Arbeitgebende über das Datenschutzgesetz hinausgehende Schranken, indem diese Daten über Arbeitnehmende gemäss Art. 328b Satz 1 OR nur bearbeiten dürfen, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (ROSENTHAL/JÖHRI, a.a.O., Art. 2 Abs. 1 Rz. 2 f.). Wenn eine spezialgesetzliche Rechtsgrundlage für die Bearbeitung von Personendaten vorhanden ist, so erfolgt diese grundsätz- lich rechtmässig (STEPHAN C. BRUNNER, Das revidierte Datenschutzge- setz und seine Auswirkungen im Gesundheits- und Versicherungswesen, in: Schaffhauser/Horschik [Hrsg.], Datenschutz im Gesundheits- und Versicherungswesen, St. Gallen 2008, S. 145; vgl. auch Art. 4 Abs. 3 DSG). Im Bereich der obligatorischen beruflichen Vorsorge ist die Datenbearbeitung beziehungsweise -bekanntgabe durch Bundesorgane in
2012/14 Datenschutz
280 BVGE / ATAF / DTAF
Art. 85a bis 87 BVG geregelt. Wenn das Spezialrecht strengere Daten- schutznormen oder wie hier eine in sich geschlossene Datenschutzkon- zeption enthält, so gehen diese Bestimmungen ausnahmsweise jenen des allgemeinen Datenschutzgesetzes vor (BBl 1988 II 444, 471). 4.4 Auf die Vorsorgeeinrichtungen als Bundesorgane im Sinne von Art. 2 Abs. 1 Bst. b DSG sind die Bestimmungen des Datenschutz- gesetzes aber ergänzend anwendbar (PÄRLI, Handkommentar zum BVG, Art. 86a Rz. 6, vgl. auch E. 8.3). Das Datenschutzgesetz ist nämlich ein « Querschnitts- beziehungsweise Einheitsgesetz », dessen Geltungs- bereich sich nicht nur auf Datenbearbeitungen durch private Personen erstreckt, sondern wie erwähnt auch auf Bundesorgane, welche Personendaten bearbeiten (BBl 1988 II 444; PÄRLI, a.a.O., S. 141; MAURER-LAMBROU/KUNZ, a.a.O., Art. 1 Rz. 6). Darunter sind gemäss Art. 3 Bst. h DSG Behörden und Dienststellen des Bundes sowie Personen zu verstehen, die mit öffentlichen Aufgaben des Bundes betraut sind. Bundesorgane sind von Amtes wegen verpflichtet, sowohl die Bestimmungen des Datenschutzgesetzes als auch datenschutzrechtliche Normen anderer Bundeserlasse einzuhalten und unterstehen grundsätz- lich den strengeren öffentlich-rechtlichen Bestimmungen von Art. 16 bis 25 bis DSG. Dies liegt darin begründet, dass Bundesbehörden gegenüber Privatpersonen grundsätzlich hoheitlich auftreten und sie Personendaten auch gegen den Willen der Betroffenen erheben können. Für Daten- bearbeitungen durch Bundesbehörden gelten daneben jedoch auch die allgemeinen Datenschutzbestimmungen (Art. 4 bis 11a DSG), die sowohl auf private Personen als auch auf Bundesorgane anwendbar sind (JÖHRI, a.a.O., Art. 3 Bst. h Rz. 99 und ROSENTHAL/JÖHRI, a.a.O., Art. 2 Abs. 1 Rz. 18 f.; MAURER-LAMBROU/KUNZ, a.a.O., Art. 1 Rz. 12; PÄRLI, a.a.O., S. 152). 5. (Begriff der Personendaten) 6. 6.1 Bearbeiten von Daten im Sinne von Art. 2 Abs. 1 DSG bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Ver- wenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). 6.2 Der Begriff der Bekanntgabe als der heikelste Bearbeitungs- schritt mit entsprechend hohem Potenzial für Persönlichkeitsverlet- zungen ist in Art. 3 Bst. f DSG definiert als das Zugänglichmachen von
Datenschutz 2012/14
BVGE / ATAF / DTAF 281
Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffent- lichen. In der Lehre wird darunter grösstenteils jede aktive Weitergabe und jedes passive Zugänglichmachen von Personendaten, zum Beispiel durch Herumliegenlassen vertraulicher Akten, verstanden, die es einem Dritten ermöglichen, vom Inhalt personenbezogener Informationen Kenntnis zu nehmen. RIESSELMANN-SAXER stellt sich demgegenüber auf den Standpunkt, die Bekanntgabe durch passive Weitergabe im Sinne einer Einsichtgewährung sei von der blossen Verletzung des Grundsatzes der Datensicherheit zu unterscheiden. Erstere liege vor, wenn die Daten mit entsprechendem Willen zur Bekanntgabe zugänglich gemacht werden, Letztere gründe auf einer eigentlichen Nachlässigkeit des Verantwortlichen. So oder anders ist erforderlich, dass die Daten einem Dritten tatsächlich zugänglich gemacht werden. Wer schon Zugang zu bestimmten Daten hat, dem können sie nicht mehr zugänglich gemacht werden; mit anderen Worten können Daten nur bekannt gegeben werden, wem sie nicht schon beziehungsweise nicht in diesem Umfang bekannt sind (JÖHRI, a.a.O., Art. 3 Bst. f Rz. 75 f.; ROSENTHAL, a.a.O., Art. 6 Rz. 4; URS BELSER, BSK-DSG, Art. 3 Rz. 30; YVONNE JÖHRI/MARCEL STUDER, BSK-DSG, Art. 19 Rz. 1; RIESSELMANN-SAXER, a.a.O., S. 18; BBl 1988 II 447; zur Datensicherheit vgl. E. 9). 6.3 Die Beschwerdegegnerin hat die Vorsorgeausweise willentlich unverschlossen an die Arbeitgebenden zugestellt, das heisst, es wurde zweifelsfrei Einsicht gewährt. Den Ausweisen ist unter anderem zu entnehmen, welche Freizügigkeitsleistungen neu eintretende Versicherte einbringen, wann und in welcher Höhe versicherte Personen Einkäufe in die Pensionskasse tätigen beziehungsweise Pensionskassenguthaben für den Erwerb von Wohneigentum vorbeziehen, ob und wann ihr Guthaben sich infolge Ehescheidung verändert hat und auf welchen Betrag sich ihre angesparten Pensionskassenguthaben belaufen. Unter Umständen befinden sich Hinweise betreffend provisorischem Versicherungsschutz oder temporärer Erwerbsunfähigkeit auf dem Vorsorgeausweis. Zudem wird alljährlich die Höhe der Freizügigkeitsleistung bekannt gegeben (Art. 24 des Freizügigkeitsgesetzes vom 17. Dezember 1993 [FZG, SR 831.42]). Zu klären ist in diesem Zusammenhang, ob die Arbeitgebenden in Bezug auf die soeben erwähnten Daten als Dritte zu qualifizieren sind, sodass von einer datenschutzrechtlich relevanten Bekanntgabe auszugehen ist, oder ob sie aufgrund ihrer Aufgaben im Rahmen der beruflichen Vorsorge oder innerhalb der Vorsorgestiftung bereits Kenntnis von
2012/14 Datenschutz
282 BVGE / ATAF / DTAF
obgenannten Daten haben, womit eben keine Datenbekanntgabe vorliegen würde (vgl. dazu auch E. 3). 6.3.1 Der Gesetzgeber hat es unterlassen, in den Legaldefinitionen von Art. 3 DSG den Begriff des Dritten zu konkretisieren. Dieser wird jedoch in diversen Bestimmungen verwendet und ist daher von einiger Bedeutung. Grundsätzlich sind drei Betrachtungsweisen denkbar, um den Begriff des Dritten zu bestimmen. Die funktionsbezogene Umschreibung fasst den Begriff am engsten: Demnach sind all jene Dritte, welche nicht aufgrund ihrer Aufgabe Zugriff auf die Daten erhalten. Bei der recht- lichen Betrachtungsweise hingegen gilt als Dritter, wer nicht derselben rechtlichen Einheit angehört beziehungsweise bei dem es sich um eine andere juristische oder natürliche Person handelt. Am weitesten wird der Begriff des Dritten aufgrund der wirtschaftlichen Betrachtungsweise gefasst: Als Dritte zu qualifizieren sind danach all jene, die ausserhalb einer wirtschaftlichen Einheit, zum Beispiel eines Konzerns, stehen. Infolge konsequenter Anwendung des Vertraulichkeitsprinzips (vgl. Art. 7 Abs. 1 DSG und Art. 9 Abs. 1 Bst. g der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz [VDSG, SR 235.11]), wonach der Zugriff der berechtigten Personen auf diejenigen Personendaten zu beschränken ist, die sie für die Erfüllung ihrer Aufgabe benötigen, kann grundsätzlich nur die erstgenannte, funktionsbezogene Begriffsbestimmung massgebend sein. Dritte sind dementsprechend all diejenigen, welche die betreffenden Personendaten für die Erfüllung ihrer jeweiligen Aufgabe nicht benötigen. Als Bekanntgabe an einen Dritten gilt demnach beispielsweise die Einsichtnahme eines Abteilungsleiters in die Personalakte eines Arbeitnehmenden, der nicht derselben Abteilung innerhalb desselben Betriebs angehört (RIESSELMANN-SAXER, a.a.O., S. 20 mit Hinweisen). Ziel vorgenannter Bestimmung ist – analog zum gleichlautenden Art. 33 des Bundesgesetzes vom 6. Oktober 2000 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1) – unter anderem der Schutz der Persönlichkeit betroffener Personen, welche sowohl durch die Weitergabe entsprechender Daten nach aussen als auch innerhalb derselben Behörde tangiert wird. Dies lässt sich ebenfalls aus der Tatsache schliessen, dass die Schweigepflicht grund- sätzlich auch innerhalb derselben Behörde zu beachten ist, solange damit nicht die Durchführung der beruflichen Vorsorge verunmöglicht wird. Daran ändert nichts, dass die einzelnen Personen innerhalb der Behörde ihrerseits der Schweigepflicht unterstehen. Alle Personen und Stellen ausserhalb der entsprechenden Behörde – wie etwa Arbeitgebende – haben umso mehr als Dritte zu gelten (vgl. UELI KIESER, ATSG-
Datenschutz 2012/14
BVGE / ATAF / DTAF 283
Kommentar, 2. Aufl., Zürich/Basel/Genf 2009, Art. 33 Rz. 10 f. mit Hin- weisen; PÄRLI, Handkommentar zum BVG, Art. 86 Rz. 3, 5 und 13 f. mit Hinweisen; JÖHRI, a.a.O., Art. 3 Bst. f. Rz. 75). 6.3.2 6.3.2.1 Die paritätische Verwaltung nach Art. 51 BVG ist das oberste Organ einer Vorsorgeeinrichtung. Der Grundgedanke von Art. 51 BVG ist die Einführung einer beitragsunabhängigen und vollen paritätischen, das heisst effektiv gleichberechtigten Mitbestimmung der Arbeitnehmer- vertretung in privatrechtlichen Personalvorsorgestiftungen, also die Sta- tuierung einer echten Sozialpartnerschaft auf dem Gebiet der beruflichen Vorsorge. Dies muss für die Anwendung dieser Bestimmung (Auslegung und Füllung allfälliger Lücken des darauf beruhenden Reglements) wegleitend sein. Die volle Parität gemäss Art. 51 BVG wurde vorab als Minimalvorschrift zum Schutz der Arbeitnehmenden eingeführt, sodass sie zu deren Ungunsten nicht verändert werden darf, es den Arbeit- gebenden jedoch freisteht, auf ihre Vertretungsrechte ganz oder teilweise zu verzichten (RIEMER/RIEMER-KAFKA, a.a.O., § 2 Rz. 54 und 69; THOMAS GÄCHTER/MAYA GECKELER HUNZIKER, Handkommentar zum BVG, Art. 51 Rz. 12 f. mit Hinweisen). Dem paritätischen Organ kommen eigentliche Mitbestimmungs- und nicht nur blosse Mit- spracherechte zu, wobei alle Vertretenden absolut gleichberechtigt sind. Ob zur Vertretung auf beiden Seiten externe Personen wie Rechtsanwälte oder Experten beigezogen werden dürfen, ist gesetzlich nicht geregelt, wird jedoch von der Lehre entsprechend der bisherigen Praxis bejaht. Alle strategischen Entscheide als Kernaufgaben des obersten Organs dürfen nicht auf aussenstehende Dritte übertragen werden, das heisst, bestimmte zentrale Führungsaufgaben müssen vom paritätischen Organ selbst wahrgenommen werden. Dieses kann indessen ihm zustehende operative Kompetenzen beispielsweise an ein besonderes Fachgremium delegieren, insbesondere im Bereich der Vermögensverwaltung im Sinne von Art. 51 Abs. 2 Bst. c BVG, wo den Mitgliedern des paritätischen Organs oftmals das nötige Fachwissen fehlt. In Anbetracht der zuneh- menden Komplexität der zu bewältigenden Aufgaben führen mangelnde Fachkenntnisse und das Bedürfnis nach Professionalität vermehrt dazu, dass Vorsorgeeinrichtungen bestimmte Aufgaben an aussenstehende Dienstleistende auslagern. Ebenso kann es – vor allem bei grossen Personalvorsorgeeinrichtungen – zweckmässig sein, wenn gewisse Auf- gaben einzelnen Mitgliedern oder Ausschüssen des Führungsorgans zugewiesen werden. Solche Ausschüsse müssen nicht zwingend pari-
2012/14 Datenschutz
284 BVGE / ATAF / DTAF
tätisch zusammengesetzt, jedoch durch das paritätische Organ gewählt sein und kontrolliert werden können (GÄCHTER/GECKELER HUNZIKER, Handkommentar zum BVG, Art. 51 Rz. 29 f. und Rz. 54 ff., je mit Hin- weisen; RIEMER/RIEMER-KAFKA, a.a.O., § 2 Rz. 58 f.). 6.3.2.2 Im Sinne einer informationellen Gewaltenteilung ist eine gewisse Abschottung zwischen Verwaltungseinheiten sicherzustellen, damit nicht jede Amtsstelle in alle Personendaten beliebig Einblick nehmen kann, die im Staat bearbeitet werden (BBl 1988 II 469). Dieser Grundsatz der informationellen Trennung ist nicht nur bei der Daten- bekanntgabe zwischen verschiedenen Bundesorganen zu beachten, sondern auch innerhalb einer Behörde sicherzustellen (JÖHRI, a.a.O., Art. 19 Rz. 6 mit Hinweisen). Die in Art. 7 DSG geforderte Vertraulich- keit der Daten ist nicht vorhanden, wenn Arbeitgebende Einblick in Gesundheits- und andere versicherungsrechtliche Daten erhalten. Die Verwaltung einer Vorsorgeeinrichtung muss deshalb so organisiert sein, dass weder der Arbeitgebende selber noch ein Organ oder Stellvertreter Zugang zu den Daten der versicherten und bei ihm angestellten Personen erhält, ansonsten eine widerrechtliche Datenbearbeitung vorliegt. Namentlich die fehlende Trennung zwischen Arbeitgeber- und Versiche- rungsfunktion kann dazu führen, dass die Arbeitgebenden Einblick in Versicherungsdaten erhalten (PÄRLI, a.a.O., S. 3 und 9). Wenn ein Mit- arbeitender der Personalabteilung eines Arbeitgebenden gleichzeitig verantwortlich ist für die Abwicklung organisatorischer Belange der Vorsorgeeinrichtung, so dient das Wissen, das er in seiner Funktion als Vertretender der Vorsorgeeinrichtung erlangt, zwei Herren. Hat der Arbeitgebende dadurch uneingeschränkten Zugang zu den Versiche- rungsdossiers der Vorsorgeeinrichtung, ist die Ausgangslage mit einer verpönten Personalunion vergleichbar. Folgt man der herrschenden Lehre, so wird alles Wissen eines Organs der juristischen Person selbst zugerechnet, das heisst, das Wissen der Vor- sorgeeinrichtung über die im persönlichen Ausweis enthaltenen Daten wird zum Wissen des jeweiligen Arbeitgebenden. Die Lehre wird aller- dings in ihrer Absolutheit in Frage gestellt. So wird angeregt, eine angemessene Informationsbewirtschaftung solle dazu führen, dass Infor- mationen an diejenigen Stellen gelangten, welche sie auch benötigten. Die richtige Kanalisation des Informationsflusses und insbesondere eine adäquate Zugangsregelung können durch Kommunikationsschranken innerhalb des Betriebs, sogenannte « Chinese Walls », sichergestellt werden. Diese verhindern, dass Unbefugte Zugang zu für sie nicht
Datenschutz 2012/14
BVGE / ATAF / DTAF 285
relevanten Informationen erhalten. Die Notwendigkeit solcher Schranken ergibt sich wie erwähnt bereits aus dem in Art. 7 DSG verankerten Gebot der Datensicherheit. So verlangt denn auch der EDÖB in seinem Leit- faden für die Bearbeitung von Personendaten im Arbeitsbereich eine strikte Trennung zwischen dem Personaldienst des Arbeitgebenden und dem Verwaltungspersonal der Versicherung. Die Führung der Dossiers der versicherten Personen kann grundsätzlich aussenstehenden Dritten übertragen werden. Dadurch lässt sich der unbefugte Datenaustausch als Folge von Personalunion oder ungenügenden Kommunikationsschranken vermeiden, wobei der grundlegend unbefriedigende Zustand nur mit einem Verbot der Wahrnehmung beider Aufgaben in Personalunion ge- ändert werden kann (HANS MICHAEL RIEMER, Berührungspunkte zwischen beruflicher Vorsorge und Arbeitsrecht, in: Schweizerische Zeitschrift für Sozialversicherung und berufliche Vorsorge 2009, S. 119 f. mit Hinweisen; GABRIELA RIEMER-KAFKA, Datenschutz zwischen Arbeitgeber und Versicherungsträgern, in: Schweizerische Juristen- Zeitung 96/2000, S. 288, 291 f. mit Hinweisen; PÄRLI, a.a.O., S. 210 ff. mit Hinweisen; EDÖB, Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich, Version Mai 2011, S. 10 Ziff. 3.1.4, < http://www. edoeb.admin.ch > Dokumentation > Datenschutz > Leitfäden, besucht am 2. März 2012; zum Grundsatz der Datensicherheit vgl. E. 9). 6.3.2.3 In Bezug auf die Auskunftspflicht einer Vorsorgeeinrichtung gegenüber ihren Versicherten hat das BSV in diesem Zusammenhang Folgendes festgehalten: Im Rahmen ihrer Organisation kann die Vorsorgeeinrichtung ihre Vor- sorgewerke als unmittelbare Kontaktstellen zu den Versicherten bezeich- nen, sodass sämtliche Anfragen, Informationen, Anweisungen und so weiter über diese laufen. Anderseits ist die Übertragung von solchen Aufgaben nicht zwingend erforderlich, auch dann nicht, wenn die pari- tätische Verwaltung auf Stufe der Vorsorgewerke organisiert ist. Die alltägliche Geschäftsführung wird nämlich in der Regel nicht vom Stiftungsrat oder vom paritätischen Organ des Vorsorgewerkes persönlich betreut. Vielmehr wird damit eine Geschäftsstelle beauftragt. Ein Bedürfnis nach Direktinformationen besteht zum Beispiel in den Fällen, in denen der Arbeitnehmende ein legitimes Interesse daran hat, dass sein Arbeitgebender von seinem Auskunftsbegehren nichts erfährt. Dies kann insbesondere bei Erkundigungen nach der Höhe der Freizügig- keitsleistung der Fall sein. Wenn sich die versicherte Person an die im Rahmen des Vorsorgewerkes organisierte paritätische Verwaltung, in der
2012/14 Datenschutz
286 BVGE / ATAF / DTAF
ihr Arbeitgebender oder dessen Vertretung Einsitz haben, oder an Mitarbeitende im Personalwesen, die das Vorsorgewerk betreuen, wenden muss, ist die Vertraulichkeit der Behandlung solcher Anfragen nicht gewährleistet. Dies kann die faktische Durchsetzung der Informa- tionsansprüche der Arbeitnehmenden beträchtlich erschweren. Die Auto- nomie der Vorsorgeeinrichtung, sich nach ihrem Gutdünken zu organi- sieren, steht somit in Konflikt mit dem sich aus dem arbeitsrechtlichen Persönlichkeitsschutz des Arbeitnehmenden ergebenden Anspruch auf vertrauliche Behandlung seiner Anfrage im Bereich des Vorsorge- verhältnisses. Aus dem Sinn und Zweck von Art. 86 BVG ergibt sich, dass Auskunftsbegehren der versicherten Personen zu keinen negativen Auswirkungen auf ihr Arbeitsverhältnis führen dürfen. Der Arbeit- nehmende hat einen legitimen Anspruch darauf, dass der Arbeitgebende wegen allfälliger Interessenkollisionen von seiner Anfrage keine Kennt- nis erhält (vgl. diesbezüglich E. 9.3). Es ist somit organisatorisch die Möglichkeit zu schaffen, auf Wunsch des Arbeitnehmenden eine Aus- kunft in der Weise zu erteilen, dass der Arbeitgebende und andere mit der Geschäftsleitung der betreffenden Unternehmung betraute Personen davon nichts erfahren. Die Sammel- wie auch die übrigen Einrichtungen können dieses Problem zum Beispiel dadurch lösen, dass wichtige, die versicherte Person besonders und persönlich interessierende Daten wie die Freizügigkeitsleistung periodisch auf einem Versicherungsausweis mitgeteilt werden (Mitteilungen des BSV über die berufliche Vorsorge Nr. 19 vom 12. August 1991, Nr. 114 Auskunft in der beruflichen Vorsor- ge, Ziff. 1 S. 2 f., < http://www.bsv.admin.ch > Vollzug Sozialversiche- rungen > BV (2. Säule) > Mitteilungen, besucht am 2. März 2012). 6.3.3 6.3.3.1 Im Fall der Beschwerdegegnerin setzt sich die Personalvorsor- gekommission als paritätisches Organ aus mindestens je einem Vertreter der Arbeitgeber- und -nehmerseite zusammen, wobei auch nicht versicherte Dritte als Mitglieder gewählt werden können (vgl. Art. 2 f. Organisationsreglement der Personalvorsorge-Kommission der Be- schwerdegegnerin [Organisationsreglement]). Die Personalvorsorge- Kommission wählt den Stiftungsrat und nimmt die Aufgaben wahr, die dieser ihr reglementarisch überträgt (vgl. Art. 6 Organisationsreglement). Die Kommission ist ebenfalls Stiftungsorgan. Vorsorgekommissionen sind einerseits Vertreterinnen der angeschlossenen Firmen, zugleich aber auch dasjenige Gremium, mittels welchem die in Art. 51 BVG vor- gesehene paritätische Verwaltung der Vorsorgeeinrichtung durchgeführt
Datenschutz 2012/14
BVGE / ATAF / DTAF 287
wird. Deshalb haben sie grundsätzlich den gleichen Zugang zu den massgeblichen Informationen wie die Gremien der paritätischen Ver- waltung bei einer einzelbetrieblichen Vorsorgeeinrichtung (BGE 124 II 114 E. 2b mit Hinweisen). Zum Kreis der von der Schweigepflicht nach Art. 86 BVG erfassten Personen gehören auch die Mitglieder des paritätischen Organs, welche als Organe der Stiftung fungieren (GECKELER HUNZIKER, Arbeitnehmermitbestimmung unter besonderer Berücksichtigung der paritätischen Verwaltung nach Art. 51 BVG, Diss. Zürich/Basel/Genf 2010, S. 174 f.; PÄRLI, Handkommentar zum BVG, Art. 86 Rz. 12; RIEMER/RIEMER-KAFKA, a.a.O., § 2 Rz. 76). Obwohl den Mitgliedern der Kommission zwecks Erfüllung ihrer Aufgaben ein umfassendes Einsichtsrecht zukommen muss, lässt sich aus den diesem Organ zustehenden Kompetenzen folgern, dass individualisierte, vor allem gesundheitsbezogene Daten über versicherte Arbeitnehmende keine Relevanz für das dem paritätischen Gremium zukommende Handeln haben. Art. 51 BVG steht somit einer Einschränkung des Ein- sichtsrechts in Personaldossiers der Versicherung durch die Arbeit- geberseite nicht im Weg. Darüber hinaus scheint fraglich, ob ein Stiftungsratsmitglied – vorbehältlich der Pensionskassenverwaltung – überhaupt ein rechtliches Interesse an schützenswerten Daten von Arbeitnehmenden haben kann (GECKELER HUNZIKER, a.a.O., S. 174; RIEMER-KAFKA, a.a.O., S. 288 mit Hinweisen; vgl. zudem E. 6.3.2.1 zum Zweck von Art. 51 als Minimalvorschrift zugunsten der Arbeitnehmen- den). 6.3.3.2 Die Personalvorsorge-Kommission der Beschwerdegegnerin nimmt strategische Aufgaben wie namentlich die Wahl des Stiftungsrats, den Erlass des Vorsorgeplans, Entscheide über die Finanzierung des Vorsorgewerks und über die Verwendung des freien Vermögens wahr und überprüft die Jahresrechnung (vgl. Art. 6 des Organisationsreglements). Dafür benötigten ihre Mitglieder keine Einsicht in die individuellen Daten der einzelnen Versicherten. Es ist für die Erfüllung ihrer Aufgabe irrelevant, wer welche Einkäufe oder Vorbezüge getätigt hat; vielmehr reicht es, wenn sie um die Höhe des insgesamt vorhandenen Kapitals der Stiftung wissen. Die Organstellung der Arbeitgebervertretung hat dem- gemäss entgegen der Ansicht der Beschwerdegegnerin und der Vor- instanz nicht zur Folge, dass die Arbeitgebenden Kenntnis aller persönlichen Daten ihrer Arbeitnehmenden haben (müssen). Die diesbe- züglichen vorinstanzlichen Ausführungen, wonach der Arbeitgebende « naturgemäss » Angestellte in die Personalvorsorge-Kommission ent- sende und es demnach klar sei, dass er als Teil des obersten Organs der
2012/14 Datenschutz
288 BVGE / ATAF / DTAF
Stiftung Einblick in diese Akten habe, solange nicht besonders schützenswerte Daten davon betroffen seien, vermag in doppelter Hinsicht nicht zu überzeugen. Einerseits ist seitens des Arbeitgebenden wie erwähnt die Vertretung im paritätischen Organ nicht zwingend und an Dritte delegierbar, andererseits ist nicht auszuschliessen, dass – sofern die Vertretung des Arbeitgebenden infolge organisatorischer Mängel Einsicht in individuelle Versichertendossiers erhält – besonders sensible Gesundheitsdaten nicht betroffen sind. Umso mehr ist die Einsicht auf die zur Wahrnehmung der obgenannten strategischen Aufgaben erfor- derlichen Informationen zu beschränken (vgl. dazu auch E. 6.3.2). 6.3.4 6.3.4.1 Die Beitragspflicht der Arbeitgebenden stellt den wichtigsten Teil des Inhalts der Rechtsbeziehung zwischen ihnen und der Vorsorge- stiftung dar (vgl. Art. 66 BVG; RIEMER/RIEMER-KAFKA, a.a.O., § 4 Rz. 6). Der Arbeitgebende, der obligatorisch zu versichernde Arbeit- nehmende beschäftigt, muss eine in das Register für die berufliche Vorsorge eingetragene Vorsorgeeinrichtung errichten oder sich einer solchen anschliessen (Art. 11 Abs. 1 BVG). Gemäss Art. 10 der Ver- ordnung vom 18. April 1984 über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (SR 831.441.1) muss der Arbeitgebende der Vorsorgeeinrichtung alle versicherungspflichtigen Arbeitnehmenden melden und alle Angaben machen, die zur Führung der Alterskonten und zur Berechnung der Beiträge nötig sind. 6.3.4.2 Für die Durchführung der beruflichen Vorsorge beziehungswei- se zur Erfüllung ihrer damit verbundenen Aufgaben benötigen die Arbeitgebenden Angaben im Zusammenhang mit der in Art. 66 BVG geregelten Beitragspflicht, das heisst Daten zwecks Anmeldung eines Arbeitnehmenden in die Vorsorgeeinrichtung oder Angaben bei dessen Austritt. Es werden jedoch keine Angaben über die Höhe von Freizügig- keitsleistungen, über Bezüge für Wohneigentum oder über Einkäufe in die berufliche Vorsorge benötigt. Die in Erwägung 6.3.2.3 zitierte Mit- teilung des BSV vom 12. August 1991 zeigt auf, dass den Arbeit- gebenden die Höhe der Freizügigkeitsleistungen, die ihren einzelnen Arbeitnehmenden zustehen, grundsätzlich nicht bekannt ist und die Vertreter der Arbeitgebenden in der paritätischen Kommission keine Einsicht in Daten haben sollten, die sie nicht im Rahmen ihrer Beitrags- pflicht oder zur strategischen Führung der Stiftung benötigen. Idealer- weise hat sich eine Vorsorgeeinrichtung demgemäss so zu organisieren, dass die Arbeitgebenden beziehungsweise deren Vertretung keinen
Datenschutz 2012/14
BVGE / ATAF / DTAF 289
Einblick in die im Pensionskassenausweis enthaltenen, ihnen grössten- teils unbekannten und aufgrund der Beitragspflicht nicht errechenbaren Daten erhalten. 6.3.5 6.3.5.1 Nach Art. 331 Abs. 4 OR hat der Arbeitgebende dem Arbeit- nehmenden über die ihm gegen eine Vorsorgeeinrichtung zustehenden Forderungsrechte den erforderlichen Aufschluss zu erteilen. Der Arbeit- gebende ist indes nur auskunftspflichtig über die « Forderungsrechte », das heisst über den Arbeitnehmenden zustehende Rechte und Anwart- schaften. Indem der Arbeitgebende dem Arbeitnehmenden bei dessen Eintritt das Personalvorsorgereglement abgibt und ihm auch später regelmässig einmal jährlich, mindestens jedoch alle drei Jahre (Art. 24 Abs. 1 FZG analog), den Stand seiner Ansprüche bekanntgibt sowie allfällige Fragen beantwortet, wird er seinen Pflichten genügen. Die arbeitsrechtliche Informationspflicht tritt hinter der vorsorgerechtlichen zurück und wird vor allem im Rahmen der arbeitsrechtlichen Vertrags- verhandlungen, wenn letztere Pflicht noch nicht aktuell ist, Bedeutung haben (ULLIN STREIFF/ADRIAN VON KAENEL, Praxiskommentar zum Arbeitsvertrag, 6. Aufl., Zürich/Basel/Genf 2006, Art. 331 Rz. 10 mit Hinweisen; RIEMER, a.a.O., S. 120). In diese Richtung zielen auch die Weisungen des Bundesrates über die Pflicht der registrierten Vorsorge- einrichtungen zur Auskunftserteilung an ihre Versicherten, gemäss welchen die Einrichtungen zu veranlassen haben, dass die bei ihnen angeschlossenen Arbeitgebenden ihre Arbeitnehmenden über die ihnen zustehenden Auskunftsrechte informieren (Mitteilung des BSV über die berufliche Vorsorge Nr. 10 vom 15. August 1988, Nr. 54, < http://www. bsv.admin.ch > Vollzug Sozialversicherungen > BV (2. Säule) > Mittei- lungen, besucht am 2. März 2012). Art. 55 Abs. 6 des Reglements 2005 der Stiftung Auffangeinrichtung BVG, wonach Vorsorgeausweise, Reglemente, Merkblätter und Formulare den angeschlossenen Betrieben zuzustellen und diese dafür verantwortlich sind, dass die versicherte Person in den Besitz der für sie bestimmten Unterlagen gelangt (Stiftung Auffangeinrichtung BVG, Reglement 2005 zur Vorsorge BVG, 2. Teil Allgemeine Bestimmungen, genehmigt vom Bundesrat am 27. Oktober 2004, < http://www.chaeis.net > BVGE Berufliche Vorsorge > Arbeit- geber > Anmeldung > Allgemeine Bestimmungen, besucht am 2. März 2012), legitimiert die Arbeitgebenden entgegen der Ansicht der Vorinstanz nicht, die im Vorsorgeausweis enthaltenen Daten zur Kenntnis zu nehmen. Der Hinweis auf die in welcher Form auch immer zu
2012/14 Datenschutz
290 BVGE / ATAF / DTAF
erfolgende Zustellung und Weiterleitung impliziert noch keine Kenntnis der Daten. 6.3.5.2 Die Arbeitgebenden müssen somit über die individuelle Vorsorgesituation ihrer Arbeitnehmenden nicht informiert sein, um Letztere pflichtgemäss über ihre Forderungsrechte zu unterrichten. Damit die Arbeitnehmenden umfassend informiert sind und ihre Forderungen gegenüber der Vorsorgeeinrichtung geltend machen können, reichen all- gemeine Hinweise theoretischer Natur; eine einzelfallspezifische Be- ratung ist hierfür nicht erforderlich, kann aber mit Einwilligung des betroffenen Arbeitnehmenden erfolgen. Entgegen der Auffassung der Vorinstanz lässt sich aus Art. 331 Abs. 4 OR demnach nicht herleiten, dass die Beschwerdegegnerin den Arbeitgebenden die im Vorsorgeaus- weis enthaltenen Daten weiterleiten darf. 6.3.6 Ebenso wenig lässt sich in der Fürsorgepflicht des Arbeit- gebenden nach Art. 328 OR eine gesetzliche Grundlage für die Weiter- gabe der strittigen Daten erblicken. Im Gegenteil: Gemäss Art. 328 Abs. 1 OR hat der Arbeitgebende im Arbeitsverhältnis unter anderem die Persönlichkeit des Arbeitnehmenden zu achten und zu schützen, wozu auch dessen private Geheimsphäre zählt; die Missachtung des Daten- schutzes führt zu einer Verletzung der Persönlichkeit des betroffenen Arbeitnehmenden (STREIFF/VON KAENEL, a.a.O., Art. 328 Rz. 7). Hinzu kommt, dass der Arbeitgebende Daten über den Arbeitnehmenden nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b OR). Die vorgenannte Bestimmung beschränkt die zulässige Datenbearbeitung im Arbeitsverhältnis auf Fälle mit Arbeitsplatzbezug (STREIFF/VON KAENEL, a.a.O., Art. 328b Rz. 3; vgl. auch E. 4.1 zur An- wendbarkeit des DSG). Unter den zur Durchführung des Arbeitsvertrags erforderlichen Datenbearbeitungen werden gemeinhin administrative Belange verstanden, so etwa zur Erfüllung der gesetzlichen Verpflich- tungen gegenüber den Sozialversicherungen (STREIFF/VON KAENEL, a.a.O., Art. 328b Rz. 6). Damit wird jedoch der umgekehrte Fall der Datenbekanntgabe von den Arbeitgebenden an die Beschwerdegegnerin in Zusammenhang mit deren Beitragspflicht gemäss Art. 66 BVG ange- sprochen, wovon nur diejenigen Daten aus dem Vorsorgeausweis betroffen sind, welche den Arbeitgebenden aufgrund ihrer Beitragspflicht ohnehin schon bekannt sind, das heisst in Bezug auf welche hier unbestrittenermassen keine Datenbekanntgabe vorliegt.
Datenschutz 2012/14
BVGE / ATAF / DTAF 291
6.4 Zusammenfassend ist Folgendes festzuhalten: Da aus den Pensionskassenausweisen Daten zur persönlichen Vorsorgesituation der versicherten Arbeitnehmenden ersichtlich sind, welche die angeschlosse- nen Arbeitgebenden der Vorsorgeeinrichtung nicht bereits in Erfüllung ihrer Beitragspflicht nach Art. 66 BVG via Anmeldeformular mitteilen und daher weder bereits kennen noch berechnen können, liegt in Bezug auf diese Daten nach allen in E. 6.3.1 erwähnten Definitionen eine Bekanntgabe beziehungsweise Weitergabe der entsprechenden Personen- daten an einen Dritten im Sinne des Datenschutzgesetzes vor. Denn auch wenn die Arbeitgebenden beziehungsweise die sie vertretenden Personen gleichzeitig eine Organfunktion innerhalb der Vorsorgeeinrichtung ein- nehmen, was vor allem in Bezug auf den vorliegend nicht zu thematisierenden Bereich der Verantwortlichkeit relevant ist, benötigen sie die strittigen Angaben nicht zur Wahrnehmung der damit verbunde- nen strategischen Aufgaben und sollten aufgrund entsprechender, zu erwartender und wünschenswerter organisatorischer Vorkehrungen der Vorsorgeeinrichtung gemäss vorstehenden Erwägungen (vgl. insbes. E. 6.3.2) auch keine Kenntnis davon erhalten. Entgegen der Meinung der Vorinstanz und der Beschwerdegegnerin sind die Arbeitgebenden be- ziehungsweise ihre Vertreter in der paritätischen Kommission daher in Bezug auf Daten, die ihnen nicht bekannt sind beziehungsweise sein sollten, als Dritte zu qualifizieren. Zudem kann bei der praktizierten Zu- stellung der Pensionskassenausweise in offenen Couverts – auch wenn sie an eine von den Arbeitgebenden mit der Durchführung der beruflichen Vorsorge beauftragte Stelle, der die Daten allenfalls wegen organisatorischer Mängel oder Personalunion schon bekannt wären, erfolgen würde – nicht ausgeschlossen werden, dass zusätzliche unbe- teiligte Dritte in darin enthaltene Daten, die ihnen bis anhin unbekannt waren, Einblick erhalten. Die Voraussetzung des Bearbeitens gemäss Art. 2 Abs. 1 in Verbindung mit Art. 3 Bst. e und f DSG ist somit in Bezug auf die Beschwerdegegne- rin erfüllt. Ob die entsprechenden Daten interessant für die Arbeitge- benden sind oder nicht, wie die Vorinstanz behauptet, ist irrelevant und verkennt den Zweck des Datenschutzgesetzes, welcher vorliegend im Schutz der Persönlichkeit der betroffenen versicherten Arbeitnehmenden beziehungsweise im Verhindern unrechtmässigen Datenflusses zu erbli- cken ist (vgl. auch E. 4.1). Zudem kann nicht ausgeschlossen werden, dass die bekannt gegebenen Daten von den Arbeitgebenden zum Nachteil der Arbeitnehmenden verwendet werden könnten (vgl. dazu E. 9.3).
2012/14 Datenschutz
292 BVGE / ATAF / DTAF
8.1.1 Bundesorgane müssen eine gesetzliche Grundlage für die Daten- bearbeitung haben (Art. 17 Abs. 1 DSG). Aus dieser Grundlage ergibt sich auch, ob und inwieweit sie im Rahmen einer bestimmten Datenbe- arbeitung von der Einhaltung der Bearbeitungsgrundsätze ausnahms- weise befreit sind, das heisst die ihnen übertragene Aufgabe erfüllen dürfen, auch wenn dies zu einer Verletzung der Persönlichkeit des Einzelnen führt (ROSENTHAL, a.a.O., Art. 4 Rz. 4). Ob die Datenbearbei- tung auf Gesetzes- oder auf Verordnungsebene geregelt werden muss, ist nach allgemeinen gesetzestechnischen Grundsätzen zu beurteilen. Mass- geblich ist, wieweit eine Datenbearbeitung in die Persönlichkeit der Bürger eingreift. Aus diesen Gründen ist für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen grundsätzlich eine formelle gesetzliche Grundlage notwendig (vgl. Art. 17 Abs. 2 DSG und allgemein zum Legalitätsprinzip: ULRICH
Datenschutz 2012/14
BVGE / ATAF / DTAF 293
HÄFELIN/GEORG MÜLLER/FELIX UHLMANN, Allgemeines Verwaltungs- recht, 6. Aufl., Zürich/St. Gallen 2010, Rz. 377 ff.; EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, August 2009, Ziff. 2.1.1 S. 5, < http://www.edoeb.admin.ch > Dokumentation > Datenschutz > Leitfäden, besucht am 2. März 2012). 8.1.2 Nur in den Fällen von Art. 17 Abs. 2 Bst. a‒c DSG können be- sonders schützenswerte Personendaten oder Personenprofile ausnahms- weise ohne formelle gesetzliche Grundlage bearbeitet werden. Bei besonders schützenswerten Personendaten handelt es sich gemäss Legal- definition von Art. 3 Bst. c DSG um Daten über die religiösen, welt- anschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörig- keit, Massnahmen der sozialen Hilfe sowie über administrative oder strafrechtliche Verfolgungen und Sanktionen. Im Pensionskassenausweis aufgeführt sein könnten allenfalls Daten über die Gesundheit der versicherten Personen. Wo dies der Fall ist, stellt die Beschwerde- gegnerin jene Ausweise jedoch künftig unbestrittenermassen direkt den betroffenen Personen zu, sodass es sich bei den Gegenstand dieses Ver- fahrens bildenden Personendaten nicht um besonders schützenswerte im Sinne von Art. 3 Bst. c DSG handelt und die obgenannte Ausnahme- bestimmung deshalb nicht zur Anwendung gelangt. Es bleibt ohnehin anzumerken, dass für die Bekanntgabe von Personendaten durch Bundes- organe als Unterfall der Datenbearbeitung die in nachfolgender Er- wägung erwähnte Spezialregelung von Art. 19 DSG zu beachten ist. 8.2 8.2.1 Die Bekanntgabe von Personendaten muss grundsätzlich wie jede Art der Datenbearbeitung in einer Rechtsgrundlage im Sinne von Art. 17 DSG vorgesehen sein (Art. 19 Abs. 1 DSG). Die gesetzliche Grundlage muss sich ausdrücklich auf den Transfer von Daten als solchen beziehen, das heisst, die Rechtsgrundlage muss eine Ermäch- tigung beziehungsweise Verpflichtung zur Bekanntgabe von Personen- daten enthalten. Eine allgemeine Kompetenz zur Datenbearbeitung im Sinne von Art. 17 DSG genügt für die Datenbekanntgabe nicht (JÖHRI/ STUDER, BSK-DSG, Art. 19 Rz. 25). 8.2.2 Art. 19 DSG sieht einige Ausnahmen vor, in denen eine Datenbekanntgabe trotz fehlender gesetzlicher Grundlage zulässig ist, um eine rationelle Verwaltungstätigkeit und die Erfüllung gesetzlicher Aufgaben zu sichern. Diese Ausnahmen gelten jedoch nur in den Einzelfällen, die abschliessend aufgezählt und eng auszulegen sind. Die
2012/14 Datenschutz
294 BVGE / ATAF / DTAF
Ausnahmen betreffen einzig die Weitergabe von Personendaten, nicht die Datenbearbeitung im Allgemeinen, das heisst, die Bestimmungen in Art. 19 DSG entbinden nicht von der Schaffung der erforderlichen Rechtsgrundlagen für die Datenbearbeitung. Für die Bekanntgabe von Personendaten durch ein automatisiertes Abrufverfahren (z.B. Online- Zugriffe, Selfservice-Prinzip) gelten diese Ausnahmen nicht (vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwal- tung, a.a.O., Ziff. 2.3 S. 6; JÖHRI, a.a.O., Art. 19 Rz. 7 und 20). 8.2.2.1 Vorliegend geht es nicht darum, Personendaten in einem Abrufverfahren zugänglich zu machen. Die Frage, inwiefern Arbeitge- bende angesichts des Anspruchs auf paritätische Verwaltung nach Art. 51 Abs. 1 BVG, aufgrund der Erfüllung ihrer Beitragspflicht nach Art. 66 BVG oder wegen arbeitsvertraglicher Pflichten Anspruch auf Kenntnis von Versichertendaten geltend machen können, wurde vorne in E. 6.3 geklärt. Danach besteht keine rechtliche Verpflichtung beziehungsweise Notwendigkeit zur Bekanntgabe der vorliegend strittigen Daten. Zu prüfen bleibt daher, ob ein spezieller Grund gemäss Art. 19 DSG vorliegt, der im Einzelfall eine Datenbekanntgabe trotz Fehlens einer (genügenden) gesetzlichen Grundlage rechtfertigen würde. Vorliegend kommt dafür mangels Einwilligung und allgemeinen Zugänglichmachens der Daten durch die betroffenen Personen nur Art. 19 Abs. 1 Bst. a in Betracht, wonach Bundesorgane Personendaten trotz fehlender rechtli- cher Grundlage bekannt geben dürfen, wenn die Daten für den Empfän- ger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unent- behrlich sind, das heisst dieser ansonsten seine gesetzliche Aufgabe im konkreten Fall nicht erfüllen könnte. Empfänger können neben anderen Bundesorganen und kantonalen, kommunalen oder ausländischen Behörden auch natürliche oder juristische Privatpersonen im In- und Ausland sein. Eine Datenbekanntgabe im Sinne von Art. 19 Abs. 1 Bst. a DSG kann nur in einem bestimmten Fall für einen einmaligen Zweck sowie nur auf Anfrage erfolgen. Vorgenannte Bestimmung bietet somit keine Rechtsgrundlage für eine aktive Information durch eine Verwal- tungsstelle (BBl 1988 II 469; JÖHRI, a.a.O., Art. 19 Abs. 1 Rz. 21 und 24 f.; JÖHRI/ STUDER, BSK-DSG, Art. 19 Rz. 42 f. und 45 mit Hinweisen). 8.2.2.2 Die durch Zustellung der Vorsorgeausweise erfolgte Datenbe- kanntgabe ist nicht auf Anfrage hin erfolgt; vielmehr versendet die Beschwerdegegnerin die Ausweise in eigenem Interesse an die Arbeitge- benden, um Kosten einzusparen. Die Anwendbarkeit der Ausnahmebe-
Datenschutz 2012/14
BVGE / ATAF / DTAF 295
stimmung nach Art. 19 Abs. 1 Bst. a DSG ist daher bereits aufgrund dieser Tatsache zu verneinen. 8.3 Im Sozialversicherungsrecht gelten spezielle Geheimhaltungs- pflichten, die eine Bekanntgabe von Personendaten nur ausnahmsweise zulassen. Ebenso gibt es eine Anzahl bereichsspezifischer Datenschutz- bestimmungen, die den zulässigen Empfängerkreis und zum Teil auch die Art der Daten, die übermittelt werden, festlegen. Solche Bestimmungen gehen als Spezialnormen Art. 19 DSG vor (BBl 1988 II 471). Es bleibt daher zu prüfen, ob eine spezialgesetzliche Ausnahme vorliegt, welche weiter geht als Art. 19 DSG und daher eine Datenbekanntgabe aus- nahmsweise rechtfertigen würde. 8.3.1 Gemäss Art. 86 BVG haben Personen, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung des Bundesgesetzes zur beruflichen Vorsorge beteiligt sind, gegenüber Dritten Verschwiegenheit zu bewahren. Die Schweigepflicht bezieht sich auf alle Kenntnisse, die zum Stillschweigen verpflichtete Personen im Rahmen ihrer vorgenannten Tätigkeit erlangen. Bundesorgane bezie- hungsweise allgemein Personen, die am Vollzug der Sozialversicherungs- gesetze beteiligt sind, dürfen Personendaten aus diesen Bereichen nur dann an Dritte bekanntgeben, wenn das betreffende Gesetz eine Ausnah- me von der grundsätzlichen Schweigepflicht vorsieht (vgl. Botschaft vom 24. November 1999 über die Anpassung und Harmonisierung der gesetzlichen Grundlagen für die Bearbeitung von Personendaten in den Sozialversicherungen, in: BBl 2000 261). Ausnahmen von der Schweige- pflicht bedürfen folglich einer gesetzlichen Grundlage. Der Schweige- pflicht unterstehen unter anderen die Mitarbeitenden der Vorsorge- einrichtungen, die in die Durchführung des Bundesgesetzes über die berufliche Vorsorge involvierten Personen der Arbeitgebenden sowie die Vertretung in der paritätischen Verwaltung der Vorsorgeeinrichtung (PÄRLI, Handkommentar zum BVG, Art. 86 Rz. 10 und 12 mit Hinweis). 8.3.2 8.3.2.1 Zufolge Art. 85a BVG sind die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe befugt, die Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um (Bst. a bis f):
2012/14 Datenschutz
296 BVGE / ATAF / DTAF
die Versicherungsbeiträge zu berechnen und zu erheben; Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und diese mit Leistungen anderer Sozialversicherungen zu koordinieren; ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen; die Aufsicht über die Durchführung dieses Gesetzes auszuüben; Statistiken zu führen; die Versichertennummer der AHV zuzuweisen oder zu verifizieren. Die Liste der für zulässig erklärten Datenbearbeitungen ist nicht ab- schliessend (vgl. Gesetzestext « namentlich »). Zulässig ist jede Bearbei- tung von Personendaten, die vom zuständigen Organ in Erfüllung der im BVG vorgesehenen Aufgabe notwendig ist. Zu ergänzen ist, dass für die Bekanntgabe von Personendaten Art. 86a BVG massgebend ist. Dieser Artikel erweitert und konkretisiert die Schweigepflicht und geht der all- gemeinen Datenbearbeitungsbestimmung in Art. 85a BVG vor. Gleiches gilt für die in Art. 85b BVG verankerte Akteneinsicht. Die Liste der Fälle zulässiger Datenbekanntgaben in Art. 86a BVG ist abschliessend; weiter- gehende Ausnahmen von der gesetzlichen Schweigepflicht sind nicht vorgesehen (PÄRLI, Handkommentar zum BVG, Art. 85a Rz. 10 und 12, Art. 86a Rz. 3 f.). Es dürfen zudem nur die Daten bekannt gegeben werden, welche für den in Frage stehenden Zweck erforderlich sind (Art. 86a Abs. 6 BVG). 8.3.2.2 Eine mögliche gesetzliche Grundlage für eine Ausnahme von der Schweigepflicht stellt das in Art. 85b BVG erwähnte Akteneinsichts- recht dar: Sofern überwiegende Privatinteressen gewahrt bleiben, steht die Akteneinsicht Personen zu, die eine Verpflichtung nach diesem Gesetz haben, für diejenigen Daten, die für die Wahrung des Anspruchs oder die Erfüllung der Verpflichtung erforderlich sind (Art. 85b Abs. 1 Bst. b BVG). Diese Regelung bezweckt klarzustellen, in welchen Fällen die Vorsorgeeinrichtung zur Gewährung der Akteneinsicht befugt ist, ohne damit die Schweigepflicht nach Art. 86 BVG zu verletzen (PÄRLI, Handkommentar zum BVG, Art. 85b Rz. 3 mit Hinweis). Daten dürfen überdies im Sinne einer Ausnahme zur Schweigepflicht bekannt gegeben werden an andere mit der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe, sofern kein überwiegendes Privatinteresse entgegensteht und wenn sie
Datenschutz 2012/14
BVGE / ATAF / DTAF 297
für die Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erforderlich sind (Art. 86a Abs. 2 Bst. a BVG). Eine Interessenabwägung erübrigt sich vorliegend, da der Einsichts- anspruch im Fall beider vorgenannter gesetzlicher Bestimmungen auf Daten beschränkt ist, die für die Erfüllung einer Verpflichtung gemäss BVG notwendig sind. Die vorliegend umstrittenen Daten werden von den Arbeitgebenden weder zur Erfüllung ihrer Beitragspflicht nach Art. 66 Abs. 2 bis 4 BVG benötigt noch im Rahmen der paritätischen Verwaltung nach Art. 51 Abs. 1 BVG. Arbeitsvertragliche Pflichten, die einen Anspruch der Arbeitgebenden auf Einsicht begründen würden, sind gemäss Wortlaut von Art. 85b Abs. 1 Bst. b BVG und Art. 86a Abs. 2 Bst. a BVG unbeachtlich (« nach diesem Gesetz ») und vorliegend auch nicht ersichtlich (vgl. E. 6.3.5). Abgesehen davon dürfte auch in diesen beiden Konstellationen zumindest faktisch ein Gesuch um Akteneinsicht beziehungsweise Datenbekanntgabe vorausgesetzt werden, während hier die Beschwerdegegnerin von sich aus aktiv geworden ist. 8.3.2.3 In den übrigen Fällen dürfen Personendaten an Dritte bekannt gegeben werden, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat oder, wenn das Einholen der Einwilligung nicht möglich ist, diese nach den Umständen als im Interesse des Versicherten voraus- gesetzt werden darf (Art. 86a Abs. 5 Bst. b BVG). Diese Regelung lehnt sich an Art. 19 Abs. 1 Bst. b DSG an (BBl 2000 266). Im vorliegenden Fall haben die betroffenen Personen weder in die Datenbekanntgabe eingewilligt noch sind Gründe ersichtlich, welche das Einholen der Einwilligung als unmöglich und die Bekanntgabe nach den Umständen als im Interesse der versicherten Personen erscheinen lassen würden. Im Gegenteil ist nicht auszuschliessen, dass die Arbeitnehmen- den durch die Bekanntgabe ihrer Daten an die Arbeitgebenden Nachteile zu erleiden haben (vgl. dazu E. 9.3). 8.4 Weder auf Gesetzes- noch auf Verordnungsstufe findet sich eine gesetzliche Grundlage für eine Ausnahme von der Schweigepflicht, welche die Bekanntgabe der Daten von der Beschwerdegegnerin an die Arbeitgebenden der bei ihr versicherten Personen rechtfertigen würde. Es ist insbesondere kein Grund ersichtlich, weshalb die Arbeitgebenden die strittigen Versicherungsdaten der Arbeitnehmenden für die Erfüllung ihrer Pflichten im Zusammenhang mit der Durchführung der beruflichen Vorsorge und im Übrigen auch bezüglich jener aus dem Arbeitsverhältnis benötigen würden (vgl. E. 6.3.4 ff.). Vielmehr gilt die Schweigepflicht
2012/14 Datenschutz
298 BVGE / ATAF / DTAF
gemäss Art. 86 BVG auch für die Arbeitgebervertretung, die an der Durchführung der beruflichen Vorsorge beteiligt ist (PÄRLI, Handkom- mentar zum BVG, Art. 86 Rz. 12). Die Daten hätten folglich nicht weitergeleitet werden dürfen, das heisst, die von der Beschwerdegegnerin praktizierte Datenbekanntgabe ist rechtswidrig und verletzt somit die Persönlichkeit der versicherten Personen. Überdies ist in nachfolgender Erwägung kurz auf einen in vor- liegendem Zusammenhang ebenfalls bedeutsamen Grundsatz des Daten- schutzrechts, nämlich denjenigen der Datensicherheit, einzugehen. 9. 9.1 Aus Art. 8 EMRK erwächst dem Staat nicht nur die negative Verpflichtung auf Unterlassen jeder unrechtmässigen Beeinträchtigung der Privatsphäre des Einzelnen, sondern ebenso die positive Pflicht, Personendaten effektiv und praktisch vor der Möglichkeit eines unautorisierten Zugriffs zu schützen; es reicht nicht aus, wenn den Be- troffenen eine Klagemöglichkeit gewährt wird (KURT PÄRLI, EMRK und Datenschutz am Arbeitsplatz, in: digma – Zeitschrift für Datenrecht und Informationssicherheit 2009, Heft 1, S. 30 ff. mit Hinweisen insbes. zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte). Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bear- beiten geschützt werden. Es handelt sich dabei um eine Dauerpflicht jedes Datenbearbeitenden; aufgrund veränderter Umstände nicht mehr genügende Schutzmassnahmen sind anzupassen. Ziel der Datensicherheit ist nicht nur die Gewährleistung der Vertraulichkeit, der Verfügbarkeit und der Richtigkeit der Personendaten (vgl. diesbezüglich Art. 8 Abs. 1 VDSG, welcher auch für Bundesorgane gilt), vielmehr geht es ganz allgemein um die Verhinderung einer unbefugten Bearbeitung von Personendaten. Dabei steht insbesondere der Schutz gegen Risiken der unbefugten oder zufälligen Vernichtung, des zufälligen Verlusts, techni- scher Fehler, der Fälschung, des Diebstahls oder der widerrechtlichen Verwendung sowie des unbefugten Änderns, Kopierens, Zugreifens oder anderer unbefugter Bearbeitungen im Vordergrund. Gegenstand der Massnahmen ist nicht nur die EDV-gestützte, automatisierte, sondern auch jegliche Form der manuellen Datenbe- arbeitung. Bezüglich Art und Umfang der zu treffenden Massnahmen gilt das Verhältnismässigkeitsprinzip: Zufolge Art. 8 Abs. 2 VDSG sind insbesondere Zweck, Art und Umfang der Datenbearbeitung sowie der gegenwärtige Stand der Technik zu berücksichtigen und eine Einschät-
Datenschutz 2012/14
BVGE / ATAF / DTAF 299
zung der möglichen Risiken für die betroffenen Personen vorzunehmen. Aufgrund der nicht abschliessenden Aufzählung in vorgenannter Bestim- mung können und dürfen aber auch die Kosten der Massnahmen im Hinblick auf den angestrebten Schutzzweck berücksichtigt werden. Die allgemeinen finanziellen Möglichkeiten des Datenbearbeitenden sind jedoch zweitrangig (RIESSELMANN-SAXER, a.a.O., S. 33 f. mit Hinwei- sen; ROSENTHAL, a.a.O., Art. 7 Rz. 3 und 5 ff.; KURT PAULI, BSK-DSG, Art. 7 Rz. 2, 4 ff. und 17; EDÖB, Leitfaden für die Bearbeitung von Per- sonendaten in der Bundesverwaltung, a.a.O., Ziff. 2.7 S. 9). 9.2 Die Pensionskassenausweise der versicherten Personen sind trotz des Vermerks « Vertraulich » bei Zustellung an die Arbeitgebenden in keiner Weise gegen Einsichtnahme oder Kopieren geschützt (vgl. Art. 8 Abs. 1 Bst. e VDSG), insbesondere sind sie nicht einzeln in Couverts verpackt, mit einem (Klebe-)Siegel versehen oder nur nach Aufreissen einer perforierten Sollbruchlinie einsehbar. Solche Massnah- men wären einfach zu treffen und nicht allzu kostenintensiv. Die Be- schwerdegegnerin hat in der Vergangenheit keine entsprechenden Mass- nahmen getroffen, sondern im Gegenteil bis anhin nicht einmal überprüft, ob besonders schützenswerte Daten Inhalt der einzelnen weitergeleiteten Vorsorgeausweise bilden. Damit verletzt sie zusätzlich den Grundsatz der Datensicherheit gemäss Art. 8 EMRK und Art. 7 DSG. 9.3 Weiter ist zu berücksichtigen, dass dem Datenschutz im Arbeits- verhältnis auch eine antidiskriminierende Funktion zukommt (PÄRLI, a.a.O., S. 20 mit Hinweisen). Die Daten der betroffenen Personen könnten zu Zwecken verwendet werden, die mit der Durchführung der beruflichen Vorsorge nichts zu tun haben und ebenso wenig im Interesse der Betroffenen liegen beziehungsweise sie allfälligen Benachteiligungen im Arbeitsverhältnis aussetzen. Es kann nicht mit Sicherheit ausgeschlos- sen werden, dass die Daten beispielsweise im Zusammenhang mit Lohnverhandlungen von den Arbeitgebenden zulasten der Arbeitnehmen- den verwendet werden könnten (vgl. dazu auch die Mitteilung des BSV vom 12. August 1991 in E. 6.3.2.3). Wer beispielsweise einen Vorbezug für Wohneigentum getätigt hat, ist ortsgebundener und daher vermehrt auf seine Stelle angewiesen, was ihn abhängiger von seinem Arbeit- gebenden macht. Für diesen wiederum spielen die Lohnkosten als variabler und beeinflussbarer Budgetposten eine zentrale Rolle und bergen aus seiner Sicht im Vergleich zu den festen Kostenfaktoren am ehesten ein Sparpotential in sich (RIEMER-KAFKA, a.a.O., S. 285). Die
2012/14 Datenschutz
300 BVGE / ATAF / DTAF
diesbezüglichen Bedenken des Beschwerdeführers sind demnach ge- rechtfertigt. 10. 10.1 Die Beschwerdegegnerin macht als Grund für ihre Zustellpraxis wirtschaftliche Interessen geltend; konkret führt sie an, eine separate Zustellung der Pensionskassenausweise in verschlossenen Couverts an die Arbeitnehmenden stelle einen finanziellen Mehraufwand dar. Zudem weist sie auf Bestrebungen im Bereich der beruflichen Vorsorge hin, Kosten einzusparen, und erklärt, ihre langjährige Zustellpraxis sei branchenüblich. Dass die von der Beschwerdegegnerin praktizierte Zu- stellung der Vorsorgeausweise von bei ihr versicherten Personen in unverschlossenen Couverts an die Arbeitgebenden zwecks Weiterleitung sich auf keine gesetzliche Grundlage stützen kann und zudem dem Grundsatz der Datensicherheit widerspricht, wurde bereits dargelegt (vgl. E. 8 f.). Es stellt sich im Folgenden daher nur noch die Frage, in welcher Form die Zustellung der Pensionskassenausweise zu erfolgen hat beziehungsweise welche Art der Zustellung geeignet ist, den Grund- sätzen des Datenschutzes, insbesondere demjenigen der Datensicherheit, Genüge zu tun. 10.2 Vorab gilt es in diesem Zusammenhang zu beachten, dass im Rahmen des vorliegenden Verfahrens die Rechte einer Vielzahl von Personen in Frage stehen, deren Verteidigung der Beschwerdeführer mit seiner Empfehlung beziehungsweise Beschwerde bezweckt. Das Ergebnis des Verfahrens kann somit indirekt Wirkung für all jene Perso- nen zeitigen, die nach einer ähnlichen Methode vorgehen wie die Beschwerdegegnerin, was zusätzlich Licht auf die Tragweite des vorlie- genden Falls und die von der Beschwerdegegnerin zu verlangende Art der Zustellung wirft (vgl. BGE 136 II 508 E. 6.3.2 betreffend Klagever- fahren nach Art. 29 Abs. 4 i.V.m. Abs. 1 Bst. a DSG [sog. « Systemfeh- ler »] mit Hinweisen). 10.3 Im Rahmen einer Interessenabwägung sind grundsätzlich auch rein wirtschaftliche Interessen des Datenbearbeitenden, wie beispiels- weise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, schützens- wert. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstel- len (ROSENTHAL, a.a.O., Art. 13 Rz. 10; a.M. CORRADO RAMPINI, BSK- DSG, Art. 13 Rz. 22). Vorliegend würde der Mehraufwand indes die wirtschaftliche Existenz der Beschwerdegegnerin offensichtlich nicht in Frage stellen; dies wird ihrerseits auch nicht geltend gemacht. Die
Datenschutz 2012/14
BVGE / ATAF / DTAF 301
Vermeidung von finanziellem Mehraufwand ist grundsätzlich als gewinnstrebiges Interesse der Beschwerdegegnerin anzuerkennen, ver- mag aber dasjenige der betroffenen Personen am Schutz der eigenen Persönlichkeit ebenso wenig zu überwiegen wie das politische Argument der Forderung einer Kostenreduktion im Bereich der beruflichen Vorsorge. Auch der Hinweis auf die Langjährigkeit und angebliche Branchenüblichkeit der umstrittenen Zustellpraxis ist unbehelflich, zumal beispielsweise die Pensionskasse des Bundes ebenso wie diejenige des Kantons Zürich die Pensionskassenausweise den bei ihr versicherten Personen direkt und verschlossen zustellen. 10.4 Die Beschwerdegegnerin hat demnach alle Massnahmen zu treffen, welche erforderlich sind, um sicherzustellen, dass die Persön- lichkeitsrechte der bei ihr versicherten Personen im Rahmen der Zustellung der Vorsorgeausweise nicht verletzt werden. Das heisst, sie hat die Ausweise in einer geeigneten, den Grundsätzen des Daten- schutzes angemessenen Form zu versenden. Konkret bedeutet dies, die Ausweise entweder den Arbeitnehmenden einzeln direkt verschlossen per Post an ihre persönliche Adresse oder zumindest in verschlossenen und mit dem jeweiligen Namen sowie dem Vermerk « Vertraulich » versehenen Couverts den Arbeitgebenden zur Weiterleitung zuzustellen. Es geht also letztlich nicht um ein gänzliches Verbot der Zusendung von Pensionskassenausweisen an die Arbeitgebenden, sondern lediglich als minimale Alternative zur direkten Zustellung an die Arbeitnehmenden darum, die Ausweise nicht wie in rechtswidriger Weise praktiziert frei zugänglich den Arbeitgebenden zuzusenden. Aus unternehmerischer Sicht mag es gerechtfertigt erscheinen, sich auf den finanziellen Mehraufwand bei (vereinzelter) manueller Zustellung zu berufen, doch lässt sich damit wie erwähnt der Eingriff in die Persönlichkeitsrechte der Betroffenen nicht rechtfertigen. Hinzu kommt, dass die Nichteinhaltung von Datenschutzvorschriften für eine Vorsorgeeinrichtung in der Öffentlichkeit, bei Arbeitgebenden und versicherten Personen ein Imageproblem hervorrufen kann. Deshalb stellt deren Einhaltung bei allen Arbeitsprozessen ein nicht zu unterschätzendes Qualitätsmerkmal dar und sollte von der Beschwerdegegnerin auch in eigenem Interesse beachtet werden (PÄRLI, Handkommentar zum BVG, Art. 85a Rz. 7).