Im Rahmen der ordentlichen Tätigkeit werden in der beruflichen Vorsorge grosse Mengen von Daten gesammelt, bearbeitet und weitergeleitet. Die meisten Stiftungen übertragen irgendwann ihr Recht der Datenbearbeitung vertraglich einem Dienstleister oder einer Versicherung. Entsprechend werden Daten zur Bearbeitung an Dritte weitergeleitet oder diese mit der Beschaffung der notwendigen Daten beauftragt. Im Bereich der besonders schützenswerten Daten gilt heute gegenüber den Versicherten eine aktive Informationspflicht.

In einem früheren Fall meldete eine Vorsorgeeinrichtung einen potenziell teuren Leistungsfall. Der Versicherte stellte fest, dass Leistungsdaten durch die Mobiliar bearbeitet wurden. Er verweigerte uns das Recht, auf seine Daten zuzugreifen. Mit Zeitverlust und zusätzlichem Aufwand konnte der Fall schlussendlich doch bearbeitet werden. Nach neuem Recht dürften die Konsequenzen grösser sein: In Zukunft könnte ein solcher Fall rechtliche Konsequenzen haben und eine Bearbeitung würde noch schwieriger.

Im Zusammenhang mit der Delegation der Datenbearbeitung treffen wir in der Praxis unter anderem auf folgende Fragen:

Darf die Stiftung im Rahmen der beruflichen Vorsorge der Mobiliar IV-Akten von Versicherten zur Bearbeitung übergeben, auch wenn diese die Vollmacht nicht unterzeichnet haben?

Ja, sofern die Informationspflicht erfüllt ist und ein entsprechender Vertrag mit Delegationsregeln besteht. Allerdings gilt dies nicht für Daten, die ausschliesslich im überobligatorischen oder ausserobligatorischen Bereich bearbeitet werden. Hier müssen die Versicherten ausdrücklich ihre Einwilligung geben.

Ist mit der einfachen Information im Reglement, dass ein Versicherungsvertrag besteht, die Informationspflicht erfüllt?

Damit dürfte die Informationspflicht kaum erfüllt sein.

Wie können Vorsorgeeinrichtungen ihre Informationspflicht generell am einfachsten erfüllen?

Wir empfehlen, die Delegation zusammen mit dem Datenschutz sowie der Mitwirkungs- und Schadenminderungspflicht eindeutig und nachvollziehbar im Reglement zu regeln.

Welche Punkte gilt es dabei zu beachten?

Mit Bezug auf die Delegation sollte das Reglement die folgenden Punkte erfüllen:

• Das Reglement sollte möglichst so formuliert sein, dass alle Tätigkeiten berücksichtigt sind, welche von der Stiftung konkret delegiert werden oder allenfalls delegiert werden könnten.
• Betreffend des Versicherungsvertrags können folgende Tätigkeiten aufgeführt werden: Verwaltung Versicherungsvertrag, Gesundheitsprüfung bei Aufnahme/Ausbau Vorsorgeschutz, Ermittlung und Bearbeitung Leistungsanspruch sowie Miteinbezug des Rückversicherers.
• Die Möglichkeit der Delegation an eine Versicherung sollte aufgeführt werden, auch wenn nur eine Teildeckung besteht. Meines Erachtens ist es indes nicht notwendig, den Namen der Versicherung zu erwähnen.
• Im Reglementtext müssen bezüglich Delegation die Sammlung, Bearbeitung und Weiterleitung der Daten, inklusive «Besonders schützenswerte Daten», geregelt sein.

Häufig bitten uns Kundinnen und Kunden um eine Zweitmeinung zur vorgesehenen Reglementanpassung. Diesem Wunsch kommen wir gerne nach. Letztlich liegt aber die Verantwortung für das Reglement bei der Vorsorgeeinrichtung.

Wie schon weiter oben angedeutet, braucht es für die weitergehende und ausserobligatorische Vorsorge zusätzlich Mitwirkungspflichten mit Sanktionen im Reglement. Andernfalls kann der Versicherte die Datenbeschaffung und Bearbeitung erschweren oder gar verhindern. Die diesbezüglich bestehenden Prozesse und Formulare, insbesondere die Vollmachten, sollten deshalb beibehalten werden.

3 Punkte zum Mitnehmen:

• Selbstverständlich gelten auch die übrigen datenschutzrechtlichen Voraussetzungen und Informationspflichten.
• Die Datenschutzgesetzgebung wird in absehbarer Zukunft, insbesondere betreffend Sanktionen, noch verschärft.
• Die Verschärfung dürfte sich auch auf bestehende Delegationen auswirken. Es empfiehlt sich deshalb, bereits heute entsprechende reglementarische Bestimmungen zu überprüfen und gegebenenfalls anzupassen.