Revidiertes Datenschutzgesetz: Was heisst das für die FCT-Gruppe?
Frau Isabelle Hering,
DPO Associates Sarl
Das revidierte Datenschutzgesetz (nachfolgend "revDSG") ist am 1. September 2023 in Kraft getreten. Um das Ausmass der revidierten Vorschriften für die Vorsorgeeinrichtungen zu erfassen und einzuordnen, haben wir uns mit einer Spezialistin unterhalten: Isabelle Hering ist Rechtsanwältin, hält einen Master (LL.M.) in Internationalem Wirtschaftsrecht sowie in Internationaler Streitbeilegung und ist zudem Mediatorin AGV (Schweizer Anwaltsverband). Ihren Geschäftssitz hat sie in Nyon. Ebenso ist sie als Gründungspartnerin des Unternehmens DPO Associates Sarl tätig. Die DPO Associates Sarl bietet u.a. Dienstleistungen zur Einhaltung des Datenschutzgesetzes (DSG) sowie der EU-Datenschutzverordnung (DSGVO) und als externe Datenschutzberater an.
Frau Hering, könnten Sie uns zunächst etwas zum Zweck und Anwendungsbereich des revDSG sagen?
Wichtig ist es vorab darauf zu verweisen, dass es beim DSG um den Schutz der Persönlichkeit der jeweiligen Personen geht und nicht um deren Daten. Dieses Gesetz setzt den Schutz des Grundrechts um, das sowohl in der Schweizer Verfassung wie auch in der Europäischen Menschenrechtskonvention verankert ist. Das Ziel des Gesetzes ist es, die Transparenz der Datenverarbeitung zu fördern und den betroffenen Personen die Hoheit über ihre Daten zurückzugeben (Recht auf informationelle Selbstbestimmung). Diese Kontrolle ist aufgrund der ausserordentlichen Entwicklung der neuen Technologien mit der Vervielfachung an Daten, die ausgetauscht und gespeichert werden, unerlässlich geworden.
Welche Ziele werden mit der jüngsten Überarbeitung dieses Gesetzes verfolgt?
Das revidierte Gesetz räumt den betroffenen Personen neue Rechte ein und bringt gleichzeitig die Schweizer Gesetzgebung mit dem Recht der Europäischen Union (DSGVO) in Einklang. Es stärkt insbesondere das Recht auf Information, indem es nun auch einfache Daten, wie den Namen einer Person, ihre Telefonnummer oder ihre AHV-Nummer einschliesst. Während dies zuvor nur sogenannte "sensible" Daten betraf, wie bspw. Daten zur Gesundheit, Religion oder sexuellen Orientierung, werden nun die erwähnten einfachen Daten miteingeschlossen. Das DSG führt neu auch die Begriffe "privacy by design" und "by default" ein. Damit werden Datenschutzverpflichtungen bereits bei der Konzeption eines Produkts oder einer Dienstleistung berücksichtigt. Und im privaten Bereich wird standardmässig das höchste Datenschutzniveau gelten, ohne dass die Nutzer selbst aktiv werden müssen. Ebenso sind Unternehmen, die mehr als 250 Personen beschäftigen oder viele sensible Daten verarbeiten, nun verpflichtet, ein Register über ihre Datenverarbeitungsaktivitäten zu führen. Bundesorgane müssen darüber hinaus einen Datenschutzbeauftragten ernennen.
Wie wird das revDSG auf die Stiftungen der FCT-Gruppe angewendet?
Das Gesetz unterscheidet bei den Verantwortlichen der Datenverarbeitung zwischen: Einerseits Privatpersonen, seien dies natürliche oder juristische Personen, wie Aktiengesellschaften oder Einzelunternehmen. Andererseits, Bundesorganen, also Behörden, Bundesstellen oder Personen, die mit einer öffentlichen Aufgabe des Bundes betraut sind, wie AHV oder Ausgleichs- und Pensionskassen für die obligatorische Versicherung. Auf die FCT-Gruppe bezogen heisst das, dass die FCT auf Letzteres fällt und als Bundesorgan betrachtet wird, da sie im Bereich der obligatorischen beruflichen Vorsorge tätig ist. Während hingegen die FCT 1e als Privatperson gilt, da sie überobligatorische Leistungen anbietet. Deshalb unterliegt die FCT formal strengeren Datenschutzbestimmungen als ihre Schwesterstiftung. Die FCT-Gruppe hat jedoch beschlossen, die strengeren Datenschutzbestimmungen ebenso auf die FCT 1e anzuwenden.
Was heisst das für die Auftragsbearbeiter der FCT-Gruppe, sprich für die FCT Services AG als Stiftungsleitung oder für Trianon AG als zuständiger Dienstleister der Stiftungsverwaltung?
Das Implementieren der Gesetzeskonformität innerhalb der FCT-Gruppe erfolgte Hand in Hand mit der FCT Services AG und der Trianon AG. Beide agierten dabei äusserst transparent, was sehr geschätzt wurde. Ihre Beteiligung war entscheidend für die Harmonisierung der Prozesse und das Etablieren einer kohärenten Governance. In ihrer Tätigkeit als Subunternehmer der FCT-Gruppe stellte sowohl die FCT Services AG als auch die Trianon AG ihr Datenverarbeitungsregister sowie alle erforderlichen Dokumente zur Verfügung und gewährleisteten damit den maximalen Datenschutz aller Versicherten.
Sie wurden zum Chief Privacy Officer (CPO) und Data Privacy Officer (DPO) der FCT-Gruppe ernannt. Worin sehen Sie Ihre Rolle?
Die Kerntätigkeiten des CPO/DPO sind Beratung und Begleitung. Mit dem Begriff Datenschutzberater weist das Schweizer Recht genau auf ebendiese Funktion hin. Ich bin da, um sicherzustellen, dass die Stiftungen die richtigen Entscheidungen zum Schutz der Daten ihrer Versicherten treffen und die erforderlichen Dokumente führen. Wann immer notwendig, gebe ich eine unabhängige Meinung ab, insbesondere dann, wenn die Dinge einmal in eine falsche Richtung laufen sollten. Wichtig zu betonen ist hier jedoch, dass der DPO nicht für den Verantwortlichen der Datenverarbeitung entscheiden kann; dieser muss seine eigenen Entscheidungen treffen.
Wie beurteilen Sie die Umsetzung des DSG innerhalb der FCT-Gruppe?
Es gibt zwar kein Nullrisiko, dennoch bin ich der Meinung, dass die FCT-Gruppe und ihre Auftragsbearbeiter aus Sicht eines CPO/DPO, dessen Funktion ich innehabe, die neuen Vorschriften nach besten Regeln umgesetzt haben. Es ist klar, dass das Implementieren dieser Vorschriften mit erheblichem Aufwand verbunden war. Gleichzeitig war es jedoch auch eine Chance, besser über die Quantität und Qualität der gesammelten Daten und über deren Aufbewahrungsdauer nachzudenken. Die Implementierung hat es im Grunde ermöglicht, die Kartografie der internen oder externen Datenprozesse zu verstärken, notwendige Korrekturen vorzunehmen und schliesslich die Verarbeitung auf ein absolutes Minimum zu beschränken. Ebenso ist hervorzuheben, dass diese Aufgabe gemeinsam mit fünf anderen Vorsorgeeinrichtungen durchgeführt werden konnte, was den Austausch von Fachwissen stark begünstigte und dazu beitrug, die Implementierungskosten deutlich zu senken. Ich bin überzeugt, dass die Implementierung des DSG durch die FCT-Gruppe dazu beitragen wird, das Vertrauensverhältnis, das sie mit ihren Kunden und Versicherten unterhält, zu stärken.
***
Vielen Dank, Isabelle Hering für das Gespräch und die wertvolle Unterstützung als CPO/DPO innerhalb der FCT-Gruppe!