E-MailWeiterleiten
LinkedInLinkedIn

Bundesverwaltungsgericht Urteil A-4467/2011

Kopfdaten
Instanz:Bundesverwaltungsgericht
Abteilung:Abteilung I
Dossiernummer:A-4467/2011
Datum:10.04.2012
Leitsatz/Stichwort:Datenschutz
Schlagwörter : Daten; Person; Personen; Vorsorge; Arbeitgebende; Bundes; Beschwerde; Arbeitgebenden; Datenschutz; Personendaten; Arbeitnehmende; Beschwerdegegnerin; Mentar; Arbeitnehmenden; Vorsorgeeinrichtung; Berufliche; Datenschutzgesetz; Hinweis; Gesetzlich; Kommentar; Gesetzliche; Handkommentar; Organ; Recht; Aufgabe; Datenbearbeitung; Pensionskasse; Paritätisch; Hinweise; Paritätische
Rechtsnorm: Art. 11 BV ; Art. 13 BV ; Art. 16 DSG ; Art. 17 DSG ; Art. 19 DSG ; Art. 27 DSG ; Art. 32 OR ; Art. 328 OR ; Art. 331 OR ; Art. 48 BV ; Art. 50 VwVG ; Art. 51 BV ; Art. 63 VwVG ; Art. 66 BV ; Art. 80 ZGB ; Art. 85a BV ; Art. 86 BV ;
Referenz BGE:122 I 153; 124 I 176; 124 II 114; 126 II 126; 127 III 481; 136 II 508; ;
Kommentar zugewiesen:
YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, Zürich, 2008
PIERRE TSCHANNEN, VwVG-Kommentar, Art. 1 Rz. 22, 0
ULLIN STREIFF, ADRIAN KAENEL, Praxiskommentar zum Arbeitsvertrag, 2006
Pierre Tschannen, VwVG-Kommentar, Art. 1 Rz. 22, 2008
Spühler, Basler Kommentar zur ZPO, Art. 321 ZPO ; Art. 311 ZPO, 2017
Weitere Kommentare:David Rosenthal; Pierre Tschannen;
Entscheid

B u n d e s v e r w a l t u n g s g e r i c h t

T r i b u n a l a d m i n i s t r a t i f f é d é r a l

T r i b u n a l e a m m i n i s t r a t i v o f e d e r a l e T r i b u n a l a d m i n i s t r a t i v f e d e r a l

Abteilung I

A-4467/2011

U r t e i l  v o m  1 0.  A p r i l  2 0 1 2

Besetzung Richterin Marianne Ryter Sauvant (Vorsitz), Richter Lorenz Kneubühler, Richter André Moser, Gerichtsschreiberin Tanja Haltiner.

Parteien Eidgenössischer Datenschutzund Öffentlichkeitsbeauftragter EDÖB,

Feldeggweg 1, 3003 Bern, Beschwerdeführer,

gegen

AXA Stiftung Berufliche Vorsorge Winterthur,

Legal and Compliance, Postfach 300, 8401 Winterthur, Beschwerdegegnerin,

Eidgenössisches Departement des Innern EDI,

Inselgasse 1, 3003 Bern, Vorinstanz.

Gegenstand Empfehlung gemäss Art. 27 DSG betreffend Zustellung von Pensionskassenausweisen.

Sachverhalt:

A.

Der Eidgenössische Datenschutzund Öffentlichkeitsbeauftragte (EDÖB) wurde von Bürgern auf die Praxis der AXA Stiftung Berufliche Vorsorge Winterthur (AXA) aufmerksam gemacht, persönliche Pensionskassenausweise nicht direkt an die versicherten Personen, sondern allesamt unverschlossen in einem Couvert mit dem Vermerk "Vertraulich" an die Adresse der jeweiligen Arbeitgebenden zwecks betriebsinterner Verteilung zu versenden. Auf Anfrage bestätigte die AXA, dass die Pensionskassenausweise aller Versicherten offen den Arbeitgebenden zwecks Weiterleitung zugestellt würden. Die Versendung der Pensionskassenausweise direkt an die Arbeitnehmenden sei aus organisatorischen Gründen nicht möglich.

Mit Datum vom 8. Juni 2009 erliess der EDÖB nach Durchführung mehrerer Schriftenwechsel eine Empfehlung an die Adresse der AXA. Er hielt fest, dass sie die praktizierte Bekanntgabe von Daten der bei ihr versicherten Personen an deren Arbeitgebende unverzüglich einstellen und die Pensionskassenausweise künftig in einer Art und Weise versenden solle, welche gewährleiste, dass diese direkt und ausschliesslich an die versicherte Person gelangten.

B.

Nachdem die AXA die Empfehlung mit Schreiben vom 10. August 2009 abgelehnt hatte, legte der EDÖB die Angelegenheit mit Schreiben vom

27. August 2009 dem Eidgenössischen Departement des Innern (EDI) zum Entscheid gemäss Art. 27 Abs. 5 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (Datenschutzgesetz, DSG, SR 235.1) vor. Dabei beantragte er entsprechend seiner Empfehlung vom 8. Juni 2009, die AXA sei mittels Verfügung zu verpflichten, die von ihr praktizierte Bekanntgabe der Daten der bei ihr versicherten Personen an deren Arbeitgebende unverzüglich einzustellen und die Pensionskassenausweise künftig in einer Art und Weise zu versenden, die gewährleiste, dass diese direkt und ausschliesslich an die jeweilige versicherte Person gelangten.

Das EDI holte im Rahmen des Beweisverfahrens beim Bundesamt für Sozialversicherung (BSV) eine Drittmeinung ein. Das BSV kam in seiner Vernehmlassung vom 22. Dezember 2009 zum Schluss, dass weder von einer Datenbekanntgabe ohne gesetzliche Grundlage noch von einer Schweigepflichtverletzung seitens der AXA auszugehen sei.

Mit Verfügung vom 15. Juni 2011 gab das EDI dem Antrag des EDÖB nicht statt und stellte fest, dass die Praxis der AXA, die Pensionskassenausweise den Arbeitgebenden zur Weiterleitung an die Arbeitnehmenden zu übergeben, keine rechtlichen Normen verletze und daher dem Legalitätsprinzip entspreche.

C.

In der Folge erhob der EDÖB (nachfolgend: Beschwerdeführer) mit Schreiben vom 12. August 2011 Beschwerde beim Bundesverwaltungsgericht. Er beantragt, die Verfügung des EDI (nachfolgend: Vorinstanz) vom 15. Juni 2011 sei aufzuheben und die AXA (nachfolgend: Beschwerdegegnerin) sei anzuweisen, den bei ihr versicherten Personen die persönlichen Pensionskassenausweise künftig so zuzustellen, dass ausschliesslich diese selbst, aber insbesondere nicht deren Arbeitgebende, Kenntnis vom Inhalt dieser Ausweise erlangen könnten.

Mit Beschwerdeantwort vom 8. September 2011 beantragt die Beschwerdegegnerin die Abweisung der Beschwerde.

In ihrer Vernehmlassung vom 27. September 2011 beantragt die Vorinstanz ebenfalls, die Beschwerde sei abzuweisen und die angefochtene Verfügung demgemäss zu bestätigen.

Der Beschwerdeführer hält mit Schreiben vom 18. Oktober 2011 an seinen Anträgen und Ausführungen gemäss Beschwerdeschrift fest.

D.

Auf weitere Sachverhaltselemente und Parteivorbringen wird - sofern entscheidrelevant - im Rahmen der nachfolgenden Erwägungen eingegangen.

Das Bundesverwaltungsgericht zieht in Erwägung:

1.

    1. Gemäss Art. 31 des Bundesgesetzes über das Bundesverwaltungsgericht vom 17. Juni 2005 (Verwaltungsgerichtsgesetz, VGG, SR 173.32) beurteilt das Bundesverwaltungsgericht Beschwerden gegen Verfügungen nach Art. 5 des Bundesgesetzes vom 20. Dezember 1968 über das Verwaltungsverfahren (VwVG, SR 172.021). Weil keine Ausnahme nach

      Art. 32 VGG vorliegt und das EDI eine Vorinstanz nach Art. 33 Bst. d VGG ist, ist das Bundesverwaltungsgericht zur Beurteilung der vorliegenden Beschwerde zuständig.

    2. Im Rahmen der Aufsicht über Bundesorgane ist der EDÖB gemäss Art. 27 Abs. 6 DSG befugt, gegen Verfügungen eines Departements nach Art. 27 Abs. 5 DSG Beschwerde zu führen, wobei sich das Beschwerdeverfahren nach den allgemeinen Bestimmungen über die Bundesrechtspflege richtet (YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008, Art. 27 Abs. 6 Rz. 24).

    3. Auf die formund fristgerecht eingereichte Beschwerde (Art. 50 und 52 VwVG) ist daher einzutreten.

2.

Das Bundesverwaltungsgericht prüft die Entscheide seiner Vorinstanzen mit voller Kognition. Gerügt werden kann daher gemäss Art. 49 VwVG die Verletzung von Bundesrecht - einschliesslich Überschreitung oder Missbrauch des Ermessens -, die unrichtige oder unvollständige Feststellung des rechtserheblichen Sachverhalts sowie die Unangemessenheit des angefochtenen Entscheids.

3.

Umstritten ist vorliegend, ob eine Datenbekanntgabe von der Beschwerdegegnerin an die Arbeitgebenden stattgefunden hat bzw. ob Letztere wie der Beschwerdeführer behauptet, als Dritte zu qualifizieren sind oder dem Standpunkt der Beschwerdegegnerin zu folgen ist, wonach keine Datenbekanntgabe vorliegen könne, da die Arbeitgebenden als Stiftungsorgane mit der Durchführung der beruflichen Vorsorge betraut seien und daher nicht als Dritte gelten könnten. Die Vorinstanz ist in ihrer Verfügung in Bezug auf den Arbeitgebenden nicht bereits aufgrund der Anmeldung der versicherten Arbeitnehmenden bei der Vorsorgeeinrichtung bekannte Daten von einer Datenbekanntgabe ausgegangen. Sie hat die Arbeitgebenden jedoch aufgrund der Qualifikation als Organe der Vorsorgestiftung nicht als Dritte eingestuft und in der Folge eine Verletzung der Schweigepflicht seitens der Beschwerdegegnerin verneint. Das BSV hat diesbezüglich erklärt, im obligatorischen Bereich des Bundesgesetzes vom

25. Juni 1982 über die berufliche Alters-, Hinterlassenenund Invalidenvorsorge (Bundesgesetz über die berufliche Vorsorge, BVG, SR 831.40) würden keine Daten bekanntgegeben, welche die Arbeitgebenden nicht bereits aufgrund ihrer Mitgliedschaft im paritätischen Organ der Vorsorgeeinrichtung kennen würden oder problemlos selbst berechnen könnten. Aber auch wenn von einer Datenbekanntgabe ausgegangen würde, sei diese nicht zweckwidrig, da die Arbeitgebenden von der Vorsorgestiftung gewisse Daten benötigten, um ihrer gesetzlichen Beitragspflicht gemäss Art. 66 BVG und ihrer Informationspflicht nach Art. 333 Abs. 4 des Obligationenrechts vom 30. März 1911 (OR, SR 220) nachzukommen. Dabei erhielten sie jedoch keinen Einblick in besonders schützenswerte Personendaten.

Im Folgenden sind vorab die anwendbaren Rechtsgrundlagen sowie deren Verhältnis zueinander darzulegen. In einem zweiten Schritt ist zu prüfen, ob eine datenschutzrechtlich relevante Datenbekanntgabe stattgefunden hat und falls ja, ob diesbezüglich ein Verstoss gegen die massgeblichen Gesetzesbestimmungen und damit eine widerrechtliche Persönlichkeitsverletzung vorliegt.

4.

    1. Jeder Mensch hat nach Art. 8 Abs. 1 der Konvention vom

      4. November 1950 zum Schutze der Menschenrechte und Grundfreiheiten (EMRK, SR 0.101) das Recht auf Achtung seines Privatlebens. Unter diesem Blickwinkel werden die Speicherung und Verwertung von Informationen durch den Staat sowie die Einsicht in gespeicherte Informationen beurteilt. Gemäss Art. 13 der Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV, SR 101) hat jede Person Anspruch auf Achtung ihrer Privatsphäre und Schutz vor Missbrauch ihrer persönlichen Daten (vgl. diesbezüglich auch BGE 136 II 508 E. 6.3.1 f.). Dieser Anspruch bildet Teil der verfassungsmässigen Garantie der Privatsphäre und Kernbestandteil des Datenschutzgesetzes (Art. 1 DSG) und räumt jeder Person das Recht darauf ein, selbst zu entscheiden, wann und wem sie persönliche Lebenssachverhalte, aber auch Gedanken, Empfindungen und Ähnliches preisgibt. Dieses verfassungsmässige Recht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV und Art. 8 Ziff. 1 EMRK) lässt grundsätzlich ohne Rücksicht darauf, wie sensibel die fraglichen Informationen tatsächlich sind, dem Einzelnen die Herrschaft über seine personenbezogenen Daten zukommen und schützt ihn vor Beeinträchtigungen, die durch die staatliche Bearbeitung seiner persönlichen Daten entstehen (RAINER J. SCHWEIZER, in: Die Schweizerische Bundesverfassung, Kommentar, Ehrenzeller/Mastronardi/Schweizer/Vallender [Hrsg.], 2. Auflage, Zürich 2008, Art. 13 Rz. 37 ff.; JÖRG PAUL MÜLLER/MARKUS SCHEFER, Grundrechte in

      der Schweiz, Im Rahmen der Bundesverfassung, der EMRK und der UNO-Pakte, 4. Auflage, Bern 2008, S. 164 ff.; URS MAURERLAMBROU/SIMON KUNZ, in: Basler Kommentar zum Datenschutzgesetz,

      2. Auflage, Basel 2006, Maurer-Lambrou/Vogt [Hrsg.], Art. 1 Rz. 19 und

      23 mit Hinweisen, nachfolgend "BSK-DSG"; REBEKKA RIESSELMANNSAXER, Datenschutz im privatrechtlichen Arbeitsverhältnis, Diss. Bern 2002, S. 3 f. mit Hinweis; KURT PÄRLI, Datenaustausch zwischen Arbeitgeber und Versicherung, Diss. Bern 2003, S.127 f.).

    2. Für die Beurteilung der Anwendbarkeit des Bundesdatenschutzrechts bzw. für die Abgrenzung privatoder öffentlich-rechtlich ist auf die Natur des zugrunde liegenden Verhältnisses abzustellen; die Beziehung zwischen dem Datenbearbeitenden und der betroffenen Person ist in einer gesamthaften Betrachtung zu prüfen (vgl. BGE 122 I 153 E. 2c; DAVID ROSENTHAL/YVONNE JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 2 Abs. 1 Rz. 17). Vorliegend handelt es sich bei der Datenbearbeiterin um eine Vorsorgestiftung, betroffen sind die bei ihr im Rahmen der obligatorischen beruflichen Vorsorge versicherten Personen. Die hier in Frage stehende Rechtsbeziehung ist ohne Weiteres gesetzliche Folge des Arbeitsvertrags (vgl. Art. 10 BVG), d.h. der Arbeitnehmende kann grundsätzlich weder den Abschluss noch den Partner oder Inhalt der Rechtsbeziehung bestimmen, es fehlt an den zentralen Elementen der (privatrechtlichen) Vertragsfreiheit. Der erwähnte gesetzliche Anschluss an die Stiftung bewirkt, dass der einzelne Arbeitnehmende auch ohne Weiteres ihren reglementarischen Bestimmungen unterworfen ist (HANS MICHAEL RIEMER/GABRIELA RIEMER-KAFKA, Das Recht der berufli-

      chen Vorsorge in der Schweiz, 2. Auflage Bern 2006, § 4 Rz. 11; PÄRLI, a.a.O., S. 83 mit Hinweisen). Als Bundesaufgabe nach Art. 113 BV ist die berufliche Vorsorge dem öffentlichen Recht zuzuordnen. Die unter Bundesaufsicht stehenden Vorsorgeeinrichtungen, die an der Durchführung der obligatorischen Versicherung beteiligt sind (Art. 48 Abs. 1 BVG), gelten als mit einer öffentlichen Aufgabe des Bundes betraute juristische Personen und sind damit in Bezug auf den Datenschutz trotz ihrer fehlenden Verfügungsmacht als Bundesorgane i.S.v. Art. 2 Abs. 1 Bst. b DSG i.V.m. Art. 3 Bst. h DSG zu qualifizieren, sofern sie Personendaten für die Erfüllung einer öffentlichen Aufgabe des Bundes bearbeiten, was vorliegend der Fall ist (JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 3 Bst. h Rz. 99; KURT PÄRLI, Handkommentar zum BVG, Schneider/Geiser/Gächter [Hrsg.], Bern 2010, Art. 85a Rz. 2 mit Hinweis; MAURER-LAMBROU/ KUNZ, BSK-DSG, a.a.O., Art. 2 Rz. 16 und 18).

    3. Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden (Art. 1 DSG). Es ergänzt und konkretisiert damit den bereits durch das Schweizerische Zivilgesetzbuch vom 10. Dezember 1907 (ZGB, SR 210) gewährleisteten Schutz (BGE 136 II 508 E. 6.3.2; BGE 127 III 481 E. 3.a.bb mit Hinweis). Da jegliche Form des Datenbearbeitens das verfassungsrechtlich verankerte Recht auf informelle Selbstbestimmung sowie allgemein das Recht auf persönliche Freiheit gemäss Art. 10 BV tangiert, ist sie nur dann rechtmässig, wenn die in Art. 36 BV vorgesehenen Schranken eingehalten sind. Die Bestimmungen des Datenschutzrechts sind letztlich Wertungen darüber, wann eine Datenbearbeitung einen schwerwiegenden Grundrechtseingriff darstellt. Der bereichsspezifische Gesetzgeber ist nicht an das Schutzniveau des Datenschutzgesetzgebers gebunden; er kann andere Wertungen bzw. Regelungen vorsehen (MAURER-LAMBROU/KUNZ, BSK-DSG, a.a.O., Art. 1 Rz. 15; JÖHRI, Handkom-

      mentar zum DSG, a.a.O., Art. 17 Rz. 35 f.). Das Bundesgericht hat diesbezüglich festgehalten, dass sich weder aus dem Gesetz noch aus den allgemeinen Grundsätzen ergebe, dass das Datenschutzgesetz inhaltliche Anforderungen an die Ausgestaltung anderer, spezieller Gesetze enthalte (BGE 124 I 176 E. 5c/ee). Der Gesetzgeber kann somit in bereichsspezifischen Rechtsgrundlagen von gewissen allgemeinen Prinzipien oder Wertungen des Datenschutzrechts abweichen, so dass einzelnen Bestimmungen des Datenschutzgesetzes keine eigenständige materielle Bedeutung mehr zukommt. Soweit aber nicht eine abschliessende spezialgesetzliche Norm vorliegt, müssen die Bundesorgane immer auch die allgemeinen Bestimmungen von Art. 4 ff. DSG beachten. Schliesslich sind die Grundsätze des Datenschutzgesetzes auch bei der Auslegung bereichsspezifischer Normen zu berücksichtigen (vgl. Urteil des Bundesgerichts 2A.534/2001 vom 15. März 2002 E. 5, BGE 126 II 126 E. 5b und 5c; Botschaft vom 23. März 1988 zum DSG in BBl 1988 II 467; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 17 Rz. 5).

      Das Datenschutzgesetz will also in der Regel neben anderen Erlassen angewandt werden. Es ist jedoch nicht ausgeschlossen, dass eine andere Bestimmung des schweizerischen Rechts dem Datenschutzgesetz als lex specialis vorgeht. Ob der Gesetzgeber mit einer spezialgesetzlichen Norm eine bestimmte, auch vom Datenschutzgesetz geregelte Frage für den betreffenden Spezialfall abschliessend regeln wollte, ist durch Gesetzesauslegung festzustellen. Beispielsweise setzt der Gesetzgeber der Datenbearbeitung durch Arbeitgebende über das Datenschutzgesetz hinausgehende Schranken, indem diese Daten über Arbeitnehmende gemäss Art. 328b Satz 1 OR nur bearbeiten dürfen, soweit sie deren Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (ROSENTHAL/JÖHRI, Handkommentar zum DSG, a.a.O., Art. 2 Abs. 1 Rz. 2 f.). Wenn eine spezialgesetzliche Rechtsgrundlage für die Bearbeitung von Personendaten vorhanden ist, so erfolgt diese grundsätzlich rechtmässig (STEPHAN C. BRUNNER, Das revidierte Datenschutzgesetz und seine Auswirkungen im Gesundheitsund Versicherungswesen in: Datenschutz im Gesundheitsund Versicherungswesen, Schaffhauser/Horschik [Hrsg.], St. Gallen 2008, S. 145; vgl. auch Art. 4 Abs. 3 DSG). Im Bereich der obligatorischen beruflichen Vorsorge ist die Datenbearbeitung bzw. -bekanntgabe durch Bundesorgane in Art. 85a bis 87 BVG geregelt. Wenn das Spezialrecht strengere Datenschutznormen oder wie hier eine in sich geschlossene Datenschutzkonzeption enthält, so gehen diese Bestimmungen ausnahmsweise jenen des allgemeinen Datenschutzgesetzes vor (BBl 1988 II 444, 471).

    4. Auf die Vorsorgeeinrichtungen als Bundesorgane i.S.v. Art. 2 Abs. 1 Bst. b DSG sind die Bestimmungen des Datenschutzgesetzes aber ergänzend anwendbar (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 86a Rz. 6, vgl. auch hinten E. 8.3). Das Datenschutzgesetz ist nämlich ein "Querschnittsbzw. Einheitsgesetz", dessen Geltungsbereich sich nicht nur auf Datenbearbeitungen durch private Personen erstreckt, sondern wie erwähnt auch auf Bundesorgane, welche Personendaten bearbeiten (BBl 1988 II 444; PÄRLI, a.a.O., S. 141; MAURER-LAMBROU/ KUNZ, BSK-

DSG, a.a.O., Art. 1 Rz. 6). Darunter sind gemäss Art. 3 Bst. h DSG Behörden und Dienststellen des Bundes sowie Personen zu verstehen, die mit öffentlichen Aufgaben des Bundes betraut sind. Bundesorgane sind von Amtes wegen verpflichtet, sowohl die Bestimmungen des Datenschutzgesetzes als auch datenschutzrechtliche Normen anderer Bundeserlasse einzuhalten und unterstehen grundsätzlich den strengeren öffentlich-rechtlichen Bestimmungen von Art. 16 bis 25bis DSG. Dies liegt darin begründet, dass Bundesbehörden gegenüber Privatpersonen grundsätzlich hoheitlich auftreten und sie Personendaten auch gegen den Willen der Betroffenen erheben können. Für Datenbearbeitungen durch Bundesbehörden gelten daneben jedoch auch die allgemeinen Datenschutzbestimmungen (Art. 4 bis 11a DSG), die sowohl auf private Personen als auch auf Bundesorgane anwendbar sind (JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 3 Bst. h Rz. 99 und ROSENTHAL/JÖHRI, Handkommentar zum Datenschutzgesetz, a.a.O., Art. 2 Abs. 1 Rz. 18 f.; MAURER-LAMBROU/KUNZ, BSK-DSG, a.a.O., Art. 1 Rz. 12; PÄRLI, a.a.O. S. 152).

5.

    1. Unter Personendaten (bzw. "Daten" im Sinne des Datenschutzgesetzes) sind alle Angaben zu verstehen, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 Bst. a DSG). Als Angaben gelten alle Informationen, die auf die Vermittlung oder die Aufbewahrung von Kenntnissen ausgerichtet sind, ungeachtet dessen, ob es sich dabei um eine Tatsachenfeststellung oder um ein Werturteil handelt. Unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombinationen aus diesen auftritt und auf welcher Art von Datenträger die Informationen gespeichert sind. Entscheidend für die Qualifikation als Personendaten ist, dass sich die Angaben einer oder mehreren Personen zuordnen lassen. Sogenannte Sachdaten sind daher immer dann auch Personendaten, wenn sie mit einer Person in Verbindung gebracht werden können. Eine Person ist zudem dann bestimmt, wenn sich aus der Information selbst ergibt, dass es sich um diese ganz bestimmte Person handelt. Wie der Bezug zur betroffenen Person hergestellt wird, ist ohne Bedeutung. Als Personendaten gelten schliesslich auch Angaben, bei denen eine Person lediglich bestimmbar ist, weil deren Identifikation durch die Kombination verschiedener Informationen ohne einen unverhältnismässigen Aufwand möglich ist. Der für die Bestimmung einer Person zu betreibende Aufwand ist aber dann nicht mehr vertretbar, wenn nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird (vgl. BBl 1988 II 444 f.; URS BELSER, BSK-DSG, a.a.O., Art. 3 Rz. 5 f.). Ob eine Information aufgrund zusätzlicher Angaben mit einer Person in Verbindung gebracht werden kann, sich die Information mithin auf eine bestimmbare Person bezieht (Art. 3 Bst. a DSG), beurteilt sich aus der Sicht des jeweiligen Inhabers der Information. Im Falle der Weitergabe von Informationen ist dabei ausreichend, wenn der Empfänger die betroffene Person zu identifizieren vermag (Urteil des Bundesgerichts 1C_285/2009 vom 8. September 2010 E. 3.4 mit Hinweisen).

      Der Begriff der Personendaten geht ausserordentlich weit, weshalb auch der sachliche Geltungsbereich des Datenschutzgesetzes ausserordentlich weit ist und selbst Daten mit sehr geringem Personenbezug und geringer Gefährdung der Persönlichkeit der betroffenen Person erfasst werden. Diesem Umstand trägt das Datenschutzgesetz dadurch Rechnung, dass die Anforderungen, die es bei korrekter Anwendung aufstellt, umso

      tiefer sind, je geringer die Persönlichkeit der betroffenen Personen gefährdet ist (vgl. ROSENTHAL, Handkommentar zum DSG, a.a.O., Art. 3 Rz. 2).

    2. Nicht in Frage steht, dass es sich vorliegend um Informationen handelt, die als Angaben im Sinne des Datenschutzgesetzes anzusehen sind (vgl. vorangehende E. 5.1). Auch das zweite Kriterium - der Personenbezug - kann ohne Weiteres bejaht werden, da auf dem jeweiligen Pensionskassenausweis Name und Adresse vermerkt sind und sich daraus somit direkt ergibt, wem die darauf verzeichneten Daten zuzuordnen sind. Damit sind die betroffenen Personen offensichtlich bestimmt und die in den fraglichen Ausweisen enthaltenen Angaben klar als Personendaten zu qualifizieren.

6.

    1. Bearbeiten von Daten im Sinne von Art. 2 Abs. 1 DSG bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG).

    2. Der Begriff der Bekanntgabe als der heikelste Bearbeitungsschritt mit entsprechend hohem Potenzial für Persönlichkeitsverletzungen ist in Art. 3 Bst. f DSG definiert als das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen. In der Lehre wird darunter grösstenteils jede aktive Weitergabe und jedes passive Zugänglichmachen von Personendaten, z.B. durch Herumliegenlassen vertraulicher Akten verstanden, die es einem Dritten ermöglichen, vom Inhalt personenbezogener Informationen Kenntnis zu nehmen. RIESSELMANN-SAXER stellt sich demgegenüber auf den Standpunkt, die Bekanntgabe durch passive Weitergabe im Sinne einer Einsichtgewährung sei von der blossen Verletzung des Grundsatzes der Datensicherheit zu unterscheiden. Erstere liege vor, wenn die Daten mit entsprechendem Willen zur Bekanntgabe zugänglich gemacht werden, Letztere gründe auf einer eigentlichen Nachlässigkeit des Verantwortlichen. So oder anders ist erforderlich, dass die Daten einem Dritten tatsächlich zugänglich gemacht werden. Wer schon Zugang zu bestimmten Daten hat, dem können sie nicht mehr zugänglich gemacht werden; mit anderen Worten können Daten nur bekanntgegeben werden, wem sie nicht schon bzw. nicht in diesem Umfang bekannt sind (JÖHRI, Handkommentar zum DSG, a.a.O.,

      Art. 3 Bst. f Rz. 75 f.; ROSENTHAL, Handkommentar zum DSG, a.a.O., Art. 6 Rz. 4; URS BELSER, BSK-DSG, a.a.O., Art. 3 Rz. 30; YVONNE JÖHRI/MARCEL STUDER, BSK-DSG, a.a.O., Art. 19 Rz. 1; RIESSELMANN-

      SAXER, a.a.O., S. 18; BBl 1988 II 447; zur Datensicherheit vgl. hinten E. 9).

    3. Die Beschwerdegegnerin hat die Vorsorgeausweise willentlich unverschlossen an die Arbeitgebenden zugestellt, d.h. es wurde zweifelsfrei Einsicht gewährt. Den Ausweisen ist unter anderem zu entnehmen, welche Freizügigkeitsleistungen neu eintretende Versicherte einbringen, wann und in welcher Höhe versicherte Personen Einkäufe in die Pensionskasse tätigen bzw. Pensionskassenguthaben für den Erwerb von Wohneigentum vorbeziehen, ob und wann ihr Guthaben sich infolge Ehescheidung verändert hat und auf welchen Betrag sich ihre angesparten Pensionskassenguthaben belaufen. Unter Umständen befinden sich Hinweise betreffend provisorischem Versicherungsschutz oder temporärer Erwerbsunfähigkeit auf dem Vorsorgeausweis. Zudem wird alljährlich die Höhe der Freizügigkeitsleistung bekanntgegeben (Art. 24 des Freizügigkeitsgesetzes vom 17. Dezember 1993 [FZG, SR 831.42]).

      Zu klären ist in diesem Zusammenhang, ob die Arbeitgebenden in Bezug auf die soeben erwähnten Daten als Dritte zu qualifizieren sind, so dass von einer datenschutzrechtlich relevanten Bekanntgabe auszugehen ist oder ob sie aufgrund ihrer Aufgaben im Rahmen der beruflichen Vorsorge oder innerhalb der Vorsorgestiftung bereits Kenntnis von obgenannten Daten haben, womit eben keine Datenbekanntgabe vorliegen würde (vgl. dazu auch E. 3).

      1. Der Gesetzgeber hat es unterlassen, in den Legaldefinitionen von Art. 3 DSG den Begriff des Dritten zu konkretisieren. Dieser wird jedoch in diversen Bestimmungen verwendet und ist daher von einiger Bedeutung. Grundsätzlich sind drei Betrachtungsweisen denkbar, um den Begriff des Dritten zu bestimmen. Die funktionsbezogene Umschreibung fasst den Begriff am engsten: Demnach sind all jene Dritte, welche nicht aufgrund ihrer Aufgabe Zugriff auf die Daten erhalten. Bei der rechtlichen Betrachtungsweise hingegen gilt als Dritter, wer nicht derselben rechtlichen Einheit angehört bzw. bei dem es sich um eine andere juristische oder natürliche Person handelt. Am weitesten wird der Begriff des Dritten aufgrund der wirtschaftlichen Betrachtungsweise gefasst: Als Dritte zu qualifizieren sind danach all jene, die ausserhalb einer wirtschaftlichen Einheit, z.B. eines Konzerns, stehen. Infolge konsequenter Anwendung des Vertrau-

lichkeitsprinzips (vgl. Art. 7 Abs. 1 DSG und Art. 9 Abs. 1 Bst. g der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz [VDSG, SR 235.11]), wonach der Zugriff der berechtigten Personen auf diejenigen Personendaten zu beschränken ist, die sie für die Erfüllung ihrer Aufgabe benötigen, kann grundsätzlich nur die erstgenannte, funktionsbezogene Begriffsbestimmung massgebend sein. Dritte sind dementsprechend all diejenigen, welche die betreffenden Personendaten für die Erfüllung ihrer jeweiligen Aufgabe nicht benötigen. Als Bekanntgabe an einen Dritten gilt demnach beispielsweise die Einsichtnahme eines Abteilungsleiters in die Personalakte eines Arbeitnehmenden, der nicht derselben Abteilung innerhalb desselben Betriebs angehört (RIESSELMANNSAXER, a.a.O, S. 20 mit Hinweisen). Ziel vorgenannter Bestimmung ist - analog zum gleichlautenden Art. 33 des Bundesgesetzes vom 6. Oktober 2000 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1) - u.a. der Schutz der Persönlichkeit betroffener Personen, welche sowohl durch die Weitergabe entsprechender Daten nach aussen als auch innerhalb derselben Behörde tangiert wird. Dies lässt sich ebenfalls aus der Tatsache schliessen, dass die Schweigepflicht grundsätzlich auch innerhalb derselben Behörde zu beachten ist, solange damit nicht die Durchführung der beruflichen Vorsorge verunmöglicht wird. Daran ändert nichts, dass die einzelnen Personen innerhalb der Behörde ihrerseits der Schweigepflicht unterstehen. Alle Personen und Stellen ausserhalb der entsprechenden Behörde - wie etwa Arbeitgebende - haben umso mehr als Dritte zu gelten (vgl. UELI KIESER, ATSG-Kommentar, 2. Auflage, Zürich/Basel/Genf 2009, Art. 33 Rz 10 f. mit Hinweisen; PÄRLI, Handkommentar zum BVG, a.a.O., Art. 86 Rz. 3, 5 und 13 f. mit Hinweisen; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 3 Bst. f. Rz. 75).

6.3.2.

        1. Die paritätische Verwaltung nach Art. 51 BVG ist das oberste Organ einer Vorsorgeeinrichtung. Der Grundgedanke von Art. 51 BVG ist die Einführung einer beitragsunabhängigen und vollen paritätischen, d.h. effektiv gleichberechtigten Mitbestimmung der Arbeitnehmervertretung in privatrechtlichen Personalvorsorgestiftungen, also die Statuierung einer echten Sozialpartnerschaft auf dem Gebiet der beruflichen Vorsorge. Dies muss für die Anwendung dieser Bestimmung (Auslegung und Füllung allfälliger Lücken des darauf beruhenden Reglements) wegleitend sein. Die volle Parität gemäss Art. 51 BVG wurde vorab als Minimalvorschrift zum Schutz der Arbeitnehmenden eingeführt, so dass sie zu deren Ungunsten nicht verändert werden darf, es den Arbeitgebenden jedoch freisteht, auf

          ihre Vertretungsrechte ganz oder teilweise zu verzichten (RIEMER/RIEMERKAFKA, a.a.O., § 2 Rz. 54 und 69; THOMAS GÄCHTER/MAYA GECKELER

          HUNZIKER, Handkommentar zum BVG, a.a.O., Art. 51 Rz. 12 f. mit Hinweisen). Dem paritätischen Organ kommen eigentliche Mitbestimmungsund nicht nur blosse Mitspracherechte zu, wobei alle Vertretenden absolut gleichberechtigt sind. Ob zur Vertretung auf beiden Seiten externe Personen wie Rechtsanwälte oder Experten beigezogen werden dürfen, ist gesetzlich nicht geregelt, wird jedoch von der Lehre entsprechend der bisherigen Praxis bejaht. Alle strategischen Entscheide als Kernaufgaben des obersten Organs dürfen nicht auf aussenstehende Dritte übertragen werden, d.h. bestimmte zentrale Führungsaufgaben müssen vom paritätischen Organ selbst wahrgenommen werden. Dieses kann indessen ihm zustehende operative Kompetenzen beispielsweise an ein besonderes Fachgremium delegieren, insbesondere im Bereich der Vermögensverwaltung i.S.v. Art. 51 Abs. 2 Bst. c BVG, wo den Mitgliedern des paritätischen Organs oftmals das nötige Fachwissen fehlt. In Anbetracht der zunehmenden Komplexität der zu bewältigenden Aufgaben führen mangelnde Fachkenntnisse und das Bedürfnis nach Professionalität vermehrt dazu, dass Vorsorgeeinrichtungen bestimmte Aufgaben an aussenstehende Dienstleistende auslagern. Ebenso kann es - vor allem bei grossen Personalvorsorgeeinrichtungen - zweckmässig sein, wenn gewisse Aufgaben einzelnen Mitgliedern oder Ausschüssen des Führungsorgans zugewiesen werden. Solche Ausschüsse müssen nicht zwingend paritätisch zusammengesetzt, jedoch durch das paritätische Organ gewählt sein und kontrolliert werden können (GÄCHTER/GECKELER HUNZIKER, Handkommentar zum BVG, a.a.O., Art. 51 Rz. 29 f. und Rz. 54 ff. je mit Hinweisen; RIEMER/RIEMER-KAFKA, a.a.O., § 2 Rz. 58 f.).

        2. Im Sinne einer informationellen Gewaltenteilung ist eine gewisse Abschottung zwischen Verwaltungseinheiten sicherzustellen, damit nicht jede Amtsstelle in alle Personendaten beliebig Einblick nehmen kann, die im Staat bearbeitet werden (BBl 1988 II 469). Dieser Grundsatz der informationellen Trennung ist nicht nur bei der Datenbekanntgabe zwischen verschiedenen Bundesorganen zu beachten, sondern auch innerhalb einer Behörde sicherzustellen (JÖHRI, Handkommentar zum DSG, a.a.O., Art. 19 Rz. 6 mit Hinweisen). Die in Art. 7 DSG geforderte Vertraulichkeit der Daten ist nicht vorhanden, wenn Arbeitgebende Einblick in Gesundheitsund andere versicherungsrechtliche Daten erhalten. Die Verwaltung einer Vorsorgeeinrichtung muss deshalb so organisiert sein, dass weder der Arbeitgebende selber noch ein Organ oder Stellvertreter Zugang zu den Daten der versicherten und bei ihm angestellten Personen erhält, ansonsten eine widerrechtliche Datenbearbeitung vorliegt. Namentlich die fehlende Trennung zwischen Arbeitgeberund Versicherungsfunktion kann dazu führen, dass die Arbeitgebenden Einblick in Versicherungsdaten erhalten (PÄRLI, a.a.O., S. 3 und 9). Wenn ein Mitarbeitender der Personalabteilung eines Arbeitgebenden gleichzeitig verantwortlich ist für die Abwicklung organisatorischer Belange der Vorsorgeeinrichtung, so dient das Wissen, das er in seiner Funktion als Vertretender der Vorsorgeeinrichtung erlangt, zwei Herren. Hat der Arbeitgebende dadurch uneingeschränkten Zugang zu den Versicherungsdossiers der Vorsorgeeinrichtung, ist die Ausgangslage mit einer verpönten Personalunion vergleichbar.

          Folgt man der herrschenden Lehre, so wird alles Wissen eines Organs der juristischen Person selbst zugerechnet, d.h. das Wissen der Vorsorgeeinrichtung über die im persönlichen Ausweis enthaltenen Daten wird zum Wissen des jeweiligen Arbeitgebenden. Die Lehre wird allerdings in ihrer Absolutheit in Frage gestellt. So wird angeregt, eine angemessene Informationsbewirtschaftung solle dazu führen, dass Informationen an diejenigen Stellen gelangten, welche sie auch benötigten. Die richtige Kanalisation des Informationsflusses und insbesondere eine adäquate Zugangsregelung können durch Kommunikationsschranken innerhalb des Betriebs, sogenannte "Chinese Walls" sichergestellt werden. Diese verhindern, dass Unbefugte Zugang zu für sie nicht relevante Informationen erhalten. Die Notwendigkeit solcher Schranken ergibt sich wie erwähnt bereits aus dem in Art. 7 DSG verankerten Gebot der Datensicherheit. So verlangt denn auch der EDÖB in seinem Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich eine strikte Trennung zwischen dem Personaldienst des Arbeitgebenden und dem Verwaltungspersonal der Versicherung. Die Führung der Dossiers der versicherten Personen kann grundsätzlich aussenstehenden Dritten übertragen werden. Dadurch lässt sich der unbefugte Datenaustausch als Folge von Personalunion oder ungenügenden Kommunikationsschranken vermeiden, wobei der grundlegend unbefriedigende Zustand nur mit einem Verbot der Wahrnehmung beider Aufgaben in Personalunion geändert werden kann (HANS MICHAEL RIEMER, Berührungspunkte zwischen beruflicher Vorsorge und Arbeitsrecht, SZS 2009, S. 119 f. mit Hinweisen; GABRIELA RIEMERKAFKA, Datenschutz zwischen Arbeitgeber und Versicherungsträgern, SJZ 96/2000, S. 288, 291 f. mit Hinweisen; PÄRLI, a.a.O., S. 210 ff. mit Hinweisen; EDÖB, Leitfaden für die Bearbeitung von Personendaten im Arbeitsbereich, Version Mai 2011, S. 10 Ziff. 3.1.4,

          http://www.edoeb.admin.ch > Dokumentation > Leitfäden, besucht am

          2. März 2012; zum Grundsatz der Datensicherheit vgl. hinten E. 9).

        3. In Bezug auf die Auskunftspflicht einer Vorsorgeeinrichtung gegenüber ihren Versicherten hat das BSV in diesem Zusammenhang Folgendes festgehalten:

Im Rahmen ihrer Organisation kann die Vorsorgeeinrichtung ihre Vorsorgewerke als unmittelbare Kontaktstellen zu den Versicherten bezeichnen, so dass sämtliche Anfragen, Informationen, Anweisungen usw. über diese laufen. Anderseits ist die Übertragung von solchen Aufgaben nicht zwingend erforderlich, auch dann nicht, wenn die paritätische Verwaltung auf Stufe der Vorsorgewerke organisiert ist. Die alltägliche Geschäftsführung wird nämlich in der Regel nicht vom Stiftungsrat oder vom paritätischen Organ des Vorsorgewerkes persönlich betreut. Vielmehr wird damit eine Geschäftsstelle beauftragt.

Ein Bedürfnis nach Direktinformationen besteht z.B. in den Fällen, in denen der Arbeitnehmende ein legitimes Interesse daran hat, dass sein Arbeitgebender von seinem Auskunftsbegehren nichts erfährt. Dies kann insbesondere bei Erkundigungen nach der Höhe der Freizügigkeitsleistung der Fall sein. Wenn sich die versicherte Person an die im Rahmen des Vorsorgewerkes organisierte paritätische Verwaltung, in der ihr Arbeitgebender oder dessen Vertretung Einsitz haben, oder an Mitarbeitende im Personalwesen, die das Vorsorgewerk betreuen, wenden muss, ist die Vertraulichkeit der Behandlung solcher Anfragen nicht gewährleistet. Dies kann die faktische Durchsetzung der Informationsansprüche der Arbeitnehmenden beträchtlich erschweren. Die Autonomie der Vorsorgeeinrichtung, sich nach ihrem Gutdünken zu organisieren, steht somit in Konflikt mit dem sich aus dem arbeitsrechtlichen Persönlichkeitsschutz des Arbeitnehmenden ergebenden Anspruch auf vertrauliche Behandlung seiner Anfrage im Bereich des Vorsorgeverhältnisses. Aus dem Sinn und Zweck von Art. 86 BVG ergibt sich, dass Auskunftsbegehren der versicherten Personen zu keinen negativen Auswirkungen auf ihr Arbeitsverhältnis führen dürfen. Der Arbeitnehmende hat einen legitimen Anspruch darauf, dass der Arbeitgebende wegen allfälliger Interessenkollisionen von seiner Anfrage keine Kenntnis erhält (vgl. diesbezüglich hinten

E. 9.3). Es ist somit organisatorisch die Möglichkeit zu schaffen, auf Wunsch des Arbeitnehmenden eine Auskunft in der Weise zu erteilen, dass der Arbeitgebende und andere mit der Geschäftsleitung der betreffenden Unternehmung betraute Personen davon nichts erfahren. Die

Sammelwie auch die übrigen Einrichtungen können dieses Problem z.B. dadurch lösen, dass wichtige, die versicherte Person besonders und persönlich interessierende Daten wie die Freizügigkeitsleistung periodisch auf einem Versicherungsausweis mitgeteilt werden (Mitteilungen des BSV über die berufliche Vorsorge Nr. 19 vom August 1991, Nr. 114 Auskunft in der beruflichen Vorsorge, Ziff.1 S. 2 f., http://www.bsv.admin.ch/vollzug/ documents/index/page:12/lang:deu/category:67, besucht am 2. März 2012).

6.3.3.

        1. Im Fall der Beschwerdegegnerin setzt sich die Personalvorsorgekommission als paritätisches Organ aus mindestens je einem Vertreter der Arbeitgeberund -nehmerseite zusammen, wobei auch nicht versicherte Dritte als Mitglieder gewählt werden können (vgl. Art. 2 f. Organisationsreglement der Personalvorsorge-Kommission der Beschwerdegegnerin [Organisationsreglement]). Die Personalvorsorge-Kommission wählt den Stiftungsrat und nimmt die Aufgaben wahr, die dieser ihr reglementarisch überträgt (vgl. Art. 6 Organisationsreglement). Die Kommission ist ebenfalls Stiftungsorgan. Vorsorgekommissionen sind einerseits Vertreterinnen der angeschlossenen Firmen, zugleich aber auch dasjenige Gremium, mittels welchem die in Art. 51 BVG vorgesehene paritätische Verwaltung der Vorsorgeeinrichtung durchgeführt wird. Deshalb haben sie grundsätzlich den gleichen Zugang zu den massgeblichen Informationen wie die Gremien der paritätischen Verwaltung bei einer einzelbetrieblichen Vorsorgeeinrichtung (BGE 124 II 114 E. 2b mit Hinweisen). Zum Kreis der von der Schweigepflicht nach Art. 86 BVG erfassten Personen gehören auch die Mitglieder des paritätischen Organs, welche als Organe der Stiftung fungieren (GECKELER HUNZIKER, Arbeitnehmermitbestimmung unter besonderer Berücksichtigung der paritätischen Verwaltung nach Art. 51 BVG, Diss. Zürich/Basel/Genf 2010, S. 174 f.; PÄRLI, BVG-Kommentar, a.a.O., Art. 86 Rz. 12; RIEMER/RIEMER-KAFKA, a.a.O.,

          § 2 Rz. 76). Obwohl den Mitgliedern der Kommission zwecks Erfüllung ihrer Aufgaben ein umfassendes Einsichtsrecht zukommen muss, lässt sich aus den diesem Organ zustehenden Kompetenzen folgern, dass individualisierte, v.a. gesundheitsbezogene Daten über versicherte Arbeitnehmende keine Relevanz für das dem paritätischen Gremium zukommende Handeln haben. Art. 51 BVG steht somit einer Einschränkung des Einsichtsrechts in Personaldossiers der Versicherung durch die Arbeitgeberseite nicht im Weg. Darüber hinaus scheint fraglich, ob ein Stiftungsratsmitglied - vorbehältlich der Pensionskassenverwaltung - überhaupt ein

          rechtliches Interesse an schützenswerten Daten von Arbeitnehmenden haben kann (GECKELER HUNZIKER, a.a.O., S. 174; RIEMER-KAFKA, a.a.O.,

          S. 288 mit Hinweisen; vgl. zudem vorne E. 6.3.2.1 zum Zweck von Art. 51 als Minimalvorschrift zugunsten der Arbeitnehmenden).

        2. Die Personalvorsorge-Kommission der Beschwerdegegnerin nimmt strategische Aufgaben wie namentlich die Wahl des Stiftungsrats, den Erlass des Vorsorgeplans, Entscheide über die Finanzierung des Vorsorgewerks und über die Verwendung des freien Vermögens wahr und überprüft die Jahresrechnung (vgl. Art. 6 des Organisationsreglements). Dafür benötigten ihre Mitglieder keine Einsicht in die individuellen Daten der einzelnen Versicherten. Es ist für die Erfüllung ihrer Aufgabe irrelevant, wer welche Einkäufe oder Vorbezüge getätigt hat; vielmehr reicht es, wenn sie um die Höhe des insgesamt vorhandenen Kapitals der Stiftung wissen. Die Organstellung der Arbeitgebervertretung hat demgemäss entgegen der Ansicht der Beschwerdegegnerin und der Vorinstanz nicht zur Folge, dass die Arbeitgebenden Kenntnis aller persönlichen Daten ihrer Arbeitnehmenden haben (müssen). Die diesbezüglichen vorinstanzlichen Ausführungen, wonach der Arbeitgebende "naturgemäss" Angestellte in die Personalvorsorge-Kommission entsende und es demnach klar sei, dass er als Teil des obersten Organs der Stiftung Einblick in diese Akten habe, solange nicht besonders schützenswerte Daten davon betroffen seien, vermag in doppelter Hinsicht nicht zu überzeugen. Einerseits ist seitens des Arbeitgebenden wie erwähnt die Vertretung im paritätischen Organ nicht zwingend und an Dritte delegierbar, andererseits ist nicht auszuschliessen, dass - sofern die Vertretung des Arbeitgebenden infolge organisatorischer Mängel Einsicht in individuelle Versichertendossiers erhält - besonders sensible Gesundheitsdaten nicht betroffen sind. Umso mehr ist die Einsicht auf die zur Wahrnehmung der obgenannten strategischen Aufgaben erforderlichen Informationen zu beschränken (vgl. dazu auch vorne E. 6.3.2).

6.3.4.

        1. Die Beitragspflicht der Arbeitgebenden stellt den wichtigsten Teil des Inhalts der Rechtsbeziehung zwischen ihnen und der Vorsorgestiftung dar (vgl. Art. 66 BVG; RIEMER/RIEMER-KAFKA, a.a.O., § 4 Rz. 6). Der Arbeitgebende, der obligatorisch zu versichernde Arbeitnehmende beschäftigt, muss eine in das Register für die berufliche Vorsorge eingetragene Vorsorgeeinrichtung errichten oder sich einer solchen anschliessen (Art. 11 Abs. 1 BVG). Gemäss Art. 10 der Verordnung vom 18. April 1984

          über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (SR 831.441.1) muss der Arbeitgebende der Vorsorgeeinrichtung alle versicherungspflichtigen Arbeitnehmenden melden und alle Angaben machen, die zur Führung der Alterskonten und zur Berechnung der Beiträge nötig sind.

        2. Für die Durchführung der beruflichen Vorsorge bzw. zur Erfüllung ihrer damit verbundenen Aufgaben benötigen die Arbeitgebenden Angaben im Zusammenhang mit der in Art. 66 BVG geregelten Beitragspflicht,

d.h. Daten zwecks Anmeldung eines Arbeitnehmenden in die Vorsorgeeinrichtung oder Angaben bei dessen Austritt. Es werden jedoch keine Angaben über die Höhe von Freizügigkeitsleistungen, über Bezüge für Wohneigentum oder über Einkäufe in die berufliche Vorsorge benötigt. Die in Erwägung 6.3.2.3 zitierte Mitteilung des BSV vom 19. August 1991 zeigt auf, dass den Arbeitgebenden die Höhe der Freizügigkeitsleistungen, die ihren einzelnen Arbeitnehmenden zustehen, grundsätzlich nicht bekannt ist und die Vertreter der Arbeitgebenden in der paritätischen Kommission keine Einsicht in Daten haben sollten, die sie nicht im Rahmen ihrer Beitragspflicht oder zur strategischen Führung der Stiftung benötigen. Idealerweise hat sich eine Vorsorgeeinrichtung demgemäss so zu organisieren, dass die Arbeitgebenden bzw. deren Vertretung keinen Einblick in die im Pensionskassenausweis enthaltenen, ihnen grösstenteils unbekannten und aufgrund der Beitragspflicht nicht errechenbaren Daten erhalten.

6.3.5.

        1. Nach Art. 331 Abs. 4 OR hat der Arbeitgebende dem Arbeitnehmenden über die ihm gegen eine Vorsorgeeinrichtung zustehenden Forderungsrechte den erforderlichen Aufschluss zu erteilen. Der Arbeitgebende ist indes nur auskunftspflichtig über die "Forderungsrechte", d.h. über den Arbeitnehmenden zustehende Rechte und Anwartschaften. Indem der Arbeitgebende dem Arbeitnehmenden bei dessen Eintritt das Personalvorsorgereglement abgibt und ihm auch später regelmässig einmal jährlich, mindestens jedoch alle drei Jahre (Art. 24 Abs. 1 FZG analog), den Stand seiner Ansprüche bekanntgibt sowie allfällige Fragen beantwortet, wird er seinen Pflichten genügen. Die arbeitsrechtliche Informationspflicht tritt hinter der vorsorgerechtlichen zurück und wird v.a. im Rahmen der arbeitsrechtlichen Vertragsverhandlungen, wenn letztere Pflicht noch nicht aktuell ist, Bedeutung haben (ULLIN STREIFF/ADRIAN VON KAENEL, Praxiskommentar zum Arbeitsvertrag, 6. Auflage 2006,

          Art. 331 Rz. 10 mit Hinweisen; RIEMER, a.a.O., S. 120). In diese Richtung zielen auch die Weisungen des Bundesrates über die Pflicht der registrierten Vorsorgeeinrichtungen zur Auskunftserteilung an ihre Versicherten, gemäss welchen die Einrichtungen zu veranlassen haben, dass die bei ihnen angeschlossenen Arbeitgebenden ihre Arbeitnehmenden über die ihnen zustehenden Auskunftsrechte informieren (Mitteilung des BSV über die berufliche Vorsorge Nr. 10 vom 15. August 1988, Nr. 54, http://www.bsv.admin.ch/vollzug/documents/index/page:12/lang:deu/categ ory:67, besucht am 2. März 2012). Art. 55 Abs. 6 des Reglements 2005 der Stiftung Auffangeinrichtung BVG, wonach Vorsorgeausweise, Reglemente, Merkblätter und Formulare den angeschlossenen Betrieben zuzustellen und diese dafür verantwortlich sind, dass die versicherte Person in den Besitz der für sie bestimmten Unterlagen gelangt (Stiftung Auffangeinrichtung BVG, Reglement 2005 zur Vorsorge BVG, 2. Teil Allgemeine Bestimmungen, genehmigt vom Bundesrat am 27. Oktober 2004, http://www.chaeis.net/fileadmin/CHAEIS_SYNC/Internet/BVG_ALV/BVG_ ALV_Reglemente/D_Allgemeine%20Bestimmungen.pdf , besucht am

          2. März 2012), legitimiert die Arbeitgebenden entgegen der Ansicht der Vorinstanz nicht, die im Vorsorgeausweis enthaltenen Daten zur Kenntnis zu nehmen. Der Hinweis auf die in welcher Form auch immer zu erfolgende Zustellung und Weiterleitung impliziert noch keine Kenntnis der Daten.

        2. Die Arbeitgebenden müssen somit über die individuelle Vorsorgesituation ihrer Arbeitnehmenden nicht informiert sein, um Letztere pflichtgemäss über ihre Forderungsrechte zu unterrichten. Damit die Arbeitnehmenden umfassend informiert sind und ihre Forderungen gegenüber der Vorsorgeeinrichtung geltend machen können, reichen allgemeine Hinweise theoretischer Natur; eine einzelfallspezifische Beratung ist hierfür nicht erforderlich, kann aber mit Einwilligung des betroffenen Arbeitnehmenden erfolgen. Entgegen der Auffassung der Vorinstanz lässt sich aus Art. 331 Abs. 4 OR demnach nicht herleiten, dass die Beschwerdegegnerin den Arbeitgebenden die im Vorsorgeausweis enthaltenen Daten weiterleiten darf.

6.3.6. Ebenso wenig lässt sich in der Fürsorgepflicht des Arbeitgebenden nach Art. 328 OR eine gesetzliche Grundlage für die Weitergabe der strittigen Daten erblicken. Im Gegenteil: Gemäss Art. 328 Abs. 1 OR hat der Arbeitgebende im Arbeitsverhältnis u.a. die Persönlichkeit des Arbeitnehmenden zu achten und zu schützen, wozu auch dessen private Geheimsphäre zählt; die Missachtung des Datenschutzes führt zu einer Ver-

letzung der Persönlichkeit des betroffenen Arbeitnehmenden (STREIFF/

VON KAENEL, a.a.O., Art. 328 Rz. 7).

Hinzu kommt, dass der Arbeitgebende Daten über den Arbeitnehmenden nur bearbeiten darf, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrags erforderlich sind (Art. 328b OR). Vorgenannte Bestimmung beschränkt die zulässige Datenbearbeitung im Arbeitsverhältnis auf Fälle mit Arbeitsplatzbezug (STREIFF/VON KAENEL, a.a.O., Art. 328b Rz. 3, vgl. auch vorne E. 4.1 zur Anwendbarkeit des DSG). Unter den zur Durchführung des Arbeitsvertrags erforderlichen Datenbearbeitungen werden gemeinhin administrative Belange verstanden, so etwa zur Erfüllung der gesetzlichen Verpflichtungen gegenüber den Sozialversicherungen (STREIFF/VON KAENEL, a.a.O., Art. 328b Rz. 6). Damit wird jedoch der umgekehrte Fall der Datenbekanntgabe von den Arbeitgebenden an die Beschwerdegegnerin in Zusammenhang mit deren Beitragspflicht gemäss Art. 66 BVG angesprochen, wovon nur diejenigen Daten aus dem Vorsorgeausweis betroffen sind, welche den Arbeitgebenden aufgrund ihrer Beitragspflicht ohnehin schon bekannt sind, d.h. in Bezug auf welche hier unbestrittenermassen keine Datenbekanntgabe vorliegt.

6.4. Zusammenfassend ist Folgendes festzuhalten: Da aus den Pensionskassenausweisen Daten zur persönlichen Vorsorgesituation der versicherten Arbeitnehmenden ersichtlich sind, welche die angeschlossenen Arbeitgebenden der Vorsorgeeinrichtung nicht bereits in Erfüllung ihrer Beitragspflicht nach Art. 66 BVG via Anmeldeformular mitteilen und daher weder bereits kennen noch berechnen können, liegt in Bezug auf diese Daten nach allen in Erwägung 6.3.1 erwähnten Definitionen eine Bekanntgabe bzw. Weitergabe der entsprechenden Personendaten an einen Dritten im Sinne des Datenschutzgesetzes vor. Denn auch wenn die Arbeitgebenden bzw. die sie vertretenden Personen gleichzeitig eine Organfunktion innerhalb der Vorsorgeeinrichtung einnehmen, was v.a. in Bezug auf den vorliegend nicht zu thematisierenden Bereich der Verantwortlichkeit relevant ist, benötigen sie die strittigen Angaben nicht zur Wahrnehmung der damit verbundenen strategischen Aufgaben und sollten aufgrund entsprechender, zu erwartender und wünschenswerter organisatorischer Vorkehrungen der Vorsorgeeinrichtung gemäss vorstehenden Erwägungen (vgl. insbesondere E. 6.3.2) auch keine Kenntnis davon erhalten. Entgegen der Meinung der Vorinstanz und der Beschwerdegegnerin sind die Arbeitgebenden bzw. ihre Vertreter in der paritätischen Kommission daher in Bezug auf Daten, die ihnen nicht bekannt

sind bzw. sein sollten, als Dritte zu qualifizieren. Zudem kann bei der praktizierten Zustellung der Pensionskassenausweise in offenen Couverts

  • auch wenn sie an eine von den Arbeitgebenden mit der Durchführung der beruflichen Vorsorge beauftragte Stelle, der die Daten allenfalls wegen organisatorischer Mängel oder Personalunion schon bekannt wären, erfolgen würde - nicht ausgeschlossen werden, dass zusätzliche unbeteiligte Dritte in darin enthaltene Daten, die ihnen bis anhin unbekannt waren, Einblick erhalten.

    Die Voraussetzung des Bearbeitens gemäss Art. 2 Abs. 1 i.V.m. Art. 3 Bst. e und f DSG ist somit in Bezug auf die Beschwerdegegnerin erfüllt. Ob die entsprechenden Daten interessant für die Arbeitgebenden sind oder nicht, wie die Vorinstanz behauptet, ist irrelevant und verkennt den Zweck des Datenschutzgesetzes, welcher vorliegend im Schutz der Persönlichkeit der betroffenen versicherten Arbeitnehmenden bzw. im Verhindern unrechtmässigen Datenflusses zu erblicken ist (vgl. auch vorne

    E. 4.1). Zudem kann nicht ausgeschlossen werden, dass die bekanntgegebenen Daten von den Arbeitgebenden zum Nachteil der Arbeitnehmenden verwendet werden könnten (vgl. dazu hinten E. 9.3).

    7.

    Art. 4 DSG, welcher gleichermassen für die Datenbearbeitung durch Private und Bundesorgane gilt, verlangt, dass Personendaten nur rechtmässig bearbeitet werden dürfen (Abs. 1), dass ihre Bearbeitung nach Treu und Glauben zu erfolgen hat und verhältnismässig sein muss (Abs. 2), dass Daten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Abs. 3) und dass die Beschaffung der Daten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein muss (Abs. 4). Die Grundsätze in Art. 4 Abs. 1 bis 4 DSG definieren positiv ausgedrückt, welche Verhaltensweisen im Rahmen einer Datenbearbeitung per se eine Verletzung der Persönlichkeit der Betroffenen darstellen (ROSENTHAL, Handkommentar DSG, a.a.O., Art. 4 Rz. 2). Art. 4 Abs. 1 DSG enthält die an und für sich selbstverständliche Aussage, dass Personendaten nur rechtmässig bearbeitet werden dürfen. Eine Datenerhebung ist immer dann rechtswidrig, wenn ein Verstoss gegen eine Rechtsnorm vorliegt (MAURER-LAMBROU/STEINER, BSK-DSG, a.a.O., Art. 4 Rz. 5 f.). Die Personendaten müssen zudem vor unbefugtem Zugriff gesichert sein (Art. 7 Abs. 1 DSG).

    Nachfolgend ist somit zunächst die Rechtmässigkeit der Bearbeitung der Personendaten bzw. der mit der Zustellpraxis der Beschwerdegegnerin verbundenen Bekanntgabe von Angaben über die berufliche Vorsorgesituation der versicherten Personen an deren Arbeitgebende zu prüfen (E. 8). Danach wird auf den in vorliegendem Zusammenhang relevanten Grundsatz der Datensicherheit eingegangen (E. 9).

    8.

    8.1.

        1. Bundesorgane müssen eine gesetzliche Grundlage für die Datenbearbeitung haben (Art. 17 Abs. 1 DSG). Aus dieser Grundlage ergibt sich auch, ob und inwieweit sie im Rahmen einer bestimmten Datenbearbeitung von der Einhaltung der Bearbeitungsgrundsätze ausnahmsweise befreit sind, d.h. die ihnen übertragene Aufgabe erfüllen dürfen, auch wenn dies zu einer Verletzung der Persönlichkeit des Einzelnen führt (ROSENTHAL, Handkommentar zum DSG, a.a.O., Art. 4 Rz. 4). Ob die Datenbearbeitung auf Gesetzesoder auf Verordnungsebene geregelt werden muss, ist nach allgemeinen gesetzestechnischen Grundsätzen zu beurteilen. Massgeblich ist, wieweit eine Datenbearbeitung in die Persönlichkeit der Bürger eingreift. Aus diesen Gründen ist für die Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen grundsätzlich eine formelle gesetzliche Grundlage notwendig (vgl. Art. 17 Abs. 2 DSG und allgemein zum Legalitätsprinzip: ULRICH HÄFELIN/GEORG MÜLLER/FELIX UHLMANN, Allgemeines Verwaltungsrecht,

          6. Auflage Zürich/St. Gallen 2010, Rz. 377 ff.; EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, August 2001, Ziff. 2.1.1 S. 5, http://www.edoeb.admin.ch > Dokumentation > Leitfäden, besucht am 2. März 2012).

        2. Nur in den Fällen von Art. 17 Abs. 2 Bst. a-c DSG können besonders schützenswerte Personendaten oder Personenprofile ausnahmsweise ohne formelle gesetzliche Grundlage bearbeitet werden. Bei besonders schützenswerten Personendaten handelt es sich gemäss Legaldefinition von Art. 3 Bst. c DSG um Daten über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe sowie über administrative oder strafrechtliche Verfolgungen und Sanktionen. Im Pensionskassenausweis aufgeführt sein könnten allenfalls Daten über die Gesundheit der versicherten

    Personen. Wo dies der Fall ist, stellt die Beschwerdegegnerin jene Ausweise jedoch künftig unbestrittenermassen direkt den betroffenen Personen zu, so dass es sich bei den Gegenstand dieses Verfahrens bildenden Personendaten nicht um besonders schützenswerte i.S.v. Art. 3 Bst. c DSG handelt und die obgenannte Ausnahmebestimmung deshalb nicht zur Anwendung gelangt. Es bleibt ohnehin anzumerken, dass für die Bekanntgabe von Personendaten durch Bundesorgane als Unterfall der Datenbearbeitung die in nachfolgender Erwägung erwähnte Spezialregelung von Art. 19 DSG zu beachten ist.

    8.2.

        1. Die Bekanntgabe von Personendaten muss grundsätzlich wie jede Art der Datenbearbeitung in einer Rechtsgrundlage i.S.v. Art. 17 DSG vorgesehen sein (Art. 19 Abs. 1 DSG). Die gesetzliche Grundlage muss sich ausdrücklich auf den Transfer von Daten als solchen beziehen, d.h. die Rechtsgrundlage muss eine Ermächtigung bzw. Verpflichtung zur Bekanntgabe von Personendaten enthalten. Eine allgemeine Kompetenz zur Datenbearbeitung i.S.v. Art. 17 DSG genügt für die Datenbekanntgabe nicht (JÖHRI/STUDER, BSK-DSG, a.a.O., Art. 19 Rz. 25).

        2. Art. 19 DSG sieht einige Ausnahmen vor, in denen eine Datenbekanntgabe trotz fehlender gesetzlicher Grundlage zulässig ist, um eine rationelle Verwaltungstätigkeit und die Erfüllung gesetzlicher Aufgaben zu sichern. Diese Ausnahmen gelten jedoch nur in den Einzelfällen, die abschliessend aufgezählt und eng auszulegen sind. Die Ausnahmen betreffen einzig die Weitergabe von Personendaten, nicht die Datenbearbeitung im Allgemeinen, d.h. die Bestimmungen in Art. 19 DSG entbinden nicht von der Schaffung der erforderlichen Rechtsgrundlagen für die Datenbearbeitung. Für die Bekanntgabe von Personendaten durch ein automatisiertes Abrufverfahren (z.B. Online-Zugriffe, Selfservice-prinzip) gelten diese Ausnahmen nicht (vgl. EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, a.a.O., Ziff. 2.3 S. 6; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 19 Rz. 7 und 20).

          1. Vorliegend geht es nicht darum, Personendaten in einem Abrufverfahren zugänglich zu machen. Die Frage, inwiefern Arbeitgebende angesichts des Anspruchs auf paritätische Verwaltung nach Art. 51 Abs. 1 BVG, aufgrund der Erfüllung ihrer Beitragspflicht nach Art. 66 BVG oder wegen arbeitsvertraglicher Pflichten Anspruch auf Kenntnis von Versichertendaten geltend machen können, wurde vorne in Erwägung 6.3 geklärt. Danach besteht keine rechtliche Verpflichtung bzw. Notwendigkeit zur Bekanntgabe der vorliegend strittigen Daten. Zu prüfen bleibt daher, ob ein spezieller Grund gemäss Art. 19 DSG vorliegt, der im Einzelfall eine Datenbekanntgabe trotz Fehlens einer (genügenden) gesetzlichen Grundlage rechtfertigen würde. Vorliegend kommt dafür mangels Einwilligung und allgemeinen Zugänglichmachens der Daten durch die betroffenen Personen nur Art. 19 Abs. 1 Bst. a in Betracht, wonach Bundesorgane Personendaten trotz fehlender rechtlicher Grundlage bekannt geben dürfen, wenn die Daten für den Empfänger im Einzelfall zur Erfüllung seiner gesetzlichen Aufgabe unentbehrlich sind, d.h. dieser ansonsten seine gesetzliche Aufgabe im konkreten Fall nicht erfüllen könnte. Empfänger können neben anderen Bundesorganen und kantonalen, kommunalen oder ausländischen Behörden auch natürliche oder juristische Privatpersonen im Inund Ausland sein. Eine Datenbekanntgabe i.S.v. Art. 19 Abs. 1 Bst. a DSG kann nur in einem bestimmten Fall für einen einmaligen Zweck sowie nur auf Anfrage erfolgen. Vorgenannte Bestimmung bietet somit keine Rechtsgrundlage für eine aktive Information durch eine Verwaltungsstelle (BBl 1988 II 469; JÖHRI, Handkommentar zum DSG, a.a.O., Art. 19 Abs. 1 Rz. 21 und 24 f.; JÖHRI/STUDER, BSK-DSG, a.a.O.,

            Art. 19 Rz. 42 f. und 45 mit Hinweisen).

          2. Die durch Zustellung der Vorsorgeausweise erfolgte Datenbekanntgabe ist nicht auf Anfrage hin erfolgt; vielmehr versendet die Beschwerdegegnerin die Ausweise in eigenem Interesse an die Arbeitgebenden, um Kosten einzusparen. Die Anwendbarkeit der Ausnahmebestimmung nach Art. 19 Abs. 1 Bst. a DSG ist daher bereits aufgrund dieser Tatsache zu verneinen.

      1. Im Sozialversicherungsrecht gelten spezielle Geheimhaltungspflichten, die eine Bekanntgabe von Personendaten nur ausnahmsweise zulassen. Ebenso gibt es eine Anzahl bereichsspezifischer Datenschutzbestimmungen, die den zulässigen Empfängerkreis und zum Teil auch die Art der Daten, die übermittelt werden, festlegen. Solche Bestimmungen gehen als Spezialnormen Art. 19 DSG vor (BBl 1988 II 471). Es bleibt daher zu prüfen, ob eine spezialgesetzliche Ausnahme vorliegt, welche weiter geht als Art. 19 DSG und daher eine Datenbekanntgabe ausnahmsweise rechtfertigen würde.

        1. Gemäss Art. 86 BVG haben Personen, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung des Bundesgesetzes zur beruflichen Vorsorge beteiligt sind, gegenüber Dritten

    Verschwiegenheit zu bewahren. Die Schweigepflicht bezieht sich auf alle Kenntnisse, die zum Stillschweigen verpflichtete Personen im Rahmen ihrer vorgenannten Tätigkeit erlangen. Bundesorgane bzw. allgemein Personen, die am Vollzug der Sozialversicherungsgesetze beteiligt sind, dürfen Personendaten aus diesen Bereichen nur dann an Dritte bekanntgeben, wenn das betreffende Gesetz eine Ausnahme von der grundsätzlichen Schweigepflicht vorsieht (vgl. Botschaft vom 24. November 1999 über die Anpassung und Harmonisierung der gesetzlichen Grundlagen für die Bearbeitung von Personendaten in den Sozialversicherungen in: BBl 2000 261). Ausnahmen von der Schweigepflicht bedürfen folglich einer gesetzlichen Grundlage. Der Schweigepflicht unterstehen u.a. die Mitarbeitenden der Vorsorgeeinrichtungen, die in die Durchführung des Bundesgesetzes über die berufliche Vorsorge involvierten Personen der Arbeitgebenden sowie die Vertretung in der paritätischen Verwaltung der Vorsorgeeinrichtung (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 86 Rz. 10 und 12 mit Hinweis).

    8.3.2.

          1. Zufolge Art. 85a BVG sind die mit der Durchführung, der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe befugt, die Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile, zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach diesem Gesetz übertragenen Aufgaben zu erfüllen, namentlich um (Bst. a bis f):

  • die Versicherungsbeiträge zu berechnen und zu erheben;

  • Leistungsansprüche zu beurteilen sowie Leistungen zu berechnen, zu gewähren und diese mit Leistungen anderer Sozialversicherungen zu koordinieren;

  • ein Rückgriffsrecht gegenüber einem haftpflichtigen Dritten geltend zu machen;

  • die Aufsicht über die Durchführung dieses Gesetzes auszuüben;

  • Statistiken zu führen;

  • die Versichertennummer der AHV zuzuweisen oder zu verifizieren.

    Die Liste der für zulässig erklärten Datenbearbeitungen ist nicht abschliessend (vgl. Gesetzestext "namentlich"). Zulässig ist jede Bearbeitung von Personendaten, die vom zuständigen Organ in Erfüllung der im Bundesgesetz über die berufliche Vorsorge vorgesehenen Aufgabe notwendig ist. Zu ergänzen ist, dass für die Bekanntgabe von Personendaten Art. 86a BVG massgebend ist. Dieser Artikel erweitert und konkretisiert die Schweigepflicht und geht der allgemeinen Datenbearbeitungsbestimmung in Art. 85a BVG vor. Gleiches gilt für die in Art. 85b BVG verankerte Akteneinsicht. Die Liste der Fälle zulässiger Datenbekanntgaben in Art. 86a BVG ist abschliessend; weitergehende Ausnahmen von der gesetzlichen Schweigepflicht sind nicht vorgesehen (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 85a Rz. 10 und 12, Art. 86a Rz. 3 f.). Es dürfen zudem nur die Daten bekannt gegeben werden, welche für den in Frage stehenden Zweck erforderlich sind (Art. 86a Abs. 6 BVG).

          1. Eine mögliche gesetzliche Grundlage für eine Ausnahme von der Schweigepflicht stellt das in Art. 85b BVG erwähnte Akteneinsichtsrecht dar: Sofern überwiegende Privatinteressen gewahrt bleiben, steht die Akteneinsicht Personen zu, die eine Verpflichtung nach diesem Gesetz haben, für diejenigen Daten, die für die Wahrung des Anspruchs oder die Erfüllung der Verpflichtung erforderlich sind (Art. 85b Abs. 1 Bst. b BVG). Diese Regelung bezweckt klarzustellen, in welchen Fällen die Vorsorgeeinrichtung zur Gewährung der Akteneinsicht befugt ist, ohne damit die Schweigepflicht nach Art. 86 BVG zu verletzen (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 85b Rz. 3 mit Hinweis). Daten dürfen überdies i.S. einer Ausnahme zur Schweigepflicht bekannt gegeben werden an andere mit der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung dieses Gesetzes betrauten Organe, sofern kein überwiegendes Privatinteresse entgegensteht und wenn sie für die Erfüllung der ihnen nach diesem Gesetz übertragenen Aufgaben erforderlich sind (Art. 86a Abs. 2 Bst. a BVG).

            Eine Interessenabwägung erübrigt sich vorliegend, da der Einsichtsanspruch im Fall beider vorgenannter gesetzlicher Bestimmungen auf Daten beschränkt ist, die für die Erfüllung einer Verpflichtung gemäss Bundesgesetz über die berufliche Vorsorge notwendig sind. Die vorliegend umstrittenen Daten werden von den Arbeitgebenden weder zur Erfüllung ihrer Beitragspflicht nach Art. 66 Abs. 2 bis 4 BVG benötigt noch im Rahmen der paritätischen Verwaltung nach Art. 51 Abs. 1 BVG. Arbeitsvertragliche Pflichten, die einen Anspruch der Arbeitgebenden auf Einsicht begründen würden, sind gemäss Wortlaut von Art. 85b Abs. 1 Bst. b BVG und Art. 86a Abs. 2 Bst. a BVG unbeachtlich ("nach diesem Gesetz") und vorliegend auch nicht ersichtlich (vgl. vorne E. 6.3.5). Abgesehen davon dürfte auch in diesen beiden Konstellationen zumindest faktisch ein Gesuch um Akteneinsicht bzw. Datenbekanntgabe vorausgesetzt werden, während hier die Beschwerdegegnerin von sich aus aktiv geworden ist.

          2. In den übrigen Fällen dürfen Personendaten an Dritte bekannt gegeben werden, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat oder, wenn das Einholen der Einwilligung nicht möglich ist, diese nach den Umständen als im Interesse des Versicherten vorausgesetzt werden darf (Art. 86a Abs. 5 Bst. b BVG). Diese Regelung lehnt sich an Art. 19 Abs. 1 Bst. b DSG an (BBl 2000 266).

    Im vorliegenden Fall haben die betroffenen Personen weder in die Datenbekanntgabe eingewilligt noch sind Gründe ersichtlich, welche das Einholen der Einwilligung als unmöglich und die Bekanntgabe nach den Umständen als im Interesse der versicherten Personen erscheinen lassen würden. Im Gegenteil ist nicht auszuschliessen, dass die Arbeitnehmenden durch die Bekanntgabe ihrer Daten an die Arbeitgebenden Nachteile zu erleiden haben (vgl. dazu hinten E. 9.3).

    8.4. Weder auf Gesetzesnoch auf Verordnungsstufe findet sich eine gesetzliche Grundlage für eine Ausnahme von der Schweigepflicht, welche die Bekanntgabe der Daten von der Beschwerdegegnerin an die Arbeitgebenden der bei ihr versicherten Personen rechtfertigen würde. Es ist insbesondere kein Grund ersichtlich, weshalb die Arbeitgebenden die strittigen Versicherungsdaten der Arbeitnehmenden für die Erfüllung ihrer Pflichten im Zusammenhang mit der Durchführung der beruflichen Vorsorge und im Übrigen auch bezüglich jener aus dem Arbeitsverhältnis benötigen würden (vgl. vorne E. 6.3.4 ff.). Vielmehr gilt die Schweigepflicht gemäss Art. 86 BVG auch für die Arbeitgebervertretung, die an der Durchführung der beruflichen Vorsorge beteiligt ist (PÄRLI, Handkommentar BVG, Art. 86 Rz. 12).

    Die Daten hätten folglich nicht weitergeleitet werden dürfen, d.h. die von der Beschwerdegegnerin praktizierte Datenbekanntgabe ist rechtswidrig und verletzt somit die Persönlichkeit der versicherten Personen. Überdies ist in nachfolgender Erwägung kurz auf einen in vorliegendem Zusammenhang ebenfalls bedeutsamen Grundsatz des Datenschutzrechts, nämlich denjenigen der Datensicherheit, einzugehen.

    9.

      1. Aus Art. 8 EMRK erwächst dem Staat nicht nur die negative Verpflichtung auf Unterlassen jeder unrechtmässigen Beeinträchtigung der Privatsphäre des Einzelnen, sondern ebenso die positive Pflicht, Personendaten effektiv und praktisch vor der Möglichkeit eines unautorisierten

        Zugriffs zu schützen; es reicht nicht aus, wenn den Betroffenen eine Klagemöglichkeit gewährt wird (KURT PÄRLI, EMRK und Datenschutz am Arbeitsplatz, digma 2009, Heft 1, S. 30 ff. mit Hinweisen insbesondere zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte). Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Es handelt sich dabei um eine Dauerpflicht jedes Datenbearbeitenden; aufgrund veränderter Umstände nicht mehr genügende Schutzmassnahmen sind anzupassen. Ziel der Datensicherheit ist nicht nur die Gewährleistung der Vertraulichkeit, der Verfügbarkeit und der Richtigkeit der Personendaten (vgl. diesbezüglich Art. 8 Abs. 1 VDSG, welcher auch für Bundesorgane gilt), vielmehr geht es ganz allgemein um die Verhinderung einer unbefugten Bearbeitung von Personendaten. Dabei steht insbesondere der Schutz gegen Risiken der unbefugten oder zufälligen Vernichtung, des zufälligen Verlusts, technischer Fehler, der Fälschung, des Diebstahls oder der widerrechtlichen Verwendung sowie des unbefugten Änderns, Kopierens, Zugreifens oder anderer unbefugter Bearbeitungen im Vordergrund.

        Gegenstand der Massnahmen ist nicht nur die EDV-gestützte, automatisierte, sondern auch jegliche Form der manuellen Datenbearbeitung. Bezüglich Art und Umfang der zu treffenden Massnahmen gilt das Verhältnismässigkeitsprinzip: Zufolge Art. 8 Abs. 2 VDSG sind insbesondere Zweck, Art und Umfang der Datenbearbeitung sowie der gegenwärtige Stand der Technik zu berücksichtigen und eine Einschätzung der möglichen Risiken für die betroffenen Personen vorzunehmen. Aufgrund der nicht abschliessenden Aufzählung in vorgenannter Bestimmung können und dürfen aber auch die Kosten der Massnahmen im Hinblick auf den angestrebten Schutzzweck berücksichtigt werden. Die allgemeinen finanziellen Möglichkeiten des Datenbearbeitenden sind jedoch zweitrangig (RIESSELMANN-SAXER, a.a.O, S. 33 f. mit Hinweisen; ROSENTHAL, Hand-

        kommentar zum DSG, a.a.O., Art. 7 Rz. 3 und 5 ff.; KURT PAULI, BSKDSG, a.a.O., Art. 7 Rz. 2, 4 ff. und 17; EDÖB, Leitfaden für die Bearbeitung von Personendaten in der Bundesverwaltung, a.a.O., Ziff. 2.7 S. 9).

      2. Die Pensionskassenausweise der versicherten Personen sind trotz des Vermerks "Vertraulich" bei Zustellung an die Arbeitgebenden in keiner Weise gegen Einsichtnahme oder Kopieren geschützt (vgl. Art. 8 Abs. 1 Bst. e VDSG), insbesondere sind sie nicht einzeln in Couverts verpackt, mit einem (Klebe-)Siegel versehen oder nur nach Aufreissen einer perforierten Sollbruchlinie einsehbar. Solche Massnahmen wären einfach zu

        treffen und nicht allzu kostenintensiv. Die Beschwerdegegnerin hat in der Vergangenheit keine entsprechenden Massnahmen getroffen, sondern im Gegenteil bis anhin nicht einmal überprüft, ob besonders schützenswerte Daten Inhalt der einzelnen weitergeleiteten Vorsorgeausweise bilden. Damit verletzt sie zusätzlich den Grundsatz der Datensicherheit gemäss Art. 8 EMRK und Art. 7 DSG.

      3. Weiter ist zu berücksichtigen, dass dem Datenschutz im Arbeitsverhältnis auch eine anti-diskriminierende Funktion zukommt (PÄRLI, a.a.O.,

    S. 20 mit Hinweisen). Die Daten der betroffenen Personen könnten zu Zwecken verwendet werden, die mit der Durchführung der beruflichen Vorsorge nichts zu tun haben und ebenso wenig im Interesse der Betroffenen liegen bzw. sie allfälligen Benachteiligungen im Arbeitsverhältnis aussetzen. Es kann nicht mit Sicherheit ausgeschlossen werden, dass die Daten beispielsweise im Zusammenhang mit Lohnverhandlungen von den Arbeitgebenden zulasten der Arbeitnehmenden verwendet werden könnten (vgl. dazu auch die Mitteilung des BSV vom 19. August 1991 in

    E. 6.3.2.3). Wer beispielsweise einen Vorbezug für Wohneigentum getätigt hat, ist ortsgebundener und daher vermehrt auf seine Stelle angewiesen, was ihn abhängiger von seinem Arbeitgebenden macht. Für diesen wiederum spielen die Lohnkosten als variabler und beeinflussbarer Budgetposten eine zentrale Rolle und bergen aus seiner Sicht im Vergleich zu den festen Kostenfaktoren am ehesten ein Sparpotential in sich (RIEMER-KAFKA, a.a.O., S. 285). Die diesbezüglichen Bedenken des Beschwerdeführers sind demnach gerechtfertigt.

    10.

      1. Die Beschwerdegegnerin macht als Grund für ihre Zustellpraxis wirtschaftliche Interessen geltend; konkret führt sie an, eine separate Zustellung der Pensionskassenausweise in verschlossenen Couverts an die Arbeitnehmenden stelle einen finanziellen Mehraufwand dar. Zudem weist sie auf Bestrebungen im Bereich der beruflichen Vorsorge hin, Kosten einzusparen und erklärt, ihre langjährige Zustellpraxis sei branchenüblich. Dass die von der Beschwerdegegnerin praktizierte Zustellung der Vorsorgeausweise von bei ihr versicherten Personen in unverschlossenen Couverts an die Arbeitgebenden zwecks Weiterleitung sich auf keine gesetzliche Grundlage stützen kann und zudem dem Grundsatz der Datensicherheit widerspricht, wurde bereits dargelegt (vgl. E. 8 f.). Es stellt sich im Folgenden daher nur noch die Frage, in welcher Form die Zustellung der Pensionskassenausweise zu erfolgen hat bzw. welche Art der

        Zustellung geeignet ist, den Grundsätzen des Datenschutzes, insbesondere demjenigen der Datensicherheit, Genüge zu tun.

      2. Vorab gilt es in diesem Zusammenhang zu beachten, dass im Rahmen des vorliegenden Verfahrens die Rechte einer Vielzahl von Personen in Frage stehen, deren Verteidigung der Beschwerdeführer mit seiner Empfehlung bzw. Beschwerde bezweckt. Das Ergebnis des Verfahrens kann somit indirekt Wirkung für all jene Personen zeitigen, die nach einer ähnlichen Methode vorgehen wie die Beschwerdegegnerin, was zusätzlich Licht auf die Tragweite des vorliegenden Falls und die von der Beschwerdegegnerin zu verlangende Art der Zustellung wirft (vgl. BGE 136 II 508 E. 6.3.2 betreffend Klageverfahren nach Art. 29 Abs. 4 i.V.m. Abs. 1 Bst. a DSG [sogenannter "Systemfehler"] mit Hinweisen).

      3. Im Rahmen einer Interessenabwägung sind grundsätzlich auch rein wirtschaftliche Interessen des Datenbearbeitenden, wie beispielsweise das Interesse daran, eine Datenbearbeitung möglichst effizient zu gestalten oder die eigenen Geschäftsabläufe zu optimieren, schützenswert. Ebenso kann Gewinnstreben ein schützenswertes Interesse darstellen (ROSENTHAL, Handkommentar DSG, a.a.O., Art. 13 Rz. 10; a.M. RAMPINI, BSK-DSG, a.a.O., Art. 13 Rz. 22). Vorliegend würde der Mehraufwand indes die wirtschaftliche Existenz der Beschwerdegegnerin offensichtlich nicht in Frage stellen; dies wird ihrerseits auch nicht geltend gemacht. Die Vermeidung von finanziellem Mehraufwand ist grundsätzlich als gewinnstrebiges Interesse der Beschwerdegegnerin anzuerkennen, vermag aber dasjenige der betroffenen Personen am Schutz der eigenen Persönlichkeit ebenso wenig zu überwiegen wie das politische Argument der Forderung einer Kostenreduktion im Bereich der beruflichen Vorsorge. Auch der Hinweis auf die Langjährigkeit und angebliche Branchenüblichkeit der umstrittenen Zustellpraxis ist unbehelflich, zumal beispielsweise die Pensionskasse des Bundes ebenso wie diejenige des Kantons Zürich die Pensionskassenausweise den bei ihr versicherten Personen direkt und verschlossen zustellen.

      4. Die Beschwerdegegnerin hat demnach alle Massnahmen zu treffen, welche erforderlich sind um sicherzustellen, dass die Persönlichkeitsrechte der bei ihr versicherten Personen im Rahmen der Zustellung der Vorsorgeausweise nicht verletzt werden. D.h. sie hat die Ausweise in einer geeigneten, den Grundsätzen des Datenschutzes angemessenen Form zu versenden. Konkret bedeutet dies, die Ausweise entweder den

    Arbeitnehmenden einzeln direkt verschlossen per Post an ihre persönliche Adresse oder zumindest in verschlossenen und mit dem jeweiligen Namen sowie dem Vermerk "Vertraulich" versehenen Couverts den Arbeitgebenden zur Weiterleitung zuzustellen. Es geht also letztlich nicht um ein gänzliches Verbot der Zusendung von Pensionskassenausweisen an die Arbeitgebenden, sondern lediglich als minimale Alternative zur direkten Zustellung an die Arbeitnehmenden darum, die Ausweise nicht wie in rechtswidriger Weise praktiziert frei zugänglich den Arbeitgebenden zuzusenden. Aus unternehmerischer Sicht mag es gerechtfertigt erscheinen, sich auf den finanziellen Mehraufwand bei (vereinzelter) manueller Zustellung zu berufen, doch lässt sich damit wie erwähnt der Eingriff in die Persönlichkeitsrechte der Betroffenen nicht rechtfertigen. Hinzu kommt, dass die Nichteinhaltung von Datenschutzvorschriften für eine Vorsorgeeinrichtung in der Öffentlichkeit, bei Arbeitgebenden und versicherten Personen ein Imageproblem hervorrufen kann. Deshalb stellt deren Einhaltung bei allen Arbeitsprozessen ein nicht zu unterschätzendes Qualitätsmerkmal dar und sollte von der Beschwerdegegnerin auch in eigenem Interesse beachtet werden (PÄRLI, Handkommentar zum BVG, a.a.O., Art. 85a Rz. 7).

    11.

    Zusammenfassend bleibt Folgendes festzuhalten: Die betroffenen Informationen sind als Personendaten zu qualifizieren und ihre Bearbeitung bzw. Bekanntgabe untersteht den Bestimmungen des Datenschutzgesetzes, ergänzt durch die spezialrechtlichen Normen des Bundesgesetzes über die berufliche Vorsorge und des Obligationenrechts. Die Weitergabe der Daten durch die Beschwerdegegnerin an die Arbeitgebenden erfolgt ohne gesetzliche Grundlage in Verletzung ihrer Schweigepflicht. Die bekanntgegebenen Daten sind für die Erfüllung der arbeitsvertraglichen sowie der im Rahmen der beruflichen Vorsorge anfallenden Aufgaben der Arbeitgebenden nicht objektiv notwendig. Mit der Zustellung der Pensionskassenausweise in unverschlossenen Couverts an die Arbeitgebenden zwecks Weiterleitung an deren bei ihr versicherten Arbeitnehmenden verstösst die Beschwerdegegnerin ausserdem gegen den in Art. 7 DSG festgehaltenen Grundsatz der Datensicherheit. Das strittige Verhalten der Beschwerdegegnerin verletzt somit mehrere wichtige datenschutzrechtliche Grundsätze und Bestimmungen (Art. 4 Abs. 1 DSG und Art. 7 Abs. 1 DSG, Art. 85a, 85b und 86a BVG) und führt damit zu einer rechtswidrigen Persönlichkeitsverletzung der betroffenen versicherten Personen.

    Demzufolge ist die Beschwerde des EDÖB gutzuheissen und die Beschwerdegegnerin anzuweisen, den bei ihr versicherten Personen die persönlichen Vorsorgeausweise künftig so zuzustellen, dass ausschliesslich die jeweilige versicherte Person und damit keine Dritten - insbesondere nicht deren Arbeitgebende - Kenntnis vom Inhalt des sie betreffenden Ausweises erlangen kann (vgl. auch den Wortlaut von Art. 86b Abs. 1 Bst. a BVG, wonach die Vorsorgeeinrichtung ihre Versicherten jährlich in geeigneter Form u.a. über die Leistungsansprüche, den koordinierten Lohn, den Beitragssatz und das Altersguthaben zu informieren hat).

    12.

    Bei diesem Verfahrensausgang wird - im Rahmen ihres Unterliegens - die sich mit eigenen Anträgen am Verfahren beteiligende Beschwerdegegnerin kostenpflichtig (Art. 63 Abs. 1 VwVG, vgl. auch MICHAEL BEUSCH in: Kommentar zum Bundesgesetz über das Verwaltungsverfahren [VwVG-Kommentar], Auer/Müller/Schindler [Hrsg.], Zürich/St. Gallen 2008, Art. 63 Rz. 12). Die Beschwerdegegnerin ist als privatrechtliche Stiftung nach Art. 80 ff. ZGB zwar im öffentlich-rechtlichen Bereich tätig, besitzt aber keine Verfügungsbefugnis (vgl. vorne E. 4.1.2), so dass sie nicht als Bundesbehörde i.S.v. Art. 1 Abs. 2 Bst. e VwVG i.V.m. Art. 2 Abs. 4 des Regierungs- und Verwaltungsorganisationsgesetzes vom

    21. März 1997 (SR 172.010) gelten kann und kostenbefreit wäre (vgl. PIERRE TSCHANNEN in: VwVG-Kommentar, Art. 1 Rz. 22). Keine Verfahrenskosten werden hingegen der unterliegenden Vorinstanz auferlegt (Art. 63 Abs. 2 VwVG). Die Verfahrenskosten sind nach dem Reglement vom

    21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht (VGKE, SR 173.320.2) festzulegen und werden vorliegend auf Fr. 2'500.- festgesetzt.

    13.

    Als Bundesbehörde hat der obsiegende Beschwerdeführer gemäss Art. 7 Abs. 3 VGKE keinen Anspruch auf Parteientschädigung.

    Demnach erkennt das Bundesverwaltungsgericht:

    1.

    Die Beschwerde wird gutgeheissen und die Beschwerdegegnerin angewiesen, den bei ihr versicherten Personen die persönlichen Vorsorgeausweise künftig so zuzustellen, dass ausschliesslich die jeweilige versicherte Person und damit keine Dritten - insbesondere nicht deren Arbeitgebende - Kenntnis vom Inhalt des sie betreffenden Ausweises erlangen kann.

    2.

    Die Verfahrenskosten von Fr. 2'500.- werden der Beschwerdegegnerin auferlegt. Der Betrag ist innert 30 Tagen nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen. Die Zustellung des Einzahlungsscheins erfolgt mit separater Post.

    3.

    Es wird keine Parteientschädigung zugesprochen.

    4.

    Dieses Urteil geht an:

  • den Beschwerdeführer (Gerichtsurkunde)

  • die Beschwerdegegnerin (Gerichtsurkunde)

  • die Vorinstanz (Ref-Nr. 331.0 / BIT; Gerichtsurkunde)

Für die Rechtsmittelbelehrung wird auf die nächste Seite verwiesen.

Die vorsitzende Richterin: Die Gerichtsschreiberin:

Marianne Ryter Sauvant Tanja Haltiner

Rechtsmittelbelehrung:

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff., 90 ff. und 100 des Bundesgerichtsgesetzes vom 17. Juni 2005 [BGG, SR 173.110]). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie der Beschwerdeführer in Händen hat, beizulegen (Art. 42 BGG).

Versand:

Wollen Sie werbefrei und mehr Einträge sehen? Hier geht es zur Registrierung.
www.swissactiv.ch
Menschen zusammenbringen, die gemeinsame Interessen teilen
Die Freude an Bewegung, Natur und gutem Essen fördern
Neue Leute treffen und Unternehmungen machen

Bitte beachten Sie, dass keinen Anspruch auf Aktualität/Richtigkeit/Formatierung und/oder Vollständigkeit besteht und somit jegliche Gewährleistung entfällt. Die Original-Entscheide können Sie unter dem jeweiligen Gericht bestellen oder entnehmen.

Hier geht es zurück zur Suchmaschine.

SWISSRIGHTS verwendet Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf der Website analysieren zu können. Weitere Informationen finden Sie hier: Datenschutz