Datenschutz in der betrieblichen Altersversorgung

DSGVO und Datenverarbeitung bei der Altersvorsorge: Zwei Themen, die unvereinbar erscheinen. Wie jedoch ist dieser Widerspruch gesetzlich geregelt?

Seit dem 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO – vgl. § 99 Abs. 2 DSGVO). Selten wurde das Wirksamwerden einer europäischen Verordnung derart medial begleitet. Die anfängliche und zum Teil noch anhaltende Verunsicherung bezüglich den Auswirkungen der Normen mündete in Schlagzeilen wie „Datenschutz-Irrsinn! Deutschland droht ein Klingelschild-Chaos“ (BILD v. 17.10.2018) oder „Sorgt die DSGVO für das Ende des Namens am Klingelschild?“ (DIE WELT v. 18.10.2018). Unterdessen wurde nicht nur diese Klingelschild-Posse beendet, sondern auch im Übrigen teilweise Klarheit beim Umgang mit den Anforderungen der DSGVO geschaffen.

Ausweislich einer Umfrage von Januar 2019 (abrufbar auf Cobra.de) geben jedoch immer noch ca. 35 % der Befragten an, keine oder nur einige Kenntnisse bzgl. der DSGVO zu haben. Anlass genug für eine allgemeine Bestandsaufnahme und Analyse der Auswirkungen im Bereich der betrieblichen Altersversorgung.

Grundlagen der DSGVO

Gemäß Art. 1 Abs. 1 DSGVO enthält die Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Weiter heißt es in Abs. 2, dass die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten wahren will. Im Fokus der Verordnung stehen also personenbezogene Daten natürlicher Personen. Nicht erfasst werden somit Daten juristischer Personen, wie Aktiengesellschaften, GmbHs etc. 

Ferner betont Art. 1 Abs. 3 DSGVO, dass die Verordnung auch dem freien Verkehr personenbezogener Daten dient. Dies wird oftmals verkannt und möglicherweise auch deshalb eine teilweise zu restriktive Haltung in Einzelfragen eingenommen.

Für einen sachgerechten Umgang mit den datenschutzrechtlichen Regelungen ist eingangs stets zu prüfen, ob es sich überhaupt um ein personenbezogenes Datum handelt. Insoweit gilt das „singling out“-Prinzip (Vereinzelung, Aussonderung), welches immer dann von der Identifizierbarkeit einer Person ausgeht, wenn eine Aussonderung, wie beispielsweise anhand einer IP-Adresse o.ä., möglich ist. Der Begriff der Verarbeitung solcher Daten wird gemeinhin äußerst weit verstanden, so dass nahezu jeder Umgang (erheben, erfassen, abfragen, abgleichen, löschen etc.) mit personenbezogenen Daten als Verarbeitung zu qualifizieren ist.

Grundprinzipien des Datenschutzes

Grundsätzlich geht die DSGVO – vgl. dort Art. 5 Abs. 1 – von sieben Grundprinzipien des Datenschutzes aus: 

  • der Transparenz, 
  • der Datenminimierung, 
  • der Zweckbindung, 
  • der Richtigkeit, 
  • der Speicherbegrenzung, 
  • der Integrität und 
  • der Rechenschaftspflicht hinsichtlich der Datenverarbeitung. 

Der für die Datenverarbeitung Verantwortliche muss die Einhaltung dieser Prinzipien nach Art. 5 Abs. 2 DSGVO nachweisen können.

Die DSGVO konstituiert insoweit ein Verbot mit Erlaubnisvorbehalt, wonach grundsätzlich jede Datenverarbeitung verboten ist, sofern sie nicht durch einen gesetzlichen Erlaubnistatbestand gerechtfertigt werden kann. Im Zentrum der Rechtfertigungsmöglichkeit steht die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO), wie sie derzeit scheinbar flächendeckend und provisorisch eingeholt wird. Verkannt werden dabei jedoch die übrigen Rechtfertigungsmöglichkeiten, welche in Art. 6 Abs. 1 DSGVO explizit vorgesehen sind. Besonders herauszuheben ist insoweit die Verarbeitung zur Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DSGVO) sowie die Verarbeitung aufgrund eines berechtigten Interesses, welches das Interesse der betroffenen Person überwiegt (Art. 6 Abs. 1 lit. f DSGVO). Letzteres kommt beispielsweise hinsichtlich der Information über neue Produkte / Tarife im Wege der Direktwerbung in Betracht. Die Bedeutung der Verarbeitung zur Vertragserfüllung liegt auf der Hand und wird zudem dadurch erhöht, dass einige Stimmen die Auffassung vertreten, dass eine widerrufene Einwilligung dazu führt, dass es dem Datenverarbeiter verwehrt sei, sich auf einen anderen Rechtfertigungsgrund zu berufen. Wenngleich diese Rechtsauffassung diesseits mangels Vorrangigkeit der Einwilligung nicht geteilt wird, so ist dennoch zu empfehlen, vor der Einholung einer Einwilligung die Möglichkeit einer anderweitigen Rechtfertigung für die Datenverarbeitung zu prüfen und sie mithin nur einzuholen, wenn eine andere Rechtfertigung nicht erblickt wird.

Sind durch die Datenverarbeitung die besonders sensiblen personenbezogenen Daten i.S.v. Art. 9 DSGVO betroffen, so sind die insoweit einschlägigen Rechtfertigungsgründe zu prüfen oder hilfsweise eine Einwilligung einzuholen. Im Hinblick auf das Arbeitsrecht der betrieblichen Altersversorgung von besonderer Bedeutung ist insoweit Art. 9 Abs. 2 lit. b, wonach die Verarbeitung gestattet ist, wenn sie erforderlich ist, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht.

Hinsichtlich der Verarbeitung personenbezogener Daten von Beschäftigten ist hingegen auf § 26 BDSG zu rekurrieren. Danach ist die Verarbeitung von personenbezogenen Daten der besonderen Kategorie des Art. 9 DSGVO gestattet, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Datenschutz in der betrieblichen Altersversorgung

Aufgrund der Komplexität der betrieblichen Altersversorgung und der relativen Häufigkeit von Mehrpersonenverhältnissen, insbesondere im Bereich der versicherungsförmigen Durchführungswege, ist hinsichtlich datenschutzrechtlicher Fragestellungen stets nach der jeweils betroffenen Beziehung der Beteiligten zu differenzieren.

Unterscheidung zwischen „Verantwortlichem“ und „Auftragsverarbeiter“

Dass der Arbeitgeber, wenn er personenbezogene Daten seiner Arbeitnehmer verarbeitet, dem Anwendungsbereich der DSGVO und auch des BDSG unterliegt, ist offenkundig. Fraglich ist jedoch, inwieweit auch ein Versorgungsträger diesen Regelungen unterfällt. Diesbezüglich wird es regelmäßig auf die Einordnung des Versorgungsträgers als „Verantwortlicher“ oder „Auftragsverarbeiter“ ankommen.

„Verantwortlicher“ ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Nr. 7 DSGVO. „Auftragsverarbeiter“ ist hingegen jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, Art. 4 Nr. 8 DSGVO. Wesentliche Abgrenzungskriterien sind somit Entscheidungsfreiheit über die Zwecke und Mittel der Verarbeitung. Diese Freiheit wird bei der Durchführung der betrieblichen Altersversorgung regelmäßig beim jeweiligen Versorgungsträger liegen, so dass dieser sodann als verantwortlicher Datenverarbeiter zu qualifizieren ist. Nur in Ausnahmefällen wird der Versorgungsträger auf Weisung und nach Maßgabe des Arbeitgebers bzw. Arbeitnehmers tätig werden. Anders könnte dies beispielsweise bei der Auslagerung der Pensionsverwaltung auf einen Dienstleister zu beurteilen sein. Zumeist wird sich dieser jedoch auch nicht gänzlich den Weisungen des Auftraggebers unterwerfen können, sondern sich zumindest ein Mitspracherecht bei der Art und Weise der Datenverarbeitung vorbehalten müssen. Sodann handelt es sich jedoch um gemeinsam Verantwortliche, die beide u.U. gesamtschuldnerisch hinsichtlich der Einhaltung der Datenschutzbestimmungen in Anspruch genommen werden könnten. Soll indes eine Auftragsdatenverarbeitung vereinbart werden, so muss der Vertrag den Mindestregelungen des Art. 28 Abs. 3 DSGVO entsprechen.

Die Datenverarbeitung der Versorgungseinrichtung bedarf regelmäßig einer eigenständigen Rechtfertigung. Zuvorderst ist insoweit an die Vertragserfüllung zu denken. Diese setzt nicht zwingend ein Vertragsverhältnis zwischen dem betroffenen Arbeitnehmer und dem Versorgungsträger voraus. Es reicht aus, dass der Grund der Datenverarbeitung auf einem Vertrag zwischen Arbeitgeber und Arbeitnehmer beispielsweise hinsichtlich der Entgeltumwandlung beruht. Es ist im Einzelfall dennoch stets zu prüfen, ob die Verarbeitung zur Vertragserfüllung „erforderlich“ ist. Wenngleich insoweit ein restriktiver Maßstab angezeigt erscheint, so ist die Verarbeitung personenbezogener Daten im Bereich der betrieblichen Altersversorgung regelmäßig erforderlich, um den vertraglich eingegangenen Verpflichtungen auf Verschaffung einer Versorgungsleistung zu entsprechen. Hilfsweise dürfte die Verarbeitung zudem durch ein berechtigtes Interesse des Versorgungsträgers gerechtfertigt sein. Der Versorgungsträger ist regelmäßig nicht nur gegenüber dem Arbeitgeber zur Leistungserbringung an den Versorgungsberechtigten verpflichtet, sondern kann je nach Konstellation auch unmittelbar vom Arbeitgeber in Anspruch genommen werden. Ein widerstreitendes Interesse des Arbeitnehmers ist indes regelmäßig nicht ersichtlich, da dieser ebenso an der Leistungserbringung und allen erforderlichen Vorbereitungsmaßnahmen interessiert sein dürfte.

Notwendige Aufbewahrung vs. Datenminimierung und Speicherbegrenzung

Von besonderer praktischer Bedeutung ist die Frage nach dem Aufbewahrungsrecht von Daten bezüglich der betrieblichen Altersversorgung. Die Dauer dieses Rechts steht im Konflikt mit den Grundsätzen der Datenminimierung und der Speicherbegrenzung (Art. 5 DSGVO). Danach ist die Speicherung nur so lange gestattet, wie sie zur Zweckerreichung erforderlich ist. Nach Ablauf der zulässigen Speicherdauer ist die Datenlöschung geboten.

Das BetrAVG regelt im Hinblick auf die insolvenzbeitragspflichtigen Durchführungswege eine 6-jährige Aufbewahrungspflicht für Unterlagen, die für die Bemessung der Insolvenzbeiträge relevant sind. Dessen ungeachtet sind zudem auch die handels- und steuerrechtlichen Aufbewahrungspflichten zu beachten. Gemeinhin wird danach bezüglich Aufzeichnungen und Unterlagen im Zusammenhang mit der betrieblichen Altersversorgung von einer 6-jährigen Aufbewahrungspflicht ausgegangen; soweit die betriebliche Altersversorgung beispielsweise in Handelsbüchern, Eröffnungsbilanzen, Jahresabschlüssen oder Einzelabschlüssen nach § 325 Abs. 2a, und sonstigen Organisationsunterlagen sowie Buchungsbelegen in Erscheinung tritt, gilt handelsrechtlich und steuerrechtlich eine 10-jährige Aufbewahrungspflicht (§ 147 AO, § 257 HGB).

Die vorgenannten Fristen sind jedoch in aller Regel nicht ausreichend, um alle sich aus der betrieblichen Altersversorgung ergebenden Risiken sachgerecht begegnen zu können.

Die betriebliche Altersversorgung ist naturgemäß auf eine gewisse Langfristigkeit angelegt. Zum einen gilt es § 18a BetrAVG zu beachten, wonach das Rentenstammrecht erst nach 30 Jahren verjährt. Zum anderen ist die regelmäßig lebenslange Laufzeit der Versorgung und eine etwaig zugesagte Versorgung von Hinterbliebenen der Versorgungsberechtigten zu beachten. 

Nach der diesseits vertretenen Rechtsauffassung ist die Lösung des Konflikts in Art. 6 DSGVO zu erblicken. Danach ist die Speicherung der Daten nicht nur zur Durchführung des Vertrages, sondern auch mit einem berechtigten Interesse gestattet. Insoweit sind vor allem auch rechtliche Interessen, wie die Geltendmachung von Rechtsansprüchen, und spiegelbildlich deren Abwehr beachtenswert. Auch der Rechtsgedanke des § 17 Abs. 3 lit. b DSGVO spricht für diese Sichtweise. Hiernach gilt das in Art. 17 Abs. 1 DSGVO ausgestaltete Recht auf Löschung (auch „Recht auf Vergessenwerden“ genannt) dann nicht, soweit die Verarbeitung der Daten zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder des Mitgliedstaates, dem der Verantwortliche unterliegt, dies erfordert.

Es ist daher sowohl Arbeitgebern als auch Versorgungsträgern anzuraten, alle notwendigen personenbezogene Daten so lange aufzubewahren, bis im jeweiligen Einzelfall nicht mehr mit der Inanspruchnahme gerechnet werden muss. Aufgrund zum Teil zunächst unbekannter Hinterbliebener als potentielle Berechtigte führt dies u.U. nicht nur zu einer relativ langen Speicherdauer, sondern auch zu einer Unklarheit im Hinblick auf den Zeitpunkt, in welchem die Rechtfertigung für eine fortgesetzte Speicherung endet. Teilweise wird jedoch auch vertreten, dass lediglich die grundlegenden Daten des Beschäftigungsverhältnisses (Name, Geburtsdatum, Ein- und Austritt) gespeichert werden dürfen. Diesem Standpunkt ist indes entgegenzuhalten, dass derartig rudimentäre Daten in aller Regel nicht ausreichen werden, um sich aus Sicht des die Versorgung schuldenden Arbeitgebers erfolgreich gegen eine etwaige Klage eines Versorgungsberechtigten zu verteidigen.

Eine über die gesetzlichen Aufbewahrungspflichten hinausgehende Speicherung ist insbesondere im Hinblick auf Ansprüche der betrieblichen Altersversorgung anzuraten, weil beispielsweise ein Unterliegen in einem Prozess über die Neuordnung der betrieblichen Altersversorgung aufgrund fehlender personenbezogener Daten und/oder einschlägiger Rechtsgrundlagen wie Betriebsvereinbarungen etc. von höherer wirtschaftlicher Bedeutung sein wird als ein nach der DSGVO u.U. drohendes Bußgeld.

Stand: 11.07.2019