Das total revidierte Bundesgesetz über den Datenschutz (nachfolgend "nDSG") sowie die neuen Verordnungen über den Datenschutz (DSV) und über die Datenschutzzertifizierungen (VDSZ) treten am 1. September 2023 in Kraft.

Die FER CIFA setzte sich für die systematische Umsetzung des Datenschutzes als Durchführungsorgan der 1. Säule und für die anderen zugelassenen Aufgaben ein.

Diese systematische Umsetzung des Datenschutzes gliedert sich in folgende Handlungsfelder:

  • Datenschutz-Organisation
  • Governance und Weisungen
  • Datenschutzkonformität von Bearbeitungstätigkeiten
  • Verzeichnisse der Bearbeitungstätigkeiten
  • Datenschutz-Folgenabschätzungen
  • Informationspflichten und Rechte betroffener Personen
  • Auftragsbearbeitung, gemeinsame Verantwortung und Datenbekanntgabe an separat Verantwortliche
  • Datensicherheit und Meldung von Datensicherheitsverletzungen

Für jedes dieser Handlungsfelder hat die FER CIFA ihre internen Regelungen in diesem Bereich im Einklang mit der Gesetzgebung festgelegt, Verfahren verfasst und Kontrollen implementiert.

Definitionen

Begriff, Abkürzung Definition
Bundesorgan Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist
nDSG Revidiertes DSG (BBI 2020 7639; abrufbar unter https://www.fedlex.admin.ch/eli/fga/2020/1998/de)
DSV Datenschutzverordnung (abrufbar unter https://www.fedlex.admin.ch/eli/oc/2022/568/de)
VAK Verbandsausgleichskasse
EDÖB Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte
Personendaten Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Betroffene Person Die natürliche Person, über die Daten bearbeitet werden

Besondere Personendaten
(sensible Daten)
  1. Daten über religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,
  2. Daten über die Gesundheit, die Intimsphäre, die rassische oder ethnische Herkunft,
  3. Genetische Daten,
  4. Biometrische Daten, die eine natürliche Person eindeutig identifizieren,
  5. Daten über administrative oder strafrechtliche Verfolgungen oder Sanktionen,
  6. Daten über Massnahmen der sozialen Hilfe.
Bearbeitung Unter Bearbeitung wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren verstanden wie insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.
Bekanntgeben Das Übermitteln oder Zugänglichmachen von Personendaten.
Verantwortlicher Die Privatperson oder das Bundesorgan, die/das allein oder gemeinsam mit anderen über die Zwecke und Mittel der Bearbeitung von Personendaten entscheidet.
Auftragsbearbeiter Private Person oder öffentliches Organ, die oder das Personendaten im Auftrag des Verantwortlichen bearbeitet.

 

1.    Verantwortlicher
Kontaktdaten : 
AHV-Ausgleichskasse FER CIFA 106.2
Spitalgasse 15
1701 Freiburg
T 026 552 66 66
cifa.avs@cifa.ch

Darüber hinaus kann die FER CIFA die Verarbeitung von personenbezogenen/sensiblen Daten an Auftragsbearbeiter delegieren. Sie bleibt jedoch letztendlich gegenüber der betroffenen Person und der Aufsichtsbehörde für diese delegierten Verarbeitungen verantwortlich. Die FER CIFA achtet in diesem Rahmen auf die Einhaltung von Artikel 9 des nDSG.

2.    Allgemeine Grundsätze der Verarbeitung der Personendaten
2.1 Rechtmässigkeit (Art. 6 und 34ff nDSG)
Da die FER CIFA ein Bundesorgan ist, darf sie Daten nur bearbeiten, wenn sie über eine formelle oder materielle gesetzliche Grundlage in Anwendung der Artikel 34 ff. nDSG verfügt. Im Rahmen ihrer Vorsorgeleistungen darf sie Daten in Anwendung des AHVG, IVG, ATSG und deren Durchführungsverordnungen sowie von Bundesgesetzen gemäss den anderen zugelassenen Aufgaben bearbeiten.

2.2 Verhältnismässigkeit (Art. 6 Abs. 2, 4 und 6 nDSG) 
Die FER CIFA verarbeitet Daten, die für den jeweiligen Zweck unbedingt erforderlich sind, wobei die Erhebung auf ein Minimum beschränkt wird, in Anwendung der Bundesgesetze und ihrer Durchführungsverordnungen.

Die Daten werden vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind, es sei denn, es gibt eine gesetzlich vorgeschriebene Aufbewahrungsfrist.

2.3 Richtigkeit der Daten (Art. 6 Abs. 5 nDSG)
Die FER CIFA stellt sicher, dass die gesammelten Daten korrekt sind.
Angemessene Massnahmen werden getroffen, damit die Daten berichtigt, gelöscht oder vernichtet werden unter Berücksichtigung der Art der Verarbeitung, ihres Umfangs und der damit verbundenen Risiken für die betroffenen Personen.

2.4 Treu und Glauben (Art. 6 Abs. 2 nDSG)
Jede Verarbeitung von Personendaten muss zu dem Zweck erfolgen, der den betroffenen Personen mitgeteilt wurde oder der sich aus dem Gesetz oder den Umständen ergibt.

2.5 Zweck (Art. 6 Abs. 3 nDSG) 
Die Erhebung von Personendaten muss gemäss den Bundesgesetzen und ihren Durchführungsverordnungen bestimmten und für die betroffene Person erkennbaren Zwecken dienen.

2.6 Zugang zu persönlichen Daten
Die Mitarbeiter und Auftragsbearbeiter der FER CIFA haben nur Zugang zu den persönlichen Daten, die für die Ausführung ihrer Arbeit erforderlich sind.

2.7 Weitergaben von persönlichen Daten an Dritte
Die Bearbeitung von Personendaten kann in Anwendung von Artikel 9 nDSG an Dritte (Auftragsbearbeiter) übertragen werden, sofern keine gesetzliche oder vertragliche Geheimhaltungspflicht dies verbietet und nur Bearbeitungen vorgenommen werden, die der Auftraggeber selbst vornehmen dürfte. Ein Vertrag muss geschlossen werden, wenn Bearbeitungen von einem Auftragsbearbeiter durchgeführt werden.

2.8 Datensicherheit
Gemäss Artikel 8 nDSG sorgt die FER CIFA dafür, dass die Sicherheit der Daten im Verhältnis zum Risiko gewährleistet ist, insbesondere bei sensiblen Personendaten. Das bedeutet, dass Personendaten durch technische und organisatorische Massnahmen geschützt werden, die der Art der Daten und den von der Bearbeitung ausgehenden Risiken angemessen sind, um die Sicherheit der Daten zu wahren und insbesondere die Zerstörung, den Verlust, die Änderung, den Missbrauch, die unbefugte, zufällige oder unrechtmässige Offenlegung oder den unbefugten Zugang zu den Daten sowie jede andere Form der unrechtmässigen Bearbeitung zu verhindern.

Unter diesen technischen und organisatorischen Sicherheitsmaßnahmen, die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit gewährleisten, werden die folgenden identifiziert:

  • Massnahmen zur Datenminimierung
  • Massnahmen zur Verschlüsselung der Daten
  • Massnahmen zur Nachvollziehbarkeit und Protokollierung von Zugängen
  • Strenge Politik in Bezug auf Zugänge und Berechtigungen
  • Massnahmen zur Anonymisierung
  • Massnahmen zur Archivierung.

Diese Sicherheitsmassnahmen werden regelmässig kontrolliert und überprüft, insbesondere die Massnahmen in Bezug auf:

  • Das Management der Informationssicherheit
  • Die Bewertung der Risiken für die Informationssicherheit
  • Die physischen Kontrollen
  • Die logischen Zugangskontrollen
  • Der Schutz vor bösartiger Software und Hacking
  • Die Massnahmen zur Verschlüsselung/Codierung von Daten
  • Die Massnahmen zur Verwaltung der Datensicherung und -wiederherstellung

2.9 Register der Bearbeitungstätigkeiten
Gemäss Artikel 12 des nDSG ist die FER CIFA verpflichtet, ein Register der Bearbeitungstätigkeiten zu führen, in dem Folgendes detailliert aufgeführt wird:

  • Die Identität des für die Bearbeitung Verantwortlichen
  • Der Zweck der Bearbeitung
  • Die Kategorien der betroffenen Personen
  • Die Kategorien der bearbeiteten Daten
  • Die Art der Daten
  • Die Kategorien der Empfänger
  • Die Dauer der Speicherung und eine Beschreibung der Massnahmen zur Gewährleistung der Sicherheit und des Schutzes von Personendaten gemäss Artikel 8 des nDSG.

Die FER CIFA hat dieses Register erstellt und es in Anwendung von Art. 12 Abs. 4 nDSG beim Eidgenössischen Datenschutzbeauftragten angemeldet.

2.10 Bildung und Sensibilisierung
Die Schulung, Sensibilisierung und Information der Mitarbeiter der FER CIFA über die geltenden Sicherheits- und Datenschutzbestimmungen ist für die Sicherheit der persönlichen Daten von entscheidender Bedeutung.

Wissenschaftliche, technische und rechtliche Überwachung sind unerlässlich, damit die FER CIFA ein angemessenes Sicherheits- und Schutzniveau im Hinblick auf die Entwicklung von Cyberbedrohungen oder die technische Entwicklung der IS gewährleisten kann.

Es werden regelmässig und iterativ Sensibilisierungskampagnen durchgeführt.

Die Daten der FER CIFA, einschliesslich der Personendaten, müssen entsprechend ihrer Klassifizierung durch geeignete organisatorische und technische Massnahmen gegen unbefugte interne oder externe Bearbeitung geschützt werden.

2.11 Verpflichtung zur Geheimhaltung
Personen, die Personendaten für die FER CIFA, im Rahmen eines Arbeitsvertrages oder eines Unterauftrags verarbeiten, sind verpflichtet, diese Daten gegenüber Dritten geheim zu halten, auch nach Beendigung des Vertragsverhältnisses.

Ausnahmen gibt es nur, wenn sie auf einer gesetzlichen Grundlage beruhen.

3.    Art der verarbeiteten Personendaten
Die FER CIFA verarbeitet hauptsächlich (ohne darauf beschränkt zu sein) die folgenden Kategorien von persönlichen/sensiblen Daten:

  • AHV-Nummer
  • Vorname, Name
  • Geschlecht
  • Nationalität
  • Sprache
  • Zivilstand
  • Geburtsdatum
  • Geburtsort
  • Adresse
  • E-Mail
  • Telefon
  • Bankverbindungen
  • Einkommen
  • Finanzielle Lage
  • Arbeitsbewilligung
  • Familienverhältnis
  • Gesundheit
  • Schulbescheinigung

Die FER CIFA verarbeitet persönliche/sensible Daten ihrer Versicherten, Anspruchsberechtigten, Mitglieder und Angestellten, um ihre Aufgaben als AHV-Ausgleichskasse zu erfüllen. Insbesondere sind diese Verarbeitungszwecke die folgenden (aber nicht beschränkt auf):

  • Anschluss eines Unternehmens oder einer selbstständigen Person an die Ausgleichskasse; Erstellung und Pflege der Daten der Mitglieder; 
  • Unterstellung der Versicherten; Lohndeklaration; Festsetzung der Beiträge; Verwaltung der Mitgliedschaften von Nichterwerbstätigen; Nachverfolgung und Aktualisierung der Daten; Verwaltung von Verzugs- und Vergütungszinsen; Verwaltung von Steuern und Bussen; Verwaltung von Steuermitteilungen; 
  • Durchführung von AHV-Kontrollen;
  • Rechnungsstellung; Verwaltung von Steuerbescheinigungen;
  • Buchhalterische Kassenverwaltung; allgemeine Buchhaltung;
  • Streitverfahren;
  • Verwaltung von individuellen Konten und IK-Berichtigungsanträgen;
  • AHV/IV-Leistungen; 
  • IV-Taggeld; 
  • EO/MSE/VSE/BUE-Leistungen; 
  • Verwaltung von Familienzulagen;
  • Verwaltung der 2. Säule, ZKBV-Kasse;
  • Verwaltung der Kollektivversicherungen;
  • Bearbeitung von Einsprüchen und Beschwerden;
  • IT-Management;
  • Personalverwaltung der Ausgleichskasse.


4.    Kategorien der Datenempfänger
Im Rahmen einiger ihrer Aufgaben als Berufsausgleichskasse kann die FER CIFA persönliche/sensible Daten an Dritte weitergeben. Insbesondere (aber nicht beschränkt auf):

  • Mitglieder
  • Mandatsträger
  • Bundes-/Kantonsorgane
  • Justizbehörden
  • Ausländische Sozialinstitutionen (EU/EFTA)

Diese Mitteilungen erfolgen gegebenenfalls unter strikter Einhaltung der geltenden gesetzlichen Bestimmungen, insbesondere (aber nicht beschränkt auf) Artikel 50a des AHVG und Artikel 66a des IVG.

5.     Datenbekanntgabe ins Ausland
Im Rahmen einiger ihrer Aufgaben als Verbandsausgleichskasse kann die FER CIFA personenbezogene/sensible Daten in Drittstaaten übermitteln Für den Fall, dass personenbezogene/sensible Daten in einen Staat übermittelt werden, der nicht über ein angemessenes Schutzniveau verfügt, sind zusätzliche Massnahmen vorgesehen, um ein entsprechendes Schutzniveau im Empfängerland vernünftigerweise zu gewährleisten.

Die FER CIFA stützt sich in dieser Frage auf den Anhang der DSV, in dem Staaten mit einem angemessenen Datenschutzniveau aufgeführt sind.

6.    Aufbewahrung von Personendaten
Bei der Bearbeitung von Personendaten geht die FER CIFA nach dem Grundsatz der Verhältnismässigkeit vor: sie erhebt nicht mehr Personendaten, als für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist, und die Zugriffsberechtigungen sind auf die Mitarbeitenden beschränkt, die diese zur Aufgabenerfüllung tatsächlich benötigen.

Mit Ausnahme der Daten, die für die Gewährung eines Leistungsanspruchs ausschlaggebend sind (d.h. 10 Jahre nach Erlöschen des letzten Leistungsanspruchs, wenn es keine anderen Leistungen gibt, die aufgrund dieser Daten gewährt werden könnten / höchstens bis zum hypothetischen Alter von 150 Jahren des Versicherten), werden Personendaten vernichtet oder anonymisiert, sobald sie für den Zweck der Bearbeitung nicht mehr erforderlich sind.

7.    Rechte betroffener Personen
Das nDSG garantiert den betroffenen Personen gewisse Rechte, die sie gegenüber der FER CIFA geltend machen können. Dabei handelt es sich insbesondere um die folgenden Rechte:

  • Auskunftsrecht: Die betroffene Person kann anfragen, ob und wenn ja, welche persönlichen Daten die Durchführungsstelle über sie verarbeitet.
  • Recht auf Berichtigung und Vernichtung: Das Recht zu verlangen, dass unrichtige Daten berichtigt oder vernichtet werden.
  • Recht, die Bekanntgabe seiner persönlichen Daten unter gewissen Voraussetzungen zu untersagen.

Die FER CIFA beantwortet entsprechende Gesuche innerhalb von 30 Tagen nach Erhalt, sofern keine Ausnahme vorliegt.

Das nDSG führt ein Recht auf Datenherausgabe oder -übertragung (sog. Datenportabilität) ein. Gemäss Art. 28 Abs. 1 nDSG kann die betroffene Person vom verantwortlichen Datenbearbeiter die Herausgabe ihrer Personendaten, die sie ihm bekanntgegeben hat, in einem gängigen elektronischen Format verlangen. Zweck der Bestimmung ist es, der betroffenen Person die Kontrolle über ihre Daten zu geben und ihr insbesondere zu ermöglichen, diese wiederzuverwenden oder an andere Verantwortliche oder Auftragsbearbeiter weiterzugeben. Da das Recht auf Datenportabilität aber nur anwendbar ist, wenn die Personendaten auf Grundlage einer Einwilligung oder im Zusammenhang mit einem Vertrag bearbeitet werden, ist es für Bundesorgane (darunter die FER CIFA), welche im Rahmen ihrer gesetzlichen Aufgaben sowie gestützt auf eine gesetzliche Grundlage Personendaten bearbeiten, nicht anwendbar.

8.    Datenschutzberater
Entsprechend ihrer gesetzlichen Verpflichtung (Art. 10 Abs. 4 nDSG und DSV) hat die FER CIFA einen unabhängigen Datenschutzberater ernannt, der für die Durchsetzung der Bestimmungen zum Schutz von Personendaten verantwortlich ist.

Die FER CIFA hat die Firma secure4u.ch, die auf Datenschutz und IT-Sicherheit spezialisiert ist, damit beauftragt, die Rolle des Datenschutzberaters zu übernehmen.

Der Datenschutzberater ist die bevorzugte Kontaktstelle für die betroffenen Personen. Der DSB kann über folgende E-Mail-Adresse kontaktiert werden: jeremy@secure4u.ch.