1.Einleitung
Die vorliegende Datenschutzerklärung beschreibt den Umgang der Pensionskasse der C&A Gruppe (nachfolgend auch PKCA, wir oder uns) mit Personendaten.
2. Wer ist für die Datenbearbeitung verantwortlich?
Datenschutzrechtlich verantwortlich für eine bestimmte Datenbearbeitung ist jeweils das Unternehmen, das festlegt, ob diese Bearbeitung erfolgen soll, zu welchen Zwecken sie erfolgt und wie sie ausgestaltet ist.
Für die Datenbearbeitungen nach dieser Datenschutzerklärung ist die Pensionskasse der C&A Gruppe datenschutzrechtlich verantwortlich
3. Für wen und wofür ist diese Datenschutzerklärung bestimmt?
Diese Datenschutzerklärung gilt für alle Personen, deren Daten die PKCA bearbeitet. Sie gilt unabhängig davon, auf welche Weise die Personen mit der PKCA in Kontakt treten. Sie gilt für die Bearbeitung von sämtlichen Personendaten, welche die PKCA im Zusammenhang mit der Durchführung der beruflichen Vorsorge und damit verbundenen Tätigkeiten erfasst.
Die Datenbearbeitungen können insbesondere die folgenden Kategorien von Personen betreffen, soweit PKCA dabei Personendaten bearbeitet:
- Versicherte in der beruflichen Vorsorge
- frühere, aktuelle und zukünftige Arbeitgeber der Versicherten bzw. deren Kontaktpersonen;
- Angehörige von Versicherten (z.B. aktuelle und ehemalige Ehegatten, Lebenspartner, Eltern und Kinder) und andere begünstigte Personen;
- Bevollmächtigte (z.B. gesetzlicher Vertreter);
- Mitglieder der Organe der PKCA;
- externe Berater und Dienstleistungserbringer;
- Kontaktpersonen von Sozial- und Privatversicherern, anderen Vorsorgeeinrichtungen und Freizügigkeitseinrichtungen, Lieferanten und Partnern sowie von Behörden und Ämtern;
- Personen, die der PKCA schreiben oder auf andere Weise mit der PKCA Kontakt aufnehmen.
Die PKCA ist im Bereich sowohl der obligatorischen als auch der überobligatorischen beruflichen Vorsorge tätig. Im Bereich der obligatorischen Vorsorge bearbeitet sie Personendaten auf der Grundlage der anwendbaren gesetzlichen Bestimmungen. In diesem Bereich ist die PKCA von der Pflicht befreit, über die Datenbearbeitung zu informieren. Die PKCA informiert in der vorliegenden Datenschutzerklärung dennoch über ihren gesamten Tätigkeitsbereich hinweg, und Hinweise in dieser Datenschutzerklärung gelten jeweils für den obligatorischen und den überobligatorischen Bereich.
4. Welche Personendaten werden bearbeitet?
«Personendaten» sind Informationen, die mit einer bestimmten Person in Verbindung gebracht werden können.
4.1 Stammdaten
Stammdaten sind die grundlegenden Daten über Sie, die die PKCA für die Abwicklung der vertraglichen und sonstigen geschäftlichen Beziehungen benötigt. Zu den Stammdaten gehören z.B., je nach der Eigenschaft, in der Sie mit der PKCA zu tun haben:
- Anrede, Vorname, Name, Geschlecht, Geburtsdatum;
- Adresse, E-Mail-Adresse, Telefonnummer und andere Kontaktdaten;
- Zur Erbringung der beruflichen Vorsorge: Zivilstand, Datum der Eheschliessung oder Scheidung bzw. Eintragung oder Auflösung der Partnerschaft, Alter, Geschlecht, Staatsangehörigkeit und Heimatort, Angaben aus Identifikationsdaten (z.B. aus Pass, ID oder anderen Identifikationsdokumenten), AHV-Nummer, Vertrags-, Policen- und Versicherten-Nr., Angaben zur früheren Vorsorge- oder Freizügigkeitseinrichtung, Eintritt- und Austrittsdatum beim Arbeitgeber, Personalkategorie, Grad der Arbeitsfähigkeit, Beschäftigungsgrad, Befristung des Arbeitsverhältnisses, gemeldeter und versicherter Jahreslohn und der BVG-Jahreslohn. Auch Angaben über Beziehungen zu Drittpersonen, die von der Datenbearbeitung mitbetroffen sind, gehören zu diesen Daten, z.B. über Angehörige und Begünstigte;
- Für den Kapitalvorbezug: Zivilstand, Beruf/Funktion, Arbeitgeber, Bankverbindung;
- Für die Mitglieder der Organe: Lebenslauf, Kontoverbindung, Kopie von Identifikationsdokumenten;
- bei Arbeitgebern und weiteren Vertragspartnern, die Unternehmen sind: Daten der Kontaktpersonen, z.B. Name und Adresse, Angaben zu Titeln, Funktion im Unternehmen, Qualifikationen und allenfalls Angaben über Vorgesetzte und Mitarbeitende.
4.2 Vertrags-, Fall- und Leistungsdaten
Dies sind Personendaten, die im Zusammenhang stehen mit dem Abschluss, der Abwicklung oder der Auflösung von Verträgen, mit der Aufnahme von Versicherten in die berufliche Vorsorge, mit der Entgegennahme von Meldungen, mit der Bearbeitung von Vorsorgefällen und mit anderen Leistungen (z.B. Auszahlung der Austrittsleistung). Zu diesen Daten gehören insbesondere folgende Daten:
- Angaben im Zusammenhang mit dem Anschlussvertrag mit Arbeitgebern;
- Angaben im Zusammenhang mit der Bearbeitung von Vorsorgefällen (z.B. die Meldung des Eintritts des Vorsorgefalls, die Schadennummer, Angaben über den Grund des Vorsorgefalls wie etwa Unfall oder Krankheit und das Ereignisdatum, Angaben im Zusammenhang mit der Prüfung des Vorsorgefalls, Angaben über andere Versicherungen und Versicherer und über Dritte wie z.B. beteiligte Personen, und auch besonders schützenswerte Personendaten (z.B. Gesundheitsdaten) und Angaben über Dritte (z.B. über am Eintritt der Arbeitsunfähigkeit oder des Todes beteiligte Personen);
- Angaben zur Austrittsleistung, z.B. ihre Höhe und über mögliche und erfolgte Einkäufe;
- bei anderen Leistungsfällen z.B. Angaben im Zusammenhang mit der Auszahlung der Austrittsleistung (etwa zu ihrem Grund, aber auch Angaben über Konten und Freizügigkeitseinrichtungen und allenfalls die Zustimmung des Ehepartners) oder im Zusammenhang mit einer Zivilstandsänderung (etwa Datum einer Scheidung, erworbene Austrittsleistungen, Vorbezüge oder bezogene Invalidenrenten und gerichtliche Anordnungen in diesem Zusammenhang).
4.3 Finanzdaten
Finanzdaten sind Personendaten, die sich auf finanzielle Verhältnisse, auf Zahlungen und auf die Vollstreckung von Forderungen beziehen. Dazu gehören Angaben im Zusammenhang mit Zahlungen und Bankverbindungen, z.B. Beitragszahlungen des Arbeitgebers, und mit der Vollstreckung von Forderungen, bei versicherten Personen ferner Angaben über den Lohn, Einkäufe in die berufliche Vorsorge und Auszahlungen von Austrittsleistungen und Renten. Die PKCA bearbeitet Finanzdaten auch über Begünstigte, z.B. im Zusammenhang mit Renten an überlebende Ehegatten, Kinder und andere Begünstigte.
4.4 Kommunikationsdaten
Bei Kontaktaufnahme mit der PKCA bearbeitet die PKCA Ihre Angaben sowie die ausgetauschten Inhalte. Es werden jene Daten bearbeitet, um die Kontaktaufnahme jeweils inhaltlich beantworten zu können. Die PKCA behält sich vor, weitere Personendaten zu erheben, wenn dies für die Erfüllung ihrer Dienstleistungen notwendig ist.
Kommunikationsdaten sind insbesondere Name und Kontaktangaben wie z.B. Postadresse, E-Mail-Adresse und Telefonnummer, der Inhalt von E-Mails. sonstiger schriftlicher Korrespondenz, Telefongesprächen, Videokonferenzen etc.; Angaben zu Art, Zeit und u.U. Ort der Kommunikation; Identitätsnachweise wie z.B. Kopien amtlicher Ausweise und Randdaten der Kommunikation.
4.5 Technische Daten
Mit jedem Aufruf der Webseite der PKCA werden eine Reihe von allgemeinen Daten und Informationen erfasst. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können (1) die verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Webseite, von welcher ein zugreifendes System auf unsere Webseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Webseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Webseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere IT-Infrastruktur dienen.
Diese Daten und Informationen werden benötigt, um die Inhalte unserer Webseite korrekt darzustellen, die Inhalte unserer Webseite zu optimieren und die dauerhafte Funktionsfähigkeit unserer Webseite zu gewährleisten.
Links anderer Webseiten
Die Webseite der PKCA kann Links zu Webseiten anderer Anbieter enthalten. Wir haben keinen Einfluss auf diese Webseiten, deren Inhalte, Angebote oder Verfügbarkeit oder die dort geltenden Datenschutzerklärungen und -bestimmungen.
Cookies
PKCA kann auf ihrer Webseite Cookies verwenden. Cookies enthalten eine sogenannte Cookie-ID, eine eindeutige Kennung des Cookies, welche Webseiten und Server einem konkreten Internetbrowser zuordnet. Ein bestimmter Internetbrowser kann über diese eindeutige Cookie-ID wiedererkannt und identifiziert werden.
4.6 Sonstige Daten
Daten von Ihnen erhebt die PKCA auch in anderen Situationen. Im Zusammenhang mit behördlichen oder gerichtlichen Verfahren etwa fallen Daten an (wie Akten, Beweismittel etc.), die sich auch auf Sie beziehen können. Aus Gründen des Gesundheitsschutzes kann die PKCA ebenfalls Daten erheben.
5. Woher stammen die Personendaten?
5.1 Von Ihnen überlassene Daten
Gewisse Personendaten geben Sie der PKCA selbst bekannt, z.B. wenn Sie der PKCA Daten übermitteln oder mit der PKCA kommunizieren. Dies kann über diverse Kanäle erfolgen.
5.2 Von Dritten erhaltene Daten
Personendaten erhält die PKCA im Zusammenhang mit der Durchführung der beruflichen Vorsorge hauptsächlich von aktuellen oder ehemaligen Arbeitgebenden. Diese sind gesetzlich verpflichtet, der PKCA alle für die Durchführung der beruflichen Vorsorge erforderlichen Daten zuzustellen. Die PKCA kann aber auch von anderen Dritten Angaben über Sie erhalten, z.B. von Unternehmen, mit denen die PKCA zusammenarbeitet, von Personen, die mit der PKCA kommunizieren, oder aus öffentlichen Quellen.
Die PKCA kann z.B. von folgenden Dritten Personendaten erhalten:
- von Arbeitgebern;
- von Personen aus Ihrem Umfeld (Familienangehörige, Rechtsvertreter etc.), z.B. Vollmachten;
- von der schweizerischen Post und von öffentlichen Ämtern, z.B. für Adressaktualisierungen;
- von Banken und anderen Finanzdienstleistern, Privat- und Sozialversicherungen, Vorsorge- und Freizügigkeitseinrichtungen;
- von Sachverständigen und von Ärzten und anderen Leistungserbringern, von denen die PKCA bei Abklärungen auch Gesundheitsdaten erhält, allenfalls mit separater Entbindungserklärung;
- von Dienstleistern;
- von Behörden, Gerichten, Parteien und anderen Dritten im Zusammenhang mit behördlichen und gerichtlichen Verfahren;
- aus öffentlichen Registern wie z.B. dem Betreibungs- oder Handelsregister, von öffentlichen Stellen wie z.B. dem Bundesamt für Statistik, aus den Medien oder aus dem Internet.
Die Daten, die die PKCA gemäss dieser Datenschutzerklärung bearbeitet, beziehen sich nicht nur auf versicherte Personen, sondern oft auch auf Dritte. Wenn Sie der PKCA Daten über Dritte übermitteln, geht die PKCA davon aus, dass Sie dazu befugt und diese Daten richtig sind. Mit der Übermittlung von Daten über Dritte bestätigen Sie dies. Bitte informieren Sie diese Dritten deshalb über die Bearbeitung ihrer Daten durch die PKCA und übergeben Sie ihnen eine Kopie dieser Datenschutzerklärung.
6. Für welche Zwecke werden Personendaten bearbeitet?
Die Bearbeitung von Personendaten erfolgt in erster Linie zum Zweck der Durchführung der beruflichen Vorsorge. Dazu gehören z.B.
- der Abschluss und die Abwicklung von Anschlussverträgen mit dem Arbeitgeber einschliesslich der Beratung, der Durchsetzung von Rechtsansprüchen aus Verträgen, der Buchführung und der Beendigung von Verträgen.
- die Aufnahme versicherter Personen. Nebst Stammdaten werden für jede versicherte Person eines oder mehrere Vorsorgekapitalkonten geführt, für die Angaben zu Beiträgen, Einkäufen, Altersguthaben und Auszahlungen zu bearbeiten sind;
- die Prüfung und Abwicklung von Vorsorgefällen einschliesslich der Koordination mit anderen Versicherern wie z.B. der Invalidenversicherung und die Durchsetzung von Regressansprüchen. Dafür bearbeitet die PKCA vor allem Vertrags-, Fall- und Leistungsdaten der versicherten Person und von Angehörigen und Begünstigten, auch Gesundheitsdaten und Daten von Dritten wie z.B. externen Sachverständigen und Leistungserbringern;
Die PKCA bearbeitet Personendaten auch für damit zusammenhängende Zwecke, insbesondere die folgenden Zwecke:
- Kommunikation: Für die Kommunikation mit Ihnen, z.B. die Beantwortung von Anfragen;
- Vertragsabwicklung: Im Zusammenhang mit der Anbahnung, Verwaltung und Abwicklung von Vertragsbeziehungen;
- Sicherheit und Prävention: Zu Sicherheitszwecken, zur Gewährleistung der IT-Sicherheit, zur Betrugs- und Missbrauchsprävention und zu Beweiszwecken;
- Einhaltung rechtlicher Anforderungen: Schaffung der Voraussetzungen zur Einhaltung rechtlicher Anforderungen, um rechtliche Pflichten einzuhalten und Verstösse zu verhindern und aufzudecken.
- Rechtswahrung: Zur Durchsetzung von Ansprüchen und zur Verteidigung gegen Ansprüche anderer. PKCA bearbeitet Personendaten deshalb auch zur Rechtswahrung, z.B. um Ansprüche gerichtlich, vor- oder aussergerichtlich und vor Behörden im Inland und erforderlichenfalls auch im Ausland durchzusetzen oder sich gegen Ansprüche zu verteidigen.
- Weitere Zwecke: z.B. im Rahmen der internen Abläufe und Administration. Dazu gehören die Verwaltung der IT, die Buchhaltung, die Archivierung von Daten und die Bewirtschaftung der Archive; die Schulung und Ausbildung; die Prüfung oder Durchführung von gesellschaftsrechtlichen Transaktionen; die Weiterleitung von Anfragen an die zuständigen Stellen; der Verkauf von Forderungen, bei dem wir dem Erwerber z.B. Informationen über Grund und Höhe der Forderung und ggf. Bonität und Verhalten des Schuldners übermitteln; generell die Prüfung und Verbesserung interner Abläufe.
7. Gestützt auf welche Rechtsgrundlagen werden Personendaten bearbeitet?
Im Bereich der obligatorischen beruflichen Vorsorge bearbeitet die PKCA die Personendaten auf Grundlage der anwendbaren gesetzlichen Bestimmungen, das heisst die Gesetzgebung über die berufliche Vorsorge: insbesondere durch das Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (BVG) und das Bundesgesetz über die Freizügigkeit in der beruflichen Vorsorge (FZG) und die zugehörigen Verordnungen. Als Bundesorgan bearbeitet die PKCA Ihre Personendaten in diesem Bereich im Rahmen der gesetzlichen Bearbeitungsbefugnisse (z.B. Art. 85a ff. BVG).
Im Bereich der überobligatorischen Vorsorge untersteht die Datenbearbeitung den Bestimmungen des Datenschutzgesetzes (DSG). Die PKCA bearbeitet Ihre Personendaten in diesem Rahmen insbesondere für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Massnahmen (z.B. die Prüfung eines Vertragsantrags), für die Wahrnehmung berechtigter Interessen, gestützt auf eine separate Einwilligung oder zur Einhaltung von Rechtsvorschriften.
8. Wem werden Personendaten weitergegeben?
Die Durchführung der beruflichen Vorsorge bedingt teilweise die Zusammenarbeit mit weiteren Stellen. Sämtliche Datenbekanntgaben, welche die PKCA vornimmt, sind aus rechtlichen oder operativen Gründen erforderlich. Werden Personendaten durch externe Auftragsbearbeiter oder Verantwortliche bearbeitet, stellt die PKCA sicher, dass die gesetzlichen Vorgaben eingehalten werden.
Sie finden im Folgenden eine Übersicht über die Kategorien von Empfängerinnen und Empfängern, denen die PKCA Daten bekanntgeben kann:
- Arbeitgeber: Diese erhalten keine Daten über Ihre Gesundheit oder Vorgänge wie z.B. Einkäufe, Vorbezüge usw.
- Freizügigkeitseinrichtungen, andere Vorsorgeeinrichtungen, Behörden und Ämtern (z.B. Sozialversicherern wie insbesondere die Invalidenversicherung oder Sozialämtern), andere Versicherer, medizinische Leistungserbringer und Sachverständige, Banken und Kreditgeber, Gerichte und externe Anwälten: Diese erhalten Daten insbesondere bei Vorsorgefällen.
- Behörden und Ämter.
- Weitere Personen: Wo sich ein Einbezug von Dritten aus den Zwecken gemäss Ziff. 6 ergibt, können Daten auch an andere Empfänger bekanntgegeben werden.
- Dienstleister: Diese Dienstleister bearbeiten die Personendaten im Auftrag der PKCA als sog. «Auftragsbearbeiter». Diese Auftragsbearbeiter sind verpflichtet, Personendaten ausschliesslich nach den Instruktionen der PKCA zu bearbeiten sowie geeignete Massnahmen zur Datensicherheit zu treffen. Bestimmte Dienstleister sind auch gemeinsam mit der PKCA oder selbständig verantwortlich (siehe Ziffer 2). Durch die Auswahl der Dienstleister und durch geeignete vertragliche Vereinbarungen stellt die PKCA sicher, dass der Datenschutz während der gesamten Bearbeitung Ihrer Personendaten sichergestellt ist.
Die genannten Bekanntgaben sind aus rechtlichen oder operativen Gründen erforderlich. Gesetzliche und vertragliche Geheimhaltungspflichten stehen diesen Bekanntgaben deshalb nicht entgegen.
9. Werden Personendaten ins Ausland bekannt gegeben?
Nein, die PKCA bearbeitet die Personendaten grundsätzlich in der Schweiz.
10. Wie werden besonders schützenswerte Personendaten bearbeitet?
Bestimmte Arten von Personendaten gelten datenschutzrechtlich als «besonders schützenswert», z.B. Angaben über die Gesundheit und biometrische Merkmale. Die PKCA bearbeitet besonders schützenswerte Personendaten nur, soweit dies im Zusammenhang mit der Durchführung der beruflichen Vorsorge erforderlich ist, insbesondere bei der Bearbeitung von Invaliditätsfällen, und mit Ihrer separaten Einwilligung.
11. Werden automatisierte Entscheidungen getroffen?
PKCA nutzt keine automatisierte Entscheidungsfindung.
12. Wie werden Personendaten geschützt?
Die PKCA trifft angemessene Sicherheitsmassnahmen, um die Sicherheit Ihrer Personendaten zu wahren
Die PKCA stellt sicher, dass die von ihr beauftragten Datenbearbeiter angemessene Sicherheitsmassnahmen technischer und organisatorischer Natur treffen, um die Sicherheit Ihrer Personendaten zu wahren, um sie gegen unberechtigte oder unrechtmässige Bearbeitungen zu schützen und der Gefahr des Verlusts, einer unbeabsichtigten Veränderung, einer ungewollten Offenlegung oder eines unberechtigten Zugriffs entgegenzuwirken. Wie alle Unternehmen kann die PKCA Datensicherheitsverletzungen aber nicht mit letzter Sicherheit ausschliessen; gewisse Restrisiken sind unvermeidbar.
13. Wie lange werden Personendaten bearbeitet?
Die PKCA bearbeitet und speichert Ihre Personendaten,
- solange es für den jeweiligen Zweck der Bearbeitung erforderlich ist;
- solange die PKCA ein berechtigtes Interesse an der Speicherung hat. Das kann insbesondere dann der Fall sein, wenn Personendaten benötigen werden, um Ansprüche durchzusetzen oder abzuwehren, zu Archivierungszwecken und zur Gewährleistung der IT-Sicherheit;
- solange die PKCA einer gesetzlichen Aufbewahrungspflicht unterliegt.
14. Welche Rechte haben Sie im Zusammenhang mit der Bearbeitung Ihrer Personendaten?
Sie haben das Recht,
- Auskunft über Ihre bei der PKCA gespeicherten Personendaten zu verlangen;
- unrichtige oder unvollständige Personendaten korrigieren zu lassen;
- die Löschung oder Anonymisierung Ihrer Personendaten zu verlangen, falls sie für die Durchführung der beruflichen Vorsorge nicht (mehr) erforderlich sind;
- das Recht, die Einschränkung der Bearbeitung Ihrer Personendaten zu verlangen, insoweit die Bearbeitung für die Durchführung der beruflichen Vorsorge nicht (mehr) erforderlich ist;
- bestimmte Personendaten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten;
- eine Einwilligung mit Wirkung für die Zukunft zu widerrufen, soweit eine Bearbeitung auf einer Einwilligung beruht.
Bitte beachten Sie, dass diese Rechte im Einzelfall eingeschränkt oder ausgeschlossen sein können, z.B. wenn Zweifel an der Identität bestehen oder dies zum Schutz anderer Personen, zur Wahrung von schutzwürdigen Interessen oder zur Einhaltung gesetzlicher Verpflichtungen erforderlich ist.
Es steht Ihnen auch frei, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen, wenn Sie Bedenken haben, ob die Bearbeitung Ihrer Personendaten rechtskonform ist. Zuständige Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
15. Wie können Sie uns kontaktieren?
Bei Fragen zu dieser Datenschutzerklärung oder zur Bearbeitung Ihrer Personendaten wenden Sie sich an:
Pensionskasse der C&A Gruppe, Datenschutz, Oberneuhofstrasse 6, 6340 Baar
Die PKCA hat zudem einen Datenschutzberater ernannt. Der Datenschutzberater fungiert unter anderem als Ansprechpartner für die Aufsichtsbehörde. Er ist unter obiger Adresse zu erreichen.
16. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung kann im Lauf der Zeit angepasst werden, insbesondere wenn die PKCA die Datenbearbeitungen ändert oder wenn neue Rechtsvorschriften anwendbar werden. Generell gilt für Datenbearbeitungen jeweils die Datenschutzerklärung in der bei Beginn der betreffenden Bearbeitung aktuellen Fassung.
August 2023