Datenschutz hat für die AXA Stiftung Berufliche Vorsorge, Winterthur (im Folgenden «Stiftung») einen hohen Stellenwert. In dieser Datenschutzerklärung wird erläutert, wie und zu welchem Zweck Personendaten von Ihnen im Zusammenhang mit der Durchführung der beruflichen Vorsorge erhoben und bearbeitet (z. B. gespeichert, genutzt, übermittelt etc.) werden, an wen Ihre Personendaten weitergeben werden und welche Rechte Sie in diesem Zusammenhang gemäss der Datenschutzgesetzgebung oder anderen Rechtsgrundlagen haben.
Diese Datenschutzerklärung enthält keine abschliessende Beschreibung der Datenbearbeitungen der Stiftung, und einzelne Sachverhalte können ganz oder teilweise durch spezifische Datenschutzerklärungen, allgemeine Geschäftsbedingungen, Merkblätter oder ähnliche Dokumente geregelt sein (mit oder ohne Verweis in dieser Datenschutzerklärung).
Die Stiftung bezweckt die Durchführung der beruflichen Alters-, Hinterlassenen- und Invalidenvorsorge. Sie schützt die Arbeitnehmenden und Arbeitgebenden der ihr angeschlossenen Unternehmen nach Massgabe ihrer Reglemente gegen die wirtschaftlichen Folgen des Erwerbsausfalls infolge von Alter, Tod und Invalidität. Sie erbringt Leistungen nach den Vorschriften über die obligatorische berufliche Vorsorge und bietet auch Vorsorgepläne an, die die Minimalvorschriften des Gesetzes übersteigen oder nur ausserobligatorische Leistungen umfassen. Zu diesem Zweck bearbeitet sie die Personendaten von Aktivversicherten sowie von Rentnerinnen und Rentnern (gemeinsam die «Destinatärinnen und Destinatäre») aus den ihr angeschlossenen Betrieben. Mit der Verwaltung und dem Vertrieb ist die AXA Leben AG beauftragt.
Die AXA Leben AG bearbeitet für die Stiftung Personendaten zum Zweck der Durchführung der beruflichen Vorsorge und zur Erhaltung und Weiterführung des im Rahmen der beruflichen Vorsorge erworbenen Vorsorgeschutzes im Ausmass der ihr übertragenen Aufgaben. Hierfür ist sie auf die Personendaten einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile angewiesen, um die ihr von der Stiftung übertragenen Aufgaben entsprechend den anwendbaren gesetzlichen Grundlagen zu erfüllen.
Weitere Informationen zum Datenschutz bei der AXA Leben AG entnehmen Sie bitte der Datenschutzerklärung der AXA Leben AG, die Sie hier abrufen können.
Unter Personendaten werden im Folgenden sämtliche Informationen verstanden, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (z. B. Name, Geburtsdatum, E-Mail-Adresse, IP-Adresse). Nicht als Daten gelten Informationen, die anonymisiert oder aggregiert sind und nicht (mehr) zur Identifizierung einer bestimmten Person verwendet werden können.
Zur Bearbeitung von Daten zählt jeder Umgang mit Personendaten, z. B. die Beschaffung, Speicherung, Nutzung, Bekanntgabe, Veränderung, Archivierung oder Löschung von Daten.
Rechtsgrundlage und Zweck für die Bearbeitung Ihrer Daten ist in erster Linie die Durchführung der beruflichen Vorsorge, gestützt auf das Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge (BVG), das Bundesgesetz über die Freizügigkeit in der beruflichen Vorsorge (FZG) sowie die dazugehörigen Verordnungen.
Darüber hinaus stützt sich die Bearbeitung der Daten auf die Anbahnung und/oder Erfüllung des Anschlussvertrags, das Vorliegen einer rechtlichen Verpflichtung und/oder einer Einwilligung (durch Sie oder eine durch Sie bevollmächtigte Person) sowie auf das überwiegende berechtigte Interesse der Stiftung (d. h. insbesondere um die beschriebenen Zwecke und damit verbundenen Ziele zu verfolgen und entsprechende Massnahmen durchführen zu können).
Die Bearbeitung Ihrer Personendaten beruht auf den Grundsätzen der Korrektheit, der Rechtmässigkeit, der Transparenz, der Datenminimierung, der Verhältnismässigkeit, der Verantwortlichkeit und der Datensicherheit.
Diese Datenschutzerklärung richtet sich nach den Anforderungen des Schweizer Datenschutzgesetzes (DSG), der ausführenden Verordnung (DSV) und – soweit anwendbar – weiterer im Einzelfall geltender Gesetze zum Datenschutz. Die vorliegenden Datenschutzbestimmungen beinhalten keine abschliessende Beschreibung der Datenbearbeitungen der Stiftung; einzelne Sachverhalte werden ganz oder teilweise durch spezifische Informationen (mit oder ohne Verweis auf diese Datenschutzbestimmungen) geregelt. Es gibt Ausnahmen von der datenschutzrechtlichen Informationspflicht: Diese entfällt, wenn die Information nicht möglich ist oder einen unverhältnismässigen Aufwand erfordert, wenn Sie bereits über die Datenbearbeitung informiert sind, wenn die Bearbeitung gesetzlich vorgesehen ist oder wenn die Stiftung gesetzlich zur Geheimhaltung verpflichtet ist.
Für die Datenbearbeitung verantwortlich ist:
AXA Stiftung Berufliche Vorsorge, c/o AXA Leben AG, Winterthur, General-Guisan-Strasse 40, CH-8400 Winterthur
Die Kontaktdaten des Datenschutzberaters sind:
Swiss Infosec AG
Centralstrasse 8A
6210 Sursee
E-Mail: DSB@infosec.ch
Dazu gehören z. B. Vor- und Nachname, Geschlecht, Geburtsdatum, Alter, Zivilstand, Sprache, Nationalität, Geburtsort, Heimatort, Aufenthaltsstatus, Angaben zu Familienangehörigen, Telefonnummer, E-Mail-Adresse, Kundenhistorie, Vollmachten, Unterschriftsberechtigungen, Einwilligungserklärungen.
Dazu gehören Angaben, die im Zuge des Antrags mitgeteilt werden, z. B. Angaben zum versicherten Risiko, zum Beschäftigungsgrad, zum Anstellungsverhältnis und zur Arbeitsfähigkeit, Antworten auf Fragen, Sachverständigenberichte, Angaben der Vorversicherin über den bisherigen Schadenverlauf sowie Angaben zu Beziehungen zu Drittpersonen, die von der Datenbearbeitung mitbetroffen sind (z. B. Begünstigte).
Das sind Daten, die im Zusammenhang mit einem Anschlussvertragsabschluss bzw. der Vertragsabwicklung anfallen. Dazu gehören z. B. die Sozialversicherungsnummer, die Policen- resp. Vertragsnummer, die Art der Versicherung und die Deckung, der Risikobeschrieb, Leistungen, die Prämie und die Vertragsdauer.
Dies sind Angaben im Zusammenhang mit der Bearbeitung von Vorsorgefällen: Meldung des Eintritts eines Vorsorgefalls, Angaben über den Grund des Vorsorgefalls (z. B. Unfall, Krankheit, Ereignisdatum etc.) und weitere Angaben im Zusammenhang mit der Prüfung und Beurteilung des Vorsorgefalls (z. B. Angaben über besonders schützenswerte Personendaten, zu beteiligten Personen und zu Dritten wie Versicherungen etc.), Angaben zu Austrittsleistungen und anderen Leistungsfällen.
Dazu gehören z. B. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, sowie Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen.
Das sind Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen. Dazu gehören z. B. Diagnosen, medizinische Berichte sowie Meldungen zu Krankheiten und anderen körperlichen oder psychischen Beeinträchtigungen.
Dazu gehören z. B. Lohndaten, Zahlungsverbindungsdaten, Prämieneingänge und -ausstände, Mahnungen und Guthaben.
Dazu gehören z. B. Schadenmeldungen, medizinische Berichte, Diagnosen, Abklärungsberichte, Rechnungsbelege und das Rentendatum.
Dazu gehören Angaben über das persönliche Verhalten, z. B. wie die Website der AXA, www.axa.ch, und daran anknüpfende Dienste (nachfolgend «Website») genutzt werden, sowie Daten zu den persönlichen Präferenzen und Interessen.
Dazu gehören z. B. die IP-Adresse, Cookies, Metadaten, Protokolle, in denen die Verwendung der Systeme aufgezeichnet sind, IP-Pakete und andere technische Identifikationsdaten sowie Daten im Zusammenhang mit der Online-/Telefonkommunikation.
Daten von Destinatärinnen und Destinatären, die im Rahmen des Eintrittsprozesses durch den Arbeitgebenden mitgeteilt werden, werden für die Durchführung der beruflichen Vorsorge bearbeitet. Dadurch wird sichergestellt, dass die Destinatärin oder der Destinatär gemäss den Vorschriften zur beruflichen Vorsorge ordnungsgemäss registriert und versichert wird. Die erfassten Daten werden bearbeitet, um sicherzustellen, dass die Beiträge korrekt berechnet werden und die Destinatärin oder der Destinatär im Falle von Ansprüchen oder Invalidität die Leistungen erhält, auf die sie oder er Anspruch hat. Darüber hinaus ermöglicht die Bearbeitung von Personendaten von Destinatärinnen und Destinatären der Stiftung auch eine effektive Verwaltung der Versicherungsverträge, einschliesslich der Abwicklung von Auszahlungen und der Kommunikation mit Ihrem Arbeitgebenden und den Arbeitnehmenden.
Darüber hinaus werden Personendaten von Ihnen und weiteren Personen bearbeitet, soweit dies erlaubt ist und angezeigt erscheint, auch für folgende Zwecke, an denen die Stiftung und zuweilen auch Dritte ein dem Zweck entsprechendes berechtigtes Interesse haben:
Als Rechtsgrundlage für die Bearbeitung Ihrer Personendaten im Bereich der obligatorischen beruflichen Vorsorge stützt sich die Stiftung regelmässig auf eine gesetzliche Grundlage, so namentlich auf:
sowie die dazugehörigen Verordnungen. Als Bundesorgan bearbeitet die Stiftung Ihre Personendaten in diesem Bereich im Rahmen der gesetzlichen Bearbeitungsbefugnisse (z. B. Art. 85a ff. BVG).
Im Bereich der überobligatorischen beruflichen Vorsorge sowie in anderen nicht obligatorischen Bereichen bearbeitet die Stiftung Ihre Personendaten gestützt auf:
Die Stiftung erhält Personendaten von Ihnen, wenn Sie ihr Daten übermitteln oder mit ihr in Kontakt treten. Dies kann über verschiedene Kanäle erfolgen, z. B. über das Onlineportal für Arbeitgebende respektive für Versicherte, über diverse Mittel, durch die Sie mit der Stiftung kommunizieren (z. B. E-Mail, briefliche Mitteilungen, Telefon, Fax etc.) oder über die Nutzung der Stiftungs-Website oder den Bezug von anderen Dienstleistungen, die die Stiftung Ihnen im Rahmen ihrer Geschäftstätigkeit anbietet.
Personendaten erhält die Stiftung im Zusammenhang mit der Durchführung der beruflichen Vorsorge gemäss den gesetzlichen Vorschriften. Zudem erhält die Stiftung Personendaten von Dritten, mit denen sie zusammenarbeitet, um die Geschäftstätigkeit im Rahmen der beruflichen Vorsorge und der Bereitstellung von Dienstleistungen durchführen zu können. Sodann erhält die Stiftung Personendaten aus öffentlichen Quellen.
Die Stiftung erhält z. B. Personendaten von folgenden Dritten:
Falls Ihre Personendaten nicht von der Stiftung, sondern von der AXA Leben AG, von Auftragsbearbeitenden oder von anderen Verantwortlichen bearbeitet werden, stellt die Stiftung vertraglich sicher, dass die gesetzlichen Vorgaben vollumfänglich eingehalten werden. Eine Weitergabe an Dritte findet grundsätzlich nur statt, wenn:
Die Stiftung gibt Personendaten im Rahmen ihrer geschäftlichen Aktivitäten und zu den oben genannten Zwecken, soweit dies erlaubt und angezeigt ist, auch Dritten bekannt, sei es, weil diese Dritten die Daten für die Stiftung bearbeiten (Auftragsbearbeitung), sei es, weil sie die Daten für ihre eigenen Zwecke verwenden (Datenbekanntgabe). Dabei geht es insbesondere um folgende Dritte (alle nachfolgend «Empfänger» genannt):
Die Empfänger sind teilweise im Inland, teilweise aber auch im Ausland ansässig. Sie müssen insbesondere mit der Übermittlung Ihrer Daten in andere Länder Europas und den USA rechnen, wo sich einige der von der Stiftung in Anspruch genommenen IT-Dienstleister:innen befinden können.
Wenn die Stiftung Daten ausnahmsweise in ein Land übermittelt, in dem kein angemessenes gesetzliches Datenschutzniveau besteht (wie etwa in den USA), verlangt sie, dass der Empfänger angemessene Massnahmen zum Schutz von Personendaten trifft (z. B. mittels der Vereinbarung von sog. EU-Standardklauseln, aktuelle Version hier abrufbar, anderer Vorkehrungen oder gestützt auf Rechtfertigungsgründe).
Die erhobenen Daten bearbeitet die Stiftung so lange, wie es unter Beachtung der gesetzlichen Aufbewahrungsfristen (Buchführung, Verjährung, Gesellschaftsrecht, Steuer- und Sozialversicherungsrecht), vertraglichen Aufbewahrungsfristen und behördlichen Verpflichtungen, zur Erfüllung der genannten Bearbeitungszwecke sowie aufgrund der überwiegenden berechtigten Interessen (z. B. Dokumentations- und Beweiszwecke) erforderlich ist (insbesondere zum Nachweis oder zur Abwehr von Ansprüchen und zum Nachweis einer guten Data Governance). Die gesetzlichen Aufbewahrungsfristen liegen in der Regel bei mindestens 10 Jahren. Das Sozialversicherungsrecht sieht längere Aufbewahrungsfristen vor. Die gesetzlichen Verjährungsfristen liegen in der Regel zwischen 5 und 20 Jahren.
Sie haben das Recht,
Bitte beachten Sie, dass die Stiftung sich vorbehält, die gesetzlich vorgesehenen Einschränkungen geltend zu machen, etwa wenn die Stiftung zur Aufbewahrung oder Bearbeitung gewisser Daten verpflichtet ist, daran ein überwiegendes Interesse hat (soweit sie sich darauf berufen darf) oder diese Daten für die Geltendmachung von Ansprüchen benötigt.
Beachten Sie, dass die Ausübung dieser Rechte im Konflikt zu vertraglichen Abmachungen stehen kann und dies Folgen wie z. B. die vorzeitige Vertragsauflösung oder Kostenfolgen haben kann. Die Stiftung wird Sie in einem solchen Fall vorgängig informieren, sollte dies nicht bereits vertraglich geregelt sein.
Wenn Sie glauben, dass die Bearbeitung Ihrer Personendaten gegen das Datenschutzrecht verstösst oder Ihre datenschutzrechtlichen Ansprüche sonst in irgendeiner Weise verletzt worden sind, können Sie sich ausserdem bei der zuständigen Aufsichtsbehörde beschweren. In der Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB; https://www.edoeb.admin.ch/).
Die Ausübung Ihrer datenschutzrechtlichen Rechte setzt in der Regel voraus, dass Sie Ihre Identität eindeutig nachweisen (z. B. durch eine Ausweiskopie, sofern Ihre Identität sonst nicht klar ist bzw. verifiziert werden kann). Zur Geltendmachung Ihrer Rechte kontaktieren Sie die Stiftung bitte per E-Mail unter der in Ziffer 2 bezeichneten E-Mail-Adresse.
Diese Datenschutzerklärung kann im Lauf der Zeit angepasst werden, insbesondere wenn die Stiftung ihre Datenbearbeitungen ändert oder wenn neue Rechtsvorschriften anwendbar werden. Generell gilt für Datenbearbeitungen jeweils die Datenschutzerklärung in der bei Beginn der betreffenden Bearbeitung aktuellen Fassung.