Merkblatt Mandat für die Auslagerung der Datenbearbeitung

Das vorliegende Merkblatt stützt sich auf die Beratungskompetenz der Beauftragten (Art. 54 Abs. 2 Bst. b des Gesetzes vom 12. Oktober 2023 über den Datenschutz des Kantons Freiburg, DSchG; SGF 17.1). Es ist als Leitfaden gedacht mit dem Ziel, die öffentlichen kantonalen oder kommunalen Behörden zu begleiten, wenn sie die Zusammenarbeit mit privaten Personen und Unternehmen für die Bearbeitung ihrer Daten suchen. Diese Zusammenarbeit kann sich auf die technische Seite der Bearbeitung beziehen; sie kann auch die materielle Bearbeitung von Personendaten betreffen, unabhängig davon, ob sie teilweise oder vollumfänglich erfolgt, wie beispielsweise die Sammlung von Daten, deren Beherbergung oder die Bearbeitung an sich. Der Inhalt des Mandats wird durch den Verantwortlichen der Datenbearbeitung definiert / evtl. durch die Parteien und ist auf den Einzelfall anzupassen. Wir weisen ebenfalls auf die Bestimmungen des Reglements vom 29. Juni 1999 über die Sicherheit der Personendaten (DSR; SGF 17.15) hin.

Dieses Merkblatt wird ergänzt durch eine Checkliste für die Vertragsgestaltung sowie eine Charta (siehe Beilagen).

Die Dienststellen der kantonalen und kommunalen Verwaltung ziehen häufig private Unternehmen oder Personen zur Datenbearbeitung bei. Diese Art der Auslagerung der Bearbeitung von Personendaten im Rahmen eines Auftrags, häufig auch Outsourcing genannt, ist gemäss Gesetzgebung zulässig.

Das öffentliche Organ, das mit einem Dritten einen Vertrag schliesst, bleibt für den Datenschutz verantwortlich (Art. 19 Abs. 1 und Art. 37 Abs. 1 DSchG). Es behält die Entscheidungsbefugnis über die Daten; ihm obliegt die Rechtmässigkeit der Bearbeitung und es ist verantwortlich dafür, dass die Bearbeitung mit den allgemeinen Grundsätzen des Datenschutzes konform ist. Es muss die Drittperson, die es mit der Bearbeitung beauftragen will, sorgfältig auswählen und dafür sorgen, dass der/die Beauftragte die Anforderungen des Datenschutzes einhält, insbesondere bei besonders schützenswerten Personendaten trifft dies in verstärktem Mass zu.

Der/die private Beauftragte untersteht grundsätzlich dem Bundesgesetz über den Datenschutz vom 25. September 2020 (Datenschutzgesetz, DSG; SR 235.1) und damit der Aufsicht durch den Eidgenössischen Datenschutzbeauftragten. Damit das öffentliche kantonale oder kommunale Organ, das dem kantonalen Datenschutzgesetz untersteht, eine solche Auslagerung vornehmen kann, muss es die Grundsätze und Anforderungen der Artikel 18 und folgende des kantonalen DSchG beachten.

Aus diesem Grund muss der Vertrag den Mindestanforderungen genügen, wie sie in Artikel 19 Absatz 1 Bst. b DSchG vorgesehen sind. Dies kann in Form eines Zusatzvertrags zum Hauptmandat oder in den Vertrag integriert werden.

Aus dem datenschutzrechtlichen Blickwinkel ist es wichtig, die nachfolgenden Fragen vorgängig zu klären:

• Werden Personendaten im Sinne des Datenschutzgesetzes (Art. 4 Abs. 1 Bst. a und e DSchG), unabhängig davon, ob es besonders schützenswerte Daten sind oder nicht (Art. 4 Abs. 1 Bst. c DSchG) durch einen Dritten bearbeitet?
• Ist der Verantwortliche der Bearbeitung bestimmt? Verantwortlicher oder Mitverantwortlicher (Art. 19 Abs. 2 und 4 DSchG)?
• Darf der Verantwortliche die Personendaten, die Gegenstand der Auslagerung der Bearbeitung sind, bearbeiten (Art. 19 Abs. 1 Bst. c DSchG)?
• Existiert bereits ein Vertrag mit dem Auftragnehmer, der präzisiert oder ergänzt werden muss? Sind die Datenschutzklauseln hinreichend?
• Handelt es sich um Daten, die dem Amtsgeheimnis unterstehen? Wenn ja, ist eine spezifische Vertragsklausel vorgesehen?
• Werden die dem Amtsgeheimnis unterliegenden Daten vom Auftragnehmer in der Schweiz bearbeitet/beherbergt? Gibt es eine kaskadenartige Weitervergabe an Subunternehmer/Unter-Auftragsbearbeiter im Ausland?
• Im Fall der Auftragsbearbeitung oder der Unter-Auftragsbearbeitung im Ausland, ist das entsprechende Land auf der Liste der Länder mit einem gleichwertigen Datenschutzniveau geführt (Anhang 1 der DSV = Verordnung über den Datenschutz, Datenschutzverordnung vom 31. August 2022, SR 235.11)?
• Hat der Verantwortliche der Bearbeitung alle wichtigen Aspekte der Auftragsbearbeitung beachtet? (vgl. insbesondere das Merkblatt von Privatim zur Cloud-Technologie)
• Verfügt der Verantwortliche der Datenbearbeitung über eine Risikoanalyse (Konzept ISDS = Informationssicherheit und Datenschutz)?
• Hat der Verantwortliche der Datenbearbeitung eine Kontaktperson Datenschutz/Datenschutzberater/-in («data protection officer», DPO/DPD) bestimmt?

Für die Durchführung des Mandats muss sich der Auftraggeber insbesondere der folgenden Punkte versichern:

• Gegenstand und Zweck des Auftrags müssen klar definiert sein; sei es, dass der Auftrag auf ein Projekt, eine Angelegenheit oder eine spezifische Aufgabe begrenzt wird;
• Die erwarteten Leistungen, die durch den Auftragnehmer bearbeiteten Daten und die anderen Bedingungen des Auftrags (z.B. Fristen, Fälligkeit, Preis usw.) sind klar zu fixieren;
• Die gute Umsetzung von geeigneten technischen und organisatorischen Massnahmen durch den Auftragnehmer ist sicherzustellen, um die Bedingungen des DSchG sowie des DSR zu erfüllen.

Im Rahmen der Mandatsausführung muss der Auftragnehmer insbesondere

• Sämtliche Anforderungen an den Datenschutz gewährleisten, wie es auch der Verantwortliche der Datenbearbeitung tun müsste;
• Sein Personal mit Sorgfalt auswählen;
• Die Auftragserfüllung nur durch Personen ausführen lassen, die sich vorgängig auch verpflichtet haben, die datenschutzrechtlichen Verpflichtungen einzuhalten (siehe Dokument «Charta»);
• Seinem Personal die notwendigen Anweisungen im Hinblick auf die Einhaltung des Datenschutzes zu erteilen;
• Hinreichende Garantien für die notwendigen Ressourcen (technische, organisatorische Ressourcen, Personalressourcen usw.) präsentieren, um die verschiedenen Verpflichtungen einhalten zu können (wie z.B. die Rückgabe der Daten gemäss Art. 19 Abs. 1 Bst. d DSchG);
• Sicherstellen, dass das Personal die Anforderungen des Datenschutzes einhält.

Checkliste für die Auslagerung der Bearbeitung von Personendaten

Anhang 1 : Checkliste für die Auslagerung der Bearbeitung von Personenddaten

Anhang 2 : Charta