|
Die Bearbeitung von Personendaten im Auftrag hat in den letzten Jahren stark an Bedeutung gewonnen. Gerade auch im grenzüberschreitenden Dienstleistungssektor, aber auch bei Behörden ist die Auftragsdatenbearbeitung mittlerweile zum Alltag geworden.
"Cloud Computing" ist ein typischer Fall einer Datenbearbeitung im Auftrag, die viele datenschutzrechtlich relevanten Fragen aufwirft; ausführliche Informationen zum Cloud Computing finden Sie hier.
Art. 19 DSG regelt die Voraussetzungen, unter denen eine Datenbearbeitung im Auftrag zulässig ist:
1. Verantwortung / Haftung
Entscheidend ist, dass der Auftraggeber immer für die Daten und deren rechtmässige Bearbeitung verantwortlich bleibt mit der Folge, dass gegen ihn/sie deliktische Haftungsansprüche nicht nur auf Grund seines/ihres eigenen Verhaltens, sondern auch auf Grund des Verhaltens des Auftragsbearbeiters möglich sind. Der Auftraggeber hat daher Sorge dafür zu tragen, dass der Auftragsdatenbearbeiter die Personendaten nur so bearbeitet, wie er/sie es selbst tun dürfte, Art. 19 Abs. 1 Bst. a) DSG. Um dies zu ermöglichen, sieht Art. 19 Abs. 2 DSG vor, dass der Auftragsdatenbearbeiter denselben Pflichten unterliegt und auch dieselben Rechtfertigungsgründe geltend machen kann wie der Auftraggeber.
Aus diesem Grund empfiehlt es sich, eine vertragliche Vereinbarung zu treffen, in der nicht nur die Datenbearbeitung an sich, sondern auch die Datensicherheit, Haftung, Möglichkeit von Kontrollen, etc. klar geregelt werden, s. unten zu 3. Dokumentation.
2. Geheimhaltungspflichten
Der Auftragsdatenbearbeitung dürfen keine gesetzlichen oder vertraglichen Geheimhaltungspflichten entgegenstehen, Art. 19 Abs. 1 Bst. b) DSG.
Umgekehrt sollte der Auftragsdatenbearbeiter auch zur Geheimhaltung verpflichtet werden, vgl. Art. 10 DSG Datengeheimnis. Was unter das Datengeheimnis nach Art. 10 DSG fällt, können Sie hier nachlesen. In diesem Zusammenhang empfiehlt es sich daher immer, den Auftragsdatenbearbeiter eine Geheimhaltungserklärung unterzeichnen zu lassen. Über den Online-Schalter auf der Homepage der DSS kann die Mustervorlage einer Datenschutz- und Geheimhaltungserklärung abgerufen werden.
3. Dokumentation
Zum Zwecke der Beweissicherung sind nach Art. 19 Abs. 3 DSG
- die datenschutzrelevanten Elemente des Vertrags und
- die Anforderungen an die Datensicherheit
schriftlich oder in einer anderen Form zu dokumentieren.
| Datenschutzgesetz |  |
DSG | |
Art. 10 DSG
Datengeheimnis
Wer Daten bearbeitet oder bearbeiten lässt, hat Daten aus Datenanwendungen, die ihm aufgrund seiner beruflichen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.
Art. 19 DSG
Datenbearbeitung im Auftrag
1) Das Bearbeiten von Personendaten kann einem Dritten übertragen werden, wenn:
a) der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und
b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.
2) Der Dritte unterliegt denselben Pflichten und kann dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber.
3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf Massnahmen nach Abs. 1 und 2 schriftlich oder in einer anderen Form zu dokumentieren.
|
