Umgang mit Outsourcing und Clouddiensten

Nach § 7 Abs. 1 Gesetz über die Informationen und den Datenschutz (Informations- und Datenschutzgesetz, IDG, SGS 162) kann ein öffentliches Organ das Bearbeiten von Informationen einer Auftragsdatenbearbeiterin oder einem Auftragsdatenbearbeiter übertragen. Dies ist aber nur möglich, wenn dem keine rechtliche Bestimmung oder vertragliche Vereinbarung entgegensteht (§ 7 Abs. 1 Bst. a IDG). Ausserdem muss sichergestellt werden, dass die Informationen nur so bearbeitet werden, wie es das öffentliche Organ tun dürfte (§ 7 Abs. 1 Bst. b IDG). Das öffentliche Organ bleibt für den Umgang mit Informationen nach dem IDG verantwortlich (§ 7 Abs. 2 IDG).

Von einer Auftragsdatenbearbeitung wird allgemein gesprochen, wenn ein (kantonales oder kommunales) öffentliches Organ (Auftraggeber) Informationen zur Erfüllung seiner gesetzlichen Aufgabe ausserhalb der öffentlichen Organisation durch externe Dritte (Auftragnehmer) bearbeiten lässt. Im Zusammenhang mit der Auftragsdatenbearbeitung werden oftmals synonym die Begriffe «Auslagerung der Datenbearbeitung», «Outsourcing» oder «Auftragsbearbeitung» verwendet.  Das Bearbeiten umfasst begrifflich jeden Umgang mit Informationen wie das Beschaffen, Aufbewahren, Lesen, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten sowie Durchführen logischer und/oder rechnerischer Operationen mit diesen Informationen (§ 3 Abs. 5 IDG). So können beispielsweise private (IT-)Firmen mit der Unterstützung bei der Geschäftsverwaltung durch eine kantonale oder kommunale Behörde beauftragt werden. Beispiele dafür sind der Beizug eines privaten Unternehmens zum Druck und Versand von Rechnungen, zum Betrieb und zur Wartung der Infrastruktur, zum Webhosting oder auch für Support.

Abgrenzung: Die Übertragung bzw. Auslagerung oder Ausgliederung einer öffentlichen Aufgabe unterscheidet sich von einer Auftragsdatenbearbeitung. Hier wird eine bestimmte öffentliche Aufgabe, die ein öffentliches Organ (Auftraggeber) im Rahmen einer gesetzlichen Bestimmung wahrnimmt, auf externe private Dritte übertragen. Die extern beauftragten privaten Dritten erfüllen dabei die übertragene öffentliche Aufgabe in eigener Verantwortung. Beispiele für diesen Bereich sind Privatspitäler mit kantonalen Leistungsaufträgen oder private Institutionen wie Spitex oder Sonderschulen, die mit öffentlichen Aufgaben betraut sind. Im Rahmen dieser selbstständigen Aufgabenwahrnehmung werden sie selber zu einem öffentlichen Organ im Sinne von § 3 Abs. 1 Bst. c IDG und das IDG findet somit direkt Anwendung auf den beauftragten privaten Dritten. Die Vorgaben des kantonalen Gesetzes hinsichtlich der Datenbearbeitung und der Informationssicherheit sind bei der Erfüllung der Aufgabe zu beachten. Ebenso gilt die auf dem IDG basierende Informations- und Datenschutzverordnung (IDV, SGS 162.11).

Weitere Informationen und die wichtigsten Datenschutzanforderungen sind im Merkblatt «Datenbearbeitung im Auftrag» i.S.v. § 7 IDG der Aufsichtsstelle Datenschutz unter folgendem Link zu finden.