AUFTRAG (Outsourcing)



Ähnliche Dokumente
Datenschutzrecht. Informations- und Kommunikationsrecht HS PD Dr. Simon Schlauri, Rechtsanwalt. Datenschutzrecht

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Checkliste «Datenbekanntgabe»

Probleme des Datenschutzes in der Versicherungsmedizin

D i e n s t e D r i t t e r a u f We b s i t e s

HDI-Gerling Industrie Versicherung AG

Datenschutz und Qualitätssicherung

Gesetz über den Schutz von Personendaten (Datenschutzgesetz)

FachInfo Dezember 2012

HDI-Gerling Industrie Versicherung AG

Dieses Gesetz regelt die Aktenführung, die Archivierung und die Benutzung der Unterlagen

Datenschutz im Alters- und Pflegeheim

Weisung 2: Technische Anbindung

Vernichtung von Datenträgern mit personenbezogenen Daten

Datenschutz-Politik der MS Direct AG

Weisung 2: Technische Anbindung

DATENSCHUTZREGLEMENT. vom 21. Juni ) 1) vom Kirchenverwaltungsrat erlassen am 21. Juni 2006

Weisung 2: Technische Anbindung

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Datenschutz; Weisungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Hausarzt relevante medizinische Informationen übermittelt werden, sofern der Patient damit einverstanden ist und einen Hausarzt benennt.

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Weisung zur Videoüberwachung an der Pädagogischen Hochschule Zürich

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

1. Wie kann ich eine Rückerstattung aus der Steuerkorrektur geltend machen?

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Vortrag gehalten an der Veranstaltung des Datenschutz-Forums Schweiz vom 21. Juni 2011 in Bern. RA Dr. Omar Abo Youssef

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe.

Nutzung dieser Internetseite

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Datenschutz und Archivierung

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Datenschutz-Management-System Datenschutzpolitik (13/20)

s Bundesgesetz über die Krankenversicherung. Teilrevision. Spitalfinanzierung (Differenzen)

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Das Persönliche Budget in verständlicher Sprache

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Leichte-Sprache-Bilder

BRENNPUNKT ARZTZEUGNIS

BGG 911 (bisher ZH 1/205) Grundsätze für die Anerkennung von Sachverständigen für die Prüfung von Durchleitungsdruckbehältern

Rechtliche Aspekte von Informationssicherheitsmessungen

Der Kinderarzt im Spannungsverhältnis der Strafnormen

Datenschutzvereinbarung

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Internet- und - Überwachung am Arbeitsplatz

Rechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO)

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

REGATTA.yellow8.com OESV-Edition

Datenschutz-Forum HSW. Dienstag, 5. Juni 2007, Luzern. Ursula Sury, Rechtsanwältin, Prof. an der FHZ für Informatikrecht

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

1. Weniger Steuern zahlen

Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII

«Hose abelaa!» Datenschutz im Einbürgerungsverfahren

IMI datenschutzgerecht nutzen!

Vereinbarung über privatzahnärztliche Leistungen bei der kieferorthopädischen Behandlung

Agenda. Umgang mit vertraulichen Personendaten. SG-Weiterbildungsveranstaltung. 30. Januar Teil. 1. Teil. Informationsaustausch.

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Gesetzesänderungen «Nominee», Entwurf

Reglement Mediator SAV / Mediatorin SAV

Datenschutz ist Persönlichkeitsschutz

Muster für Ausbildungsverträge im Rahmen der praxisintegrierten Ausbildung zur Erzieherin/zum Erzieher

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Arbeitsvertrag. und. Vermögenswirksame Leistungen werden ab in Höhe von gezahlt.

Was meinen die Leute eigentlich mit: Grexit?

Covermount-Rahmenvertrag. Microsoft Deutschland GmbH, Konrad-Zuse-Straße 1, Unterschleißheim - nachfolgend Microsoft -

Beitrittserklärung Verein Raumdatenpool Kanton Luzern (RDP) Kategorie A u. B

Host-Providing-Vertrag

Telekommunikation Ihre Datenschutzrechte im Überblick

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Muster für die Anmeldung der Zweigniederlassung einer Ltd.


Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Was ich als Bürgermeister für Lübbecke tun möchte

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

-Seminar: Datenschutz an Schulen

Amtsblatt der Europäischen Union L 226/3

Verordnung über die Datenschutzzertifizierungen

ANGESTELLTEN-DIENSTVERTRAG

Maklerauftrag für Vermieter

Internet- und -Überwachung in Unternehmen und Organisationen

Bewerbung. Datum/Unterschrift Oranienburg. Hiermit bewerbe ich mich bei Ihnen für eine Einstellung in den Vorbereitungsdienst zum

Der Schutz von Patientendaten

Big Data Was ist erlaubt - wo liegen die Grenzen?

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Verordnung über den Schutz von Personendaten (Kantonale Datenschutzverordnung)

zwischen der Staatlich anerkannten Berufsfachschule für Fremdsprachenberufe der Volkshochschule Landshut e.v. nachfolgend Schulleitung genannt und

Satzung über den Anschluss der Grundstücke an die öffentliche Wasserversorgungsanlage und deren Benutzung in der Stadt Freiburg i. Br.

Gesetz zur Regelung der Arbeitszeit von selbständigen Kraftfahrern. Vom 11. Juli 2012 (BGBl. I S. 1479)

Die Industrie- und Handelskammer arbeitet dafür, dass Menschen überall mit machen können

(NEUES ARBEITSVERHÄLTNIS => VORLAGE 1) zwischen. ... (Name),... (Adresse) - Arbeitgeber. und. Herr/Frau... (Name),... (Adresse) - ArbeitnehmerIn -

2.04. Verzicht auf die Bezahlung der Beiträge an die AHV, die IV, die EO und die ALV bei geringem Nebenerwerb

Transkript:

Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue 26 / Reichengasse 26 Case postale 1701 FRIBOURG / FREIBURG, Tél. 026 / 322 50 08 Fax 026 / 305 59 72 Merkblatt zum Bearbeiten von Daten im Auftrag (Outsourcing), wenn das öffentliche Organ Personendaten von einem privaten Dritten bearbeiten lässt _ 1. Zweck Dieses Merkblatt stützt sich auf die Beratungsbefugnis der Datenschutzbeauftragten (Art. 31 Abs. 2 Bst. b des Gesetzes vom 25. November 1994 über den Datenschutz, DSchG)*. Es ist als Richtlinie für die zuständigen kantonalen oder kommunalen öffentlichen Organe zu betrachten, wenn sich diese für die Bearbeitung ihrer Daten an Privatpersonen oder Privatfirmen wenden. Diese Auslagerung kann sich auf den technischen Aspekt der Bearbeitung beziehen, aber auch auf die gesamte oder einen Teil der materiellen Bearbeitung der Personendaten, wie beispielsweise die Datenerhebung. Der Auftragsinhalt ist also wandelbar und muss dem jeweiligen Einzelfall angepasst werden. Ergänzt wird das Merkblatt durch die Dokumente «Gesetzesbestimmungen», «Mustertext für Datenschutzbestimmungen im Vertrag» und «Datenschutz-Revers» (siehe Anhänge). 2. Allgemeines 2.1 Die Dienststellen der Kantons- und der Gemeindeverwaltung nehmen für die Bearbeitung ihrer Daten oft die Dienste von Privatfirmen oder Privatpersonen in Anspruch. Diese Art des Bearbeitens im Auftrag, auch Outsourcing genannt, ist gesetzlich zulässig, darf aber keinesfalls den Datenschutz beeinträchtigen. 2.2 Das öffentliche Organ, das einen Dritten beauftragt, bleibt für den Datenschutz verantwortlich (Art. 18 Abs. 1 DSchG). Es behält die Entscheidungsbefugnis bezüglich der Daten und es ist für die Rechtmässigkeit der Bearbeitung wie auch für die Vereinbarkeit der Bearbeitung mit den allgemeinen Datenschutzgrundsätzen verantwortlich. Es muss den Dritten, dem es die Daten anvertrauen will, sorgfältig auswählen und dafür sorgen, dass der Beauftragte die Datenschutzvorschriften einhält, dies ganz besonders dann, wenn es sich um besonders schützenswerte Daten handelt. 2.3 Als Private unterstehen die Beauftragten grundsätzlich dem eidgenössischen Datenschutzgesetz vom 19. Juni 1992 (DSG) und damit auch der Aufsicht des * Das Merkblatt und die Anhänge lehnen sich an die Dokumentation der Datenschutzbeauftragten des Kantons Basel- Landschaft an (Datenschutzbeauftragte des Kantons Basel-Landschaft, 4410 Liestal; www.baselland.ch)

Eidgenössischen Datenschutzbeauftragten. Damit das dem kantonalen Datenschutzgesetz unterstehende kantonale oder kommunale öffentliche Organ seine diesbezügliche Verantwortung wahrnehmen kann, bestimmt Art. 18 Abs. 2 DSchG, dass die Erteilung eines Auftrags an einen privaten Dritten grundsätzlich Gegenstand eines Vertrags ist, in dem die einzuhaltenden Datenschutzvorschriften festgelegt sind (siehe Dokument «Mustertext für Datenschutzbestimmungen im Vertrag»). Dies ist mit einem zusätzlichen Vertrag zum eigentlichen Auftrag möglich oder kann integrierender Bestandteil des Auftrags sein. 3. Inhalt des Auftrags Folgende Bestimmungen müssen in einem solchen Vertrag vorgesehen sein (die Formulierung ist den Umständen entsprechend anzupassen): a) Die Personendaten dürfen nur zu dem im Auftrag vorgesehenen Zweck verwendet werden; b) Die Personendaten dürfen nur mit der Zustimmung des Autraggebers oder der betroffenen Person einem Dritten bekannt gegeben werden; c) Das Personal des Beauftragten muss sich zur Einhaltung der Datenschutzvorschriften verpflichten (siehe Dokument «Datenschutz-Revers»); d) Der Beauftragte darf seinerseits ohne Zustimmung des Auftraggebers keinen Dritten mit der Datenbearbeitung beauftragen; e) Es muss ein Datensicherheitskonzept bereitgestellt werden (z.b. Verschlüsselung, Kodierung, zusätzliches Passwort bei elektronischer Übermittlung usw.); f) Es müssen Weisungen für das Aufbewahren, Vernichten und Archivieren von Daten sowohl in elektronischer Form als auch auf Papier erteilt werden; g) Es muss ein Kontroll-, Überwachungs- und gegebenenfalls Sanktionierungssystem vorgesehen werden; die Befugnisse der Kantonalen Aufsichtsbehörde für Datenschutz bleiben vorbehalten; h) Die Rechte der betroffenen Personen müssen gewahrt werden (für weitere Informationen s. Richtlinien Nr. 2 über das Auskunftsrecht). 4. Hauptsächliche Pflichten des Auftraggebers Für die Erfüllung des Auftrags hat der Auftraggeber hauptsächlich folgende Pflichten: a) Er hat den Gegenstand und den Zweck des Auftrags genau zu umschreiben und diesen auf ein Projekt, einen Fall oder eine spezifische Aufgabe zu beschränken (z.b. Eintreibung nicht bezahlter Steuern); b) Er muss die erwarteten Leistungen, die vom Beauftragten bearbeiteten Daten und alle weiteren Auftragsbedingungen festlegen (z.b. Fristen, Auftragsende, Preis usw.). 5. Hauptsächliche Pflichten des Beauftragten Im Rahmen der Auftragserfüllung hat der Beauftragte hauptsächlich folgende Pflichten: a) Er muss gleich wie der Auftraggeber alle Datenschutzvorschriften einhalten; b) Er muss sein Personal sorgfältig auswählen; c) Er lässt Aufgaben nur von Personen ausführen, die sich zuvor verpflichtet haben, die mit dem Datenschutz verbundenen Pflichten zu erfüllen (siehe Dokument «Datenschutz-Revers»); d) Er erteilt seinem Personal die erforderlichen Weisungen in Bezug auf den Datenschutz; e) Er sorgt dafür, dass sein Personal die Datenschutzvorschriften einhält. 2

Anhang 1 Gesetzesbestimmungen 1. Art. 18 des Gesetzes vom 25. November 1994 über den Datenschutz (DSchG), Bearbeiten im Auftrag: 1 Das öffentliche Organ, das Personendaten durch einen Dritten bearbeiten lässt, bleibt für den Datenschutz verantwortlich. Es hat namentlich dem beauftragten Dritten die nötigen Weisungen zu geben und dafür zu sorgen, dass er die Daten nur für die Ausführung des Auftrags verwendet oder bekanntgibt. 2 Ist dieses Gesetz auf den beauftragten Dritten nicht anwendbar und gewährleisten keine anderen gesetzlichen Bestimmungen einen genügenden Datenschutz, so hat das öffentliche Organ den Datenschutz durch einen Vertrag sicherzustellen. 2. Art. 35 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG), Verletzung der beruflichen Schweigepflicht: 1 Wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekanntgibt, von denen er bei der Ausübung seines Berufes, der die Kenntnis solcher Daten erfordert, erfahren hat, wird auf Antrag mit Haft oder mit Busse bestraft. 2 Gleich wird bestraft, wer vorsätzlich geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile unbefugt bekanntgibt, von denen er bei der Tätigkeit für den Geheimhaltungspflichtigen oder während der Ausbildung bei diesem erfahren hat. 3 Das unbefugte Bekanntgeben geheimer, besonders schützenswerter Personendaten oder Persönlichkeitsprofile ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar. 3

Anhang 2 Mustertext für Datenschutzbestimmungen im Vertrag Mustertext mit einer nicht abschliessenden Auflistung vertraglicher Datenschutzbestimmungen, die in einem Datenbearbeitungsauftrag (Outsourcing) zwischen dem öffentlichen Organ (Auftraggeber) und dem privaten Dritten (Beauftragter) stehen können. Die folgenden Bestimmungen in Vertragsform beruhen auf Artikel 18 Abs. 2 des Gesetzes vom 25. November 1994 über den Datenschutz (DSchG) und gelten unter Vorbehalt der eidgenössischen und kantonalen Gesetzgebung über den Datenschutz. 1. Beschreibung des Auftrags / Gegenstand und Zweck des Auftrags / sonstige Vertragselemente (Der Auftraggeber) bestimmt die im Rahmen des Auftrags erwarteten Leistungen, den Zweck (z.b. die Eintreibung nicht bezahlter Steuern) und die vom (Beauftragten) bearbeiteten Daten. Festzulegen sind auch die Fristen, das Auftragsende, der Preis sowie alle sonstigen Auftragsbedingungen. 2. Bearbeiten der Daten (Der Beauftragte) bearbeitet die Personendaten nur zu den in diesem Auftrag vorgesehenen Zwecken. Er darf die Daten nicht ohne die Zustimmung (des Auftraggebers) wiederverwenden, weitergeben oder sie zu einem anderen Zweck verwenden. 3. Bekanntgabe der Daten (Der Beauftragte) gibt Personendaten nur mit dem Einverständnis (des Auftraggebers) oder der betroffenen Person an Dritte bekannt. Verlangt eine Drittperson die Bekanntgabe von Personendaten, leitet (der Beauftragte) das Begehren an (den Auftraggeber) weiter. 4. Personal des Beauftragten 4.1. (Der Beauftragte) verpflichtet sich, im Rahmen des oben erwähnten Auftrags nur Personen anzustellen, die sich zuvor durch Unterzeichnung einer «Verpflichtungserklärung für das Personal» zur Einhaltung der Datenschutzbestimmungen und zur Geheimhaltung der Informationen verpflichtet haben, über die sie bei der Ausführung dieses Auftrags Kenntnis haben. 4.2. (Der Beauftragte) verpflichtet sich auch dafür zu sorgen, dass die Datenschutzbestimmungen von seinem Personal eingehalten werden (mit Hilfe von geeigneten 4

Massnahmen wie Personalauswahl, -instruktion und -aufsicht), und zwar auch nach Beendigung des Auftrags. 5. Beizug von Dritten (Vergabe von Unterverträgen) (Der Beauftragte) darf nur dann einen Dritten via Untervertrag mit der Bearbeitung von Personendaten beauftragen (z.b. den Auftrag oder einen Teil des Auftrags an eine andere private Firma abtreten), wenn (der Auftraggeber) zuvor schriftlich zugestimmt hat. In diesem Fall verpflichtet sich (der Beauftragte), das Bearbeiten von Daten nur Personen zu übertragen, die sich zur Einhaltung der vorliegenden vertraglichen Datenschutzbestimmungen verpflichtet haben. 6. Datensicherheit 6.1. (Der Beauftragte) sorgt für die Sicherheit der Personendaten, damit diese nicht vernichtet oder verändert werden, verloren gehen, entwendet werden oder von Unbefugten eingesehen oder verwendet werden können. 6.2. (Der Auftraggeber) verpflichtet sich, ein Datensicherheitskonzept bereitzustellen (z.b. Verschlüsselung, Kodierung, zusätzliches Passwort bei elektronischer Übermittlung). (Der Beauftragte) verpflichtet sich, alle notwendigen organisatorischen und technischen Sicherheitsmassnahmen zu treffen. 7. Aufbewahrung, Vernichtung, Archivierung 7.1. Die vom (Beauftragten) bearbeiteten Daten sind sicher aufzubewahren. 7.2. Sobald (der Beauftragte) die Daten nicht mehr benötigt, spätestens jedoch nach Beendigung des Auftrags, werden die bearbeiteten Daten nach Absprache mit (dem Auftraggeber) vom (Beauftragten) vernichtet oder an (den Auftraggeber) übergeben. (Der Beauftragte) hat auch alle Kopien zu vernichten. 8. Kontrollen, Sanktionen und Aufsicht 8.1. (Der Auftraggeber) kontrolliert regelmässig, ob die Personendaten vom (Beauftragten) korrekt bearbeitet werden; er bezeichnet die Kontrolleure und sieht Massnahmen für den Fall vor, in dem die Datenschutzvorschriften nicht eingehalten würden. 8.2. Für den Fall, dass (der Beauftragte) oder die von ihm angestellten Personen die in diesem Vertrag oder in der «Verpflichtungserklärung für das Personal» vorgesehenen Pflichten verletzen, hat (der Beauftragte) eine Konventionalstrafe in der Höhe von (...) Schweizerfranken zu bezahlen. Die Geltendmachung weiterer Ansprüche (des Auftraggebers) oder Dritter bleibt vorbehalten. 8.3. Die Kantonale Aufsichtsbehörde für Datenschutz hat ebenfalls die Möglichkeit, Kontrollen durchzuführen. 9. Betroffene Personen Auf Gesuch erhält jede betroffene Person die notwendigen Auskünfte über die Rechtsgrundlage und den Zweck des Auftrags (Art. 19 Abs. 2 DSchG). (Der Auftraggeber) gewährleistet die Wahrung aller Rechte der betroffenen Personen in Bezug auf ihre Daten, insbesondere das Recht auf Auskunft oder Berichtigung. (Der Beauftragte) gibt ihm alle diesbezüglichen Gesuche bekannt. 5

Anhang 3 Datenschutz-Revers Mustertext einer «Verpflichtungserklärung für das Personal» (Datenschutz-Revers), das aufgrund seiner Tätigkeit die Möglichkeit des Zugangs zu den im Rahmen dieses Auftrags bearbeiteten Personendaten hat. 1. Die unterzeichnete Person hat aufgrund ihrer Tätigkeit Zugang zu Personendaten. Sie nimmt zur Kenntnis, dass die Verletzung der Pflicht, geheime und besonders schützenswerte Daten geheim zu halten, gemäss Art. 35 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG) bestraft wird. 2. Die unterzeichnete Person verpflichtet sich zur Einhaltung der Datenschutzbestimmungen und zur Geheimhaltung der Informationen, von denen sie bei der Ausführung dieses Auftrages Kenntnis erhält. Sie verpflichtet sich, die Daten ausschliesslich zu den im Auftrag vorgesehenen Zwecken zu bearbeiten, sie nicht wieder zu verwenden und sie nur mit Zustimmung (des Auftraggebers) weiterzugeben oder zu irgendeinem andern Zweck zu verwenden. 3. Die unterzeichnete Person verpflichtet sich, gemäss den Weisungen (des Beauftragten) die erforderlichen Massnahmen zu treffen, um zu verhindern, dass unbefugte Personen im Rahmen dieses Auftrags Zugang zu den Personendaten erhalten oder Personendaten verloren gehen. 4. Die unterzeichnete Person hat (den Beauftragten) unaufgefordert auf die von ihr bei der Ausführung des Auftrags festgestellten Probleme, Schwächen oder Lücken des Datenschutzes hinzuweisen. Ich bestätige hiermit, dass ich die oben stehenden Verpflichtungen zur Kenntnis genommen habe, und verpflichte mich, diese einzuhalten. Ort und Datum: Unterschrift:.... 6

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback