5.2.07 Auslagerung von Dienstleistungen - Datenschutz

Rechtsgrundlagen

Gemeindegesetz vom 17. August 1998, SHR 120.100

Gesetz über den Schutz von Personendaten (Kantonales Datenschutzgesetz) vom 7. März (SHR 174.100)

Verordnung über den Schutz von Personendaten (Kantonale Datenschutzverordnung) vom 28. Februar 1995 (SHR 174.101)

Gesetz über die öffentliche Sozialhilfe und soziale Einrichtungen (SHEG) vom 28. Oktober 2013, SHR 850.100

Erläuterungen

1.    Grundsätze

1.1.    Definition "Auslagerung von Dienstleistungen"

In der Sozialhilfe liegt eine Auslagerung von Dienstleistungen im Sinne von Art. 17 SHEG dann vor, wenn das Sozialhilfeorgan für die Erfüllung der eigenen Aufgabe die Dienste eines Dritten in Anspruch nimmt und damit Informationen (Personen- und/oder Sachdaten) durch Private oder andere öffentliche Organe bearbeiten lässt, Dienstleistungen in Anspruch nimmt oder Aufträge erteilt.

Unter den Begriff "Bearbeiten" fällt jeder Umgang mit Informationen, also z.B. das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Vernichten etc.. (Art. 2 lit. f) des Datenschutzgesetzes.

Beispiele in der Sozialhilfe:

• Auftrag einer Sozialbehörde an eine Rechtsberatungsfirma zwecks Formulierung eines einzelnen Beschlusses,

• Auftrag zur Durchführung von Bildungs-, Beschäftigungs- oder Integrationsprogrammen an die Stiftung Impuls,

• Auftrag zur Fallführung oder zur Übernahme einzelner Aufgaben an einen Dritten oder eine andere Gemeinde, wobei die hoheitlichen Aufgaben (Entscheidungsbefugnisse) bei der Sozialbehörde bleiben, so bei einem regionalen Sozialdienst

1.2.    Abgrenzung zur Funktionsübertragung

Eine Funktionsübertragung liegt vor, wenn Dritte selbständig und dauernd eine öffentliche Aufgabe erfüllen. Die Funktionsübertragung geht deutlich weiter als die Auslagerung von Dienstleistungen. Da mit der Funktionsübertragung eine neue Zuständigkeit für die Erfüllung einer bestimmten öffentlichen Aufgabe begründet wird, braucht es dafür eine gesetzliche Grundlage. Dritte, welche in diesem umfassenden Sinn eine öffentliche Aufgabe erfüllen, werden selbst zum öffentlichen Organ im Sinne von Art. 1 des Datenschutzgesetzes

Beispiel in der Sozialhilfe:

• Übertragung der gesamten Aufgabe der Durchführung der persönlichen Hilfe an eine private Beratungsstelle (Art. 17 SHEG)

Abschluss eines Anschlussvertrages zwecks Durchführung der wirtschaftlichen Hilfe durch die Sitzgemeinde (Art. 113 ff. des Gemeindegesetzes, vgl. Kapitel 2.1.02, Ziff. 3.1),

 

Gründung eines Zweckverbandes durch Gemeinden zwecks Durchführung der öffentlichen Sozialhilfe Art. 104 ff. des Gemeindegesetzes vgl. Kapitel 2.1.02, Ziff. 3.2).

 

Bei der Funktionsübertragung handelt es sich also nicht um eine Auslagerung von Dienstleistungen. Die nachfolgenden Ausführungen gelten für sie nicht.

 

2.    Voraussetzungen

Das Sozialhilfeorgan kann das Bearbeiten von Informationen Dritten übertragen, sofern keine rechtliche Bestimmung oder vertragliche Vereinbarung entgegensteht.

1. Gesetzliche Bestimmungen im Rahmen der Sozialhilfe

Die Mitarbeiterinnen und Mitarbeiter der Sozialhilfeorgane und die Sozialbehörden unterstehen dem Amtsgeheimnis (vgl. dazu Kapitel 5.2.01). Beauftragt das Sozialhilfeorgan Dritte, eine bestimmte Dienstleistung zu erbringen, so gelten auch sie als Personen, die eine öffentliche Funktion ausüben. Sie werden zu so genannten Hilfspersonen der Verwaltung und unterstehen ebenfalls der Schweigepflicht. Das Amtsgeheimnis steht einer Auslagerung grundsätzlich nicht entgegen.

2. Vertragliche Vereinbarungen

Vertragliche Vereinbarungen können einer Auslagerung entgegenstehen oder diese nur unter bestimmten Auflagen zulassen.

3.    Verantwortlichkeit

Das auslagernde Sozialhilfeorgan bleibt für die Datenbearbeitung verantwortlich. Das bedeutet, dass es bei der Auswahl, der Instruktion und der Kontrolle des Auftragsnehmers die notwendige Sorgfalt anzuwenden hat (vgl. dazu auch Art. 55 OR). Kommt es diesen Sorgfaltspflichten nicht nach, muss es mit allfälligen Haftungsansprüchen Dritter rechnen, wenn ein Auftragnehmer einen Schaden verursacht.

Die Verantwortlichkeit bedeutet auch, dass das Sozialhilfeorgan die Geltendmachung der Schutzrechte gemäss § 21 IDG durch die betroffene Person gewährleisten muss. Es muss dafür besorgt sein, dass auch bei einer Auslagerung einer Dienstleistung

• die Berichtigung oder Vernichtung unrichtiger Personendaten,

• die Unterlassung der widerrechtlichen Bearbeitung von Personendaten,

• die Beseitigung der Folgen der widerrechtlichen Bearbeitung von Personendaten und

• die Feststellung der Widerrechtlichkeit der Bearbeitung

vorgenommen werden können.

4.    Double-Outsourcing

Von einem Double-Outsourcing oder einem Untervertragsverhältnis spricht man, wenn der vom Sozialhilfeorgan beauftragte Dritte, seinerseits die Informationsbearbeitung oder einen Teil derselben an einen Subunternehmer auslagert. Das ist nach dem SHEG zwar nicht ausgeschlossen, führt aber zu erhöhten Risiken in Bezug auf die Verfügbarkeit, Integrität und Vertraulichkeit der bearbeiteten Informationen. Ausserdem wird die Ausübung der Kontrollpflichteten durch das Sozialhilfeorgan durch ein Double-Outsourcing erschwert. Deshalb sollte ein Double-Outsourcing im Bereich der Sozialhilfe vertraglich entweder ganz ausgeschlossen werden, nur mit ausdrücklicher schriftlicher Einwilligung durch den Auftraggeber erfolgen können oder nur für zum Vorneherein klar umschriebene Aufgaben zugelassen werden. Der Auftragnehmer muss dann jedoch verpflichtet werden, einem allfälligen Subauftragnehmer die gleichen Geheimhaltungs- und Sicherheitsvorschriften zu überbinden, wie sie für ihn selber gelten.

5.    Vertragliche Vereinbarung

Wenn die Auslagerung von Dienstleistungen an Dritte gesetzlich nicht ausdrücklich vorgesehen ist, kann sie zwischen den Parteien in Leistungsverträgen vereinbart werden Art. 17 SHEG).

Der Vertrag zwischen dem Sozialhilfeorgan als Auftraggeber und dem Auftragnehmer soll umso detaillierter ausgestaltet sein, je grösser das Risiko für eine Persönlichkeitsverletzung ist. Er soll z.B. folgende Punkte regeln wobei der Detaillierungsgrad der einzelnen Punkte dem Schutzbedürfnis der durch den Auftragnehmer bearbeiteten Informationen angepasst werden kann:

1. Gegenstand und den Umfang der übertragenen Aufgaben

Gegenstandstand und Umfang der übertragenen Aufgaben müssen möglichst detailliert umschrieben werden, damit Klarheit darüber herrscht, was der Auftragnehmer genau zu leisten hat, um den Vertrag zu erfüllen. Das Fehlen einer detaillierten Leistungsumschreibung führt leicht zu Meinungsverschiedenheiten und Unsicherheiten zwischen den Vertragspartnern.

2. Umgang mit Personendaten

Der Auftragnehmer darf Personendaten nur soweit bearbeiten, wie das Sozialhilfeorgan selbst es darf. Im Vertrag ist daher festzuhalten, dass der Auftragnehmer Personendaten ohne anderweitige ausdrückliche Ermächtigung durch das Sozialhilfeorgan nur für die Erfüllung der übertragenen Aufgaben verwenden und nur dem Sozialhilfeorgan bekannt geben darf.

Betreffend Amtshilfegesuche können verschiedene Vereinbarungen getroffen werden. Eine Variante ist, dass Amtshilfegesuche, die beim Auftragnehmer eingehen, umgehend an das Sozialhilfeorgan weiterzuleiten sind. Möglich ist aber auch eine vertragliche Vereinbarung, wonach der Auftragnehmer bestimmte Amtshilfegesuche selbständig bearbeitet, gegebenenfalls mit der Verpflichtung, das Sozialhilfeorgan hierüber zu informieren.

3. Geheimhaltungsverpflichtungen

Soweit das Sozialhilfeorgan einer Schweigepflicht unterliegt, muss es den Auftragnehmer ebenfalls vertraglich zur Geheimhaltung verpflichten. Das gilt auch mit Bezug auf das Amtsgeheimnis. Weiter muss festgelegt werden, dass der Auftragnehmer sein eigenes Personal, das an der Auftragserfüllung beteiligt ist, schriftlich zur Einhaltung der Geheimhaltungspflichten verpflichten muss (Datenschutz-Revers). Dies jedenfalls dann, wenn die Mitarbeitenden nicht bereits aufgrund ihres Arbeitsvertrages zur Verschwiegenheit mit Bezug auf die Angelegenheit der Kunden ihres Arbeitsgebers verpflichtet sind. Die Geheimhaltungsverpflichtungen gelten nicht nur während der Dauer der Vertragsbeziehungen, sondern darüber hinaus. Das ist ebenfalls vertraglich zu verankern.

4. Behandlung von Informationszugangsgesuchen

Nach Art. 18 des Datenschutzgesetzes hat jede Person Anspruch auf Zugang zu den bei einem öffentlichen Organ gesammelten bzw. bearbeiteten Daten (Öffentlichkeitsprinzip und Auskunftsrecht). Das Sozialhilfeorgan bleibt zuständig, über solche Informationszugangsgesuche zu entscheiden. Der Auftragnehmer muss deshalb vertraglich verpflichtet werden, solche Gesuche umgehend an das Sozialhilfeorgan weiterzuleiten. Ausserdem muss vertraglich sichergestellt werden, dass die Datenbearbeitung durch den Auftragnehmer so erfolgt, dass der Auftraggeber solche Gesuche behandeln kann.

5. Massnahmen zum Schutz der Informationen

Informationssicherheit bedeutet, dass das Sozialhilfeorgan seine Informationen durch angemessene organisatorische und technische Massnahmen schützen muss Es geht hier um folgende Schutzziele:

• • Vertraulichkeit: Sie bedeutet, dass Informationen unberechtigten Personen nicht zur Kenntnis gelangen dürfen. Auch die Mitarbeitenden haben nur Zugriff auf jene Informationen, die sie zur Erfüllung ihrer jeweiligen Aufgaben benötigen.

  • Integrität: Sie bezieht sich auf die Richtigkeit und Vollständigkeit der Informationen. Änderungen müssen nachvollziehbar sein.

  • Verfügbarkeit: Sie stellt sicher, dass Informationen zur Verfügung stehen, wenn sie gebraucht werden.

  • Authentizität: Sie verlangt, dass die Informationsbearbeitung einer verantwortlichen Person zugerechnet werden kann. Es muss also sichergestellt werden, dass nur die dazu berechtigten Personen Akten bearbeiten oder elektronische Daten verändern können.

• Kontrolle der Auftragserfüllung

Da das Sozialhilfeorgan für die Informationsbearbeitung verantwortlich bleibt, ist vertraglich ein Kontrollrecht zu vereinbaren. Zu beachten ist, dass die Datenschutzbeauftragte des Kantons Zürich in datenschutzrechtlicher Hinsicht eine Aufsichtsfunktion über alle öffentlichen Organe im Kanton Zürich, also auch über die Sozialhilfeorgane, innehat. Er ist berechtigt, sowohl bei diesen wie auch bei Dritten Kontrollen durchzuführen (Art. 23 ff. des Datenschutzgesetzes). Aus Transparenzgründen kann dieser Umstand im Vertrag festgehalten werden.

7. Sanktionen bei Pflichtverletzung

Für Pflichtverletzungen hinsichtlich der Informationssicherheit bzw. des Datenschutzes kann eine Sanktionierung, z.B. 10% der Höhe des jährlichen Auftragsumfangs, festgehalten weden. Zudem sollte das sich das Sozialhilfeorgan das Recht sichern, bei wiederholter schwerwiegender Verletzung von Sicherheits- und Geheimhaltungsbestimmungen, den Vertrag mit sofortiger Wirkung auflösen zu können. Dies verbunden mit einer Pflicht des Auftragnehmers, den dem Sozialhilfeorgan daraus entstehenden Schaden zu ersetzen.

8. Vertragsdauer und Vertragsauflösung

Vertraglich zu regeln sind die ordentliche Vertragsdauer und die Kündigungsmodalitäten (feste Vertragsdauer oder Vertrag auf unbestimmte Zeit, Kündigungsfristen, Kündigungstermine, Kündigungsform). Zu beachten sind dabei allfällige zwingende gesetzliche Bestimmungen wie das Widerrufsrecht beim Auftrag (Art. 404 OR).

Auch ausserordentliche Beendigungsgründe müssen vereinbart werden. Gründe für eine ausserordentliche Vertragsbeendigung können folgende sein:

• • Verletzung vertraglicher Nebenpflichten (z.B. Verstoss gegen Geheimhaltungspflichten oder eine Missachtung von Vorschriften zur Informationssicherheit,

  • Verweigerung der erforderlichen Mitwirkung,

  • Gesetzliche Änderungen oder behördliche Anordnungen, die die betreffende Auslagerung untersagen.

Weiter muss festgehalten werden, was mit dem Vertrag geschieht, wenn der Auftragnehmer in Konkurs fällt, er sein Geschäft verkauft oder dieses von einer anderen Firma übernommen wird. Wichtig ist, dass das Sozialhilfeorgan das Recht erhält, eine Übertragung des Vertrags auf einen Rechtsnachfolger des Auftragnehmers abzulehnen bzw. den Vertrag in einem solchen Fall frist- und entschädigungslos zu kündigen.

Zu regeln sind auch die Folgen der Vertragsauflösung wie

• • Vergütung für angebrochene Perioden (pro rata temporis),

  • Verpflichtung des Auftragnehmers, dem Sozialhilfeorgan die Daten zurück zu übertragen (so genanntes Backsourcing) und in seinem System definitiv zu löschen,

  • Verpflichtung des Auftragnehmers, sämtliche Unterlagen, Dokumentation etc. herauszugeben bzw. auf Verlangen des Auftraggebers zu vernichten.

6.    Weitere vertragliche Abreden

Nicht gefordert, aber empfehlenswert ist die Regelung folgender zusätzlicher Punkte:

• Anwendbares Recht und Gerichtsstand.

• Vollständigkeitsklausel (es bestehen keine mündlichen Nebenabreden, Vertragsänderungen müssen schriftlich erfolgen).

• Bei langfristigen Verträgen die Möglichkeit zur Vertragsanpassung und die Regelung des entsprechenden Verfahrens.

• Bezeichnung der verantwortlichen Ansprechpartner zur Klärung möglicher rechtlicher, fachlicher, technischer und organisatorischer Fragen.

•  

Rechtsprechung

Praxishilfen

Leitfaden der Datenschutzbeauftragten des Kantons Zürich zum Bearbeiten im Auftrag

Anlagen

• Formulierungsbeispiele für Verträge zur Auslagerung von Dienstleistungen

• Übersicht über die vertraglichen Regelungen bei einer Auslagerung von Dienstleistungen