Datenbearbeitung im Auftrag von Behörden – Auf dem Weg zum nDSG Teil 4

Achtung Stolperfalle! Wenn Dein Unternehmen im Auftrag eines öffentlichen Organs handelt, muss es sich unter Umständen an besondere Datenschutzbestimmungen halten. In diesem Beitrag klären wir über diese besonderen Bestimmungen auf.

Was ist ein öffentliches Organ?

Ein öffentliches Organ ist kein Körperteil, sondern ein Verwaltungsträger der Schweiz. Als öffentliche Organe gelten somit alle Verwaltungsträger der Schweiz. Namentlich sind das:

• Behörden (bspw. das Bundesamt für Gesundheit BAG oder das Strassenverkehrs- und Schifffahrtsamt des Kantons Bern);

• öffentliche Stiftungen, Anstalten und Körperschaften (Kirchgemeinden, öffentliche Universitäten und Schulen etc.); und

• Unternehmen, die mit staatlichen Aufgaben betraut sind (bspw. die SBB, die Post oder die SUVA). 

Ferner ist zwischen den öffentlichen Organen des Bundes (folgend: Bundesorgane) und den kantonalen öffentlichen Organen (folgend: kantonale Organe) zu unterscheiden. Die Bundesorgane unterstehen dem Bundesrecht (nDSG) und die kantonalen Organe dem jeweiligen kantonalen Recht.

Die Bundesorgane sind zwar – wie private auch – dem nDSG unterstellt, jedoch gelten für Bundesorgane besondere Regelungen die im nDSG festgehalten sind (Art. 33 ff. nDSG).

Beispiel 1: Die Gebäudeversicherung Bern untersteht dem Datenschutzgesetz des Kantons Bern (KDSG), weil es sich um ein kantonales Organ handelt.

Beispiel 2: Das Bundesamt für Gesundheit BAG untersteht dem Datenschutzgesetz des Bundes, weil es sich um ein Bundesorgan handelt.

Wann gelten die besonderen Bestimmungen auch für Dein Unternehmen?

Die öffentlichen Organe dienen der Erfüllung von staatlichen Aufgaben. Beispielsweise erfüllt das Bundesamt für Raumentwicklung die Staataufgabe der Raumplanung. Im Rahmen der Erfüllung dieser Aufgaben sind die öffentlichen Organe an besondere Bestimmungen gebunden.

Wenn Dein Unternehmen eine dieser staatlichen Aufgaben durch einen Auftrag übernimmt, dann ist es automatisch ebenfalls an diese besonderen Bestimmungen gebunden. Als übernommen gilt eine Aufgabe, wenn Dein Unternehmen diese anstelle des öffentlichen Organs erfüllt. Beispielsweise wenn ein privates Sicherheitsunternehmen die Gemeindepatrouille (Staatsaufgabe) übernimmt.

Nicht als übernommen gilt eine Staatsaufgabe bei Aufträgen die nur mittelbar der Erfüllung einer Staatsaufgabe dienen. Beispielsweise wenn eine Behörde Büromaterial bei einem privaten Unternehmen bestellt.

Merke: Sobald Dein Unternehmen eine Staatsaufgabe übernimmt, muss es sich an die besonderen Bestimmungen halten. Ansonsten gelten bei Aufträgen von öffentlichen Organen keine besonderen Bestimmungen.

Die nachfolgende Grafik und Beispiele veranschaulichen dies:

Fall 1

Das privatrechtlich handelnde staatliche Organ beauftragt einen privaten Auftragsnehmer.

Beispiel: Die Gebäudeversicherung Bern beauftragt Dein Unternehmen mit der Lieferung von Büromaterial.

Beachte: Du musst keine besonderen Bestimmungen beachten (Art. 40 nDSG).

Fall 2

Ein Bundesorgan beauftragt ein privates Unternehmen mit der Erfüllung einer Bundesaufgabe.

Beispiel: Das Bundesamt für Statistik beauftragt Dein Unternehmen mit der Erstellung einer Statistik.

Beachte: Du musst Dich an die besonderen Bestimmungen des nDSG für Bundesbehörden halten (Art. 33 ff. nDSG).

Fall 3

Ein kantonales Organ beauftragt ein privates Unternehmen mit der Erfüllung einer kantonalen Aufgabe.

Beispiel: Die Stadt Bern beauftragt Dein Unternehmen mit der Abholung und Entsorgung von Hauskehricht auf dem Gemeindegebiet.

Beachte: Dein Unternehmen muss sich an dasselbe kantonale Datenschutzgesetz halten, dem auch der Auftraggeber untersteht. In vorliegenden Beispiel wäre dies das Datenschutzgesetz des Kanton Bern (KDSG).

Was muss Dein Unternehmen beachten, wenn es eine öffentliche Aufgabe übernimmt?

Wenn Dein Unternehmen eine Staatsaufgabe übernimmt und dabei Personendaten bearbeitet, muss es folgende Pflichten einhalten:

• Grundrechtsbindung

Weil das private Unternehmen an die Grundrechte gebunden ist, ist für jede Datenbearbeitung eine gesetzliche Grundlage erforderlich. Das heisst, die Datenbearbeitung muss in einem Gesetz oder einer Verordnung vorgesehen sein.

Beispiel: Wenn eine Gemeindepatrouille die Personendaten von Jugendlichen aufnimmt, muss dies in einem Gesetz vorgesehen sein.

• Zweckbindung

Aufgrund der Zweckbindung, darf das private Unternehmen die Daten nur für die Erfüllung des staatlichen Auftrags bearbeiten. Eine Bearbeitung zu anderen Zwecken ist nicht erlaubt.

Beispiel: Ein Kehrichtentsorgungsunternehmen darf die Adressliste ihrer Tour nur für die Abholung des Abfalls verwenden. Eine Nutzung dieser Daten zu einem anderen Zweck ist ausgeschlossen.

• Verhältnismässigkeit

Das Unternehmen darf nur so viele und nur so lange die Personendaten bearbeiten wie es für die Erfüllung des Auftrags zwingend erforderlich ist.

Beispiel: Wenn ein vereidigter Übersetzer Dokumente für eine Behörde übersetzt, muss dieser die Dokumente nach der Übersetzung löschen.

• Betroffenenrechte

Das private Unternehmen muss die Betroffenenrechte, wie ein öffentliches Organ wahren.

• Bearbeitungsgrundsätze

Des Weiteren gelten, wie bei privaten Datenbearbeitungen auch, die Bearbeitungsgrundsätze.

Welche Vorschriften genau gelten, hängt vom Einzelfall ab, weil sich die verschiedenen Datenschutzgesetze voneinander unterscheiden.

Solltest Du nicht sicher sein, welches Gesetz für Dein Unternehmen gilt, helfen wir Dir gerne weiter!

Für Personen, die sich ein vertieftes Wissen im schweizerischen und europäischen Datenschutzrecht verschaffen möchten, empfehlen wir «Datenschutzrecht für Schweizer Unternehmen, Stiftungen und Vereine». Eine unabdingbare und leicht verständliche Lektüre für die Umsetzung des neuen Datenschutzrechts. Zum Buch geht es hier.