5.2.08 Auslagerung von Dienstleistungen - Datenschutz

Rechtsgrundlagen

Gemeindegesetz vom 20. April 2015 (GG), LS 131.1

Gesetz über die Information und den Datenschutz vom 12. Februar 2007 (IDG), LS 170.4

Verordnung über die Information und den Datenschutz vom 28. Mai 2008 (IDV), LS 170.41

Erläuterungen

1.    Grundsätze

1.1.    Definition "Auslagerung von Dienstleistungen"

In der Sozialhilfe liegt eine Auslagerung von Dienstleistungen im Sinne von § 6 IDG dann vor, wenn das Sozialhilfeorgan für die Erfüllung der eigenen Aufgabe die Dienste eines Dritten in Anspruch nimmt und damit Informationen (Personen- und/oder Sachdaten) durch Private oder andere öffentliche Organe bearbeiten lässt, Dienstleistungen in Anspruch nimmt oder Aufträge erteilt.

Unter den Begriff "Bearbeiten" fällt jeder Umgang mit Informationen, also z.B. das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Vernichten, Warten etc. (vgl. § 3 Abs. 5 IDG).

Beispiele in der Sozialhilfe:

  • Auftrag einer Sozialbehörde an eine Rechtsberatungsfirma zwecks Formulierung eines einzelnen Beschlusses,
  • Auftrag zur Durchführung von Bildungs-, Beschäftigungs- oder Integrationsprogrammen,
  • Auftrag zur Fallführung oder zur Übernahme einzelner Aufgaben an einen Dritten oder eine andere Gemeinde, wobei die hoheitlichen Aufgaben (Entscheidungsbefugnisse) bei der Sozialbehörde bleiben.

1.2.    Abgrenzung zur Funktionsübertragung

Eine Funktionsübertragung liegt vor, wenn Dritte selbständig und dauernd eine öffentliche Aufgabe erfüllen. Die Funktionsübertragung geht deutlich weiter als die Auslagerung von Dienstleistungen. Da mit der Funktionsübertragung eine neue Zuständigkeit für die Erfüllung einer bestimmten öffentlichen Aufgabe begründet wird, braucht es dafür eine gesetzliche Grundlage. Dritte, welche in diesem umfassenden Sinn eine öffentliche Aufgabe erfüllen, werden selbst zum öffentlichen Organ im Sinne von § 3 Abs. 1 lit. c IDG.

Beispiel in der Sozialhilfe:

  • Übertragung der gesamten Aufgabe der Durchführung der persönlichen Hilfe an eine private Beratungsstelle (§ 13 lit. c SHG)
  • Abschluss eines Anschlussvertrages zwecks Durchführung der wirtschaftlichen Hilfe durch die Sitzgemeinde (§ 71 GG, vgl. Kapitel 2.1.02, Ziff. 4.1),
  • Gründung eines Zweckverbandes durch Gemeinden zwecks Durchführung der öffentlichen Sozialhilfe (§ 73 GG, vgl. Kapitel 2.1.02, Ziff. 4.2).

Bei der Funktionsübertragung handelt es sich also nicht um eine Auslagerung von Dienstleistungen. Die nachfolgenden Ausführungen gelten für sie nicht.

Zur vertraglichen Aufgabenübertragung von Gemeindeaufgaben und zur Ausgliederung von Gemeindeaufgaben (z.B. Alters- und Pflegeheim, Wasserversorgung etc.) vgl. § 63 Abs. 2 lit. a GG bzw. § 63 Abs. 2 lit. b GG sowie die Erläuterungen und die Praxishilfen des Gemeindeamtes des Kantons Zürich.

2.    Voraussetzungen

Das Sozialhilfeorgan kann das Bearbeiten von Informationen Dritten übertragen, sofern keine rechtliche Bestimmung oder vertragliche Vereinbarung entgegensteht.

  1. Gesetzliche Bestimmungen im Rahmen der Sozialhilfe
  2. Die Mitarbeiterinnen und Mitarbeiter der Sozialhilfeorgane und die Sozialbehörden unterstehen dem Amtsgeheimnis (vgl. dazu Kapitel 5.2.01). Beauftragt das Sozialhilfeorgan Dritte, eine bestimmte Dienstleistung zu erbringen, so gelten auch sie als Personen, die eine öffentliche Funktion ausüben. Sie werden zu so genannten Hilfspersonen der Verwaltung und unterstehen ebenfalls der Schweigepflicht. Das Amtsgeheimnis steht einer Auslagerung grundsätzlich nicht entgegen.

  3. Vertragliche Vereinbarungen
  4. Vertragliche Vereinbarungen können einer Auslagerung entgegenstehen oder diese nur unter bestimmten Auflagen zulassen.

3.    Verantwortlichkeit

Das auslagernde Sozialhilfeorgan bleibt für die Datenbearbeitung verantwortlich (§ 6 Abs. 2 IDG). Das bedeutet, dass es bei der Auswahl, der Instruktion und der Kontrolle des Auftragsnehmers die notwendige Sorgfalt anzuwenden hat (vgl. dazu auch Art. 55 OR). Kommt es diesen Sorgfaltspflichten nicht nach, muss es mit allfälligen Haftungsansprüchen Dritter rechnen, wenn ein Auftragnehmer einen Schaden verursacht.

Die Verantwortlichkeit bedeutet auch, dass das Sozialhilfeorgan die Geltendmachung der Schutzrechte gemäss § 21 IDG durch die betroffene Person gewährleisten muss. Es muss dafür besorgt sein, dass auch bei einer Auslagerung einer Dienstleistung

  • die Berichtigung oder Vernichtung unrichtiger Personendaten,
  • die Unterlassung der widerrechtlichen Bearbeitung von Personendaten,
  • die Beseitigung der Folgen der widerrechtlichen Bearbeitung von Personendaten und
  • die Feststellung der Widerrechtlichkeit der Bearbeitung

vorgenommen werden können.

4.    Double-Outsourcing

Von einem Double-Outsourcing oder einem Untervertragsverhältnis spricht man, wenn der vom Sozialhilfeorgan beauftragte Dritte, seinerseits die Informationsbearbeitung oder einen Teil derselben an einen Subunternehmer auslagert. Das ist nach IDG zwar nicht ausgeschlossen, führt aber zu erhöhten Risiken in Bezug auf die Verfügbarkeit, Integrität und Vertraulichkeit der bearbeiteten Informationen. Ausserdem wird die Ausübung der Kontrollpflichteten durch das Sozialhilfeorgan durch ein Double-Outsourcing erschwert. Deshalb sollte ein Double-Outsourcing im Bereich der Sozialhilfe vertraglich entweder ganz ausgeschlossen werden, nur mit ausdrücklicher schriftlicher Einwilligung durch den Auftraggeber erfolgen können oder nur für zum Vorneherein klar umschriebene Aufgaben zugelassen werden. Der Auftragnehmer muss dann jedoch verpflichtet werden, einem allfälligen Subauftragnehmer die gleichen Geheimhaltungs- und Sicherheitsvorschriften zu überbinden, wie sie für ihn selber gelten.

5.    Vertragliche Vereinbarung

Wenn die Auslagerung von Dienstleistungen an Dritte gesetzlich nicht ausdrücklich vorgesehen ist, muss sie zwischen den Parteien schriftlich vereinbart werden (§ 25 Abs. 1 IDV). Beinhaltet die Auslagerung eine Bearbeitung besonderer Personendaten, muss der entsprechende Vertrag durch die vorgesetzte Stelle genehmigt werden (§ 25 Abs. 2 IDV).

Der Vertrag zwischen dem Sozialhilfeorgan als Auftraggeber und dem Auftragnehmer muss umso detaillierter ausgestaltet sein, je grösser das Risiko für eine Persönlichkeitsverletzung ist. Er muss folgende Punkte regeln (§ 25 Abs. 2 IDV), wobei der Detaillierungsgrad der einzelnen Punkte dem Schutzbedürfnis der durch den Auftragnehmer bearbeiteten Informationen angepasst werden kann:

  1. Gegenstand und den Umfang der übertragenen Aufgaben
  2. Gegenstandstand und Umfang der übertragenen Aufgaben müssen möglichst detailliert umschrieben werden, damit Klarheit darüber herrscht, was der Auftragnehmer genau zu leisten hat, um den Vertrag zu erfüllen. Das Fehlen einer detaillierten Leistungsumschreibung führt leicht zu Meinungsverschiedenheiten und Unsicherheiten zwischen den Vertragspartnern.

  3. Umgang mit Personendaten
  4. Der Auftragnehmer darf Personendaten nur soweit bearbeiten, wie das Sozialhilfeorgan selbst es darf. Im Vertrag ist daher festzuhalten, dass der Auftragnehmer Personendaten ohne anderweitige ausdrückliche Ermächtigung durch das Sozialhilfeorgan nur für die Erfüllung der übertragenen Aufgaben verwenden und nur dem Sozialhilfeorgan bekannt geben darf.

    Betreffend Amtshilfegesuche können verschiedene Vereinbarungen getroffen werden. Eine Variante ist, dass Amtshilfegesuche, die beim Auftragnehmer eingehen, umgehend an das Sozialhilfeorgan weiterzuleiten sind. Möglich ist aber auch eine vertragliche Vereinbarung, wonach der Auftragnehmer bestimmte Amtshilfegesuche selbständig bearbeitet, gegebenenfalls mit der Verpflichtung, das Sozialhilfeorgan hierüber zu informieren.

  5. Geheimhaltungsverpflichtungen
  6. Soweit das Sozialhilfeorgan einer Schweigepflicht unterliegt, muss es den Auftragnehmer ebenfalls vertraglich zur Geheimhaltung verpflichten. Das gilt auch mit Bezug auf das Amtsgeheimnis. Weiter muss festgelegt werden, dass der Auftragnehmer sein eigenes Personal, das an der Auftragserfüllung beteiligt ist, schriftlich zur Einhaltung der Geheimhaltungspflichten verpflichten muss (Datenschutz-Revers). Dies jedenfalls dann, wenn die Mitarbeitenden nicht bereits aufgrund ihres Arbeitsvertrages zur Verschwiegenheit mit Bezug auf die Angelegenheit der Kunden ihres Arbeitsgebers verpflichtet sind. Die Geheimhaltungsverpflichtungen gelten nicht nur während der Dauer der Vertragsbeziehungen, sondern darüber hinaus. Das ist ebenfalls vertraglich zu verankern.

  7. Behandlung von Informationszugangsgesuchen
  8. Nach § 20 Abs. 1 und 2 IDG hat jede Person Anspruch auf Zugang zu den bei einem öffentlichen Organ vorhandenen Informationen (Öffentlichkeitsprinzip) und auf Zugang zu den eigenen Personendaten (Auskunftsrecht). Das Sozialhilfeorgan bleibt zuständig, über solche Informationszugangsgesuche zu entscheiden. Der Auftragnehmer muss deshalb vertraglich verpflichtet werden, solche Gesuche umgehend an das Sozialhilfeorgan weiterzuleiten. Ausserdem muss vertraglich sichergestellt werden, dass die Datenbearbeitung durch den Auftragnehmer so erfolgt, dass der Auftraggeber solche Gesuche behandeln kann.

  9. Massnahmen zum Schutz der Informationen
  10. Informationssicherheit bedeutet, dass das Sozialhilfeorgan seine Informationen durch angemessene organisatorische und technische Massnahmen schützen muss (§ 7 IDG). Es geht hier um folgende Schutzziele:

    • Vertraulichkeit: Sie bedeutet, dass Informationen unberechtigten Personen nicht zur Kenntnis gelangen dürfen. Auch die Mitarbeitenden haben nur Zugriff auf jene Informationen, die sie zur Erfüllung ihrer jeweiligen Aufgaben benötigen.
    • Integrität: Sie bezieht sich auf die Richtigkeit und Vollständigkeit der Informationen. Änderungen müssen nachvollziehbar sein.
    • Verfügbarkeit: Sie stellt sicher, dass Informationen zur Verfügung stehen, wenn sie gebraucht werden.
    • Authentizität: Sie verlangt, dass die Informationsbearbeitung einer verantwortlichen Person zugerechnet werden kann. Es muss also sichergestellt werden, dass nur die dazu berechtigten Personen Akten bearbeiten oder elektronische Daten verändern können.
  11. Kontrolle der Auftragserfüllung
  12. Da das Sozialhilfeorgan für die Informationsbearbeitung verantwortlich bleibt, ist vertraglich ein Kontrollrecht zu vereinbaren. Zu beachten ist, dass die Datenschutzbeauftragte des Kantons Zürich in datenschutzrechtlicher Hinsicht eine Aufsichtsfunktion über alle öffentlichen Organe im Kanton Zürich, also auch über die Sozialhilfeorgane, innehat. Er ist berechtigt, sowohl bei diesen wie auch bei Dritten Kontrollen durchzuführen (§ 35 IDG). Aus Transparenzgründen kann dieser Umstand im Vertrag festgehalten werden.

  13. Sanktionen bei Pflichtverletzung
  14. Für Pflichtverletzungen hinsichtlich der Informationssicherheit bzw. des Datenschutzes ist eine Sanktionierung, z.B. 10% der Höhe des jährlichen Auftragsumfangs, festzuhalten. Zudem sollte das sich das Sozialhilfeorgan das Recht sichern, bei wiederholter schwerwiegender Verletzung von Sicherheits- und Geheimhaltungsbestimmungen, den Vertrag mit sofortiger Wirkung auflösen zu können. Dies verbunden mit einer Pflicht des Auftragnehmers, den dem Sozialhilfeorgan daraus entstehenden Schaden zu ersetzen.

  15. Vertragsdauer und Vertragsauflösung
  16. Vertraglich zu regeln sind die ordentliche Vertragsdauer und die Kündigungsmodalitäten (feste Vertragsdauer oder Vertrag auf unbestimmte Zeit, Kündigungsfristen, Kündigungstermine, Kündigungsform). Zu beachten sind dabei allfällige zwingende gesetzliche Bestimmungen wie das Widerrufsrecht beim Auftrag (Art. 404 OR).

    Auch ausserordentliche Beendigungsgründe müssen vereinbart werden. Gründe für eine ausserordentliche Vertragsbeendigung können folgende sein:

    • Verletzung vertraglicher Nebenpflichten (z.B. Verstoss gegen Geheimhaltungspflichten oder eine Missachtung von Vorschriften zur Informationssicherheit,
    • Verweigerung der erforderlichen Mitwirkung,
    • Gesetzliche Änderungen oder behördliche Anordnungen, die die betreffende Auslagerung untersagen.

    Weiter muss festgehalten werden, was mit dem Vertrag geschieht, wenn der Auftragnehmer in Konkurs fällt, er sein Geschäft verkauft oder dieses von einer anderen Firma übernommen wird. Wichtig ist, dass das Sozialhilfeorgan das Recht erhält, eine Übertragung des Vertrags auf einen Rechtsnachfolger des Auftragnehmers abzulehnen bzw. den Vertrag in einem solchen Fall frist- und entschädigungslos zu kündigen.

    Zu regeln sind auch die Folgen der Vertragsauflösung wie

    • Vergütung für angebrochene Perioden (pro rata temporis),
    • Verpflichtung des Auftragnehmers, dem Sozialhilfeorgan die Daten zurück zu übertragen (so genanntes Backsourcing) und in seinem System definitiv zu löschen,
    • Verpflichtung des Auftragnehmers, sämtliche Unterlagen, Dokumentation etc. herauszugeben bzw. auf Verlangen des Auftraggebers zu vernichten.

6.    Weitere vertragliche Abreden

Nach IDG zwar nicht gefordert, aber empfehlenswert ist die Regelung folgender zusätzlicher Punkte:

  • Anwendbares Recht und Gerichtsstand.
  • Vollständigkeitsklausel (es bestehen keine mündlichen Nebenabreden, Vertragsänderungen müssen schriftlich erfolgen).
  • Bei langfristigen Verträgen die Möglichkeit zur Vertragsanpassung und die Regelung des entsprechenden Verfahrens.
  • Bezeichnung der verantwortlichen Ansprechpartner zur Klärung möglicher rechtlicher, fachlicher, technischer und organisatorischer Fragen.

Rechtsprechung


Praxishilfen

Leitfaden der Datenschutzbeauftragten des Kantons Zürich zum Bearbeiten im Auftrag

24.11.2020