Bearbeitungsreglement: Pflicht oder echter Mehrwert?
Isabell Hubler
Isabell Hubler, MLaw ist Juristin bei der IT & Law Consulting GmbH in Zürich. Sie ist tätig in den Bereichen IT-Vertragsrecht, Datenschutzrecht und Records Management.
Maria Winkler
Mag. iur. Maria Winkler ist Geschäftsinhaberin der IT & Law Consulting GmbH in Zürich, Dozentin an diversen Fachhochschulen, Datenschutzbeauftragte verschiedener Unternehmen im privaten und öffentlichen Sektor sowie Fachexpertin für Datenschutzzertifizierungen in der Schweiz und in Österreich.
Passende Arbeitshilfen
Worum geht es?
Obwohl die Bezeichnung als «Reglement» nahelegt, dass es sich um ein verbindliches Dokument mit Weisungscharakter handelt, ist der Zweck ein anderer. Mit dem Bearbeitungsreglement soll eine automatisierte Datenbearbeitung in einem Handbuch dokumentiert werden, um die Nachvollziehbarkeit zu gewährleisten. Der erläuternde Bericht des BJ zur DSV betont, dass das Bearbeitungsreglement der Rechenschaftspflicht («accountability») dient, die im Gegensatz zur EU-DSGVO im DSG nicht ausdrücklich verankert wurde und über die DSV nun zumindest teilweise nachträglich eingeführt wurde.
Wer ist betroffen?
Die DSV enthält sowohl eine Bestimmung für Private (Art. 5 DSV) als auch eine für die Bundesorgane (Art. 6 DSV). Beide Artikel verpflichten sowohl das verantwortliche Unternehmen bzw. das verantwortliche Bundesorgan (im Folgenden als «Verantwortliche» bezeichnet) als auch deren Dienstleister, sofern diese als Auftragsbearbeiter zu qualifizieren sind, unter gewissen Voraussetzungen ein Bearbeitungsreglement zu erstellen. Dabei gehen die Pflichten des Verantwortlichen quasi auf den privaten Auftragsbearbeiter über – bearbeitet er Personendaten für ein Bundesorgan, muss er ein Bearbeitungsreglement gemäss Art. 6 DSV erstellen. Ist sein Kunde ein privates Unternehmen, dann gelten die Anforderungen von Art. 5 DSV.
Aus diesem Grund werden nachfolgend sowohl die Bestimmungen für Private als auch für Bundesorgane aufgeführt. Der Fokus des vorliegenden Beitrags liegt jedoch auf dem Bearbeitungsreglement für Private.
Wann muss ein Bearbeitungsreglement erstellt werden?
Ein Bearbeitungsreglement muss erstellt werden, wenn eine «automatisierte Bearbeitung» von Personendaten vorliegt. Was eine automatisierte Bearbeitung ist, geht weder aus der DSV noch aus dem Bericht zur DSV hervor. Berücksichtigt man die Verwendung des Begriffs in der Literatur und Rechtsprechung, dann ist unter der «automatisierten Bearbeitung» das Gegenteil einer manuellen Bearbeitung von Personendaten zu verstehen. Anders ausgedrückt: Sobald die Bearbeitung von Personendaten computerunterstützt erfolgt, ist diese Voraussetzung erfüllt.
Die weiteren Voraussetzungen, die erfüllt sein müssen, unterscheiden sich, je nachdem ob ein Bundesorgan oder ein privatrechtliches Unternehmen betroffen ist, weshalb diese nachfolgend separat aufgeführt werden. Dabei ist zu beachten, dass ein Reglement bereits beim Vorliegen einer der aufgeführten Voraussetzungen zu erstellen ist.
Voraussetzungen für Private
- Bearbeitung von besonders schützenswerte Personendaten in grossem Umfang oder
- Durchführung eines Profilings mit hohem Risiko
Seminar-Empfehlungen
Wann besonders schützenswerte Personendaten «in grossem Umfang» bearbeitet werden, wird in der DSV ebenfalls nicht definiert. Dem Erläuterungsbericht des Bundesrates ist zu entnehmen, dass die nur «vereinzelte» Bearbeitung besonders schützenswerter Personendaten nicht erfasst sei. Grundsätzlich ist aber davon auszugehen, dass Private für besonders heikle (automatisierte) Datenbearbeitungen Reglemente erstellen müssen. Dies wird der Fall sein, wenn entweder eine grosse Menge an besonderes schützenswerten Personendaten bearbeitet wird oder eine grosse Anzahl von natürlichen Personen betroffen ist.
Bei Bundesorganen sind die Voraussetzungen etwas anders definiert:
- Bearbeitung von besonders schützenswerten Personendaten
- Durchführung eines Profilings
- Bearbeitungszweck oder die Art und Weise der Datenbearbeitung können zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Person führen
- Zugänglichmachen der Personendaten für Kantone, ausländische Behörden, internationale Organisationen oder private Personen
- Verknüpfung von Datenbeständen
- Betrieb eines Informationssystems oder Bewirtschaftung von Datenbeständen gemeinsam mit anderen Bundesorganen
Was beinhaltet ein Bearbeitungsreglement?
Das Bearbeitungsreglement muss Angaben zur internen Organisation, zum Datenbearbeitungs- und Kontrollverfahren sowie zu den Massnahmen zur Gewährleistung der Datensicherheit enthalten.
Gemäss den Erläuterungen des EDÖB ist das Bearbeitungsreglement «in möglichst kurzer und verständlicher Form zu führen, so dass das System auch von “Nicht-Experten“ verstanden bzw. beurteilt werden kann. Es gelte der Grundsatz “soviel wie nötig, und so wenig wie möglich“. Es ist zudem zulässig, auf detailliertere Informationen in anderen Dokumenten zu verweisen.[1] Das Bearbeitungsreglement muss folglich nicht ein einzelnes, in sich geschlossenes Dokument sein, sondern kann aus einer Vielzahl von Dokumenten bestehen.
Es versteht sich von selbst, dass das Bearbeitungsreglement grundsätzliche Angaben zur Organisation, die das Reglement erstellt, enthalten muss. Dazu gehören der Name und die Adresse des Unternehmens (oder des Bundesorgans) sowie die Rolle in Bezug auf die Datenbearbeitung (Verantwortlicher oder Auftragsbearbeiter). Zusätzlich sollte die automatisierte Datenbearbeitung bereits am Beginn des Reglements kurz bezeichnet werden.
Zur internen Organisation zählt ein Organigramm, zumindest, soweit dieses für das Verständnis des Bearbeitungsreglements zweckmässig ist. Die interne Stelle, die die Gesamtverantwortung für die im Bearbeitungsreglement beschriebene automatisierte Datenbearbeitung hat, sollte ebenfalls bezeichnet werden. Wurde ein Datenschutzberater bzw. eine Datenschutzberaterin bestimmt, dann sollte diese Funktion im Organigramm abgebildet sein und ihre Kontaktdaten sollten dokumentiert werden. Insgesamt ist zu vermeiden, Personen namentlich zu nennen, um zu verhindern, dass bei einem Personalwechsel das Bearbeitungsreglement angepasst werden muss. Stattdessen sollten Funktionen bzw. Rollen genannt werden, sofern die Verantwortung jeweils einer solchen zugewiesen wird.
Gemäss dem erläuternden Bericht sind unter dem Titel der internen Organisation auch die Architektur und Funktionsweise der eingesetzten IT-Systeme zu beschreiben. Es ist zu empfehlen, Grafiken zu integrieren, um die Verständlichkeit des Dokuments zu unterstützen.
Bei der Dokumentation der Datenbearbeitungsverfahren geht es darum, die Datenflüsse zu beschreiben (Wo kommen Daten her? Was wird wann mit den Daten gemacht?). Dies umfasst insbesondere das Speichern, Berichtigen, Archivieren und das Löschen von Daten. Gemäss dem erläuternden Bericht des BJ sind auch die Massnahmen zur Datenminimierung zu bezeichnen.
Aus dem Bearbeitungsreglement soll gemäss BJ hervorgehen, wie das Auskunftsrecht und (sofern anwendbar) das Recht auf Datenherausgabe und -übertragung sichergestellt werden.
Die Angaben zu den implementierten Kontrollverfahren umfassen unter anderem Informationen zu den Zugriffsberechtigungen, beispielsweise indem auf ein separates Zugriffskonzept und eine separate Zugriffsmatrix verwiesen wird.
Form des Bearbeitungsreglements
Die DSV schreibt nicht vor, in welcher Form das Bearbeitungsreglement erstellt werden muss. Wie bereits erwähnt, ist es zulässig, auf bestehende Unterlagen, die beispielsweise bereits im Rahmen der Erhebung der Verarbeitungsverzeichnisse oder der Durchführung von Datenschutz-Folgenabschätzungen erstellt werden, zu verweisen bzw. zu verlinken.
Das Reglement muss regelmässig aktualisiert werden, es sollte daher eine Form gewählt werden, die dies unterstützt.
Fazit
Mit dem Inkrafttreten der DSV wurde leider die bereits nach dem alten Recht bestehende Pflicht zur Erstellung von Bearbeitungsreglementen nicht abgeschafft. Die zu dokumentierenden Informationen werden teilweise bereits im Rahmen der Bearbeitungsverzeichnisse und Datenschutz-Folgenabschätzungen erfasst und müssen hier erneut aufgeführt werden, was zu Doppelspurigkeiten führt. Es empfiehlt sich daher, auf bestehende Dokumente zu verweisen, so dass das Bearbeitungsreglement eine Art Sammlung der relevanten Dokumente darstellt.
