Rechtsgrundlagen

Gemeindegesetz vom 20. April 2015 (GG), LS 131.1 Gesetz über die Information und den Datenschutz vom 12. Februar 2007 (IDG), LS 170.4 Verordnung über die Information und den Datenschutz vom 28. Mai 2008 (IDV), LS 170.41

Erläuterungen

1.Grundsätze

1.1. Definition "Auslagerung von Dienstleistungen" In der Sozialhilfe liegt eine Auslagerung von Dienstleistungen im Sinne von § 6 IDG dann vor, wenn das Sozialhilfeorgan für die Erfüllung der eigenen Aufgabe die Dienste eines Drit-ten in Anspruch nimmt und damit Informationen (Personen- und/oder Sachdaten) durch Pri-vate oder andere öffentliche Organe bearbeiten lässt, Dienstleistungen in Anspruch nimmt oder Aufträge erteilt. Unter den Begriff "Bearbeiten" fällt jeder Umgang mit Informationen, also z.B. das Beschaf-fen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Vernichten, Warten etc. (vgl. § 3 Abs. 5 IDG). Beispiele in der Sozialhilfe:

• Auftrag einer Sozialbehörde an eine Rechtsberatungsfirma zwecks Formulierung eines einzelnen Beschlusses,
• Auftrag zur Durchführung von Bildungs-, Beschäftigungs- oder Integrationsprogrammen,
• Auftrag zur Fallführung oder zur Übernahme einzelner Aufgaben an einen Dritten oder eine andere Gemeinde, wobei die hoheitlichen Aufgaben (Entscheidungsbefugnisse) bei der Sozialbehörde bleiben. 1.2. Abgrenzung zur Funktionsübertragung Eine Funktionsübertragung liegt vor, wenn Dritte selbständig und dauernd eine öffentliche Aufgabe erfüllen. Die Funktionsübertragung geht deutlich weiter als die Auslagerung von Dienstleistungen. Da mit der Funktionsübertragung eine neue Zuständigkeit für die Erfüllung einer bestimmten öffentlichen Aufgabe begründet wird, braucht es dafür eine gesetzliche Grundlage. Dritte, welche in diesem umfassenden Sinn eine öffentliche Aufgabe erfüllen, werden selbst zum öffentlichen Organ im Sinne von § 3 Abs. 1 lit. c IDG. Beispiel in der Sozialhilfe:

• Übertragung der gesamten Aufgabe der Durchführung der persönlichen Hilfe an eine private Beratungsstelle (§ 13 lit. c SHG)
• Abschluss eines Anschlussvertrages zwecks Durchführung der wirtschaftlichen Hilfe durch die Sitzgemeinde (§ 71 GG, vgl. Kapitel 2.1.02, Ziff. 4.1),
• Gründung eines Zweckverbandes durch Gemeinden zwecks Durchführung der öffentli-chen Sozialhilfe (§ 73 GG, vgl. Kapitel 2.1.02, Ziff. 4.2). Bei der Funktionsübertragung handelt es sich also nicht um eine Auslagerung von Dienstleis-tungen. Die nachfolgenden Ausführungen gelten für sie nicht.

2.Voraussetzungen

Das Sozialhilfeorgan kann das Bearbeiten von Informationen Dritten übertragen, sofern kei-ne rechtliche Bestimmung oder vertragliche Vereinbarung entgegensteht. a. Gesetzliche Bestimmungen im Rahmen der Sozialhilfe Die Mitarbeiterinnen und Mitarbeiter der Sozialhilfeorgane und die Sozialbehörden unterste-hen dem Amtsgeheimnis (vgl. dazu Kapitel 5.2.01). Beauftragt das Sozialhilfeorgan Dritte, eine bestimmte Dienstleistung zu erbringen, so gelten auch sie als Personen, die eine öffent-liche Funktion ausüben. Sie werden zu so genannten Hilfspersonen der Verwaltung und un-terstehen ebenfalls der Schweigepflicht. Das Amtsgeheimnis steht einer Auslagerung grund-sätzlich nicht entgegen. b. Vertragliche Vereinbarungen Vertragliche Vereinbarungen können einer Auslagerung entgegenstehen oder diese nur un-ter bestimmten Auflagen zulassen.

3.Verantwortlichkeit

Das auslagernde Sozialhilfeorgan bleibt für die Datenbearbeitung verantwortlich (§ 6 Abs. 2 IDG). Das bedeutet, dass es bei der Auswahl, der Instruktion und der Kontrolle des Auf-tragsnehmers die notwendige Sorgfalt anzuwenden hat (vgl. dazu auch Art. 55 OR). Kommt es diesen Sorgfaltspflichten nicht nach, muss es mit allfälligen Haftungsansprüchen Dritter rechnen, wenn ein Auftragnehmer einen Schaden verursacht. Die Verantwortlichkeit bedeutet auch, dass das Sozialhilfeorgan die Geltendmachung der Schutzrechte gemäss § 21 IDG durch die betroffene Person gewährleisten muss. Es muss dafür besorgt sein, dass auch bei einer Auslagerung einer Dienstleistung

• die Berichtigung oder Vernichtung unrichtiger Personendaten,
• die Unterlassung der widerrechtlichen Bearbeitung von Personendaten,
• die Beseitigung der Folgen der widerrechtlichen Bearbeitung von Personendaten und

• die Feststellung der Widerrechtlichkeit der Bearbeitung vorgenommen werden können.

4.Double-Outsourcing

Von einem Double-Outsourcing oder einem Untervertragsverhältnis spricht man, wenn der vom Sozialhilfeorgan beauftragte Dritte, seinerseits die Informationsbearbeitung oder einen Teil derselben an einen Subunternehmer auslagert. Das ist nach IDG zwar nicht ausge-schlossen, führt aber zu erhöhten Risiken in Bezug auf die Verfügbarkeit, Integrität und Ver-traulichkeit der bearbeiteten Informationen. Ausserdem wird die Ausübung der Kontrollpflich-teten durch das Sozialhilfeorgan durch ein Double-Outsourcing erschwert. Deshalb sollte ein Double-Outsourcing im Bereich der Sozialhilfe vertraglich entweder ganz ausgeschlossen werden, nur mit ausdrücklicher schriftlicher Einwilligung durch den Auftraggeber erfolgen können oder nur für zum Vorneherein klar umschriebene Aufgaben zugelassen werden. Der Auftragnehmer muss dann jedoch verpflichtet werden, einem allfälligen Subauftragnehmer die gleichen Geheimhaltungs- und Sicherheitsvorschriften zu überbinden, wie sie für ihn sel-ber gelten.

5.Vertragliche Vereinbarung

Wenn die Auslagerung von Dienstleistungen an Dritte gesetzlich nicht ausdrücklich vorgese-hen ist, muss sie zwischen den Parteien schriftlich vereinbart werden (§ 25 Abs. 1 IDV). Be-inhaltet die Auslagerung eine Bearbeitung besonderer Personendaten, muss der entspre-chende Vertrag durch die vorgesetzte Stelle genehmigt werden (§ 25 Abs. 2 IDV). Der Vertrag zwischen dem Sozialhilfeorgan als Auftraggeber und dem Auftragnehmer muss umso detaillierter ausgestaltet sein, je grösser das Risiko für eine Persönlichkeitsverletzung ist. Er muss folgende Punkte regeln (§ 25 Abs. 2 IDV), wobei der Detaillierungsgrad der ein-zelnen Punkte dem Schutzbedürfnis der durch den Auftragnehmer bearbeiteten Informatio-nen angepasst werden kann: a. Gegenstand und den Umfang der übertragenen Aufgaben Gegenstandstand und Umfang der übertragenen Aufgaben müssen möglichst detailliert um-schrieben werden, damit Klarheit darüber herrscht, was der Auftragnehmer genau zu leisten hat, um den Vertrag zu erfüllen. Das Fehlen einer detaillierten Leistungsumschreibung führt leicht zu Meinungsverschiedenheiten und Unsicherheiten zwischen den Vertragspartnern. b. Umgang mit Personendaten Der Auftragnehmer darf Personendaten nur soweit bearbeiten, wie das Sozialhilfeorgan selbst es darf. Im Vertrag ist daher festzuhalten, dass der Auftragnehmer Personendaten ohne anderweitige ausdrückliche Ermächtigung durch das Sozialhilfeorgan nur für die Erfül-lung der übertragenen Aufgaben verwenden und nur dem Sozialhilfeorgan bekannt geben darf.

Betreffend Amtshilfegesuche können verschiedene Vereinbarungen getroffen werden. Eine Variante ist, dass Amtshilfegesuche, die beim Auftragnehmer eingehen, umgehend an das Sozialhilfeorgan weiterzuleiten sind. Möglich ist aber auch eine vertragliche Vereinbarung, wonach der Auftragnehmer bestimmte Amtshilfegesuche selbständig bearbeitet, gegebenen-falls mit der Verpflichtung, das Sozialhilfeorgan hierüber zu informieren. c. Geheimhaltungsverpflichtungen Soweit das Sozialhilfeorgan einer Schweigepflicht unterliegt, muss es den Auftragnehmer ebenfalls vertraglich zur Geheimhaltung verpflichten. Das gilt auch mit Bezug auf das Amts-geheimnis. Weiter muss festgelegt werden, dass der Auftragnehmer sein eigenes Personal, das an der Auftragserfüllung beteiligt ist, schriftlich zur Einhaltung der Geheimhaltungspflich-ten verpflichten muss (Datenschutz-Revers). Dies jedenfalls dann, wenn die Mitarbeitenden nicht bereits aufgrund ihres Arbeitsvertrages zur Verschwiegenheit mit Bezug auf die Ange-legenheit der Kunden ihres Arbeitsgebers verpflichtet sind. Die Geheimhaltungsverpflichtun-gen gelten nicht nur während der Dauer der Vertragsbeziehungen, sondern darüber hinaus. Das ist ebenfalls vertraglich zu verankern. d. Behandlung von Informationszugangsgesuchen Nach § 20 Abs. 1 und 2 IDG hat jede Person Anspruch auf Zugang zu den bei einem öffent-lichen Organ vorhandenen Informationen (Öffentlichkeitsprinzip) und auf Zugang zu den ei-genen Personendaten (Auskunftsrecht). Das Sozialhilfeorgan bleibt zuständig, über solche Informationszugangsgesuche zu entscheiden. Der Auftragnehmer muss deshalb vertraglich verpflichtet werden, solche Gesuche umgehend an das Sozialhilfeorgan weiterzuleiten. Aus-serdem muss vertraglich sichergestellt werden, dass die Datenbearbeitung durch den Auf-tragnehmer so erfolgt, dass der Auftraggeber solche Gesuche behandeln kann. e. Massnahmen zum Schutz der Informationen Informationssicherheit bedeutet, dass das Sozialhilfeorgan seine Informationen durch ange-messene organisatorische und technische Massnahmen schützen muss (§ 7 IDG). Es geht hier um folgende Schutzziele:

• Vertraulichkeit: Sie bedeutet, dass Informationen unberechtigten Personen nicht zur Kenntnis gelangen dürfen. Auch die Mitarbeitenden haben nur Zugriff auf jene Informati-onen, die sie zur Erfüllung ihrer jeweiligen Aufgaben benötigen.
• Integrität: Sie bezieht sich auf die Richtigkeit und Vollständigkeit der Informationen. Än-derungen müssen nachvollziehbar sein.
• Verfügbarkeit: Sie stellt sicher, dass Informationen zur Verfügung stehen, wenn sie ge-braucht werden.
• Authentizität: Sie verlangt, dass die Informationsbearbeitung einer verantwortlichen Per-son zugerechnet werden kann. Es muss also sichergestellt werden, dass nur die dazu berechtigten Personen Akten bearbeiten oder elektronische Daten verändern können. f. Kontrolle der Auftragserfüllung

Da das Sozialhilfeorgan für die Informationsbearbeitung verantwortlich bleibt, ist vertraglich ein Kontrollrecht zu vereinbaren. Zu beachten ist, dass die Datenschutzbeauftragte des Kan-tons Zürich in datenschutzrechtlicher Hinsicht eine Aufsichtsfunktion über alle öffentlichen Organe im Kanton Zürich, also auch über die Sozialhilfeorgane, innehat. Er ist berechtigt, sowohl bei diesen wie auch bei Dritten Kontrollen durchzuführen (§ 35 IDG). Aus Transpa-renzgründen kann dieser Umstand im Vertrag festgehalten werden. g. Sanktionen bei Pflichtverletzung Für Pflichtverletzungen hinsichtlich der Informationssicherheit bzw. des Datenschutzes ist ei-ne Sanktionierung, z.B. 10% der Höhe des jährlichen Auftragsumfangs, festzuhalten. Zudem sollte das sich das Sozialhilfeorgan das Recht sichern, bei wiederholter schwerwiegender Verletzung von Sicherheits- und Geheimhaltungsbestimmungen, den Vertrag mit sofortiger Wirkung auflösen zu können. Dies verbunden mit einer Pflicht des Auftragnehmers, den dem Sozialhilfeorgan daraus entstehenden Schaden zu ersetzen. h. Vertragsdauer und Vertragsauflösung Vertraglich zu regeln sind die ordentliche Vertragsdauer und die Kündigungsmodalitäten (feste Vertragsdauer oder Vertrag auf unbestimmte Zeit, Kündigungsfristen, Kündigungster-mine, Kündigungsform). Zu beachten sind dabei allfällige zwingende gesetzliche Bestim-mungen wie das Widerrufsrecht beim Auftrag (Art. 404 OR). Auch ausserordentliche Beendigungsgründe müssen vereinbart werden. Gründe für eine ausserordentliche Vertragsbeendigung können folgende sein:

• Verletzung vertraglicher Nebenpflichten (z.B. Verstoss gegen Geheimhaltungspflichten oder eine Missachtung von Vorschriften zur Informationssicherheit,
• Verweigerung der erforderlichen Mitwirkung,
• Gesetzliche Änderungen oder behördliche Anordnungen, die die betreffende Auslage-rung untersagen. Weiter muss festgehalten werden, was mit dem Vertrag geschieht, wenn der Auftragnehmer in Konkurs fällt, er sein Geschäft verkauft oder dieses von einer anderen Firma übernommen wird. Wichtig ist, dass das Sozialhilfeorgan das Recht erhält, eine Übertragung des Vertrags auf einen Rechtsnachfolger des Auftragnehmers abzulehnen bzw. den Vertrag in einem sol-chen Fall frist- und entschädigungslos zu kündigen. Zu regeln sind auch die Folgen der Vertragsauflösung wie
• Vergütung für angebrochene Perioden (pro rata temporis),
• Verpflichtung des Auftragnehmers, dem Sozialhilfeorgan die Daten zurück zu übertragen (so genanntes Backsourcing) und in seinem System definitiv zu löschen,
• Verpflichtung des Auftragnehmers, sämtliche Unterlagen, Dokumentation etc. herauszu-geben bzw. auf Verlangen des Auftraggebers zu vernichten.

6.Weitere vertragliche Abreden

Nach IDG zwar nicht gefordert, aber empfehlenswert ist die Regelung folgender zusätzlicher Punkte:

• Anwendbares Recht und Gerichtsstand.
• Vollständigkeitsklausel (es bestehen keine mündlichen Nebenabreden, Vertragsände-rungen müssen schriftlich erfolgen).
• Bei langfristigen Verträgen die Möglichkeit zur Vertragsanpassung und die Regelung des entsprechenden Verfahrens.
• Bezeichnung der verantwortlichen Ansprechpartner zur Klärung möglicher rechtlicher, fachlicher, technischer und organisatorischer Fragen.

Rechtsprechung

Praxishilfen

Anhänge

- Formulierungsbeispiele für Verträge zur Auslagerung von Dienstleistungen - Übersicht über die vertraglichen Regelungen bei einer Auslagerung von Dienstleistungen

Zum Umgang mit Personendaten:

"Der Auftragnehmer darf Informationen (Personendaten und Sachdaten) des Auftraggebers ohne dessen anderslautende ausdrückliche Ermächtigung nur insoweit bearbeiten, als es für die Erfüllung dieses Vertrages notwendig ist. Er darf die Informationen des Auftraggebers nur für diesen verwenden und nur diesem bekannt geben. Verlangt ein anderes öffentliches Organ die Bekanntgabe von Informationen, die der Auf-tragnehmer für den Auftraggeber bearbeitet, leitet der Auftragnehmer das Gesuch umgehend an den Auftraggeber weiter. [Variante: Bezeichnung der Art von Amtshilfegesuchen, die der Auftragnehmer selbst bearbeitet, allenfalls verbunden mit der Verpflichtung, den Auftragge-ber über solche Gesuche und der Beantwortung zu informieren.] Vorbehalten bleiben gesetzlich vorgesehene prozessuale Zwangsmassnahmen der zustän-digen Behörden. In diesen Fällen informiert der Auftragnehmer den Auftraggeber unverzüg-lich. Der Auftragnehmer nimmt zur Kenntnis, dass er sich insbesondere nach § 40 IDG strafbar macht, wenn er ohne ausdrückliche Ermächtigung des Auftraggebers Personendaten für sich oder andere verwendet oder anderen bekannt gibt."

Zu den Geheimhaltungsverpflichtungen (ohne Berufsgeheimnis):

"Die Parteien verpflichten sich zur Geheimhaltung von Informationen, einschliesslich den dazugehörigen Unterlagen und Datenträgern, die ihnen im Zusammenhang mit diesem Ver-trag bekannt werden und die weder offenkundig noch allgemein zugänglich sind. Die Mitarbeitenden des Auftragsnehmers, welche Informationen des Auftraggebers bearbei-ten, unterstehen als Hilfspersonen des Auftraggebers dem für diesen geltenden Amtsge-heimnis. Der Auftragnehmer sorgt dafür, dass sich diese Mitarbeitenden schriftlich zur Ge-heimhaltung und Wahrung des Amtsgeheimnisses verpflichten (Datenschutz-Revers). Die vorstehend erwähnten Geheimhaltungspflichten gelten auch nach Beendigung des Ver-trages weiter. Falls der Auftragnehmer Dritte für die Erbringung einer Leistung beizieht oder diese Leistung vollständig an Dritte delegiert, überbindet er die vorstehenden erwähnten Pflichten, ein-schliesslich Datenschutz-Revers, dem Dritten [Dieser Passus ist nicht notwendig, wenn der Auftragnehmer gemäss einer entsprechenden vertraglichen Vereinbarung keinen Dritten zur Auftragserfüllung beiziehen darf.]"

Zur Behandlung von Informationszugangsgesuchen

"Der Auftragnehmer leitet bei ihm eingehende Begehren nach § 20 IDG umgehend dem Auf-traggeber weiter. Der Auftragnehmer trifft alle notwendigen Vorkehren, damit der Auftraggeber in der Lage ist, solche Begehren zu behandeln und gegebenenfalls Einsicht zu gewähren. Er stellt sicher, dass der Auftraggeber die Rechte von Betroffenen gemäss § 21 IDG wahren kann. Eine diesbezügliche Leistungsverweigerung durch den Auftragnehmer ist in jedem Fall aus-geschlossen. "

Zu den Massnahmen zum Schutz der Informationen

"Der Auftragnehmer beachtet bei der Vertragserfüllung die Vorschriften des Gesetzes über die Information und den Datenschutz (IDG, LS 170.4). Er informiert den Auftraggeber über datenschutzrechtlich relevante Vorkommnisse und über getroffenen die Vorkehrungen zur Behebung von Sicherheitsmängeln. "

"

Der Auftragnehmer verpflichtet sich zur sorgfältigen Auswahl, Ausbildung und fachmänni-schen Arbeitsweise seiner eingesetzten Mitarbeitenden sowie derjenigen der von ihr beige-zogenen Dritten sowie zu deren Überwachung und Kontrolle."

Zur Kontrolle der Auftragserfüllung

"Der Auftraggeber ist berechtigt, beim Auftragnehmer Kontrollen über die Einhaltung der Vorschriften zur Informationssicherheit bzw. zum Datenschutz durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer wirkt dabei unentgeltlich mit. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn Sicherheitsmängel oder -lücken auftreten und wenn sich aussergewöhnliche Vorkommnisse ereignen. Der Auftragnehmer nimmt zur Kenntnis, dass der Datenschutzbeauftragte des Kantons Zü-rich Auskunft über das Bearbeiten von Daten verlangen, Einsicht in die Daten nehmen und sich die Bearbeitung vorführen lassen kann (§ 35 IDG)."

1.Gegenstand und Umfang der übertragenen Aufgabe:

– Möglichst detaillierte Umschreibung.

2.Double-Outsourcing:

– Vertraglicher Ausschluss oder Zulassung nur mit ausdrücklicher schriftlicher Ein-willigung des Auftraggebers, – Verpflichtung des Auftragnehmers zur Überbindung der Geheimhaltungs- und Si-cherheitsvorschriften an Subauftragnehmer, – allenfalls Vetorecht des Auftraggebers bezüglich des Einsatzes bestimmter Sub-auftragnehmer.

3.Umgang mit Personendaten:

– Verwendung der Personendaten nur für die Auftragserfüllung, Bekanntgabe nur an Auftraggeber, Vorbehalt: ausdrückliche Ermächtigung durch Auftraggeber, – Weiterleitung von Amtshilfegesuchen an den Auftraggeber bzw. Definition der Amtshilfegesuche, die vom Auftragnehmer direkt behandelt werden, – Informationspflicht bei prozessualen Zwangsmassnahmen, – Verweis auf § 40 IDG.

4.Geheimhaltungsverpflichtungen

– Gegenseitige Geheimhaltungsverpflichtung, – Unterstellung unter ein allenfalls geltendes Amtsgeheimnis, – Datenschutz-Revers, – Weitergeltung der Geheimhaltungspflichten nach Vertragsbeendigung, – Überbindung der Geheimhaltungsverpflichtungen inklusive Datenschutz-Revers auf einen allfälligen Subauftragnehmer.

5.Behandlung von Informationszugangsgesuchen

– Weiterleitung von Begehren nach § 20 IDG an den Auftraggeber, – Gewährleistung des Auftragnehmers, dass der Auftraggeber Informationszu-gangsgesuche behandeln und Rechte nach § 21 IDG wahren kann, – Ausschluss der Leistungsverweigerung durch Auftragnehmer.

6.Massnahmen zum Schutz der Informationen

– Gewährleistung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Au-thentizität durch technische und organisatorische Massnahmen, – Verpflichtung zur Einhaltung der anwendbaren Datenschutzgesetzgebung, – Informationspflicht des Auftragnehmers über datenschutzrechtlich relevante Vor-kommnisse, – Verpflichtung des Auftragnehmers zur sorgfältigen Auswahl, Instruktion und Kon-trolle der Mitarbeitenden.

7.Kontrolle der Auftragserfüllung

– Kontrollrecht des Auftraggebers, – Kontrollbefugnis Datenschutzbeauftragter des Kantons Zürich, – Informationspflicht des Auftragnehmers bei Sicherheitsmängeln oder -lücken und bei aussergewöhnlichen Vorkommnissen.

8.Sanktionen bei Pflichtverletzung

– Sanktionen bei Verletzungen von Pflichten bezüglich Datenschutz bzw. Datensi-cherheit, z.B. Konventionalstrafe, – Haftungs- und Gewährleistungsbestimmungen.

9.Vertragsdauer und Vertragsauflösung

– ordentliche Vertragsdauer und Kündigungsmodalitäten, – Gründe für eine ausserordentliche Vertragsbeendigung, – Folgen der Vertragsbeendigung (Vergütung für angefangene Leistungen, Backsourcing, Löschung der Daten beim Auftragnehmer, Rückgabe von Unterla-gen etc.).

10.Anwendbares Recht und Gerichtsstand

– Bezeichnung des Schweizer Recht als anwendbares Recht, – Gerichtsstand des Auftraggebers (oder nach Wunsch anderer Gerichtsstand).