Datenbearbeitung im Auftrag

Was ist eine Auftragsdatenbearbeitung?

Ein „Bearbeiten im Auftrag“ im Sinne von § 6 IDG ZH liegt vor, wenn ein öffentliches Organ wie die UZH Informationen, d.h. Sach-, Personen- oder besondere Personendaten durch Dritte bearbeiten lässt. Man spricht auch von Auslagerung, Outsourcing, Auftragsbearbeitung oder Datenbearbeitung durch Dritte.

Als „Dritte“ gelten sowohl externe natürliche oder juristische Personen als auch andere öffentliche Organe.

Unter „Bearbeiten“ fällt gem. § 3 IDG ZH jeder Umgang mit Informationen wie das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Zugänglichmachen oder Vernichten.

Nähere Einzelheiten können dem Leitfaden „Bearbeiten im Auftrag“ des Datenschutzbeauftragten des Kantons Zürich entnommen werden:

https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/weitere_themen/outsourcing/_jcr_content/contentPar/downloadlist_3/downloaditems/neu_leitfaden_bearbe.spooler.download.1437547151704.pdf/Leitfaden_Bearbeiten_im_Auftrag.pdf

Gesetzliches Erfordernis zur Implementierung rechtlicher, technischer und organisatorische Massnahmen

Jede Bearbeitung von Informationen der Universität Zürich (UZH) durch Dritte im Auftrag der UZH muss durch spezifische rechtliche, technische und organisatorische Massnahmen abgesichert werden. Die entsprechenden Erfordernisse ergeben sich aus dem Gesetz über die Information und den Datenschutz des Kantons Zürich (IDG ZH) sowie der Verordnung über die Information und den Datenschutz des Kantons Zürich (IDV ZH).

Darüber hinaus hat der Regierungsrat des Kantons Zürich die „AGB der SIK für IKT-Leistungen, Ausgabe Januar 2015“, sowie die „AGB Auslagerung Informatikleistungen“ und die „AGB Datenbearbeitung durch Dritte“ für die dem Regierungsrat unterstellten Verwaltungseinheiten grundsätzlich als verbindlich erklärt. Davon abweichende Bedingungen dürfen nur in begründeten Ausnahmefällen ausgehandelt werden. Die übrigen kantonalen öffentlichen Organe sind ebenfalls aufgefordert, diese AGB bei neuen Abschlüssen und Verträgen zu verwenden:

http://www.kitt.zh.ch/internet/finanzdirektion/kitt/de/it_sicherheit.html

https://afi.zh.ch/internet/finanzdirektion/afi/de/standards-richtlinien/_jcr_content/contentPar/downloadlist/downloaditems/agb_auslagerung_info.spooler.download.1529583063498.pdf/AGB-Auslagerung-Informatikleistungen.pdf

https://afi.zh.ch/internet/finanzdirektion/afi/de/standards-richtlinien/_jcr_content/contentPar/downloadlist/downloaditems/agb_datenbearbeitung.spooler.download.1529583135386.pdf/AGB-Datenbearbeitung-Dritte.pdf

Paketlösung UZH

Vor diesem Hintergrund hat die UZH ein rechtlich geprüftes Konzept in Form einer Paketlösung (AGB, Geheimhaltungserklärung und Merkblatt) erarbeitet, welches die kantonalen Vorgaben inkorporiert und klare Handlungsvorgaben für UZH-Mitarbeitende bei Vertragsabschlüssen gibt.