Datenbearbeitung im Auftrag

Was ist eine Datenberarbeitung im Auftrag?

Ein „Bearbeiten im Auftrag“ im Sinne von § 6 IDG liegt vor, wenn ein öffentliches Organ wie die UZH Informationen, d. h. Sach-, Personen- oder besondere Personendaten durch Dritte bearbeiten lässt. Man spricht auch von Auslagerung, Outsourcing, Auftragsbearbeitung oder Datenbearbeitung durch Dritte.

Als „Dritte“ gelten sowohl externe natürliche oder juristische Personen als auch andere öffentliche Organe.

Unter „Bearbeiten“ fällt gemäss § 3 IDG jeder Umgang mit Informationen wie das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Zugänglichmachen oder Vernichten.

Nähere Einzelheiten können dem Leitfaden „Bearbeiten im Auftrag“ des Datenschutzbeauftragten des Kantons Zürich entnommen werden:

Leitfaden Bearbeitung im Auftrag des DSB des Kantons Zürich

Paketlösung UZH

Jede Bearbeitung von Informationen der UZH durch Dritte im Auftrag der UZH muss durch spezifische rechtliche, technische und organisatorische Massnahmen abgesichert werden. Die entsprechenden Erfordernisse ergeben sich aus dem Gesetz über die Information und den Datenschutz des Kantons Zürich (IDG) sowie der Verordnung über die Information und den Datenschutz des Kantons Zürich (IDV).

Vor diesem Hintergrund hat die UZH ein rechtlich geprüftes Konzept in Form einer Paketlösung (AGB, Geheimhaltungserklärung und Merkblatt) erarbeitet, welches die kantonalen Vorgaben inkorporiert und klare Handlungsvorgaben für UZH-Mitarbeitende bei Vertragsabschlüssen gibt (siehe Paketlösung – nur interner Zugriff).