Bearbeitungsreglement: Das Bearbeitungsreglement gemäss revidiertem Datenschutzrecht
Isabell Hubler
Isabell Hubler, MLaw ist Juristin bei der IT & Law Consulting GmbH in Zürich. Sie ist tätig in den Bereichen IT-Vertragsrecht, Datenschutzrecht und Records Management.
Maria Winkler
Mag. iur. Maria Winkler ist Geschäftsinhaberin der IT & Law Consulting GmbH in Zürich, Dozentin an diversen Fachhochschulen, Datenschutzbeauftragte verschiedener Unternehmen im privaten und öffentlichen Sektor sowie Fachexpertin für Datenschutzzertifizierungen in der Schweiz und in Österreich.
Passende Arbeitshilfen
Worum geht es?
Obwohl die Bezeichnung als «Reglement» nahelegt, dass es sich um ein verbindliches Dokument mit Weisungscharakter handelt, ist der Zweck ein anderer. Mit dem Bearbeitungsreglement soll eine automatisierte Datenbearbeitung in einem Handbuch dokumentiert werden, um die Nachvollziehbarkeit zu gewährleisten. Der erläuternde Bericht des BJ zur DSV betont, dass das Bearbeitungsreglement der Rechenschaftspflicht («accountability») dient, die im Gegensatz zur EU-DSGVO im revidierten DSG nicht ausdrücklich verankert wurde und über die DSV nun zumindest teilweise nachträglich eingeführt wird.
Wer ist betroffen?
Die DSV enthält sowohl eine Bestimmung für Private (Art. 5 DSV) als auch eine für die Bundesorgane (Art. 6 DSV). Beide Artikel verpflichten sowohl das verantwortliche Unternehmen bzw. das verantwortliche Bundesorgan (im Folgenden als «Verantwortliche» bezeichnet) als auch deren Dienstleister, sofern diese als Auftragsbearbeiter zu qualifizieren sind, unter gewissen Voraussetzungen ein Bearbeitungsreglement zu erstellen. Dabei gehen die Pflichten des Verantwortlichen quasi auf den privaten Auftragsbearbeiter über – bearbeitet er Personendaten für ein Bundesorgan, muss er ein Bearbeitungsreglement gemäss Art. 6 DSV erstellen. Ist sein Kunde ein privates Unternehmen, dann gelten die Anforderungen von Art. 5 DSV.
Aus diesem Grund werden nachfolgend sowohl die Bestimmungen für Private als auch für Bundesorgane aufgeführt. Der Fokus des vorliegenden Beitrags liegt jedoch auf dem Bearbeitungsreglement für Private.
Wann muss ein Bearbeitungsreglement erstellt werden?
Ein Bearbeitungsreglement muss erstellt werden, wenn eine «automatisierte Bearbeitung» von Personendaten vorliegt. Was eine automatisierte Bearbeitung ist, geht weder aus der DSV noch aus dem Bericht zur DSV hervor. Berücksichtigt man die Verwendung des Begriffs in der Literatur und Rechtsprechung, dann ist unter der «automatisierten Bearbeitung» das Gegenteil einer manuellen Bearbeitung von Personendaten zu verstehen. Anders ausgedrückt: Sobald die Bearbeitung von Personendaten computerunterstützt erfolgt, ist diese Voraussetzung erfüllt.
Die weiteren Voraussetzungen, die erfüllt sein müssen, unterscheiden sich, je nachdem ob ein Bundesorgan oder ein privatrechtliches Unternehmen betroffen ist, weshalb diese nachfolgend separat aufgeführt werden. Dabei ist zu beachten, dass ein Reglement bereits beim Vorliegen einer der aufgeführten Voraussetzungen zu erstellen ist.
Voraussetzungen für Private
- Bearbeitung von besonders schützenswerte Personendaten in grossem Umfang oder
- Durchführung eines Profilings mit hohem Risiko
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
