Was bedeutet dies im Outsourcing-Verhältnis (Auslagerung der Verwaltung)? Reicht die Bestätigung des Outsourcing-Partners für ihre IT-Provider (Cloud, PK-Software)?
Hat die Vorsorgeeinrichtung ihre Verwaltung (Geschäftsführung, technische Verwaltung, Administration Aktive und Rentner, Rechnungswesen) an einen Dritten ausgelagert, so erfolgt die Datenbearbeitung durch die Verwaltung (als Auftragsbearbeiter) im Auftrag der Vorsorgeeinrichtung (Art. 9 revDSG). Letztere muss dann insbesondere sicherstellen, dass die Verwaltung in der Lage ist, die Datensicherheit zu gewährleisten, da die Vorsorgeeinrichtung weiterhin verantwortlich ist. Ein weiteres Beispiel eines Auftragsbearbeiters ist der Cloud-Provider (Cloud-Software). In diesem Fall muss die ganze Kette von der Vorsorgeeinrichtung über den/die Software-Anbieter und Cloud-Provider vertraglich abgesichert sein. Des Weiteren darf der Auftragsbearbeiter die Bearbeitung nur mit vorgängiger Genehmigung der Vorsorgeeinrichtung einem Dritten übertragen. In allen Fällen ist ein entsprechender Vertrag abzuschliessen (Auftragsbearbeitungsvertrag oder «Data Processing Agreement»). Dabei gilt der Cloud-Provider (bei der Speicherung von Daten auf der vom IT-Provider betriebenen Cloud) lediglich als Auftragsbearbeiter gemäss revDSG, die Vorsorgeeinrichtung jedoch ist Verantwortliche. Sie hat sämtliche verwaltungs- und IT-technischen Abläufe vertraglich zu regeln.
Subdelegation vom Processor an Sub-Processor ist nur mit vorgängiger Genehmigung des Verantwortlichen zulässig. Wie sehen Sie das in der Praxis? Sind namentliche Nennungen notwendig?
Ja. Die Vorsorgeeinrichtung hat als Verantwortliche gemäss revDSG auch das Verhältnis vom Processor zum Sub-Processor vertraglich mit dem Outsourcing-Partner zu regeln. Dabei sind namentliche Nennungen nicht notwendig (Ausnahme: Bearbeitungsverzeichnis; siehe oben).
Gilt die Post als Verantwortliche oder als Datenbearbeiterin gemäs revDSG?
Für die Datenbearbeitung auf der Transportebene – wozu auch die Adressen auf den Postsendungen gehören – ist die Post verantwortlich (= Verantwortliche nach revDSG); die Datenbearbeitung auf der Inhaltsebene – was die Kunden in ihren Briefen oder auf ihren Postkarten schreiben – ist Sache der Postkunden, hier also der Vorsorgeeinrichtung (Vorsorgeeinrichtung = Verantwortliche nach revDSG). Es liegt keine gemeinsame Verantwortlichkeit der Vorsorgeeinrichtung und der Post vor, sondern diese sind je auf ihrer Tätigkeitsebene Verantwortliche gemäss revDSG. Deshalb tangiert ein von der Post fehlzugestellter Brief nicht die datenschutzrechtliche Verantwortlichkeit der Vorsorgeeinrichtung, hier der Vorsorgeeinrichtung, während ein falschadressierter Brief einzig die Verantwortlichkeit der Vorsorgeeinrichtung ist mit entsprechenden Folgen etwa für die Meldepflichten bei Datenschutzverstössen.
Siehe David Rosenthal, Controller oder Processor: Die datenschuztrechtliche Grechtenfrage, in: Jusletter 17. Juni 2019, Rz. 87.