top of page
Suche

Datenschutz: Verantwortung klären statt Zuständigkeiten verwechseln

  • Mischa Bund
  • 6. Feb.
  • 3 Min. Lesezeit


Warum Schweizer Gemeinden die Verantwortung für Datenschutz-Dokumentation, Notfallkonzept sowie Risiko- und Bedrohungsanalyse tragen

Digitale Verwaltung ist ohne externe ICT-Dienstleister kaum mehr denkbar. Sie hosten Systeme, betreiben Infrastrukturen, sorgen für Security und unterstützen bei technischen Konzepten. In der Praxis zeigt sich jedoch immer wieder ein grundlegendes Missverständnis: Viele Gemeinden wenden sich bei Datenschutzfragen, Risikoanalysen oder Notfallkonzepten primär an ihren ICT-Dienstleister, obwohl diese Aufgaben rechtlich und organisatorisch nicht vollständig in dessen Verantwortungsbereich fallen.

Das Resultat sind unklare Zuständigkeiten, Lücken in der Dokumentation und im Ernstfall ein erhöhtes Risiko für die Gemeinde selbst.

Dieser Matrix zeigt auf, wie eine saubere Rollenaufteilung gelingt:

1. Die gesetzliche Ausgangslage ist eindeutig

Nach dem revidierten Datenschutzgesetz revDSG sowie den kantonalen Datenschutzgesetzen gilt für Gemeinden:

Die Gemeinde entscheidet über Zweck und Mittel der Datenbearbeitung. Damit ist sie die verantwortliche Stelle im rechtlichen Sinn.

Externe ICT-Dienstleister gelten als Auftragsbearbeiter. Sie handeln im Auftrag der Gemeinde und nach deren Weisungen. Diese Rolle ist gesetzlich klar definiert und lässt sich nicht verschieben.


2. Verantwortung bleibt bei der Gemeinde, auch bei ausgelagerten Leistungen

Auch wenn Hosting, Betrieb, Security oder Applikationsmanagement ausgelagert sind, bleibt die Gemeinde verantwortlich für:

  1. die Rechtmässigkeit der Datenbearbeitung

  2. die Vollständigkeit der Datenschutz-Dokumentation

  3. die Bewertung von Risiken für betroffene Personen

  4. die organisatorischen und strategischen Massnahmen

ICT-Dienstleister liefern wichtige Inputs, technische Details und Umsetzungen. Die Entscheidungshoheit und die Verantwortung liegen jedoch immer bei der Gemeinde.

Mit dem revDSG müssen Gemeinden jederzeit folgendes nachweisen können:
Mit dem revDSG müssen Gemeinden jederzeit folgendes nachweisen können:

3. Warum Datenschutz-Dokumentation keine ICT-Aufgabe ist

Das revDSG verpflichtet Gemeinden, jederzeit nachvollziehbar darlegen zu können:

  1. welche Personendaten bearbeitet werden

  2. zu welchem Zweck

  3. auf welcher Rechtsgrundlage

  4. welche Risiken bestehen

  5. welche Schutzmassnahmen umgesetzt sind

  6. welche externen Dienstleister eingebunden sind


Ein ICT-Dienstleister kennt die Systeme. Die Gemeinde kennt die Prozesse, Fachbereiche, Zuständigkeiten und regulatorischen Rahmenbedingungen.

Nur die Gemeinde hat den Gesamtüberblick über alle Datenflüsse und Bearbeitungstätigkeiten. Deshalb kann sie die Dokumentation nicht delegieren, sondern nur fachlich unterstützen lassen.

Kommt es zu einem Datenschutzvorfall, haftet in erster Linie die Gemeinde. Rechtliche Verantwortung ist nicht delegierbar.

4. Risiko- und Bedrohungsanalysen sind Führungsaufgabe

Gemeinden bearbeiten besonders schützenswerte Daten, unter anderem aus folgenden Bereichen:

Einwohner, Steuern, Finanzen, Sozialhilfe und Gesundheitsdaten

Das Gesetz verlangt eine Bewertung der Risiken für die betroffenen Personen. Diese Bewertung setzt voraus, dass man die internen Abläufe, Zugriffsrechte, organisatorischen Schwachstellen und Entscheidungswege kennt.

ICT-Dienstleister können technische Risiken beurteilen. Die Gesamtrisikobewertung muss jedoch durch die Gemeinde erfolgen.

5. Notfall und Wiederanlauf betreffen die gesamte Verwaltung

Cyberangriffe auf Schweizer Gemeinden nehmen zu. Ein wirksames Notfallkonzept umfasst weit mehr als Backup und Restore:

Priorisierung kritischer Dienstleistungen interne Verantwortlichkeiten Kommunikation gegen innen und aussen Zusammenarbeit mit dem Kantonalen Datenschutz Beauftragten und dem BACS , und weiteren Stellenpolitische Entscheidungswege.

Ein ICT-Dienstleister kann technische Notfallprozesse bereitstellen. Er definiert jedoch nicht, welche Leistungen für die Gemeinde kritisch sind, wer entscheidet und wer gegenüber der Bevölkerung verantwortlich ist.

Notfallplanung ist deshalb eine strategische Aufgabe der Gemeindeführung.

6. Die Rolle des ICT-Dienstleisters klar definieren

ICT-Dienstleister sind unverzichtbare Partner. Sie unterstützen Gemeinden unter anderem bei:

Technischer Sicherheit, Systemarchitektur, Backup und Recovery IT-spezifischen Risikoanalysen der Erarbeitung von Konzepten und Vorlagen.

Entscheidend ist die klare Rollentrennung: Der ICT-Dienstleister setzt um.

Die Gemeinde entscheidet und verantwortet.

Fazit: Klarheit schafft Sicherheit

Gemeinden tragen die Verantwortung für:

Datenschutz-Dokumentation Risiko und Bedrohungsanalysen, Notfall und Wiederanlaufkonzepteden rechtssicheren Betrieb ihrer Verwaltung.

ICT-Dienstleister leisten wertvolle technische Unterstützung. Die Gesamtverantwortung bleibt jedoch immer bei der Gemeindeführung.



Und genau hier kommen wir ins Spiel

Viele Gemeinden stehen nicht vor einem Wissensproblem, sondern vor einem Schnittstellenproblem zwischen Verwaltung, Recht und ICT.

Bund und Partner positioniert sich genau an dieser Stelle. Wir sind nicht der ICT-Dienstleister und nicht die Verwaltung, sondern die Verbindung dazwischen.

Wenn Sie Verantwortung sauber trennen und gleichzeitig alle Beteiligten entlasten wollen, begleiten wir Sie gerne.

 
 
 

Kommentare

bottom of page