Datenschutz strukturiert umsetzen
Automatisierte Datenbearbeitungen sind heute ein selbstverständlicher Bestandteil nahezu aller Arbeits- und Verwaltungsprozesse. Sie finden in unterschiedlichsten Systemen und Anwendungen statt, von HR- und Fachlösungen über Online-Plattformen bis zu Informations- und Verwaltungssystemen.
Ein Bearbeitungsreglement hält verbindlich fest, wie Datenschutz in der Praxis umgesetzt wird. Es beschreibt Organisation, Abläufe und Kontrollen sowie die technischen und organisatorischen Schutzmassnahmen (TOM) und schafft damit eine verlässliche Grundlage für die interne Steuerung und den belastbaren Nachweis gegenüber Aufsichtsstellen und internen Prüfungen.
Wer Personendaten automatisiert bearbeitet, muss nachvollziehbar dokumentieren, dass die Grundsätze des Datenschutzes eingehalten und angemessene technische und organisatorische Massnahmen umgesetzt sind.
Was ist ein Bearbeitungsreglement?
Ein Bearbeitungsreglement beschreibt, wie automatisierte Datenbearbeitungen in einer Organisation aufgebaut, gesteuert und geschützt werden. Es legt fest, wer wofür verantwortlich ist, wie der Zugriff auf Daten geregelt wird und welche technischen und organisatorischen Massnahmen gelten.
Unter automatisierten Bearbeitungen versteht man Datenbearbeitungen, die durch den Einsatz von Informatiksystemen erfolgen und in denen Personendaten systematisch verarbeitet werden. Dazu gehören insbesondere Verfahren, bei denen Daten elektronisch erhoben, gespeichert, ausgewertet, verknüpft, übermittelt oder gelöscht werden.
Private Verantwortliche und ihre Auftragsbearbeiter müssen ein Bearbeitungsreglement für automatisierte Bearbeitungen erstellen, wenn sie
- besonders schützenswerte Personendaten in grossem Umfang bearbeiten; oder
- ein Profiling mit hohem Risiko durchführen.
Bundesorgane und ihre Auftragsbearbeiter müssen ein Bearbeitungsreglement für automatisierte Bearbeitungen erstellen, wenn
- sie besonders schützenswerte Personendaten bearbeiten;
- sie ein Profiling durchführen;
- der Bearbeitungszweck oder die Art und Weise der Datenbearbeitung zu einem schwerwiegenden Eingriff in die Grundrechte der betroffenen Personen führt;
- sie Personendaten Kantonen, ausländischen Behörden, internationalen Organisationen oder privaten Personen zugänglich machen;
- sie Datenbestände miteinander verknüpfen; oder
- gemeinsam mit anderen Bundesorganen Informationssysteme betreiben oder Datenbestände bewirtschaften.
Damit setzt das Bearbeitungsreglement den risikobasierten Ansatz des Datenschutzrechts um. Je sensibler oder komplexer eine Bearbeitung ist, desto höher sind die Anforderungen an Dokumentation, Nachvollziehbarkeit und organisatorische Steuerung.
Inhalt und Bedeutung eines Bearbeitungsreglements
Das Bearbeitungsreglement dokumentiert die datenschutzrelevanten Abläufe einer Organisation und bildet eine zentrale Grundlage für Transparenz, Nachvollziehbarkeit und Kontrolle. Es beschreibt die interne Struktur, die Verantwortlichkeiten sowie die Bearbeitungs- und Kontrollverfahren und hält fest, mit welchen technischen und organisatorischen Massnahmen der Datenschutz gewährleistet wird.
Das Reglement kann als eigenständiges Dokument oder als Teil eines übergeordneten Datenschutz- oder Informationssicherheitskonzepts geführt werden. Bestehende Richtlinien, Weisungen oder ISMS-Dokumente können einbezogen oder referenziert werden, sofern sie die Anforderungen abdecken. Ein einziges, bereichsübergreifendes Reglement kann mehrere Bearbeitungen umfassen, wenn Struktur und Verweise eindeutig sind.
Das Bearbeitungsreglement ist regelmässig zu überprüfen und bei Änderungen der Datenbearbeitungen zu aktualisieren. Wurde ein Datenschutzberater oder eine Datenschutzberaterin ernannt, ist dieser/diesem das Reglement zur Verfügung zu stellen.
Beziehung zu anderen Datenschutzinstrumenten
Das Bearbeitungsreglement ergänzt das Verzeichnis der Bearbeitungstätigkeiten und die Datenschutz-Folgenabschätzung (DSFA). Während das Verzeichnis einen Überblick über alle Bearbeitungen bietet und die DSFA Risiken bewertet, dokumentiert das Bearbeitungsreglement die konkrete operative Umsetzung mit den entsprechenden organisatorischen und technischen Massnahmen.
Angaben aus dem Bearbeitungsverzeichnis oder Ergebnisse einer DSFA können im Reglement übernommen oder durch Verweise eingebunden werden, um eine konsistente und überprüfbare Gesamtdokumentation sicherzustellen. So entsteht ein umfassendes Bild der Datenbearbeitung, das sowohl intern als auch gegenüber Aufsichtsbehörden nachvollziehbar ist.
Rechtliche Bedeutung und Risiken bei Unterlassung
Das Bearbeitungsreglement gehört zu den organisatorischen Mindestanforderungen an eine angemessene Datensicherheit. Fehlt es, obwohl die gesetzlichen Voraussetzungen erfüllt sind, liegt ein Verstoss gegen die Pflichten zur Datensicherheit vor.
Nach Art. 61 DSG kann eine solche Pflichtverletzung, insbesondere bei vorsätzlicher Unterlassung, strafbar sein.
Damit ist das Reglement mehr als eine formale Vorgabe: Es dokumentiert die Einhaltung der datenschutzrechtlichen Sorgfaltspflichten, belegt die Umsetzung angemessener technischer und organisatorischer Massnahmen und mindert rechtliche wie reputative Risiken.
Unsere Unterstützung
Wir begleiten Sie bei allen Schritten: von der Abklärung, ob ein Bearbeitungsreglement erforderlich ist, über die strukturierte Erstellung bis hin zur Integration in bestehende Datenschutz- und Sicherheitskonzepte.
Unsere Beratung verbindet rechtliche, organisatorische und technische Perspektiven und orientiert sich an den gesetzlichen Anforderungen bewährten Standards wie ISO 27001.
So entsteht ein praxisnahes, überprüfbares Dokument, das Ihre Datenschutzorganisation stärkt und Behördenanforderungen zuverlässig erfüllt.
Ihr Mehrwert
Ein gut aufgebautes Bearbeitungsreglement schafft Klarheit, Nachvollziehbarkeit und Vertrauen.
Sie erfüllen damit eine zentrale gesetzliche Pflicht, reduzieren Haftungs- und Strafrisiken und stärken die interne Verantwortlichkeit für Datenschutz und Informationssicherheit. Datenschutz wird so nicht zur Formalität, sondern zu einem gelebten, überprüfbaren Bestandteil Ihrer Organisation: rechtssicher, effizient und nachhaltig.