Die RA-Agenturen handeln im Auftrag der Registrierungsstelle Swisscom. Neben den Pflichten zur sorgfältigen Ausführung der Tätigkeiten der Registrierungsstelle steht auch der Datenschutz im Vordergrund. Es gelten die Datenschutzgrundsätze aus Art. 28 DSGVO gelten, was sich in der genauen Form der technisch-organisatorischen Massnahmen (TOM) im RA-Agenturvertrag widerspiegelt. Sie beruhen auf zwei Abschnitten von Art. 28 DSGVO, die die Nutzung der App auf dem mobilen Gerät widerspiegeln:
-
Die Massnahme muss «die Fähigkeit gewährleisten, die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherzustellen» und
-
ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung enthalten.
-
Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen Vorkehrungen, um sicherzustellen, dass die ihnen unterstellten natürlichen Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht oder nationalem Recht dazu verpflichtet.
Das bedeutet, dass neben dem Einsatz sorgfältig ausgewählter und geschulter Mitarbeiter auch der Schutz der App auf dem mobilen Gerät und der Zugriffsschutz gewährleistet sein müssen. Sind die Geräte ausreichend gegen Viren geschützt? Ist es verboten, Programme aus anderen App-Stores herunterzuladen, die keinen ausreichenden Schutz bieten? Halten die Mitarbeiter ihre PINs und Passwörter geheim? Werden die Geräte nicht gerootet?
Die wichtigste Aufgabe des RA-Agenten ist die strenge Prüfung der ihm vorgelegten Ausweisdokumente und insbesondere die rigorose Überprüfung der per optischer Zeichenerkennung (OCR) aus dem Personalausweis/Reisepass ausgelesenen Feldinformationen sowie die korrekte Erfassung der Mobilfunknummer.