Auftragsbearbeitung: Was müssen KMU beim Einsatz von ausländischen Dienstleistern beachten?

Passende Arbeitshilfen
Gesetzliche Grundlagen
Grundsätzlich ist für die Bearbeitung von Personendaten in der Schweiz das Bundesgesetz über den Datenschutz (DSG) anwendbar. Falls Dienstleistungen oder Produkte in der EU/EWR angeboten werden, ist zusätzlich auch die Europäische Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem müssen andere regulatorische Bestimmungen noch beachtet werden, z.B. bei von der FINMA bewilligten Vermögensverwaltern oder bei Start-ups im Medizinalbereich, sofern sie Patientendaten bearbeiten.
Seit dem 1. September 2023 gilt in der Schweiz das revidierte DSG, welches inhaltlich grosse Ähnlichkeiten mit der DSGVO hat. Die Ausführungen in diesem Beitrag beziehen sich auf das revidierte DSG und es ist auch dringend empfohlen sich schon jetzt mit der Umsetzung auseinanderzusetzen, weil es keine Übergangsfrist geben wird.
Begriffe
Verantwortlicher für die Datenbearbeitung ist die Person, welche über den Zweck und die Mittel der Bearbeitung entscheidet. Ein KMU ist etwa als Verantwortlicher für die Bearbeitung seiner Kundendaten für die Rechnungsstellung zu sehen. Im Gegensatz dazu bearbeitet der Auftragsbearbeiter die Personendaten im Auftrag des Verantwortlichen (siehe nachfolgend).
Auftragsbearbeitung
Definition
Bei einem Beizug eines externen Dritten, z.B. einer Marketing-Agentur, einem Cloud-Service-Provider oder einer externen Buchhaltungsfirma, ist zuerst immer zu prüfen, ob Personendaten von diesem Dritten bearbeitet werden. Hier können etwa Kundendaten, aber auch Daten von Mitarbeitenden (z.B. bei einer Auslagerung der Lohnbuchhaltung) betroffen sein. Falls Personendaten betroffen sind, ist zu prüfen, ob es sich bei dem Verhältnis, um ein Auftragsbearbeitungsverhältnis handelt.
Eine Auftragsbearbeitung liegt immer dann vor, wenn ein Dritter die Personendaten nach Weisung und im Interesse des für die Datenbearbeitung Verantwortlichen bearbeitet. Der Auftragsbearbeiter bearbeitet die Personendaten nicht für eigene Zwecke, sondern nur für diejenigen Zwecke, welche der Verantwortliche ihm vorgibt. Der Auftragsbearbeiter ist der „verlängerte Arm“ des Verantwortlichen. In der Praxis kann die Abgrenzung teilweise schwierig zu ziehen sein. Grundsätzlich ist bei Cloud-Service Providern, bei Auslagerungen von unternehmensinternen, administrativen Aufgaben oder bei Einsatz von Marketing-Tools, wie E-Mail-Versand-Dienstleistungen, von einer Auftragsbearbeitung auszugehen.
Prüfung des Auftragsbearbeiter
Bevor ein Auftragsbearbeiter eingesetzt werden kann, muss von der Verantwortlichen geprüft werden, ob dieser in der Lage ist die Datensicherheit zu gewährleisten. Bei grossen, internationalen Cloud-Dienstleistern etwa ist dies kein Problem, weil diese Unternehmen über einen hohen Datensicherheitsstandard verfügen. Bei kleinen, lokalen Unternehmen, wie etwa einem kleinen Buchhaltungsbüro, gestaltet sich die Prüfung vielfach etwas ausführlicher und komplizierter. Grundsätzlich ist in einer solchen Situation darauf zu achten, dass der Dienstleister ein Datensicherheitskonzept und interne Vorgaben zum Datenschutzmanagement hat. Je sensibler die Personendaten, desto höher muss auch der Datensicherheitsstandard sein.
Vertragsinhalt
Liegt nun eine Auftragsbearbeitung vor, so muss mit dem Auftragsbearbeiter eine Vereinbarung über die Bearbeitung von Personendaten im Rahmen dieser Dienstleistung abgeschlossen werden. Üblicherweise hat ein KMU in Vertragsverhandlungen mit Dienstleistern zu wenig Verhandlungsmacht, um eigene Verträge durchzusetzen.
Passende Produkt-Empfehlungen
Auslandstransfer
Wenn sich nun ein solcher Auftragsbearbeiter im Ausland befindet, so ist zusätzlich zu prüfen, ob die Bestimmungen des DSG zur Auslandbekanntgabe erfüllt sind. Bei einer Bekanntgabe in den EU/EWR-Raum sind keine weiteren Massnahmen zu treffen. Bei einer Bekanntgabe ausserhalb der EU/EWR ist zu prüfen, ob der fragliche Staat einen angemessenen Datenschutz besitzt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht eine Liste mit den Staaten, welche ein angemessenes Datenschutzniveau haben.
Falls nun ein Dienstleister in einem Land ohne angemessenen Datenschutz seinen Sitz hat, sind zusätzliche Massnahmen zu treffen, damit ein Transfer trotzdem stattfinden kann. Eine Möglichkeit ist, die Einwilligung der betroffenen Personen einzuholen. Dies ist allerdings nicht zu empfehlen, weil diese Einwilligung jederzeit auch widerrufen werden kann und dann die Bekanntgabe zu stoppen ist. In der Praxis werden üblicherweise sog. Standardvertragsklauseln der EU verwendet. Diese Standardvertragsklauseln können dann ein angemessenen Datenschutzniveau herstellen und ein Transfer kann stattfinden. Damit diese Wirkung eintritt, dürfen diese nur sehr eingeschränkt verändert werden (Anpassungen an das schweizerische Recht). Allerdings ist immer auch zu prüfen, ob gegebenenfalls andere Massnahmen, wie z.B. eine Verschlüsselung der Personendaten, nötig sind. Der EDÖB hat auf seiner Webseite umfangreiche Hilfestellungen und auch die Standardvertragsklauseln zum Download bereitgestellt.
Strafrechtliche Konsequenzen
Wenn bei der Auftragsbearbeitung vorsätzliche Pflichten verletzt werden oder Personendaten in ein Land ohne angemessenen Datenschutz bekannt gegeben werden, ohne zusätzliche Massnahmen zu treffen, so liegt u.U. eine strafbare Handlung vor.
Das Delikt wird nur auf Antrag hin verfolgt. Es droht eine Strafe in Form einer Busse von bis zu CHF 250'000.00. Im Gegensatz zur DSGVO wird die natürliche Person, welche das Delikt begeht, direkt bestraft und nicht das Unternehmen.
Fazit
Auftragsbearbeitungsverhältnisse kommen in der Praxis sehr häufig vor. Für KMU ist es wichtig, dass die nötige Sorgfalt bei der Auswahl der Dienstleister ausgeübt wird und auch der Datenschutz beachtet wird. Auch wenn häufig die Standardauftragsbearbeitungsverträge der Dienstleister vorgelegt werden, so ist es dennoch wichtig, dass diese auf die Einhaltung der datenschutzrechtlichen Bestimmungen hin geprüft werden. Insb. ist auch darauf zu achten, dass die betroffenen Personendaten und Bearbeitungstätigkeiten richtig vertraglich abgebildet werden. Beim Auslandtransfer ist immer zu prüfen, ob der Zielstaat ein angemessenes Datenschutzniveau besitzt. Sollte dies nicht der Fall sein, so können häufig Standardvertragsklauseln eingesetzt werden. Allerdings sollte in solchen Fällen und insb. bei sensiblen Daten externe Unterstützung in Betracht gezogen werden.