Weka Plus

Auftragsbearbeitung: Was müssen KMU beim Einsatz von ausländischen Dienstleistern beachten?

Für kleine und mittlere Unternehmen ist es von sehr grosser Bedeutung zur Unterstützung ihrer internen betrieblichen Abläufe, zur Bereitstellung ihrer Dienstleistungen oder Produkte oder für das Marketing auf externe Service-Provider zugreifen zu können. Nun befinden sich aber viele solcher Dienstleister im Ausland. Sind Personendaten bei der Inanspruchnahme einer solchen Dienstleistung betroffen, so sind die datenschutzrechtlichen Regeln zur sog. Auftragsbearbeitung und zum Transfer von Personendaten ins Ausland zu beachten. Dieser Beitrag soll eine praxisnahe Hilfestellung für solche Situationen sein.

27.06.2023 Von: Lukas Lezzi
Auftragsbearbeitung

Gesetzliche Grundlagen

Grundsätzlich ist für die Bearbeitung von Personendaten in der Schweiz das Bundesgesetz über den Datenschutz (DSG) anwendbar. Falls Dienstleistungen oder Produkte in der EU/EWR angeboten werden, ist zusätzlich auch die Europäische Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem müssen andere regulatorische Bestimmungen noch beachtet werden, z.B. bei von der FINMA bewilligten Vermögensverwaltern oder bei Start-ups im Medizinalbereich, sofern sie Patientendaten bearbeiten.

Ab dem 1. September 2023 gilt in der Schweiz das revidierte DSG, welches inhaltlich grosse Ähnlichkeiten mit der DSGVO hat. Die Ausführungen in diesem Beitrag beziehen sich auf das revidierte DSG und es ist auch dringend empfohlen sich schon jetzt mit der Umsetzung auseinanderzusetzen, weil es keine Übergangsfrist geben wird.

Begriffe

Verantwortlicher für die Datenbearbeitung ist die Person, welche über den Zweck und die Mittel der Bearbeitung entscheidet. Ein KMU ist etwa als Verantwortlicher für die Bearbeitung seiner Kundendaten für die Rechnungsstellung zu sehen. Im Gegensatz dazu bearbeitet der Auftragsbearbeiter die Personendaten im Auftrag des Verantwortlichen (siehe nachfolgend).

Auftragsbearbeitung

Definition

Bei einem Beizug eines externen Dritten, z.B. einer Marketing-Agentur, einem Cloud-Service-Provider oder einer externen Buchhaltungsfirma, ist zuerst immer zu prüfen, ob Personendaten von diesem Dritten bearbeitet werden. Hier können etwa Kundendaten, aber auch Daten von Mitarbeitenden (z.B. bei einer Auslagerung der Lohnbuchhaltung) betroffen sein. Falls Personendaten betroffen sind, ist zu prüfen, ob es sich bei dem Verhältnis, um ein Auftragsbearbeitungsverhältnis handelt.

Eine Auftragsbearbeitung liegt immer dann vor, wenn ein Dritter die Personendaten nach Weisung und im Interesse des für die Datenbearbeitung Verantwortlichen bearbeitet. Der Auftragsbearbeiter bearbeitet die Personendaten nicht für eigene Zwecke, sondern nur für diejenigen Zwecke, welche der Verantwortliche ihm vorgibt. Der Auftragsbearbeiter ist der „verlängerte Arm“ des Verantwortlichen. In der Praxis kann die Abgrenzung teilweise schwierig zu ziehen sein. Grundsätzlich ist bei Cloud-Service Providern, bei Auslagerungen von unternehmensinternen, administrativen Aufgaben oder bei Einsatz von Marketing-Tools, wie E-Mail-Versand-Dienstleistungen, von einer Auftragsbearbeitung auszugehen.

Prüfung des Auftragsbearbeiter

Bevor ein Auftragsbearbeiter eingesetzt werden kann, muss von der Verantwortlichen geprüft werden, ob dieser in der Lage ist die Datensicherheit zu gewährleisten. Bei grossen, internationalen Cloud-Dienstleistern etwa ist dies kein Problem, weil diese Unternehmen über einen hohen Datensicherheitsstandard verfügen. Bei kleinen, lokalen Unternehmen, wie etwa einem kleinen Buchhaltungsbüro, gestaltet sich die Prüfung vielfach etwas ausführlicher und komplizierter. Grundsätzlich ist in einer solchen Situation darauf zu achten, dass der Dienstleister ein Datensicherheitskonzept und interne Vorgaben zum Datenschutzmanagement hat. Je sensibler die Personendaten, desto höher muss auch der Datensicherheitsstandard sein.

Vertragsinhalt

Liegt nun eine Auftragsbearbeitung vor, so muss mit dem Auftragsbearbeiter eine Vereinbarung über die Bearbeitung von Personendaten im Rahmen dieser Dienstleistung abgeschlossen werden. Üblicherweise hat ein KMU in Vertragsverhandlungen mit Dienstleistern zu wenig Verhandlungsmacht, um eigene Verträge durchzusetzen.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren