Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok

Auftragsdatenverarbeitung: Was in einem ADV geregelt werden muss

Verantwortlich für die Einhaltung des Datenschutzes ist neuerdings gemäss Europäischer Datenschutz-Grundverordnung (EU-DSGVO) nicht nur das Unternehmen als Verantwortlicher der Daten, sondern es sind dies auch alle Auftragnehmer, die im Auftrag des Verantwortlichen dessen Daten bearbeiten. Eine Checkliste zum Inhalt des Auftragsdatenverarbeitungsvertrags (ADV) finden Sie am Schluss dieses Beitrages.

12.06.2019 Von: Carmen de la Cruz Böhringer
Auftragsdatenverarbeitung

Wer ist ein Verantwortlicher oder Auftragsverarbeiter?

Der europäische Datenschutz verwendet die Terminologie des «Verantwortlichen» und des «Auftragsverarbeiters». Verantwortlicher (engl. Controller) ist jedes Unternehmen, das für seine Zwecke und Mittel personenbezogene Daten sammelt und bearbeitet (z.B. Arbeitnehmerdaten, Kundendaten etc.). Werden diese Personendaten auch von einem Dritten im Auftragsverhältnis bearbeitet, ist dieser üblicherweise als Auftragsverarbeiter (engl. Processor) zu qualifizieren (z.B. Treuhänder, IT-Dienstleister, Versandunternehmen etc.).

Regelung seit 25. Mai 2018

Seit Anwendbarkeit der DSGVO am 25. Mai 2018 hat der Verantwortliche die ausdrückliche Pflicht, mit einem Auftragsverarbeiter einen Vertrag zur Gewährleistung der Datenschutzvorschriften abzuschliessen (sog. Auftragsverarbeitungsvertrag – AVV [engl. Data Processing Agreement – DPA]). Der Auftragsverarbeitungsvertrag (AVV) ist die neue Bezeichnung des Auftragsdatenverarbeitungsvertrags (ADV).

Anwendbarkeit in der Schweiz

Diese strikte Pflicht wird mit der Revision des Datenschutzgesetzes (DSG) in ein paar Jahren voraussichtlich auch in der Schweiz gelten (Art. 8 E-DSG). Für Schweizer Unternehmen, die Waren oder Dienstleistungen in einen EU-Mitgliedstaat (inkl. Liechtenstein) anbieten und dem Geltungsbereich der DSGVO unterliegen, gelten diese Pflichten bereits heute. Auch Schweizer Auftrags verarbeiter kommen immer mehr mit dieser Thematik in Berührung, wenn Verantwortliche aus dem EU-Raum oder mit EU-Kunden einen AVV anfordern.

Konsequenzen bei Pflichtverletzungen

Werden die Pflichten des Verantwortlichen respektive des Auftragsverarbeiters gemäss Art. 28 bzw. 32 DSGVO durch den Verantwortlichen oder einen Auftragsverarbeiter verletzt, haften diese nicht nur für den allenfalls eingetretenen Schaden der betroffenen Personen, sondern können zusätzlich durch die Aufsichtsbehörden mit einer Busse bis EUR 10 Mio. oder 2% des Jahresumsatzes sanktioniert werden.

Die Möglichkeit der Sanktionierung von Unternehmen wird mit der Revision des DSG wohl auch in der Schweiz Einzug halten, wenn auch im Moment die maximale Höhe der Busse noch umstritten ist.

Standardmässige Verträge

Viele Auftragsverarbeiter bieten heute standardmässig einen AVV an und stellen diesen ihren Auftraggebern zur Verfügung. Ein solcher Vertrag ist in der EU bereits Pflicht, so wie dies
zukünftig wohl auch in der Schweiz der Fall sein wird. Solche vorgefertigten Verträge können durchaus sinnvoll sein, sind jedoch stets sorgfältig vom Verantwortlichen zu prüfen. Fehlen gewisse Pflichten im Vertrag oder wird kein genügendes Datenschutzniveau gewährleistet, kann dies dem Verantwortlichen angelastet werden.

Der reine Verweis auf Datenschutzerklärungen, die auf der Website abrufbar sind, reicht grundsätzlich nicht als genügender AVV aus. Datenschutzerklärungen werden beliebig und ohne Vorankündigung geändert und sind daher eingeschränkt verbindlich. 

Weiter versteht es sich von selbst, dass ein AVV stets vor der Bearbeitung der Daten durch den Auftragsverarbeiter abgeschlossen werden muss. Transferiert der Verantwortliche Personendaten zu einem Dritten – ohne vorgängige vertragliche Datenschutzgewährleistung, droht eine Busse. Diesbezüglich sind bereits erste Bussen ausgesprochen worden.

Gerichtsentscheid: Dezember 2018: Busse von EUR 5000.– sowie EUR 250.– Gebühren gegen Versandunternehmen, das ohne AVV Daten an Auftragnehmer (Postdienstleister) übermittelt hat.

Inhalt der Auftragsdatenverarbeitung

Der AVV muss gemäss Art. 28 Abs. 3 DSGVO einen bestimmten Mindestinhalt vorweisen können. Dabei müssen individuelle Angaben – je nach Auftragsdatenverarbeitung – und allgemeine Gewährleistungen darin enthalten sein. Die individuellen Angaben sind für jedes Vertragsverhältnis respektive für jeden Auftragsverarbeiter individuell auszugestalten und werden daher teilweise als Anhang ausgestaltet. Der allgemeine Teil ist üblicherweise gleichbleibend und ergibt sich aus dem Gesetz.

Sie möchten von fundiertem Praxiswissen rund um den Datenschutz profitieren und die Anforderungen sicherstellen? Jetzt Newsletter abonnieren.

Checkliste zum Inhalt eines Auftragsdatenverarbeitungsvertrags (ADV)

Angaben zur konkreten Auftragsdatenverarbeitung (individuell)

  • bindende Wirkung für den Auftragsverarbeiter
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorie der personenbezogenen Daten
  • Kategorie betroffener Personen
  • Rechte und Pflichten des Verantwortlichen

Gewährleistungen des Auftragsverarbeiters im ADV (allgemein)

  • Die Weitergabe personenbezogener Daten an ein Drittland geschieht nur durch dokumentierte Weisung des Verantwortlichen.
  • Die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet.
  • Alle technischen und organisatorischen Massnahmen (TOM) zur Sicherheit der Verarbeitung werden getroffen.
  • Der Beizug von Sub-Auftragsverarbeitern geschieht nur durch schriftliche Genehmigung des Verantwortlichen und unter Einhaltung der Richtlinien.
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen bei seinen Informationspflichten nach Art. 32–36 DSGVO.
  • Nach Abschluss der Erbringung der Verarbeitungsdienstleistung werden sämtliche Personendaten sowie Kopien davon gelöscht oder zurückgegeben.
  • Dem Verantwortlichen werden alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten in Art. 32 DSGVO zur Verfügung gestellt (Audit-Recht).
Newsletter W+ abonnieren