Unsere Webseite nutzt Cookies und weitere Technologien, um die Benutzerfreundlichkeit für Sie zu verbessern und die Leistung der Webseite und unserer Werbemassnahmen zu messen. Weitere Informationen und Optionen finden Sie in unserer Datenschutzerklärung.
Ok
Weka Plus

Auftragsdatenbearbeitung: Outsourcing von Aufgaben im Digitalisierungszeitalter

Heutzutage erledigt kaum ein Unternehmen sämtliche Aufgaben selbst, sondern lagert einen Teil gegen Entgelt an Drittfirmen aus. Mit dem Outsourcing von Aufgaben ist im Digitalisierungszeitalter regelmässig ein Datentransfer an die Auftragnehmer verbunden. Werden dabei auch personenbezogene Daten an Dritte übermittelt, stellt sich aus datenschutzrechtlicher Sicht die Frage, unter welchen Voraussetzungen der Datentransfer zulässig ist, welche Informationspflichten bestehen und welche Regeln von Auftraggeber bzw. Auftragnehmer zu beachten sind.

29.06.2022 Von: Urs Freytag
Auftragsdatenbearbeitung

Outsourcing als Bedürfnis 

Das Outsourcing von Tätigkeiten entspricht einem klaren Bedürfnis in einer arbeitsteiligen Wirtschaft und stellt eine Selbstverständlichkeit dar.

Beispielsweise überträgt eine Firma die Lohnbuchhaltung einem Treuhandunternehmen und übermittelt diesem zur Aufgabenerfüllung sämtliche lohnrelevanten Daten. Eine andere Firma überträgt Marketingaufgaben an ein spezialisiertes Unternehmen, welches zur Erfüllung dieser Aufgaben auf die Kundendaten zugreift. Schliesslich ist der gesamte Bereich des Cloud-Computing zu erwähnen, bei welchem die Daten einer Drittperson, der Betreiberin einer Cloud, zur Speicherung anvertraut werden.

Rechtliche Grundlagen 

Datenschutzrechtlich handelt es sich bei der Überlassung personenbezogener Daten an Dritte um eine sogenannte Datenbearbeitung durch Dritte (Art. 10a DSG) bzw. – nach neuer Terminologie im E-DSG – um eine Bearbeitung durch Auftragsbearbeiter (Art. 8 E-DSG).

Die Regelungen im DSG bzw. E-DSG sind kurz gehalten und inhaltlich weitgehend identisch. Die DSGVO hingegen setzt in Art. 28 ff. auf eine weit ausführlichere Regelung und verwendet terminologisch den Begriff der Auftragsverarbeitung (dieser Beitrag widmet sich schwergewichtig der Schweizer Regelung).

Risiken und Zulässigkeitsvoraussetzungen

Die Übertragung von personenbezogenen Daten an Dritte zwecks Erfüllung bestimmter Aufgaben ist in der Schweiz grundsätzlich zulässig und bedarf keiner speziellen Information der betroffenen Personen. Sie birgt jedoch verschiedene Risiken wie namentlich den unbefugten Zugriff auf die Daten, Datenverlust oder ungenügende Datensicherheit. Spezielle Risiken sind zudem mit einem Datentransfer ins Ausland verbunden.

Der Schweizer Gesetzgeber begegnet den vorgenannten Risiken, indem er im aktuell noch geltenden DSG bzw. im E-DSG die folgenden Zulässigkeitsvoraussetzungen vorgibt:

1. Vorliegen einer Vereinbarung oder gesetzlichen Grundlage 

Auftragsdatenbearbeitung von Personendaten durch Dritte setzt das Vorliegen einer Vereinbarung oder einer gesetzlichen Grundlage voraus (wobei eine gesetzliche Grundlage vornehmlich im Verwaltungshandeln relevant ist). Wer also als Inhaber einer Datensammlung (Terminologie DSG) bzw. als Verantwortlicher (neue Terminologie E-DSG bzw. DSGVO) einem Auftragsbearbeiter Daten zur Bearbeitung übermittelt, hat mit diesem einen sogenannten Auftragsdatenbearbeitervertrag (ADV) zu schlies sen (siehe ausführlich nachfolgend). Als Synonym ist in der Praxis auch der Begriff Auftragsverarbeitungsvertrag (AVV) geläufig.

2. Die Daten dürfen nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte 

Das Gesetz schreibt vor, dass der Auftragsdatenbearbeitung in Bezug auf die Datenbearbeitung nicht über das hinausgehen darf, was dem Auftraggeber selbst gestattet ist. Die Übertragung der Datenbearbeitung darf daher für die betroffenen natürlichen Personen, deren Daten bearbeitet werden, keine Verschlechterung der Rechtsstellung bewirken. Mit anderen Worten ist der Auftragnehmer in gleichem Ausmass für die Datenbearbeitung verantwortlich wie der Auftraggeber.

Der Auftraggeber hat insbesondere die Pflicht, den Auftragsbearbeiter sorgfältig auszuwählen, über den Zweck und Umfang der Datenbearbeitung zu instruieren und die Einhaltung der Datenbearbeitungsgrundsätze zu überwachen.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren