12.06.2019

Auftragsdatenverarbeitung: Was in einem ADV geregelt werden muss

Verantwortlich f├╝r die Einhaltung des Datenschutzes ist neuerdings gem├Ąss Europ├Ąischer Datenschutz-Grundverordnung (EU-DSGVO) nicht nur das Unternehmen als Verantwortlicher der Daten, sondern es sind dies auch alle Auftragnehmer, die im Auftrag des Verantwortlichen dessen Daten bearbeiten. Eine Checkliste zum Inhalt des Auftragsdatenverarbeitungsvertrags (ADV) finden Sie am Schluss dieses Beitrages.

Teilen Drucken

Auftragsdatenverarbeitung

Wer ist ein Verantwortlicher oder Auftragsverarbeiter?

Der europ├Ąische Datenschutz verwendet die Terminologie des ┬źVerantwortlichen┬╗ und des ┬źAuftragsverarbeiters┬╗. Verantwortlicher (engl. Controller) ist jedes Unternehmen, das f├╝r seine Zwecke und Mittel personenbezogene Daten sammelt und bearbeitet (z.B. Arbeitnehmerdaten, Kundendaten etc.). Werden diese Personendaten auch von einem Dritten im Auftragsverh├Ąltnis bearbeitet, ist dieser ├╝blicherweise als Auftragsverarbeiter (engl. Processor) zu qualifizieren (z.B. Treuh├Ąnder, IT-Dienstleister, Versandunternehmen etc.).

Regelung seit 25. Mai 2018

Seit Anwendbarkeit der DSGVO am 25. Mai 2018 hat der Verantwortliche die ausdr├╝ckliche Pflicht, mit einem Auftragsverarbeiter einen Vertrag zur Gew├Ąhrleistung der Datenschutzvorschriften abzuschliessen (sog. Auftragsverarbeitungsvertrag ÔÇô AVV [engl. Data Processing Agreement ÔÇô DPA]). Der Auftragsverarbeitungsvertrag (AVV) ist die neue Bezeichnung des Auftragsdatenverarbeitungsvertrags (ADV).

Anwendbarkeit in der Schweiz

Diese strikte Pflicht wird mit der Revision des Datenschutzgesetzes (DSG) in ein paar Jahren voraussichtlich auch in der Schweiz gelten (Art. 8 E-DSG). F├╝r Schweizer Unternehmen, die Waren oder Dienstleistungen in einen EU-Mitgliedstaat (inkl. Liechtenstein) anbieten und dem Geltungsbereich der DSGVO unterliegen, gelten diese Pflichten bereits heute. Auch Schweizer Auftrags verarbeiter kommen immer mehr mit dieser Thematik in Ber├╝hrung, wenn Verantwortliche aus dem EU-Raum oder mit EU-Kunden einen AVV anfordern.

Konsequenzen bei Pflichtverletzungen

Werden die Pflichten des Verantwortlichen respektive des Auftragsverarbeiters gem├Ąss Art. 28 bzw. 32 DSGVO durch den Verantwortlichen oder einen Auftragsverarbeiter verletzt, haften diese nicht nur f├╝r den allenfalls eingetretenen Schaden der betroffenen Personen, sondern k├Ânnen zus├Ątzlich durch die Aufsichtsbeh├Ârden mit einer Busse bis EUR 10 Mio. oder 2% des Jahresumsatzes sanktioniert werden.

Die M├Âglichkeit der Sanktionierung von Unternehmen wird mit der Revision des DSG wohl auch in der Schweiz Einzug halten, wenn auch im Moment die maximale H├Âhe der Busse noch umstritten ist.

Standardm├Ąssige Vertr├Ąge

Viele Auftragsverarbeiter bieten heute standardm├Ąssig einen AVV an und stellen diesen ihren Auftraggebern zur Verf├╝gung. Ein solcher Vertrag ist in der EU bereits Pflicht, so wie dies
zuk├╝nftig wohl auch in der Schweiz der Fall sein wird. Solche vorgefertigten Vertr├Ąge k├Ânnen durchaus sinnvoll sein, sind jedoch stets sorgf├Ąltig vom Verantwortlichen zu pr├╝fen. Fehlen gewisse Pflichten im Vertrag oder wird kein gen├╝gendes Datenschutzniveau gew├Ąhrleistet, kann dies dem Verantwortlichen angelastet werden.

Der reine Verweis auf Datenschutzerkl├Ąrungen, die auf der Website abrufbar sind, reicht grunds├Ątzlich nicht als gen├╝gender AVV aus. Datenschutzerkl├Ąrungen werden beliebig und ohne Vorank├╝ndigung ge├Ąndert und sind daher eingeschr├Ąnkt verbindlich. 

Weiter versteht es sich von selbst, dass ein AVV stets vor der Bearbeitung der Daten durch den Auftragsverarbeiter abgeschlossen werden muss. Transferiert der Verantwortliche Personendaten zu einem Dritten ÔÇô ohne vorg├Ąngige vertragliche Datenschutzgew├Ąhrleistung, droht eine Busse. Diesbez├╝glich sind bereits erste Bussen ausgesprochen worden.

Gerichtsentscheid: Dezember 2018: Busse von EUR 5000.ÔÇô sowie EUR 250.ÔÇô Geb├╝hren gegen Versandunternehmen, das ohne AVV Daten an Auftragnehmer (Postdienstleister) ├╝bermittelt hat.

Inhalt der Auftragsdatenverarbeitung

Der AVV muss gem├Ąss Art. 28 Abs. 3 DSGVO einen bestimmten Mindestinhalt vorweisen k├Ânnen. Dabei m├╝ssen individuelle Angaben ÔÇô je nach Auftragsdatenverarbeitung ÔÇô und allgemeine Gew├Ąhrleistungen darin enthalten sein. Die individuellen Angaben sind f├╝r jedes Vertragsverh├Ąltnis respektive f├╝r jeden Auftragsverarbeiter individuell auszugestalten und werden daher teilweise als Anhang ausgestaltet. Der allgemeine Teil ist ├╝blicherweise gleichbleibend und ergibt sich aus dem Gesetz.

Dies ist ein kostenloser Beitrag. Sie m├Âchten von fundiertem Praxiswissen rund um den Datenschutz profitieren und die Anforderungen sicherstellen? Jetzt Newsletter abonnieren.

Checkliste zum Inhalt eines Auftragsdatenverarbeitungsvertrags (ADV)

Angaben zur konkreten Auftragsdatenverarbeitung (individuell)

  • bindende Wirkung f├╝r den Auftragsverarbeiter
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorie der personenbezogenen Daten
  • Kategorie betroffener Personen
  • Rechte und Pflichten des Verantwortlichen

Gew├Ąhrleistungen des Auftragsverarbeiters im ADV (allgemein)

  • Die Weitergabe personenbezogener Daten an ein Drittland geschieht nur durch dokumentierte Weisung des Verantwortlichen.
  • Die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet.
  • Alle technischen und organisatorischen Massnahmen (TOM) zur Sicherheit der Verarbeitung werden getroffen.
  • Der Beizug von Sub-Auftragsverarbeitern geschieht nur durch schriftliche Genehmigung des Verantwortlichen und unter Einhaltung der Richtlinien.
  • Der Auftragsverarbeiter unterst├╝tzt den Verantwortlichen bei seinen Informationspflichten nach Art. 32ÔÇô36 DSGVO.
  • Nach Abschluss der Erbringung der Verarbeitungsdienstleistung werden s├Ąmtliche Personendaten sowie Kopien davon gel├Âscht oder zur├╝ckgegeben.
  • Dem Verantwortlichen werden alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten in Art. 32 DSGVO zur Verf├╝gung gestellt (Audit-Recht).

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Z├╝rich

Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

Datenschutz-Anforderungen f├╝r Schweizer Unternehmen nach revidiertem DSG und DSGVO (GDPR) erfolgreich umsetzen

N├Ąchster Termin: 17. November 2020

mehr Infos

Produkt-Empfehlungen

  • Datenschutz kompakt

    Datenschutz kompakt

    Alles rund um den Datenschutz ÔÇô Vorlagen, Checklisten und aktuelles Know-how.

    ab CHF 148.00

  • Anwendbarkeit der EU DSGVO in der Schweiz

    Anwendbarkeit der EU DSGVO in der Schweiz

    Ein Datenschutzleitfaden f├╝r Schweizer Unternehmen.

    Mehr Infos

  • WEKA Mustervertr├Ąge

    WEKA Mustervertr├Ąge

    Die in der Praxis am h├Ąufigsten eingesetzten Mustervertr├Ąge.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Z├╝rich

    Workshop Datenschutz in der Praxis

    Das revidierte Schweizer Datenschutzgesetz, die DSGVO und deren Folgen f├╝r Schweizer Unternehmen

    N├Ąchster Termin: 26. November 2020

    mehr Infos

  • Praxis-Workshop, 1 Tag, ZWB, Z├╝rich

    Datenschutz erfolgreich umsetzen

    Schritt-f├╝r-Schritt-Anleitung f├╝r die Umsetzung der Datenschutz-Mindestanforderungen

    N├Ąchster Termin: 10. Dezember 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos