26.08.2021

Auftragsdatenbearbeitung: Outsourcing von Aufgaben im Digitalisierungszeitalter

Heutzutage erledigt kaum ein Unternehmen sämtliche Aufgaben selbst, sondern lagert einen Teil gegen Entgelt an Drittfirmen aus. Mit dem Outsourcing von Aufgaben ist im Digitalisierungszeitalter regelmässig ein Datentransfer an die Auftragnehmer verbunden. Werden dabei auch personenbezogene Daten an Dritte übermittelt, stellt sich aus datenschutzrechtlicher Sicht die Frage, unter welchen Voraussetzungen der Datentransfer zulässig ist, welche Informationspflichten bestehen und welche Regeln von Auftraggeber bzw. Auftragnehmer zu beachten sind.

Von: Urs Freytag   Drucken Teilen  

Urs Freytag

Urs Freytag, lic. iur. HSG, ist selbstständiger Rechtsanwalt und Notar in der Kanzlei factum advocatur, St. Gallen. Er ist spezialisiert auf die Beratung von KMU in den Bereichen Vertrags- und Gesellschaftsrecht, Technisches Recht, Informatikrecht und Datenschutzrecht.

Auftragsdatenbearbeitung

Outsourcing als Bedürfnis 

Das Outsourcing von Tätigkeiten entspricht einem klaren Bedürfnis in einer arbeitsteiligen Wirtschaft und stellt eine Selbstverständlichkeit dar.

Beispielsweise überträgt eine Firma die Lohnbuchhaltung einem Treuhandunternehmen und übermittelt diesem zur Aufgabenerfüllung sämtliche lohnrelevanten Daten. Eine andere Firma überträgt Marketingaufgaben an ein spezialisiertes Unternehmen, welches zur Erfüllung dieser Aufgaben auf die Kundendaten zugreift. Schliesslich ist der gesamte Bereich des Cloud-Computing zu erwähnen, bei welchem die Daten einer Drittperson, der Betreiberin einer Cloud, zur Speicherung anvertraut werden.

Rechtliche Grundlagen 

Datenschutzrechtlich handelt es sich bei der Überlassung personenbezogener Daten an Dritte um eine sogenannte Datenbearbeitung durch Dritte (Art. 10a DSG) bzw. – nach neuer Terminologie im E-DSG – um eine Bearbeitung durch Auftragsbearbeiter (Art. 8 E-DSG).

Die Regelungen im DSG bzw. E-DSG sind kurz gehalten und inhaltlich weitgehend identisch. Die DSGVO hingegen setzt in Art. 28 ff. auf eine weit ausführlichere Regelung und verwendet terminologisch den Begriff der Auftragsverarbeitung (wir berichteten in der Ausgabe 03/2019 über die europäische Regelung; die vorliegende Ausgabe widmet sich schwergewichtig der Schweizer Regelung).

Risiken und Zulässigkeitsvoraussetzungen

Die Übertragung von personenbezogenen Daten an Dritte zwecks Erfüllung bestimmter Aufgaben ist in der Schweiz grundsätzlich zulässig und bedarf keiner speziellen Information der betroffenen Personen. Sie birgt jedoch verschiedene Risiken wie namentlich den unbefugten Zugriff auf die Daten, Datenverlust oder ungenügende Datensicherheit. Spezielle Risiken sind zudem mit einem Datentransfer ins Ausland verbunden.

Der Schweizer Gesetzgeber begegnet den vorgenannten Risiken, indem er im aktuell noch geltenden DSG bzw. im E-DSG die folgenden Zulässigkeitsvoraussetzungen vorgibt:

1. Vorliegen einer Vereinbarung oder gesetzlichen Grundlage 

Auftragsdatenbearbeitung von Personendaten durch Dritte setzt das Vorliegen einer Vereinbarung oder einer gesetzlichen Grundlage voraus (wobei eine gesetzliche Grundlage vornehmlich im Verwaltungshandeln relevant ist). Wer also als Inhaber einer Datensammlung (Terminologie DSG) bzw. als Verantwortlicher (neue Terminologie E-DSG bzw. DSGVO) einem Auftragsbearbeiter Daten zur Bearbeitung übermittelt, hat mit diesem einen sogenannten Auftragsdatenbearbeitervertrag (ADV) zu schlies sen (siehe ausführlich nachfolgend). Als Synonym ist in der Praxis auch der Begriff Auftragsverarbeitungsvertrag (AVV) geläufig.

Dies ist ein kostenloser Beitrag. Sie möchten von fundiertem Praxiswissen rund um den Datenschutz profitieren und die Anforderungen sicherstellen? Jetzt Newsletter abonnieren.

2. Die Daten dürfen nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte 

Das Gesetz schreibt vor, dass der Auftragsdatenbearbeitung in Bezug auf die Datenbearbeitung nicht über das hinausgehen darf, was dem Auftraggeber selbst gestattet ist. Die Übertragung der Datenbearbeitung darf daher für die betroffenen natürlichen Personen, deren Daten bearbeitet werden, keine Verschlechterung der Rechtsstellung bewirken. Mit anderen Worten ist der Auftragnehmer in gleichem Ausmass für die Datenbearbeitung verantwortlich wie der Auftraggeber.

Der Auftraggeber hat insbesondere die Pflicht, den Auftragsbearbeiter sorgfältig auszuwählen, über den Zweck und Umfang der Datenbearbeitung zu instruieren und die Einhaltung der Datenbearbeitungsgrundsätze zu überwachen.

3. Keine vertragliche oder gesetzliche Geheimhaltungspflicht

Der Datenbearbeitung dürfen weiter keine vertraglichen oder gesetzlichen Geheimhaltungsverpflichtungen entgegenstehen (z.B. Verbot einer weiteren Datenauslagerung an einen Subunternehmer).

4. Gewährleistung der Datensicherheit bzw. deren Überwachung

Die Datensicherheit stellt ein Kernelement jeder Datenbearbeitung dar, wofür der Auftragsbearbeiter Gewähr zu leisten hat. Konkret verlangt der Gesetzgeber vom Auftragsbearbeiter angemessene technische und organisatorische Massnahmen (z.B. Pseudonymisierung und Verschlüsselung der Daten) zum Schutz gegen unbefugtes Bearbeiten. Dies ist deshalb von grosser Wichtigkeit, weil es der Auftraggeber ist, welcher rechtlich für die Einhaltung des Datenschutzes verantwortlich bleibt.

Weil dieser aber nicht selbst in der Lage ist, die technischen und organisatorischen Massnahmen beim Auftragsbearbeiter umzusetzen (und dies auch nicht muss), trifft den Auftraggeber im Wesentlichen die Sorgfaltspflicht, die Einhaltung der Datensicherheit vertraglich abzusichern. Damit aber nicht genug, er muss sie auch kontrollieren, indem er sich vergewissert, dass die Umsetzung tatsächlich erfolgt (z.B. durch Einholen eines schriftlichen Berichts oder durch Vornahme eines Audits).

Der Auftragsdatenbearbeitungsvertrag (ADV)

Das Instrument zur Regelung der vorgenannten Pflichten ist der Auftragsdatenverarbeitungsvertrag (ADV). Bereits unter dem geltenden DSG, wie auch im E-DSG und in der DSGVO, ist der Abschluss eines Auftragsdatenverarbeitungsvertrags in ähnlicher Form gesetzlich vorgeschrieben (vgl. Art. 10a DSG, Art. 8 E-DSG sowie Art. 28 Abs. 3 DSGVO).

In der Schweiz fand diese Vorschrift, welche immerhin seit dem 1.1.2008 in Kraft ist, in der Praxis bisher nicht die nötige Beachtung. Mit dem Inkrafttreten der DSGVO, welche das Thema im Gegensatz zum DSG bzw. E-DSG sehr ausführlich regelt, dürfte sich das Verhältnis zum ADV ändern. Dies nur schon deshalb, weil in der DSGVO das Formerfordernis der Schriftlichkeit eingeführt wurde (vgl. Art. 28 Ziff. 10 DSGVO).

Für Schweizer Unternehmen, welche infolge eines datenschutzrechtlichen Auslandbezugs unter die DSGVO fallen, z.B. indem sie im EU-Raum Waren oder Dienstleistungen anbieten, ist die Schriftlichkeit somit schon heute Pflicht. Für Unternehmen, welche nicht unter die DSGVO fallen, ist der Abschluss eines ADV in der Schweiz weiterhin formfrei möglich, doch empfiehlt sich in jedem Fall die Schriftform, allein chon um die für die Einhaltung des Datenschutzes notwendigen Sorgfaltspflichten dokumentieren zu können.

In Bezug auf den Inhalt eines ADV empfiehlt es sich für Schweizer Unternehmen in jedem Fall, die DSGVO-Kompatibilität sicherzustellen (vgl. Art. 28 DSGVO sowie Checkliste in Box).

Informationspflichten

Die von der Auftragsdatenbearbeitung betroffenen Personen müssen über den Datentransfer zum Auftragsbearbeiter nicht ausdrücklich informiert werden. Zu beachten sind allerdings Art. 6 DSG bzw. Art. 13 E-DSG betreffend Bekanntgabe von Personendaten ins Ausland. Fehlt im entsprechenden Staat ein angemessenes Datenschutzniveau, ist unter Umständen die Einwilligung der betroffenen Person notwendig (vgl. Art. 6 Abs. 2 Bst. b DSG), sofern nicht andere Garantien durch den Auftragnehmer geleistet werden können.

Fazit

Das Bearbeiten von Personendaten darf grundsätzlich in zulässiger Weise an einen Dritten übertragen werden, sofern kein Verstoss gegen allgemeine Datenschutzgrundsätze vorliegt und die vorstehend beschriebenen Voraussetzungen erfüllt sind. Jede Schweizer Unternehmung sollte im Hinblick auf die Einhaltung des DSG bzw. des E-DSG und je nach Anwendbarkeit auch der DSGVO ihre Beziehungen zu Dienstleistern, welche im Auftragsverhältnis personenbezogene Daten bearbeiten, prüfen und mit diesen entsprechende Auftragsbearbeitungsverträge schliessen.

Checkliste zum Inhalt des Auftragsdatenverarbeitungsvertrags (ADV)

Angaben zur konkreten Auftragsdatenverarbeitung (individuell)

  • bindende Wirkung für den Auftragsverarbeiter
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorie der personenbezogenen Daten
  • Rechte und Pflichten des Verantwortlichen

Gewährleistungen des Auftragsverarbeiters im ADV (allgemein)

  • Die Weitergabe personenbezogener Daten an ein Drittland geschieht nur durch dokumentierte Weisung des Verantwortlichen.
  • Die zur Verarbeitung befugten Personen sind zur Vertraulichkeit verpflichtet
  • Alle technischen und organisatorischen Massnahmen (TOM) zur Sicherheit der Verarbeitung werden getroffen. 
  • Der Beizug von Sub-Auftragsverarbeitern geschieht nur durch schriftliche Genehmigung des Verantwortlichen und unter Einhaltung der Richtlinien.
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen bei seinen Informationspflichten nach Art. 32–36 DSGVO.
  • Nach Abschluss der Erbringung der Verarbeitungsdienstleistung werden sämtliche Personendaten sowie Kopien davon gelöscht oder zurückgegeben.
  • Dem Verantwortlichen werden alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pfl ichten in Art. 32 DSGVO zur Verfügung gestellt (Audit-Recht).

 

Produkt-Empfehlungen

  • IT-Verträge

    IT-Verträge

    Die wichtigsten IT-Verträge nach Schweizer Recht – von Experten geprüft und laufend aktualisiert.

    ab CHF 198.00

  • Anwendbarkeit der EU DSGVO in der Schweiz

    Anwendbarkeit der EU DSGVO in der Schweiz

    Ein Datenschutzleitfaden für Schweizer Unternehmen.

    Mehr Infos

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 30. November 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 16. November 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Das revidierte Schweizer Datenschutzgesetz, die DSGVO, aktuelle Entwicklungen und deren Folgen

    Nächster Termin: 25. November 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos