Vorlage:

Auftragsbearbeitungs-Vertrag

Wer Personendaten durch einen Dienstleister im Auftrag bearbeiten lässt, muss nach Schweizer Datenschutzgesetz (DSG) einen sogenannten Auftragsbearbeitungs-Vertrag abschließen. Dieser Vertrag über Auftragsbearbeitung regelt die Rechte und Pflichten von Auftraggeber (Verantwortlicher) und Dienstleister (Auftragsbearbeiter).

Die kostenfreie Vorlage für einen Auftragsbearbeitungs-Vertrag der Experten von activeMind.ch orientiert sich sowohl an den Vorgaben des Schweizer Bundesgesetzes über den Datenschutz als auch der EU-Datenschutz-Grundverordnung (DSGVO).

Auf diese Weise können Sie als Verantwortlicher Personendaten auch in der EU oder dem EWR bearbeiten lassen oder als Auftragsbearbeiter für einen Verantwortlichen aus der EU bzw. dem EWR tätig werden. Wenn Verantwortlicher und Auftragsbearbeiter (und etwaige Sub-Auftragsbearbeiter) alle in der Schweiz ansässig sind, können Sie die entsprechend markierten Klauseln in der Vertrags-Vorlage löschen.

Hinweis: Die Vorlage für den Vertrag über Auftragsbearbeitung deckt ggfs. nicht alle Aspekte in Ihrem Unternehmen ab. Bitte prüfen Sie den Text daher und/oder ziehen einen auf das Datenschutzrecht spezialisierten Juristen hinzu.

Tipp: Lesen Sie unsere Anleitung für eine DSG-konforme Auftragsbearbeitung, um alles über Auswahl und Prüfung von Auftragsbearbeitern zu erfahren.

Häufig gestellte Fragen zum Auftragsbearbeitungs-Vertrag

Ein Vertrag über Auftragsbearbeitung ist ein Vertrag, der die rechtlichen Beziehungen zwischen dem Verantwortlichen (Auftraggeber) und dem Auftragsbearbeiter regelt, wenn personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet werden. Der Vertrag legt die Pflichten und Verantwortlichkeiten beider Parteien fest und stellt sicher, dass die Datenschutzbestimmungen eingehalten werden.

Ein Vertrag über Auftragsbearbeitung ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Auftragnehmer verarbeitet werden. Der zu schließende Vertrag zur Auftragsbearbeitung regelt die Rechte und Pflichten von Verantwortlichen (bzw. Aufraggeber) und Auftragnehmer (bzw. Auftragsbearbeiter) sowie ggfs. einzusetzenden Subdienstleistern. So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Verantwortliche die Daten erhoben hat. Vor allem aber wird der Auftragnehmer verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Verantwortlichen im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.

Mittels Vertrages sowie sorgfältiger Auswahl, Instruktion und Kontrolle muss der Verantwortliche sicherstellen, dass der Auftragsbearbeiter nur die von ihm definierte Datenbearbeitung durchführt und dass der Verantwortliche seinen Pflichten nach DSG nachkommen kann. Dies wird mittels eines Weisungs- und Kontrollrechts umgesetzt, letzteres überdies mit vertraglichen Unterstützungspflichten.

Anders als die EU-Datenschutz-Grundverordnung schreibt Art. 9 DSG die Regelungspunkte für den Vertrag nicht vor. Somit lässt das DSG dem Verantwortlichen mehr Freiheit, wie er dies sicherstellt (z.B. die Erfüllung von Betroffenenrechten oder die Datenrückgabe am Ende der Beauftragung).

Dafür legt das DSG gewisse Pflichten auf, welchen der Auftragsbearbeiter direkt unterliegt, wie etwa die Pflicht zur Datensicherheit und damit auch der Geheimhaltung in Art. 8 DSG oder dir Pflicht zur Meldung von Verletzungen der Datensicherheit in Art. 24 DSG. Sobald sich der Auftragsbearbeiter im Ausland befindet, empfiehlt es sich hierzu vertragliche Regelungen zu erstellen, um die Durchsetzbarkeit zu gewährleisten.

Zieht der Auftragsbearbeiter weitere Auftragsbearbeiter – sogenannte Unterauftragsbearbeiter – hinzu, ist dies nur mit vorgängiger Genehmigung des Verantwortlichen zulässig. Die Genehmigung des Verantwortlichen, die dem Auftragsbearbeiter erlaubt, die Datenbearbeitung einem Unterauftragsbearbeiter zu übertragen, kann spezifischer oder allgemeiner (i.d.R. Genehmigung mit Widerspruchsvorbehalt) Art sein.

Wir empfehlen folgende Punkte im Vertrag zur Auftragsbearbeitung zu regeln:

  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten, Kreis betroffener Personen,
  • Pflichten und Rechte des Verantwortlichen (insbesondere Umfang des Weisungs- und Kontrollrechts),
  • Pflichten des Auftragsverarbeiters:
    • Verarbeitung nach dokumentierter Weisung,
    • Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
    • Ergreifung geeigneter Massnahmen für die eigene Sicherheit der Verarbeitung,
    • Rechtmäßige Hinzuziehung von Unterauftragsbearbeiter,
    • Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
    • Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten zur
      • Datensicherheit ( 8 DSG),
      • Führen des Verzeichnisses der Bearbeitungstätigkeiten ( 12 DSG),
      • Durchführung einer Datenschutz-Folgenabschätzung ( 22 DSG),
      • Meldung von Verletzungen der Datensicherheit ( 24 DSG),
      • Konsultation des EDÖB ( 23 DSG),
    • Löschung oder Rückgabe der Daten nach Beendigung des Auftrags.

Bei Auftragsbearbeitern kann es sich zum Beispiel um Gehaltsabrechnungsbüros, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Web- bzw. E-Mailhoster oder auch freie Mitarbeiter handeln.

Die vorsätzliche Verletzung von Art. 9 Abs. 1 und 2 DSG seitens des Verantwortlichen kann mit einer Busse bis zu 250.000 CHF bestraft werden (Art. 61 lit. b DSG). Es sollte also im Interesse des Verantwortlichen liegen, Auftragsbearbeiter entsprechend zur Einhaltung ihrer Vorgaben zu verpflichten.

Für Auftragsbearbeiter besteht allerdings kein Risiko einer Busse bei fehlendem Vertrag und auch nicht im Falle einer Unterauftragsbearbeitung. Kommt es jedoch zu einer Persönlichkeitsverletzung, so sind Ansprüche gegen alle Parteien – Verantwortliche, Auftragsbearbeiter sowie etwaige Unterauftragsbearbeiter – möglich, die an der Verletzung mitgewirkt haben.

Viele Schweizer Unternehmen werden häufig mit Auftragsbearbeitungs-Verträgen nach Art. 28 DSGVO konfrontiert. Diese können auch unter dem DSG angewendet bzw. übernommen werden. Jedoch ist es erforderlich, diese an das DSG anzupassen (z.B. Verweise auf das DSG bzw. anwendbare Datenschutzrecht, Anpassungen der Bekanntgabe ins Ausland).

Changelog zur Vorlage