Sobald Dienstleister Zugriff auf Personendaten haben oder diese bearbeiten (können), liegt eine Bearbeitung durch einen Auftragsbearbeiter – kurz: Auftragsbearbeitung – vor. Das Schweizer Datenschutzgesetz (DSG) macht im Rahmen dessen diverse Auflagen für Verantwortliche und Auftragsbearbeiter.
Was ist eine Auftragsbearbeitung?
Eine Auftragsbearbeitung bezieht sich auf die Bearbeitung von Personendaten im Auftrag eines Verantwortlichen durch einen Auftragsbearbeiter. Dabei überträgt der Verantwortliche bestimmte Aufgaben der Datenbearbeitung an einen externen Dienstleister. Dieser Auftragsbearbeiter darf aber nicht selbst über Mittel und Zwecke der Bearbeitung von Personendaten entscheiden, sondern handelt weisungsgebunden.
Die Auftragsbearbeitung ermöglicht es Unternehmen, bestimmte Aufgaben der Datenbearbeitung auszulagern, während gleichzeitig die Datenschutzrechte und -pflichten gewahrt bleiben.
Im Sinne des Schweizer Datenschutzrechts (Art. 5 DSG) ist der Verantwortliche jede private Person (z.B. Unternehmen), welche die wesentlichen datenschutzrechtlichen Parameter einer Datenbearbeitung festgelegt. Diese ist primär für die Einhaltung des Datenschutzes verantwortlich. Der Verantwortliche entscheidet somit über die Zwecke um Mittel der Bearbeitung von Personendaten.
Ein Dienstleister, der im Auftrag des Verantwortlichen handelt und Personendaten bearbeitet, gilt als Auftragsbearbeiter. Dies kann beispielsweise ein Cloud-Dienstleister, ein IT-Serviceanbieter, ein Callcenter oder die externe Buchhaltung sein. Der Auftragsbearbeiter handelt dabei nur gemäss den Weisungen des Verantwortlichen und hat keinen eigenen Entscheidungsspielraum in Bezug auf die Verwendung der Daten. Selbst wenn der Auftragsbearbeiter etwa im Falle eines Cloud-Dienstleisters dem Verantwortlichen gewisse Services vorkonfiguriert anbietet, ändert aber nichts daran, dass er Auftragsbearbeiter ist.
Es ist wichtig zu beachten, dass der Verantwortliche auch dann für die Datenbearbeitung verantwortlich bleibt, wenn er die Bearbeitung an einen Auftragsbearbeiter auslagert.
Praxistipp zur Erfassung von Auftragsbearbeitern
Um festzustellen, mit welchen Dienstleistern ein Auftragsbearbeitungsverhältnis vorliegt, hat es sich als praktikabel erwiesen, aus der Buchhaltung eine Abrechnungsliste anzufordern. Prüfen Sie anhand dieser Liste, wer Personendaten bearbeitet. Mit diesen Dienstleistern ist ggf. ein Vertrag zur Auftragsbearbeitung zu schliessen.
Wann liegt keine Auftragsbearbeitung vor?
Keine Auftragsbearbeitung liegt vor, wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Der Verantwortliche überlässt dem Dienstleister die inhaltliche Ausgestaltung, also Entscheidung über Mittel und Zweck der Datenbearbeitung.
Über Weisungs- und Kontrollrechte gegenüber dem Dienstleister verfügt der Auftraggeber weder rechtlich noch tatsächlich. Klassische Fälle sind die Finanz-, Steuer- oder Unternehmensberatung.
Gesetzliche Vorgaben für die Auftragsbearbeitung
Sobald der Verantwortliche eine bestimmte Datenbearbeitung durch einen Auftragsbearbeiter vornehmen lässt, sieht Art. 9 DSG vor, dass ein Vertrag zwischen Verantwortlichem und Auftragsbearbeiter geschlossen werden muss (wenn es keine gesetzliche Grundlage für die Auftragsbearbeitung gibt). In diesem Vertrag werden die spezifischen Pflichten und Verantwortlichkeiten des Auftragsbearbeiters festgelegt, einschliesslich der Sicherheitsmassnahmen zum Schutz der Daten. Der Vertrag soll sicherstellen, dass die Bearbeitung der Personendaten im Einklang mit den Datenschutzvorschriften des DSG erfolgt.
Die Auslagerung von Personendaten an einen Auftragsbearbeiter muss selbst verständlich die Bearbeitungsgrundsätze (Art. 6 DSG) einhalten und weiterhin verhältnismässig sein. Ebenso müssen die Bestimmungen über den Datenexport befolgt werden.
Sofern die Bedingungen für eine Auftragsbearbeitung erfüllt sind, liegt keine Bekanntgabe von Personendaten an einen Dritten vor und somit auch keine Zweckänderung. Die Bearbeitung im Auftrag kann sich somit auf etwaige Rechtfertigungsgründe des Verantwortlichen berufen. Sobald ein Auftragsverarbeiter die Daten jedoch zu eigenen Zwecken bearbeitet, wird er zum Verantwortlichen und muss die Bearbeitung somit selbst rechtfertigen können.
Voraussetzungen für eine Auftragsbearbeitung
Im Wesentlichen muss der Verantwortliche sicherstellen, dass der Auftragsbearbeiter die von ihm definierte Datenbearbeitung so durchführt, dass der Verantwortliche seinen Pflichten nach DSG nachkommen kann. Dies wird mittels eines Weisungs- und Kontrollrechts umgesetzt.
Das DSG schreibt die Regelungspunkte für den Auftragsbearbeitungsvertrag nicht vor. Deshalb sollten sich Schweizer Verantwortliche an die Vorgaben in Art. 28 DSGVO (EU-Datenschutz-Grundverordnung) halten. Demnach muss der Vertrag zur Auftragsbearbeitung eine ganze Reihe von Verpflichtungen, wie etwa die Pflicht zur Geheimhaltung und die Pflicht zur Meldung von Verletzungen der Datensicherheit enthalten, damit die rechtlichen Anforderungen erfüllt werden.
Sofern Ihr Unternehmen mit Dienstleistern innerhalb der EU zusammenarbeitet, empfiehlt es sich sowieso einen Vertrag nach Art. 28 DSGVO abzuschliessen. Somit erfüllen sie sowohl die Anforderungen der DSGVO als auch des Schweizer DSG.
Tipp: Nutzen Sie unsere kostenlose Vorlage für einen Auftragsbearbeitungs-Vertrag – von Juristen erstellt, geprüft und regelmässig aktualisiert.
Hervorzuheben ist, dass Art. 9 Abs. 3 DSG eine gesonderte Regelung zum Beizug weiterer Auftragsbearbeiter, sogenannte Unterauftragsbearbeiter oder sub-processors enthält. Dieses ist nur mit Genehmigung des Verantwortlichen zulässig. Ein Auftragsbearbeiter muss somit auch einen Auftragsbearbeitungsvertrag mit dem unter Auftragsbearbeiter abschliessen. Die Regelung in Abs. 3 soll sicherstellen, dass die datenschutzrechtlichen Vorgaben über die gesamte Kette der Auftragsbearbeitung erfüllt bleibt.
Eine Unterauftragsbearbeitung liegt jedoch nicht vor, wenn ein Auftragsbearbeiter Dritte beizieht, die ihrerseits nicht als Auftragsbearbeiter gelten (wie zum Beispiel Post- und Telekommunikationsdienstleister).
Sonderregelungen bei Datenbearbeitungen innerhalb von Konzernen
Zu betonen ist, dass es im Datenschutzrecht kein allgemeines Konzernprivileg gibt. Eine Bekanntgabe von Personendaten im Konzern bedarf somit eines Rechtfertigungsgrundes. Sofern ein Konzernunternehmen Daten im Auftrag eines anderes Konzernunternehmen bearbeitet, finden die Regelungen zur Auftragsbearbeitung Anwendung. Somit müssen gegebenenfalls auch Auftragsbearbeitungsverträge zwischen Konzernunternehmen abgeschlossen werden.
Regelungen für die Auftragsbearbeitung in einem Drittland
Eine bedeutsame Regelung des DSG betrifft die Auftragsbearbeitung im Ausland. Sobald im Rahmen einer Auftragsbearbeitung die Schweizer Grenzen überschritten werden, ist dies nur zulässig, sofern der Drittstaat ein angemessenes Datenschutzniveau bietet oder andere geeignete Datenschutzgarantien, z.B. Standarddatenschutzklauseln (Standard Contractual Clauses – SCC), und den betroffenen Personen tatsächlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Datensicherheit bei der Auftragsbearbeitung
Das DSG schreibt vor, dass der Verantwortliche bei der Bearbeitung von Personendaten die Datensicherheit gewährleisten muss. Das Prinzip, dass Personendaten durch angemessene technische und organisatorische Massnahmen (TOM) geschützt werden müssen, ist in Art. 8 DSG verankert.
Sofern Auftragsbearbeiter mit der Bearbeitung von Daten beauftragt werden, muss sich der Verantwortliche vergewissern, dass diese die Datensicherheit ebenso gewährleisten können. Dem Verantwortlichen obliegt somit eine Auswahlverantwortung.
Wie funktioniert die Auftragsbearbeitung?
Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, sind mehrere Schritte notwendig:
- Der Verantwortliche muss mittels sorgfältiger Auswahl, Instruktion und Kontrolle dauerhaft sicherstellen, dass der Auftragsbearbeiter zur Bearbeitung geeignet ist. Hierzu empfiehlt es sich, den Auftragsbearbeiter nicht nur vorab zu prüfen, sondern auch regelmässig während des laufenden Vertragsverhältnisses.
- Vor Beginn der Tätigkeiten ist mit dem Auftragsbearbeiter ein Vertrag zur Auftragsbearbeitung zu schliessen. Dies kann als Einzelvertrag oder als Anlage zum Hauptvertrag erfolgen.
Fazit
Das Outsourcing von Tätigkeiten, das die Bearbeitung von Personendaten beinhaltet, kann zusätzliche datenschutzrechtliche Pflichten beim Verantwortlichen auslösen. Mit Einführung des neuen DSG haben Verantwortliche höhere Anforderungen zu erfüllen als bisher. Für Schweizer Unternehmen, die bereits die Anforderungen der DSGVO erfüllen müssen, sollte dies jedoch keine Bürde darstellen.
Unternehmen sind gut beraten, sich mit der Thematik der Auftragsbearbeitung gründlich zu befassen, da die vorsätzliche Nichteinhaltung zukünftig mit einer Busse von bis zu 250.000 CHF bestraft werden kann.
Wenn Sie von Dienstleistern Auftragsbearbeitungsverträge vorgelegt bekommen, ist eine rechtlichen Analyse meist unumgänglich. Gerne bieten wir Ihnen hierfür die juristische Unterstützung unserer Experten!