Prüfung Auftragsbearbeitungs-Vertrag
Start » Prüfung Auftragsbearbeitungs-Vertrag
Entsprechen Ihnen angebotene Verträge zur Auftragsbearbeitung den Vorgaben des Schweizer Datenschutzrechts? Die Prüfung durch erfahrene Juristen gibt Sicherheit und bewahrt Sie vor Fehlern.
Sollten Sie Ihre Auftragsbearbeitungs-Verträge prüfen lassen?
Verantwortliche, die Dienstleister mit der Bearbeitung von Personendaten beauftragen, müssen mit diesen Auftragsbearbeitern gemäss Art. 9 Datenschutzgesetz (DSG) einen Vertrag abschliessen. Dieser sogenannte Auftragsbearbeitungs-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragsbearbeiter.
Viele der auf dem Markt üblichen Verträge über Auftragsbearbeitung erfüllen jedoch nicht die Anforderungen von Art. 9. DSG. Oft sind insbesondere die Angaben zu den vom Auftragsbearbeiter getroffenen technischen und organisatorischen Massnahmen schwammig oder schwer zu prüfen.
Deshalb lohnt es sich, abzuschliessende Auftragsbearbeitungs-Verträge vorab durch Juristen prüfen zu lassen, die mit dem Datenschutzrecht bewandert sind. Lange Vertragslaufzeiten und hohe Wechselkosten (etwa bei Software) machen die optimale Gestaltung des Auftragsbearbeitungs-Vertrages umso wichtiger.
Wie funktioniert die Prüfung von Auftragsbearbeitungs-Verträgen?
Unsere erfahrenen Juristen prüfen, ob der Ihnen vom Dienstleister vorgelegte Vertrag zur Auftragsbearbeitung den Anforderungen aus Art. 9 DSG entspricht. Dabei analysieren wir den von Ihnen zur Verfügung gestellten Vertrag zur Auftragsbearbeitung sowie zusammengehörige Vertragsunterlagen auf Vollständigkeit und Rechtskonformität. Zudem bewerten wir die vom Auftragsbearbeiter angeführten technischen und organisatorischen Massnahmen nach Art. 8 DSG.
Wenn Sie selbst als Dienstleister Personendaten im Auftrag bearbeiten, prüfen wir gerne auch Ihren Auftragsbearbeitungs-Vertrag auf DSG-Konformität.
Sie erhalten von uns einen detaillierten Prüfbericht mit konkreter Hilfestellung bei Änderungsbedarf des Vertrages. Zudem geben wir eine Gesamteinschätzung über die Rechtskonformität des Vertrages ab. Da unsere Juristen regelmässig Auftragsbearbeitungs-Verträge für Unternehmen verschiedenster Branchen prüfen bzw. erstellen, wissen sie, auf welche Besonderheiten und Fallstricke gemäss DSG zu achten ist.
Unverbindliche Anfrage
Auftragsbearbeitungs-Verträge und deren Prüfung können je nach Grösse Ihres Unternehmens, eingesetzter Dienstleister und vorhandener Datenbearbeitungen sehr verschieden ausfallen.
Deshalb erstellen wir Ihnen gerne in individuelles Angebot. Bitte übermitteln Sie uns dazu einige Angeben.
Häufig gestellte Fragen zur Prüfung eines Vertrages zur Auftragsbearbeitung
Was ist ein Auftragsbearbeitungsvertrag?
Ein Vertrag über Auftragsbearbeitung sollte dann geschlossen werden, wenn Personendaten durch einen Dienstleister bearbeitet werden. Bei Auftragsbearbeitern kann es sich zum Beispiel um Gehaltsabrechnungsbüros, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Web- bzw. E-Mailhoster oder auch freie Mitarbeiter handeln.
Der zu schliessende Auftragsbearbeitungs-Vertrag regelt die Rechte und Pflichten von Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsbearbeiter) sowie ggfs. einzusetzenden Dritten (Unter-Auftragsbearbeiter). So soll u. a. gewährleistet werden, dass der Auftragsbearbeiter die ihm anvertrauten Daten nur zu den Zwecken bearbeitet, für die der Verantwortliche die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Masse zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag auch Kontrollrechte eingeräumt, damit der Verantwortliche sich nach Art. 9 DSG vergewissern kann, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.
Ebenfalls sollte der Vertrag die Grenzen der Auftragsbearbeitung enthalten und festlegen, ab wann der Auftragsbearbeiter die Pflicht bricht, gem. Art. 9 DSG Personendaten so zu bearbeiten, wie der Verantwortliche es tun dürfte – und ab wann er selbst zum Verantwortlichen wird. Diese Umstände genau zu definieren, liegt daher sowohl im Interesse des Verantwortlichen als auch des Auftragsbearbeiters.
Warum sollte ein Auftragsbearbeitungs-Vertrag geschlossen werden?
Nach Art. 9 DSG kann die Bearbeitung von Personendaten vertraglich von einem Verantwortlichen auf einen Auftragsbearbeiter übertragen werden. Daher müssen sich jeweils beide Parteien darum bemühen, einen solchen Vertrag aufzustellen und dafür zu sorgen, dass dieser zumindest den gesetzlichen Mindestanforderungen des Art. 9 DSG genügt.
Die Vorlage für den Auftragsbearbeitungs-Vertrag kann von beiden Seiten bereitgestellt werden. Bei der Nutzung von z. B. Webhostinganbietern als Auftragsbearbeitern bleibt in der Regel allerdings nur die Wahl, den angebotenen Auftragsbearbeitungs-Vertrag anzunehmen. Auch hier kann eine Prüfung des Auftragsbearbeitungs-Vertrags durch unsere Juristen helfen, eine Entscheidung für oder gegen einen Anbieter zu treffen.
Welche Anforderungen an einen Auftragsbearbeitungs-Vertrag gibt es?
Ein Vertrag zur Auftragsbearbeitung muss inhaltlich die Anforderungen nach Art. 8 und Art. 9 DSG erfüllen. Hierfür gibt es einen Katalog an Mindestinhalten, welche nach bestimmten Grundsätzen geregelt sein müssen.
Welche Vertragsunterlagen sind für die Prüfung zur Verfügung zu stellen?
Um eine vollständige Prüfung vornehmen zu können, müssen sämtliche relevante Vertragsunterlagen und Anhänge bereitgestellt werden. Hierzu gehören neben dem eigentlichen Auftragsbearbeitungs-Vertrag folgende Dokumente und Informationen:
- Hauptvertrag: Oft wird im Auftragsbearbeitungs-Vertrag auf den Hauptvertrag verwiesen. Dies ist in der Regel der Dienstleistungsvertrag. Soweit inhaltliche Verweise auf den Hauptvertrag bestehen, ist dieser ebenfalls notwendig für die Prüfung.
- Technische und organisatorische Massnahmen (TOM) nach Art. 8 DSG: Die sog. TOM sind oft am Ende des Auftragsbearbeitungs-Vertrages angehängt. Es kann auch vorkommen, dass diese bereits in einem gesonderten Dokument, etwa in einem Sicherheitskonzept oder Datenschutzkonzept etc. enthalten sind. In diesem Fall benötigen wir dieses zusätzliche Dokument ebenso.
- Liste der Dritten: Die Liste der vom Dienstleister eingesetzten Dritten ist meist im Auftragsbearbeitungs-Vertrag enthalten. Soweit sich diese Informationen in einem gesonderten Dokument befinden, wird dieses für die Prüfung benötigt.
- Sonstige relevante Dokumente: In seltenen Fällen sind weitere datenschutzrechtliche Informationen vorhanden, die zur Prüfung des Auftragsbearbeitungs-Vertrages erforderlich sind. Haben Sie daher vom Dienstleister weitere datenschutzrechtliche Dokumente erhalten, dann können Sie uns auch diese übermitteln.
Zudem hilft es uns, wenn Sie die zu prüfende Dienstleistung kurz beschreiben. Das sollte zwar in der Regel im Vertrag erfolgen, ist jedoch nicht immer der Fall.
Sind Zertifikate als Nachweis der technischen und organisatorischen Massnahmen ausreichend?
Getroffene technische und organisatorische Massnahmen (TOM) können ebenfalls durch Zertifikate nachgewiesen werden. Diese müssen jedoch tauglich und geeignet sein.
Bei Zertifikaten ist zu beachten, dass diese lediglich als Faktor berücksichtigt werden dürfen. Mit anderen Worten: Zertifikate stellen lediglich ein Indiz, jedoch keinen Beweis für das Vorliegen hinreichender TOM dar. Es ist weiterhin eine Gesamtbeurteilung durch hinreichende Informationen und Nachweise notwendig.
Für die Indizwirkung ist es erforderlich, dass der Prüfungsumfang und -massstab des Zertifikats bekannt ist. Dies ist etwa bei einer Zertifizierung nach ISO 27001 der Fall, weil es sich um eine Norm handelt. Derzeit kursieren jedoch einige Datenschutz-Zertifikate ohne eine solche Aussagekraft. Hierbei handelt es sich meist um Datenschutz-Zertifikate, die auf von Unternehmen eigens entwickelten und nicht veröffentlichen Standards beruhen. Was genau geprüft wird oder auf welchen Massstäben das Ergebnis beruht, kann nicht ohne Weiteres nachvollzogen werden.
Was wird beim Vertrag zur Auftragsbearbeitung geprüft?
Ein bestehender oder abzuschliessender Vertrag zur Auftragsbearbeitung wird ausschliesslich auf Rechtskonformität der Anforderungen nach Art. 9 DSG sowie auf die Geeignetheit der Nachweise der technischen und organisatorischen Massnahmen geprüft.
Wir können leider nicht bewerten, ob der Vertrag für Sie im konkreten Fall vorteilhaft ist. Haftungsregeln, Kostenübernahmen, etc. werden von uns lediglich daraufhin untersucht, ob ein Verstoss gegen die Anforderungen des DSG besteht.