Sofortkontakt zur Kanzlei
Ihr Partner in der Zentralschweiz Alpenquai 28a | 6005 Luzern
 

KMU-Magazin Nr. 04/05, April/Mai 2022 Der Auftragsverarbeitungsvertrag beim Outsourcing von Tätigkeiten

Aufgrund der zunehmenden Datenflut beschäftigen Unternehmen vermehrt externe Dienstleister zur Datenbearbeitung. Der Beitrag beleuchtet, ob und wie dazu spezielle Vereinbarungen zu treffen sind, die Datensicherheit und Datenschutz betreffen.

Die fortschreitende Digitalisierung hat viele positive Seiten und kann Arbeitspro­zesse stark unterstützen und vereinfachen. Sie verursacht aber auch nicht unerheb­liche Datenfluten. Das Angebot Dritter, die sich auf bestimmte Gebiete und Arten der externen Datenbearbeitung spezialisiert haben, steigt auch zusehends. Dies hat zur Folge, dass solche Dienstleistungen zunehmend von Unternehmen in Anspruch genommen und so eine Vielzahl von Da­tenbearbeitungen extern, «ausser Haus», durchgeführt werden.

Ebendas wiederum bedingt, dass Unter­nehmen noch vermehrt ein besonderes Augenmerk auf die Datensicherheit rich­ten müssen. Dabei wird unweigerlich auch der Datenschutz zum Thema und in diesem Zusammenhang die Frage, ob – und wenn ja, wie – Vereinbarungen mit externen Dritten aufzusetzen sind.

Rechtliche Grundlagen

Aufgrund der gegenwärtigen rechtlichen Situation in der Schweiz, wonach das In­krafttreten des neuen Bundesgesetzes über den Datenschutz (nDSG) vom Bun­desrat nach wie vor nicht definitiv fest­gelegt worden ist – zurzeit vorgesehen ist es für den 1. September 2023 –, und der Tatsache, dass sich Schweizer Unterneh­men zusätzlich zum heute noch gelten­den Bundesgesetz über den Datenschutz (DSG) auch der seit Mai 2018 geltenden Europäischen Datenschutzgrundverord­nung (EU-­DSGVO) ausgesetzt sehen kön­nen, ist es nicht ganz einfach, sich in der ohnehin schon komplexen Thematik des Datenschutzes zurechtzufinden.

Im Kontext des Outsourcings von Daten­bearbeitungen an einen Dritten gilt es zu beachten, dass bei der Bearbeitung von Personendaten durch Dritte vorzugs­weise eine Vereinbarung zwischen dem Auftraggeber und Auftragnehmer abzu­schliessen ist.

Wann liegt nun aber eine Auslagerung einer Datenbearbeitung an einen Drit­ten vor, die einen solchen Vertrag – auch Auftragsverarbeitungsvertrag (AVV) ge­nannt – erfordert? Diese Frage ist nicht immer leicht zu beantworten.

Ausgangslage

Bei einer Datenbearbeitung durch Dritte ist die Ausgangslage jeweils die folgende: Eine Person stellt einer anderen Person die zu bearbeitenden Daten zur Verfü­gung. Bei der Analyse des Rechtsverhält­nisses muss aber die Art der Datenbear­beitung genau unter die Lupe genommen werden, um zwischen einem «simplen» Datenbearbeiter, mit dem ein AVV ab­geschlossen werden sollte, und einem Auftragnehmer, der andere wesent­lichere Zwecke mit der Datenbearbeitung beabsichtigt, zu unterscheiden. Das Er­gebnis der Analyse ist unter anderem auch bei der Frage nach der Haftung für Datenschutzverstösse entscheidend.

Ein AVV wird zwischen einem sogenann­ten Verantwortlichen (gemäss nDSG und EU-­DSGVO; DSG: Auftraggeber/Inhaber der Datensammlung) und einem Daten­bearbeiter (nDSG: Auftragsbearbeiter; EU-­DSGVO: Auftragsverarbeiter) geschlos­sen. Wie der Name schon verrät, steht der Verantwortliche hierbei im Zentrum. Der Verantwortliche ist derjenige, der über Zweck und Inhalt beziehungsweise Mit­tel zur Datenbearbeitung entscheidet und folglich dafür verantwortlich ist, dass die Datenbearbeitung den gesetzlichen Erfordernissen entspricht.

Er hat Risikoanalysen für die zu bear­beitenden Daten durchzuführen und ba­sierend auf deren Ergebnissen entspre­chende organisatorische und technische Massnahmen zum Schutz der Daten (ins­besondere vor Verlust, Missbrauch und Veränderung durch unbefugte Dritte) so­ wie für die Sicherheit der Datenbearbei­tung zu ergreifen. Der Datenbearbeiter hingegen nimmt eine ausführende Rolle ein und handelt im Auftrag des Verant­wortlichen.

Verantwortlichkeiten

Die Schwierigkeit besteht also mithin darin, vertragsbedürftige Beziehungen korrekt zu qualifizieren. Bei Unterneh­men mit ausgelagerter Lohnbuchhaltung ist beispielsweise ein AVV vonnöten. Dies gilt unter anderem auch für IT-­Dienst­leister (zum Beispiel Hostingprovider), Treuhänder und Versandunternehmen. Eine abschliessende Liste gibt es jedoch nicht. Liegen hingegen die Kernkompe­tenz eines Dritten sowie dessen Mehr­wert nicht in der alleinigen Bearbeitung der Daten im Auftrag eines anderen und bearbeitet er diese Daten zum Beispiel auch für eigene erlaubte Zwecke, kann nicht mehr «nur» von einer Auftragsver­arbeitung die Rede sein.

So ist der Personalvermittler, der im Auftrag für seine Klientschaft tätig ist, bezüglich der Personendatenbearbei­tung im Rahmen des Mandates selbst Ver­antwortlicher, da seine wesentliche Leis­tung nicht in der Erbringung einer Daten­bearbeitung besteht; Letztere ist in dem Sinne nur das Mittel zum Zweck, denn das Ziel der Dienstleistung ist hier die Stellenvermittlung. Die gleiche Schluss­folgerung gilt zum Beispiel auch für An­wälte oder Steuerberater. Des Weiteren besteht die Möglichkeit, dass mehrere Parteien bezüglich Zwecks und Mitteln relevante Entscheidungen treffen kön­nen. In einer solchen Konstellation wird dann von einer Co­-Verantwortung (ge­meinsamen Verantwortung) gesprochen.

Grundsätzlich lässt sich festhalten, dass derjenige verantwortlich ist, der die Da­tenbearbeitung veranlasst, das Ziel und somit den Zweck dieser Bearbeitung bestimmt sowie über die Parameter (Erhebungskategorie, Auswertungsmetho­dik, allgemein die Art und letztlich auch die Dauer der Bearbeitung etc.), also über die Mittel zur Datenbearbeitung entscheidet. Wer nur eine ausführende Rolle innehat, ist nicht im Bereich des Verantwortlichen anzusiedeln.

Datensicherheit

Wer Personendaten bearbeitet, ist für die Datensicherheit verantwortlich. Das Prinzip, dass Personendaten durch an­gemessene technische Massnahmen (d. h. Massnahmen physischer Natur: Pass­wortkomplexität, Zugriffsbefugnisse, Be­nutzerkonten, Pseudonymisierung und/oder Verschlüsselung der Daten etc.) so­wie organisatorische Massnahmen (be­stimmte Verfahrens­ und Vorgehenswei­sen, Handlungsanweisungen etc.) gegen unbefugtes Bearbeiten geschützt werden müssen, ist gegenwärtig schon im Gesetz verankert. Sofern Dritte mit der Bearbei­tung von Daten beauftragt werden, muss sich der Auftraggeber zudem vergewis­sern, dass die Dritten die Datensicherheit ebenso gewährleisten können.

Gemäss der EU­-DSGVO und dem noch nicht geltenden nDSG wird ausdrücklich darauf hingewiesen, dass der Verantwort­liche sowie der Auftragsverarbeiter/Auf­tragsbearbeiter verpflichtet sind, «ein(e) dem Risiko angemessene(s)» Schutzni­veau/Datensicherheit zu gewährleisten. Die Festlegung der angemessenen techni­schen und organisatorischen Massnah­men impliziert somit, wie schon erläutert, eine Risikoanalyse. Diesbezüglich hat sich der Verantwortliche die Frage zu stellen, wie hoch das Risiko einer Verletzung der Persönlichkeit oder der Grundrechte die­ser Person ist, würden ihre Daten in die Hände Unbefugter gelangen. Entspre­chend sind die Massnahmen zur Daten­sicherheit zu treffen.

Im Zusammenhang mit Datensicherheit von Bedeutung ist zudem das Konzept Privacy by Design. Es wird unter dem nDSG explizit, wie dies schon in der EU­-DSGVO der Fall ist, zur Pflicht. Dies be­deutet, dass technische Vorkehrungen derart getroffen werden müssen, dass eine Verletzung des Datenschutzes gänz­lich unmöglich ist oder die Gefahr einer solchen möglichst minimiert wird. Der Verantwortliche ist zudem gehalten, mittels geeigneter Voreinstellungen si­cherzustellen, dass die Bearbeitung der Personendaten auf das für den Ver­wendungszweck nötige Mindestmass be­schränkt ist (Privacy by Default).

Grundsätzlich kann die Aussage gemacht werden: Je sensibler die Daten, desto aus­geklügelter, komplexer und umfassender müssen die Massnahmen zur Datensi­cherheit sein.

Wichtig ist hier zu betonen, dass ein Ver­antwortlicher sich seiner Verantwortung für die Datensicherheit nicht entziehen kann, indem er die Dienstleistungen zum Beispiel eines externen IT­-Dienstleisters in Anspruch nimmt. Es obliegt dem Ver­antwortlichen – der über die Art und Sen­sibilität der Daten, die durch den Daten­bearbeiter verarbeitet werden, am besten Bescheid weiss und wissen muss –, die Angemessenheit der technischen und organisatorischen Massnahmen durch entsprechende Auswahl solcher Mass­nahmen sicherzustellen, wobei der Da­tenbearbeiter dem Verantwortlichen be­ratend zur Seite stehen kann und wohl meistens auch wird.

Vertragsgestaltung

In der EU-­DSGVO ist in Artikel 28 klar statuiert, welche Aspekte in einem AVV abgehandelt werden müssen. Dies wird in acht Punkten abschliessend geregelt. In der Schweiz zeigt sich die Situation an­ders. Weder im heute noch geltenden DSG noch im nDSG ist der Inhalt eines AVV genauer umschrieben. Die im Schwei­zer Gesetz mangelnde explizite Präzisie­rung der Inhaltsvorgaben eines AVV kann zu Unsicherheiten in der Rechtsanwendung führen.

Die unbesehene Übernahme eines EU­-DSGVO-konformen Vertrags ist allerdings auch nicht zu empfehlen – es sei denn, die EU-­DSGVO ist auf den Verantwortlichen anwendbar –, da dort oft weitere Gesetze referenziert werden und sich zudem zwischen dem DSG/nDSG und der EU­-DSGVO auch terminologische Unter­schiede ergeben. Der Verantwortliche ist aber auf jeden Fall gut beraten, mit dem Auftragsbearbeiter insbesondere die Konkretisierung des Auftragsinhaltes, seine Weisungsbefugnis, die zu treffen­den technischen und organisatorischen Massnahmen zur Datensicherheit, den Umgang bei Verletzungen der Datensi­cherheit sowie die Haftung zu regeln. Zu­dem sollten Bestimmungen betreffend die Berichtigung, Einschränkung, Lö­schung und Rückgabe der personenbe­zogenen Daten vereinbart werden.

Es empfiehlt sich in jedem Fall einen AVV sorgfältig zu redigieren. Dies gilt umso mehr, als mit dem Inkrafttreten des nDSG bei einem Verstoss gegen diese Sorgfalts­pflicht eine Busse von bis zu CHF 250 000 auferlegt werden kann. Unter dem EU­-DSGVO kann schon heute eine Geldbusse von bis zu 10 000 000 Euro oder, im Fall eines Unternehmens, von bis zu zwei Prozent seines gesamten weltweit er­zielten Jahresumsatzes des vorangegan­genen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Fazit

Der Verantwortliche hat nicht unerheb­liche Pflichten im Zusammenhang mit der Bearbeitung von Personendaten ein­zuhalten. Das Outsourcing von Tätigkei­ten kann zusätzliche datenschutzrecht­liche Pflichten beim Verantwortlichen auslösen. Sobald das zukünftige nDSG in Kraft ist, wird der Verantwortliche noch höhere Anforderungen zu erfüllen haben als unter dem aktuellen DSG, wobei zu beachten ist, dass für gewisse Unterneh­men die EU-­DSGVO auch heute schon Anwendung finden kann.

Aufgrund der dem Verantwortlichen auf­erlegten rechtlichen Pflichten und der bei deren Nichteinhaltung gegebenen­ falls schon jetzt resultierenden Sanktio­nen von möglichem empfindlichem Ausmass – nebst drohenden Reputations­schäden und Umsatzeinbussen – ist es ratsam und angezeigt, sich mit der The­matik des Auftragsverarbeitungsvertrags gründlich zu befassen.

Ob ein Auftragsverarbeitungsvertrag gesetzlich erforderlich ist, bedarf einer rechtlichen Analyse, die durchaus auf­wendig und nicht ganz einfach sein kann. Für eine Einschätzung empfiehlt es sich daher, juristische Unterstützung beizu­ziehen, die zudem bei einer möglichen Ausarbeitung eines Auftragsverarbei­tungsvertrags behilflich sein kann.

Hier zum Artikel:

Weitere Beiträge