Sofortkontakt zur Kanzlei
Telefon +41 41 417 10 70
 

KMU-Magazin Nr. 04/05, April/Mai 2022 Der Auftragsverarbeitungsvertrag beim Outsourcing von Tätigkeiten

Aufgrund der zunehmenden Datenflut beschäftigen Unternehmen vermehrt externe Dienstleister zur Datenbearbeitung. Der Beitrag beleuchtet, ob und wie dazu spezielle Vereinbarungen zu treffen sind, die Datensicherheit und Datenschutz betreffen.

Die fortschreitende Digitalisierung hat viele positive Seiten und kann Arbeitspro­zesse stark unterstützen und vereinfachen. Sie verursacht aber auch nicht unerheb­liche Datenfluten. Das Angebot Dritter, die sich auf bestimmte Gebiete und Arten der externen Datenbearbeitung spezialisiert haben, steigt auch zusehends. Dies hat zur Folge, dass solche Dienstleistungen zunehmend von Unternehmen in Anspruch genommen und so eine Vielzahl von Da­tenbearbeitungen extern, «ausser Haus», durchgeführt werden.

Ebendas wiederum bedingt, dass Unter­nehmen noch vermehrt ein besonderes Augenmerk auf die Datensicherheit rich­ten müssen. Dabei wird unweigerlich auch der Datenschutz zum Thema und in diesem Zusammenhang die Frage, ob – und wenn ja, wie – Vereinbarungen mit externen Dritten aufzusetzen sind.

Rechtliche Grundlagen

Aufgrund der gegenwärtigen rechtlichen Situation in der Schweiz, wonach das In­krafttreten des neuen Bundesgesetzes über den Datenschutz (nDSG) vom Bun­desrat nach wie vor nicht definitiv fest­gelegt worden ist – zurzeit vorgesehen ist es für den 1. September 2023 –, und der Tatsache, dass sich Schweizer Unterneh­men zusätzlich zum heute noch gelten­den Bundesgesetz über den Datenschutz (DSG) auch der seit Mai 2018 geltenden Europäischen Datenschutzgrundverord­nung (EU-­DSGVO) ausgesetzt sehen kön­nen, ist es nicht ganz einfach, sich in der ohnehin schon komplexen Thematik des Datenschutzes zurechtzufinden.

Im Kontext des Outsourcings von Daten­bearbeitungen an einen Dritten gilt es zu beachten, dass bei der Bearbeitung von Personendaten durch Dritte vorzugs­weise eine Vereinbarung zwischen dem Auftraggeber und Auftragnehmer abzu­schliessen ist.

Wann liegt nun aber eine Auslagerung einer Datenbearbeitung an einen Drit­ten vor, die einen solchen Vertrag – auch Auftragsverarbeitungsvertrag (AVV) ge­nannt – erfordert? Diese Frage ist nicht immer leicht zu beantworten.

Ausgangslage

Bei einer Datenbearbeitung durch Dritte ist die Ausgangslage jeweils die folgende: Eine Person stellt einer anderen Person die zu bearbeitenden Daten zur Verfü­gung. Bei der Analyse des Rechtsverhält­nisses muss aber die Art der Datenbear­beitung genau unter die Lupe genommen werden, um zwischen einem «simplen» Datenbearbeiter, mit dem ein AVV ab­geschlossen werden sollte, und einem Auftragnehmer, der andere wesent­lichere Zwecke mit der Datenbearbeitung beabsichtigt, zu unterscheiden. Das Er­gebnis der Analyse ist unter anderem auch bei der Frage nach der Haftung für Datenschutzverstösse entscheidend.

Ein AVV wird zwischen einem sogenann­ten Verantwortlichen (gemäss nDSG und EU-­DSGVO; DSG: Auftraggeber/Inhaber der Datensammlung) und einem Daten­bearbeiter (nDSG: Auftragsbearbeiter; EU-­DSGVO: Auftragsverarbeiter) geschlos­sen. Wie der Name schon verrät, steht der Verantwortliche hierbei im Zentrum. Der Verantwortliche ist derjenige, der über Zweck und Inhalt beziehungsweise Mit­tel zur Datenbearbeitung entscheidet und folglich dafür verantwortlich ist, dass die Datenbearbeitung den gesetzlichen Erfordernissen entspricht.

Er hat Risikoanalysen für die zu bear­beitenden Daten durchzuführen und ba­sierend auf deren Ergebnissen entspre­chende organisatorische und technische Massnahmen zum Schutz der Daten (ins­besondere vor Verlust, Missbrauch und Veränderung durch unbefugte Dritte) so­ wie für die Sicherheit der Datenbearbei­tung zu ergreifen. Der Datenbearbeiter hingegen nimmt eine ausführende Rolle ein und handelt im Auftrag des Verant­wortlichen.

Verantwortlichkeiten

Die Schwierigkeit besteht also mithin darin, vertragsbedürftige Beziehungen korrekt zu qualifizieren. Bei Unterneh­men mit ausgelagerter Lohnbuchhaltung ist beispielsweise ein AVV vonnöten. Dies gilt unter anderem auch für IT-­Dienst­leister (zum Beispiel Hostingprovider), Treuhänder und Versandunternehmen. Eine abschliessende Liste gibt es jedoch nicht. Liegen hingegen die Kernkompe­tenz eines Dritten sowie dessen Mehr­wert nicht in der alleinigen Bearbeitung der Daten im Auftrag eines anderen und bearbeitet er diese Daten zum Beispiel auch für eigene erlaubte Zwecke, kann nicht mehr «nur» von einer Auftragsver­arbeitung die Rede sein.

So ist der Personalvermittler, der im Auftrag für seine Klientschaft tätig ist, bezüglich der Personendatenbearbei­tung im Rahmen des Mandates selbst Ver­antwortlicher, da seine wesentliche Leis­tung nicht in der Erbringung einer Daten­bearbeitung besteht; Letztere ist in dem Sinne nur das Mittel zum Zweck, denn das Ziel der Dienstleistung ist hier die Stellenvermittlung. Die gleiche Schluss­folgerung gilt zum Beispiel auch für An­wälte oder Steuerberater. Des Weiteren besteht die Möglichkeit, dass mehrere Parteien bezüglich Zwecks und Mitteln relevante Entscheidungen treffen kön­nen. In einer solchen Konstellation wird dann von einer Co­-Verantwortung (ge­meinsamen Verantwortung) gesprochen.

Grundsätzlich lässt sich festhalten, dass derjenige verantwortlich ist, der die Da­tenbearbeitung veranlasst, das Ziel und somit den Zweck dieser Bearbeitung bestimmt sowie über die Parameter (Erhebungskategorie, Auswertungsmetho­dik, allgemein die Art und letztlich auch die Dauer der Bearbeitung etc.), also über die Mittel zur Datenbearbeitung entscheidet. Wer nur eine ausführende Rolle innehat, ist nicht im Bereich des Verantwortlichen anzusiedeln.

Datensicherheit

Wer Personendaten bearbeitet, ist für die Datensicherheit verantwortlich. Das Prinzip, dass Personendaten durch an­gemessene technische Massnahmen (d. h. Massnahmen physischer Natur: Pass­wortkomplexität, Zugriffsbefugnisse, Be­nutzerkonten, Pseudonymisierung und/oder Verschlüsselung der Daten etc.) so­wie organisatorische Massnahmen (be­stimmte Verfahrens­ und Vorgehenswei­sen, Handlungsanweisungen etc.) gegen unbefugtes Bearbeiten geschützt werden müssen, ist gegenwärtig schon im Gesetz verankert. Sofern Dritte mit der Bearbei­tung von Daten beauftragt werden, muss sich der Auftraggeber zudem vergewis­sern, dass die Dritten die Datensicherheit ebenso gewährleisten können.

Gemäss der EU­-DSGVO und dem noch nicht geltenden nDSG wird ausdrücklich darauf hingewiesen, dass der Verantwort­liche sowie der Auftragsverarbeiter/Auf­tragsbearbeiter verpflichtet sind, «ein(e) dem Risiko angemessene(s)» Schutzni­veau/Datensicherheit zu gewährleisten. Die Festlegung der angemessenen techni­schen und organisatorischen Massnah­men impliziert somit, wie schon erläutert, eine Risikoanalyse. Diesbezüglich hat sich der Verantwortliche die Frage zu stellen, wie hoch das Risiko einer Verletzung der Persönlichkeit oder der Grundrechte die­ser Person ist, würden ihre Daten in die Hände Unbefugter gelangen. Entspre­chend sind die Massnahmen zur Daten­sicherheit zu treffen.

Im Zusammenhang mit Datensicherheit von Bedeutung ist zudem das Konzept Privacy by Design. Es wird unter dem nDSG explizit, wie dies schon in der EU­-DSGVO der Fall ist, zur Pflicht. Dies be­deutet, dass technische Vorkehrungen derart getroffen werden müssen, dass eine Verletzung des Datenschutzes gänz­lich unmöglich ist oder die Gefahr einer solchen möglichst minimiert wird. Der Verantwortliche ist zudem gehalten, mittels geeigneter Voreinstellungen si­cherzustellen, dass die Bearbeitung der Personendaten auf das für den Ver­wendungszweck nötige Mindestmass be­schränkt ist (Privacy by Default).

Grundsätzlich kann die Aussage gemacht werden: Je sensibler die Daten, desto aus­geklügelter, komplexer und umfassender müssen die Massnahmen zur Datensi­cherheit sein.

Wichtig ist hier zu betonen, dass ein Ver­antwortlicher sich seiner Verantwortung für die Datensicherheit nicht entziehen kann, indem er die Dienstleistungen zum Beispiel eines externen IT­-Dienstleisters in Anspruch nimmt. Es obliegt dem Ver­antwortlichen – der über die Art und Sen­sibilität der Daten, die durch den Daten­bearbeiter verarbeitet werden, am besten Bescheid weiss und wissen muss –, die Angemessenheit der technischen und organisatorischen Massnahmen durch entsprechende Auswahl solcher Mass­nahmen sicherzustellen, wobei der Da­tenbearbeiter dem Verantwortlichen be­ratend zur Seite stehen kann und wohl meistens auch wird.

Vertragsgestaltung

In der EU-­DSGVO ist in Artikel 28 klar statuiert, welche Aspekte in einem AVV abgehandelt werden müssen. Dies wird in acht Punkten abschliessend geregelt. In der Schweiz zeigt sich die Situation an­ders. Weder im heute noch geltenden DSG noch im nDSG ist der Inhalt eines AVV genauer umschrieben. Die im Schwei­zer Gesetz mangelnde explizite Präzisie­rung der Inhaltsvorgaben eines AVV kann zu Unsicherheiten in der Rechtsanwendung führen.

Die unbesehene Übernahme eines EU­-DSGVO-konformen Vertrags ist allerdings auch nicht zu empfehlen – es sei denn, die EU-­DSGVO ist auf den Verantwortlichen anwendbar –, da dort oft weitere Gesetze referenziert werden und sich zudem zwischen dem DSG/nDSG und der EU­-DSGVO auch terminologische Unter­schiede ergeben. Der Verantwortliche ist aber auf jeden Fall gut beraten, mit dem Auftragsbearbeiter insbesondere die Konkretisierung des Auftragsinhaltes, seine Weisungsbefugnis, die zu treffen­den technischen und organisatorischen Massnahmen zur Datensicherheit, den Umgang bei Verletzungen der Datensi­cherheit sowie die Haftung zu regeln. Zu­dem sollten Bestimmungen betreffend die Berichtigung, Einschränkung, Lö­schung und Rückgabe der personenbe­zogenen Daten vereinbart werden.

Es empfiehlt sich in jedem Fall einen AVV sorgfältig zu redigieren. Dies gilt umso mehr, als mit dem Inkrafttreten des nDSG bei einem Verstoss gegen diese Sorgfalts­pflicht eine Busse von bis zu CHF 250 000 auferlegt werden kann. Unter dem EU­-DSGVO kann schon heute eine Geldbusse von bis zu 10 000 000 Euro oder, im Fall eines Unternehmens, von bis zu zwei Prozent seines gesamten weltweit er­zielten Jahresumsatzes des vorangegan­genen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Fazit

Der Verantwortliche hat nicht unerheb­liche Pflichten im Zusammenhang mit der Bearbeitung von Personendaten ein­zuhalten. Das Outsourcing von Tätigkei­ten kann zusätzliche datenschutzrecht­liche Pflichten beim Verantwortlichen auslösen. Sobald das zukünftige nDSG in Kraft ist, wird der Verantwortliche noch höhere Anforderungen zu erfüllen haben als unter dem aktuellen DSG, wobei zu beachten ist, dass für gewisse Unterneh­men die EU-­DSGVO auch heute schon Anwendung finden kann.

Aufgrund der dem Verantwortlichen auf­erlegten rechtlichen Pflichten und der bei deren Nichteinhaltung gegebenen­ falls schon jetzt resultierenden Sanktio­nen von möglichem empfindlichem Ausmass – nebst drohenden Reputations­schäden und Umsatzeinbussen – ist es ratsam und angezeigt, sich mit der The­matik des Auftragsverarbeitungsvertrags gründlich zu befassen.

Ob ein Auftragsverarbeitungsvertrag gesetzlich erforderlich ist, bedarf einer rechtlichen Analyse, die durchaus auf­wendig und nicht ganz einfach sein kann. Für eine Einschätzung empfiehlt es sich daher, juristische Unterstützung beizu­ziehen, die zudem bei einer möglichen Ausarbeitung eines Auftragsverarbei­tungsvertrags behilflich sein kann.

Hier zum Artikel:

https://www.kmu-magazin.ch/digitalisierung-transformation/der-auftragsverarbeitungsvertrag-beim-outsourcing-von-taetigkeiten

Beitrag veröffentlicht am
25. Mai 2022

Andrea Meule
Kaufmann Rüedi Rechtsanwälte AG
Partnerin, Rechtsanwältin, Notarin
Alle Beiträge von Andrea Meule

Christine Fariña
Kaufmann Rüedi Rechtsanwälte AG
Juristin
Alle Beiträge von Christine Fariña

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Weitere Beiträge

20.11.2024

Nachfolgeplanung bei ­inhabergeführten Unternehmen

Im Zuge der Nachfolgeplanung inhabergeführter Unternehmen gibt es neben dem Steuerrecht zahlreiche Faktoren zu beachten. Der Beitrag befasst sich mit einigen der wichtigsten juristischen wie auch nicht juristischen Aspekten.

Beitrag lesen
19.11.2024

Welche Sperrfristen bei einer Kündigung zu beachten sind

Im Schweizer Recht gilt grundsätzlich das Prinzip der Kündigungsfreiheit. Arbeitgebern und Arbeitnehmern ist es erlaubt, das Arbeitsverhältnis jederzeit zu beenden. Dabei sind vom Arbeitgeber jedoch bestimmte Sperrzeiten einzuhalten. Der Beitrag zeigt, wann und wie der Sperrfristenschutz zur Anwendung kommt.

Beitrag lesen
19.11.2024

Aspekte zum Kauf von Wohneigentum

Von den eigenen vier Wänden träumen auch heute noch viele. Kaum jemand denkt daran, dass das Traumobjekt auch zum Albtraum werden kann. Um es dazu nicht kommen zu lassen, sollte bereits beim Abschluss des Kaufvertrags einigen Punkten Beachtung geschenkt werden. Dieser Artikel gibt einen Überblick.

Beitrag lesen
Alle zeigen

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Ausserdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben.

Details in unserer Datenschutzerklärung   

Einstellungen
Essentielle Dienste und Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

In diesem Cookie werden die von Ihnen selbst vorgenommenen Einstellungen, wie z.B. Ihre bevorzugte Sprache für die Nutzung des Angebots gespeichert.

Google reCAPTCHA

Wir verwenden auf unserer Website das Cookie NID des Computerprogrammes reCAPTCHA, das von der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) betrieben wird. Sinn und Zweck ist es, zu unterscheiden, ob eine Handlung im Internet von einem Menschen oder einem Computerprogramm bzw. Bot vorgenommen wird. In diesem Zusammenhang wird beim Besuch der Website Ihr Verhalten (IP-Adresse, Verweildauer, Mausbewegungen etc.) erfasst, pseudonomysiert und an Google weitergeleitet. Die Speicherdauer beträgt 6 Monate. Die Speicherung erfolgt auf Servern in den USA. Näheres über die weitere Verwendung der pseudonymisierten Daten durch Google entnehmen Sie bitte den unter https://policies.google.com/privacy?hl=de abrufbaren Informationen.

Statistik und Nutzungsmessung

Statistik-Cookies dienen dem Website-Betreiber zu verstehen, wie Nutzer mit der Website interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Nutzungsmessung mit Matomo

Wir verwenden Matomo zur datenschutzfreundlichen Webanalyse. Die anonymisierten Daten liegen auf unseren Servern und werden nicht an Dritte weitergegeben.

Externe Dienste

Inhalte von Videoplattformen, Social-Media-Plattformen oder anderen externen Diensten sind standardmässig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner einzelnen manuellen Zustimmung mehr.

Geographische Karten von OpenStreetMaps

OpenStreetMaps dient der Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben.

Details in unserer Datenschutzerklärung