Teil 7 – Auftragsbearbeitung: Anforderungen an Schweizer Unternehmen nach dem revidierten Datenschutzgesetz

Wenn Personendaten nicht im eigenen Unternehmen, sondern von einem Outsourcing-Dienstleister bearbeitet werden, nennt man diesen Dienstleister «Auftragsverarbeiter bzw. Auftragsbearbeiter». Neu im DSGneu ist die Übernahme aus der DSGVO der Begrifflichkeiten „Verantwortlicher / Auftragsverarbeiter“ (Art. 5 lit. j und k DSGneu). Mit einem Auftragsdatenverarbeitungs-Vertrag (ADV) zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss dafür gesorgt werden, dass dieser die Datenbearbeitung so durchführt, wie es der Verantwortliche selbst tun würde.

Ein externer Hoster bspw. ist ein Auftragsverarbeiter und stellt i. d. R. bereits einen ADV zur Verfügung. Dies zeichnet zumindest einen vertrauenswürdigen und datenschutzrechtlich zeitgemässen Hoster aus. In Art. 28 Abs. 3 DSGVO ist der Mindestinhalt eines ADVs festgelegt:

  • „Art und Zweck der Verarbeitung;
  • Art der personenbezogenen Daten, Kreis betroffener Personen;
  • Umfang der Weisungsbefugnisse;
  • Pflichten und Rechte des Verantwortlichen;
  • Pflichten des Auftragsverarbeiters: 
    • Verarbeitung nach dokumentierter Weisung;
    • Wahrung der Vertraulichkeit bzw. Verschwiegenheit;
    • Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung;
    • Rechtmäßige Hinzuziehung von Subunternehmen;
    • Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen;
    • Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO;
    • Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 32 DSGVO);
    • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzaufsichtsbehörden (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 33 DSGVO);
    • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 34 DSGVO); 
    • Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 35 DSGVO);
    • Konsultierung der Datenschutzaufsichtsbehörden bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DSGVO i. V. m. Art. 36 DSGVO);
    • Löschung oder Rückgabe nach Beendigung des Auftrags;
    • Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen.“

Diese Mindestanforderungen können gemäss DSGneu so übernommen werden, auch wenn die Inhaltsvorgaben weniger detailliert sein müssen. Dafür müssen sie explizit um die Länderliste für Datenexporte ergänzt werden. Art. 26 DSGVO verlangt die vertragliche Festlegung der Verantwortlichkeiten von gemeinsamen Verantwortlichen, was nach dem DSGneu nicht so ist. Daraus resultiert auch eine unterschiedliche Haftung: Gemäss DSGVO haften Auftragsverarbeiter beschränkt, während im DSGneu alle in die Haftung gezogen werden, die an einer Persönlichkeitsverletzung mitwirken.

Die Abgrenzung zwischen Verantwortlicher und Auftragsverarbeiter ist jedoch nicht immer ganz einfach, es herrschen verschiedene Meinungen und in der EU gibt es schon einige Gerichtsentscheide dazu. Der EDSA hat dazu kürzlich eine Leitlinie veröffentlicht, welche aber weiterhin gewisse Fragen offenlässt. Wichtig bei diesem Thema ist also ganz genau zu prüfen, ob alle nötigen Verträge vorhanden sind, ob die Verantwortlichkeiten genau geregelt sind und zu bedenken, dass neu auch in der Schweiz Bussgelder für fehlende ADVs gesprochen werden können.

Fragen zur Revision des Schweizer Datenschutzgesetzes?

Nutzen Sie die Chance und vereinbaren Sie einen Termin

Fenster schliessen
Jetzt anrufen