Februar 2018

Bekanntlich wird die Europäische Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018, also schon sehr bald, anwendbar sein. Auch viele Schweizer Unternehmen werden ihr unterstellt sein. Das gilt einmal für alle Unternehmen, die in der EU über eine Niederlassung verfügen und im Zusammenhang mit deren Geschäftstätigkeit Personendaten verarbeiten. Weiter unterstehen diejenigen Unternehmen in der Schweiz der DSGVO, die Kunden in der EU Waren oder Dienstleistungen anbieten sowie alle diejenigen Unternehmen, die Daten über das Verhalten von Personen in der EU beobachten, insbesondere indem sie Daten von Internetnutzern auswerten.

Zu den wesentlichen Massnahmen, um die Konformität der DSGVO sicherzustellen, gehört die Überprüfung der Verträge mit sogenannten Auftragsdatenverarbeitern (oder kurz: Auftragsverarbeiter), ob diese den in der DSGVO vorgesehenen Anforderungen genügen und, sollte dies nicht der Fall sein, in der entsprechenden Anpassung dieser Verträge.

Von Auftragsdatenverarbeitung spricht man immer dann, wenn ein Unternehmen einen Dritten mit der Verarbeitung von Personendaten für die Zwecke des auftraggebenden Unternehmens beauftragt. Hierfür gibt es eine Vielzahl von verschiedenen Anwendungsfällen. Insbesondere liegt immer dann eine Auftragsdatenverarbeitung vor, wenn im Rahmen eines Outsourcings oder im Zusammenhang mit der Nutzung von Cloud Services Personendaten an den Outsourcing-Partner bzw. den Cloud Services Provider weitergegeben werden. Dabei genügt es bereits, wenn der externe Partner die Daten selber gar nicht weiter bearbeitet, beispeilsweise ändert oder auswertet, sondern es genügt bereits, wenn er sie für den Auftraggeber speichert. Weitere Beispiele sind die Weitergabe von Daten von Mitarbeitenden an Personalberater zur Durchführung von Assessments oder die Weitergabe von Adressdaten an einen spezialisierten Serviceprovider zum Versand von Newslettern oder anderen Marketingmassnahmen.

Die DSGVO formuliert für die Auftragsdatenverarbeitung eine ganze Reihe von Anforderungen. So verlangt sie, dass nur solche Auftragsverarbeiter berücksichtigt werden dürfen, die hinreichende Garantien bieten, dass sie geeignete technische und organisatorische Massnahmen umgesetzt haben, damit die Datenverarbeitung entsprechend den Anforderungen der DSGVO erfolgt und die Rechte der betroffenen Personen gewährleistet sind.

Insbesondere verlangt die DSGVO jedoch, dass über die Auftragsverarbeitung ein Vertrag bestehen muss, der den Gegenstand, Art und Zweck sowie die Dauer der Verarbeitung, die Kategorien der zu verarbeitenden Personendaten sowie die Rechte und Pflichten der Parteien festlegt. Insbesondere müssen folgende Punkte im Vertrag geregelt sein:

·         Personendaten dürfen nur nach den Weisungen des Auftraggebers bearbeitet werden, wobei diese dokumentiert sein müssen. Ergeben sich diese somit nicht bereits abschliessend aus dem Vertrag, so muss der Auftraggeber dem Auftragsverarbeiter die Weisungen durch ergänzende schriftliche Mitteilungen erteilen.

·         Es muss sichergestellt sein, dass die Personen, die auf Seiten des Auftragsverarbeiters mit der Verarbeitung der Daten befasst sind, sich vertraglich zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Geheimhaltungspflicht unterstehen.

·         Der Vertrag muss sicherstellen, dass der Auftragsverarbeiter hinreichende technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit getroffen hat und während der Vertragsdauer beibehält.

·         Die Unterbeauftragung weiterer Unternehmen durch den Auftragsverarbeiter darf nur erfolgen, wenn die schriftliche Genehmigung seitens des Auftraggebers entweder im Einzelfall vorliegt oder im Vertrag in allgemeiner Form vorgesehen ist, wobei im letzteren Fall der Auftragsverarbeiter den Auftragnehmer jeweils vorgängig über die von ihm beigezogenen Unterauftragnehmer sowie allfällige Wechsel von Unterauftragnehmern informieren muss, so dass der Auftraggeber gegebenenfalls Einspruch erheben oder den Vertrag mit dem Auftragsverarbeiter beenden kann. Die Unterbeauftragten müssen in Bezug auf den Datenschutz den gleichen Pflichten unterstellt werden, wie sie im Vertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter vereinbart sind.

·         Der Auftragsverarbeiter muss, soweit dies erforderlich ist, den Auftraggeber im Zusammenhang mit der Erfüllung von Rechtsansprüchen der betroffenen Personen, insbesondere auf Auskunft betreffend die über sie bearbeiteten Daten, den Widerspruch gegen Verarbeitung ihrer Daten, die Berichtigung oder Löschung von Daten oder auch bezüglich der Datenportabilität unterstützen.

·         Ebenso muss der Auftragsverarbeiter den Auftraggeber bei der Erfüllung der Meldepflichten gegenüber den Datenschutzbehörden und den Betroffenen im Fall von Datenschutzverletzungen unterstützen. Dies setzt insbesondere voraus, dass der Auftragsverarbeiter verpflichtet wird, den Auftraggeber umgehend zu informieren, wenn der Auftragsverarbeiter in seinem Verantwortlichkeitsbereich Tatsachen feststellt, welche zu einer Meldepflicht führen können.

·         Es muss sichergestellt sein, dass der Auftraggeber Datenschutzfolgeabklärungen, welche von der DSGVO in bestimmten Fällen mit besonderen Risiken für den Datenschutz verlangt werden, auch durchführen kann, soweit es um Verarbeitungen geht, welche vom Auftragsverarbeiter durchgeführt werden.

·         Nach Beendigung des Vertrages sind alle Personendaten nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

·         Der Auftragsverarbeiter hat schliesslich dem Auftraggeber sämtliche Informationen zur Verfügung zu stellen, welche letzterem die Überprüfung der Einhaltung der vertraglichen Pflichten durch den Auftragsverarbeiter ermöglichen, einschliesslich der Vornahme von Inspektionen (Audits), sei es durch den Auftraggeber selbst oder durch einen von letzterem beauftragten Dritten.

Auch das aktuelle Datenschutzrecht der Schweiz sieht die Möglichkeit der Auftragsdatenverarbeitung vor, formuliert jedoch nur ganz allgemeine Anforderungen. Es ist daher davon auszugehen, dass die bisher von schweizerischen Unternehmen mit Auftragsverarbeitern abgeschlossenen Verträge in aller Regel den Anforderungen, wie sie in der DSGVO formuliert sind, nicht bzw. nur zum Teil genügen.

Es besteht daher für die der DSGVO unterstellten Schweizer Unternehmen dringender Handlungsbedarf. Gerne unterstützen wir Sie bei der Überprüfung und Anpassung Ihrer Auftragsdatenverarbeitungsverträge.