Auftragsverarbeitungsvertrag gemäss DSG - Ein Überblick und praktische Tipps

Enzo Schrembs

Enzo Schrembs

Oct 4, 2024

Auftragsverarbeitungsvertrag gemäss DSG: Ein Überblick und praktische Tipps für Unternehmen

In der heutigen digitalisierten Welt ist der Schutz personenbezogener Daten unerlässlich. Unternehmen, die Daten von Dritten verarbeiten, müssen sicherstellen, dass diese Daten im Einklang mit dem Datenschutzgesetz (DSG) behandelt werden. Ein Auftragsverarbeitungsvertrag (AVV) spielt dabei eine zentrale Rolle, um die Sicherheit bei der Zusammenarbeit mit externen Dienstleistern zu gewährleisten.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein Auftragsverarbeitungsvertrag (AVV), auch Datenverarbeitungsvertrag (DVV) oder Auftrag zur Datenverarbeitung (ADV) genannt, ist eine rechtliche Vereinbarung zwischen dem Verantwortlichen und einem Auftragsverarbeiter. Der Verantwortliche ist das Unternehmen, das über die Zwecke und Mittel der Datenverarbeitung entscheidet, während der Auftragsverarbeiter im Auftrag des Unternehmens die Daten verarbeitet. Ein solcher Vertrag ist unerlässlich, wenn personenbezogene Daten von externen Dienstleistern wie Cloud-Anbietern, IT-Support oder Marketingagenturen verarbeitet werden.

Wichtig zu betonen ist, dass gemäss Art. 9 DSG der Verantwortliche auch bei der Übertragung von Aufgaben an einen Dienstleister weiterhin für den Datenschutz verantwortlich bleibt. Der Auftragsverarbeiter agiert ausschliesslich nach den Anweisungen des Verantwortlichen und hat keinen Spielraum bei der Entscheidung über die Verarbeitung der Daten. Dies gilt auch, wenn ein Dienstleister vorkonfigurierte Lösungen anbietet, wie z. B. Cloud-Services. Der Vertrag legt fest, dass die Daten nur gemäss den Weisungen des Auftraggebers verarbeitet und alle datenschutzrechtlichen Verpflichtungen eingehalten werden.

Art. 9 Abs. 3 DSG enthält eine spezielle Regelung für den Einsatz von Unterauftragsbearbeitern (Sub-Prozessoren). Diese dürfen nur mit der Zustimmung des Verantwortlichen hinzugezogen werden. Zudem ist der Auftragsbearbeiter verpflichtet, einen eigenen Auftragsverarbeitungsvertrag mit dem Sub-Prozessor abzuschliessen. Dadurch wird sichergestellt, dass die datenschutzrechtlichen Anforderungen über die gesamte Auftragsbearbeitungskette eingehalten werden.

Die Beauftragung von Dritten, die nicht als Auftragsbearbeiter gelten (z.B. Post- oder Telekommunikationsdienstleister), fällt jedoch nicht unter diese Regelung.

Die Übertragung von Personendaten an einen Auftragsbearbeiter muss selbstverständlich den Bearbeitungsgrundsätzen gemäss Art. 6 DSG entsprechen und verhältnismässig bleiben. Ebenso sind die Bestimmungen zum Datenexport strikt zu beachten.

Wann benötige ich einen AVV?

Ein Auftragsverarbeitungsvertrag wird erforderlich, wenn ein externer Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet. Beispiele hierfür sind:

  • Cloud-Dienste: Speicherung und Verwaltung von Daten

  • IT-Dienstleister: Wartung und Support von Systemen, die personenbezogene Daten enthalten

  • Marketing-Anbieter: Analysen von Kundendaten und E-Mail-Marketing

  • Externe HR-Dienstleister: Verarbeitung von Mitarbeiterdaten

Generell gilt: Immer dann, wenn personenbezogene Daten im Auftrag verarbeitet werden, ist ein AVV erforderlich.

Wo finde ich die AVV bei Dienstleistern?

Viele grössere Anbieter stellen standardisierte Auftragsverarbeitungsverträge zur Verfügung. Diese sind in der Regel in den AGB, den Datenschutzrichtlinien oder Datenschutzerklärungen (DSE) oder in Kundenportalen zu finden. Alternativ können sie auf Anfrage bereitgestellt werden. Wichtig ist, dass die ADV den Anforderungen des DSG entspricht und alle notwendigen Schutzmassnahmen regelt.

Worauf sollte man achten?

Beim Abschluss eines AVV sind folgende Punkte besonders wichtig:

  • Zweckbindung: Die Daten dürfen nur für die vertraglich vereinbarten Zwecke verarbeitet werden.

  • Weisungsgebundenheit: Der Auftragsverarbeiter darf nur gemäss den Anweisungen des Verantwortlichen handeln.

  • Technische und organisatorische Massnahmen (TOM): Diese Massnahmen müssen die Sicherheit der verarbeiteten Daten gewährleisten. Dazu gehören Verschlüsselung, Zugriffskontrollen und andere Sicherheitsvorkehrungen (siehe Art. 8 DSG).

  • Subunternehmer: Die Weitergabe von Daten an Subunternehmer ist nur mit Genehmigung des Verantwortlichen zulässig.

  • Betroffenenrechte: Der Dienstleister muss den Verantwortlichen unterstützen, wenn betroffene Personen Auskunft, Berichtigung oder Löschung ihrer Daten verlangen.

  • Datenübermittlungen ins Ausland: Die Übertragung von Daten in Länder ohne angemessenes Datenschutzniveau bedarf besonderer Schutzvorkehrungen wie Standardvertragsklauseln.

Zusätzlich muss der Verantwortliche sicherstellen, dass keine Geheimhaltungspflichten verletzt werden und dass der Auftragsverarbeiter in der Lage ist, die Datensicherheit durch angemessene Massnahmen zu gewährleisten. Es empfiehlt sich, den Dienstleister regelmässig zu überwachen, um sicherzustellen, dass die Schutzmassnahmen wirksam sind.

Wie gehe ich mit dem AVV in der Praxis um?

Schritte zur praktischen Umsetzung:

  1. Identifizieren Sie alle Dienstleister, die personenbezogene Daten verarbeiten: Erstellen Sie eine Liste der Dienstleister, die Zugriff auf personenbezogene Daten haben, z.B. IT-Dienstleister oder Cloud-Anbieter.

  2. Fordern Sie einen AVV ein: Stellen Sie sicher, dass Sie von allen relevanten Dienstleistern einen gültigen AVV haben.

  3. Prüfen Sie die AVV: Überprüfen Sie die Verträge genau, um sicherzustellen, dass alle Datenschutzanforderungen erfüllt sind.

  4. Überwachen Sie die Einhaltung: Audits und regelmässige Überprüfungen helfen sicherzustellen, dass der Dienstleister die vereinbarten Massnahmen einhält.

  5. Schulen Sie Ihre Mitarbeiter: Mitarbeiter, die mit externen Dienstleistern zusammenarbeiten, sollten die Inhalte und Bedeutung des AVV verstehen.

  6. Aktualisieren Sie die AVV regelmässig: Änderungen in der Gesetzgebung oder im Geschäftsverhältnis machen es erforderlich, die Vereinbarungen regelmässig zu überprüfen und anzupassen. (Mit RETO kann die Aktualisierung automatisch erfolgen.)

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der EU macht ebenfalls klare Vorgaben zur Auftragsbearbeitung. Sobald ein Dienstleister Zugriff auf personenbezogene Daten erhält oder diese verarbeitet, liegt eine Auftragsbearbeitung vor. Art. 28 DSGVO fordert, dass zwischen Verantwortlichem und Auftragsverarbeiter ein Vertrag geschlossen wird, der die Pflichten des Auftragsverarbeiters regelt, insbesondere in Bezug auf Datensicherheit, Betroffenenrechte und die Möglichkeit der Unterauftragsbearbeitung. Der Verantwortliche bleibt jedoch immer für den Datenschutz verantwortlich, auch wenn Aufgaben an einen Dienstleister delegiert werden.

Wenn Ihr Unternehmen mit Dienstleistern innerhalb der EU zusammenarbeitet, ist es ratsam, einen Vertrag gemäss Art. 28 DSGVO abzuschliessen. Dadurch stellen Sie sicher, dass die Anforderungen sowohl der DSGVO als auch des Schweizer Datenschutzgesetzes (DSG) erfüllt werden.

Sanktionen

Das Datenschutzgesetz (DSG) sieht in Art. 60 bis 64 DSG Sanktionen bei Verstössen gegen Datenschutzvorgaben vor. Zu den möglichen Strafen zählen Bussgelder von bis zu 250.000 Schweizer Franken, die sich gegen natürliche Personen richten können, die etwa gegen Auskunfts-, Melde- oder Sorgfaltspflichten verstossen haben. Strafen werden vor allem dann verhängt, wenn Verantwortliche oder Auftragsbearbeiter ihre Pflichten im Rahmen der Datenverarbeitung oder Datensicherheit nicht einhalten.

Fazit

Ein Auftragsverarbeitungsvertrag ist essenziell, um den Schutz personenbezogener Daten sicherzustellen, wenn diese von externen Dienstleistern verarbeitet werden. Unternehmen sollten nicht nur sicherstellen, dass sie AVV mit allen relevanten Dienstleistern abgeschlossen haben, sondern diese auch regelmässig überprüfen. Datenschutzrechte und -pflichten bleiben stets beim Verantwortlichen, auch wenn Aufgaben ausgelagert werden. Durch proaktive Massnahmen wie die regelmässige Schulung der Mitarbeiter und Audits können Unternehmen sicherstellen, dass alle gesetzlichen Anforderungen eingehalten werden – sei es unter dem DSG oder der DSGVO.

Dieser Beitrag ist auch als Vlog auf YouTube erhältlich.

Bleibe mit den neuesten Einblicken zu Gesetzesänderungen und Dokumentensicherheit informiert! Abonniere jetzt unseren Newsletter, um exklusive Updates, Expertenanalysen und aktuelle Entwicklungen direkt in dein Postfach zu erhalten. Verpasse nicht die Gelegenheit, dein Wissen zu erweitern und stets auf dem Laufenden zu bleiben.

Gefällt dir, was du liest? Abonniere für Top-Geschichten in Rechtsberatung und Dokumentensicherheit. Bleibe informiert mit exklusiven Updates.

Legal

Bitte beachte, dass der Inhalt möglicherweise mit Hilfe von KI generiert wurde. Die redaktionellen Inhalte von Reto stellen keine Anlageberatung, Kaufempfehlung oder Rechtsberatung dar.

Empfohlen
AG kaufen - Worauf muss ich achten?

AG kaufen - Worauf muss ich achten?

Enzo Schrembs - Sep 20, 2024

Wenn Sie vorhaben eine AG zu kaufen, klärt dieser Post Sie auf über alle rechtlichen Hintergründe und Tipps zum Vorgehen.

Artikel lesen
Widerruf von Verträgen

Welche Verträge können widerrufen werden

Enzo Schrembs - Aug 26, 2024

Lernen Sie mehr über das Widerrufsrecht in der Schweiz. Wir haben für Sie alle wichtigen Informationen zusammengefasst.

Artikel lesen

Schütze deine Dokumente

Dein Zugang zu verlässlicher Datenverwaltung. Verankere die Authentizität deiner Informationen mit unserer sicheren Dokumentenablage

Jetzt starten