default

Auftragsdatenbearbeitung

FAQ

  • Kann eine Datenbearbeitung an einen Dritten im Ausland übertragen werden?

    Die Datenbearbeitung kann an einen Dritten im Ausland übertragen werden. Jedoch muss hierbei beachtet werden, dass sowohl die Voraussetzungen der Auftragsdatenbearbeitung wie auch die Voraussetzungen zum Auslanddatentransfer eingehalten bzw. beachtet werden müssen.

  • Wie ist die Haftung zwischen mir und meinem Auftragsdatenbearbeiter geregelt?

    Der Verantwortliche hat sicherzustellen, dass die Voraussetzungen für die Auftragsdatenbearbeitung erfüllt sind, bevor die Daten dem Auftragsbearbeiter übertragen werden.

    Das Gesetz sieht vor, dass sowohl der Verantwortliche wie auch der Auftragsbearbeiter dieselben Pflichten in Bezug auf die Bearbeitung der Personendaten haben, so z.B. in Bezug auf die Einhaltung der Datenschutzgrundsätze.

    Die zivilrechtliche Haftung für persönlichkeitsverletzende Datenbearbeitung sieht vor, dass jeder, der mitwirkt (unabhängig von der Qualifikation als Verantwortlicher und Datenbearbeiter) zur Verantwortung gezogen werden kann.

    Eine allgemein geltende Regelung, welche die Haftung zwischen dem Verantwortlichen und dem Bearbeiter verteilt, gibt es nicht. Da es sich aber um eine Auslagerung von Datenbearbeitungsprozessen an einen Dritten handelt, bleibt primär der Verantwortliche gegenüber den betroffenen Personen verantwortlich. Es ist zum Beispiel auch möglich, die Haftung des Auftragsbearbeiters vertraglich zu begrenzen.

  • Kann ich Personendaten mit Dritten, insbesondere amtlichen Behörden, teilen?

    Personendaten können grundsätzlich mit Dritten (amtliche Behörden und andere Personen) geteilt werden. Dabei sind stets die datenschutzrechtlichen Bearbeitungsgrundsätze einzuhalten. Wenn besonders schützenswerte Personendaten mit Dritten geteilt werden, liegt nach Art. 30 revDSG eine Persönlichkeitsverletzung vor, weshalb eine Rechtfertigungsgrund dafür notwendig ist (ausdrückliche Einwilligung, überwiegendes privates oder öffentliches Interesse oder gesetzliche Grundlage (Art. 31 revDSG)). Das Teilen der Daten ist jedoch stets einzelfallabhängig zu prüfen, bevor Daten ausgetauscht werden.

  • Wann ist ein Datenbearbeitungsvertrag oder ein Auftragsdatenbearbeitungsvertrag notwendig?

    Wenn ein Dritter Daten im Auftrag der verantwortlichen Person bearbeitet, ist eine vertragliche Regelung dazu notwendig (es sei denn, die Auftragsdatenbearbeitung wird gesetzlich vorgesehen; diese Ausnahme betrifft jedoch vor allem amtliche Behörden, und nicht private Unternehmen).

  • Kann ein Unternehmen einen "cloud provider" nutzen, um Unternehmensdaten zu speichern?

    Ja, ein Unternehmen kann einen "cloud provider" nutzen, um Unternehmensdaten zu speichern, sofern die Voraussetzungen für eine Auftragsdatenbearbeitung erfüllt werden. Wenn die Daten vollständig verschlüsselt sind und vom "cloud provider" demnach gar nicht gelesen werden können, liegt allenfalls auch keine Auftragsdatenbearbeitung vor und es ist keine vertragliche Regelung in Bezug auf die Auftragsdatenbearbeitung notwendig. Wenn jedoch der "cloud provider" theoretisch Zugriff auf die Daten hat (auch wenn dieser Zugriff nicht verwendet wird), gilt er als Auftragsdatenbearbeiter und diese Auftragsdatenbearbeitung muss vertraglich geregelt werden. Sofern der "cloud provider" seinen Sitz im Ausland hat, sind zudem die Voraussetzungen für Auslanddatentransfers zu erfüllen.

    Je nachdem, ob ein Unternehmen in einem stark regulierten Bereich tätig ist, wie z.B. im Banken-, Gesundheits- oder Versicherungswesen, sind allenfalls zusätzliche Voraussetzungen zu erfüllen.

  • Wie wird im Rahmen einer Transaktion die übertragende Gesellschaft (Verkäufer) qualifiziert, die dem Käufer Übergangsservices anbietet, bis der Käufer das gekaufte Unternehmen in seine eigene IT-Infrastruktur integriert hat? Was sind die rechtlichen Konsequenzen dieser Qualifizierung?

    Die übertragende Gesellschaft gilt in einer solchen Konstellation i.d.R. als Auftragsdatenbearbeiter und die Voraussetzungen für eine Auftragsdatenbearbeitung müssen erfüllt werden, sofern im Rahmen der Services Personendaten bearbeitet werden. Insbesondere muss ein Auftragsdatenbearbeitungsvertrag zwischen Käufer und Verkäufer für die entsprechenden Services abgeschlossen werden.

  • Dürfen wir (z.B. als Sportverband) mit Sitz in der Schweiz Personendaten in einem CRM-System speichern, das von einem Dritten (z.B. dem Weltverband) betrieben wird? Wem gehören die Personendaten dann? Was ist zu beachten?

    Das Schweizer Recht kennt kein Eigentum an Personendaten. Insofern ist es nicht ganz korrekt, davon zu sprechen, dass Daten jemandem "gehören". Wichtiger ist häufig, auf wen sich die Personendaten beziehen, weil diese Person (das "Datensubjekt") dann die ihr zustehenden Rechte ausüben kann, die sich auf diese Daten beziehen. Das ist dann jeweils die Person, bei welcher man umgangssprachlich sagen könnte, dass ihr die Daten "gehören".

    Das DSG kennt jedoch die Begriffe "Verantwortlicher" und "Auftragsbearbeiter". Siehe dazu die Definitionen . Diese Unterscheidung kann für Fragen der Haftung von Bedeutung sein.

    Wenn der Dritte nur das CRM-System für den Sportverband betreibt, dann qualifiziert der Dritte wohl als Auftragsdatenbearbeiter und der Sportverband als Verantwortlicher. Eine solche Auslagerung ist erlaubt, so lange die Voraussetzungen für eine Auftragsdatenbearbeitung erfüllt sind.

    Wenn der Dritte seinen Sitz oder seine Server ausserhalb der Schweiz hat, sind zudem die Voraussetzungen für einen Auslanddatentransfer zu erfüllen.

  • Dürfen Personendaten von Athleten erhoben werden und zur Bearbeitung an Dritte weitergeleitet werden?

    Die Erhebung von Daten von Athleten gilt als eine Bearbeitung von Personendaten, sofern die Daten einem bestimmten Athleten zugeordnet werden können, womit die Datenschutzgrundsätze eingehalten werden müssen. Darüber hinaus, hat die Organisation, welche die Daten sammelt die weiteren Pflichten gemäss revDSG zu erfüllen.

    Was die Bekanntgabe an Dritte – also das Teilen von Personendaten mit Dritten – angeht, sehen Sie bitte die Antwort zur Frage "Kann ich Personendaten mit Dritten, insbesondere amtlichen Behörden, teilen?" ein.

Auf einen Blick

Das revDSG erlaubt weiterhin das Outsourcing, d.h. die Auslagerung von Datenbearbeitungen beziehungsweise von Arbeiten, welche mit der Bearbeitung von Personendaten in Zusammenhang stehen. Jedoch werden dabei gewisse Ansprüche an die Person gestellt, die diese sog. Auftragsdatenbearbeitung durchführt. Ausserdem liegt es in der Verantwortung des Auftraggebers, sicherzustellen, dass sich der Auftragsdatenbearbeiter an diese Voraussetzungen und Vorgaben hält.

Einleitung

Das Outsourcing von Datenbearbeitungen ist in der Praxis weit verbreitet. Im Gesetz wird dies "Bearbeitung durch Auftragsbearbeiter" genannt (im EU-Recht: "Auftragsdatenverarbeitung"). Hierzu gibt es einige Regeln zu beachten.

Das Schweizer Recht (Art. 9 revDSG) sieht in Sachen Auftragsdatenbearbeitung grundsätzlich dieselben Pflichten – wenn auch weniger ausführlich beschrieben – für den Verantwortlichen vor wie das EU-Recht (Art. 28 DSGVO), ausser dass im Schweizer Recht keine Mindestangaben für den Inhalt des Vertrages vorgegeben werden, die Verantwortliche und Auftragsdatenbearbeiter abschliessen müssen.

Wer ist der "Verantwortliche" und der "Auftragsbearbeiter"?

Der "Verantwortliche" ist dasjenige Unternehmen bzw. diejenige Person, welche(s) über die Bearbeitung von Personendaten entscheidet, indem es den Zweck und die Mittel (wie z.B. Auswertungen von Rückmeldungen oder Korrespondenz von Kunden, Cookies auf Webseiten, Speicherort der Personendaten) für eine Datenbearbeitung festlegt – der englische Begriff dafür ist "controller".

Der Verantwortliche kann die Bearbeitung von Personendaten an einen "Auftragsbearbeiter" übertragen, d.h. outsourcen – der englische Begriff für den Auftragsbearbeiter ist "processor". Ein Auftragsbearbeiter bearbeitet Personendaten im Auftrag des Verantwortlichen und entscheidet nicht über den Zweck und die Mittel einer Datenbearbeitung. Der Auftragsbearbeiter darf die Daten auch nicht für eigene Zwecke bearbeiten. Es ist nicht immer eindeutig, wer Verantwortlicher und wer Auftragsdatenbearbeiter im Sinne des revDSG ist. Dies ist immer einzelfallabhängig zu klären. Nachfolgend aber einige Beispiele zur Illustration.

  • Beispiele von Auftragsdatenbearbeitern

    Auftragsbearbeiter ist i.d.R., zum Beispiel:

    • Der Anbieter eines Service, der seinen Kunden (den Verantwortlichen) ermöglicht, Statistiken zur Webseitennutzung zu erheben.
    • Der Cloud-Provider, der einen Server betreibt, auf welchem Kunden (die Verantwortlichen) Speicherplatz mieten können. (Es sei denn, alle Daten sind verschlüsselt: dann liegt allenfalls keine Auftragsdatenbearbeitung durch den Cloud-Provider vor.)
    • Der Betreiber eines Call Centers, der ein Call Center für und im Namen eines Kunden (des Verantwortlichen) betreibt und dokumentiert.
    • Der Anbieter von IT-Support, der im Rahmen der notwendigen Zugriffe auf die IT-Systeme ebenfalls Zugriff auf eine grosse Menge Personendaten hat (selbst wenn auf diese Personendaten nicht zugegriffen wird; die Möglichkeit des Zugriffes reicht).
    • Der Anbieter von Lohnbuchhaltungssoftware oder der Löhne und Lohnabrechnungen für einen Arbeitgeber im Namen des Arbeitgebers auszahlt bzw. versendet.

Für den Fall, dass die Bearbeitung von Daten an Personen innerhalb des Unternehmens delegiert wird, gilt: Mitarbeitende sind keine Auftragsdatenbearbeiter. Aber eine Gruppengesellschaft, die für eine andere Gesellschaft derselben Gruppe z.B. Lohnzahlungen vornimmt, kann ein Auftragsdatenbearbeiter sein.

Was ist, wenn mehrere Personen über die Bearbeitung von Personendaten entscheiden können?

Im EU-Recht gibt es einen spezifischen Artikel (Art. 26 DSGVO) der von "gemeinsam für die Verarbeitung Verantwortliche[n]" spricht. Dies geht nur implizit aus der Definition des Verantwortlichen im Schweizer Recht hervor (Art. 5 lit. j revDSG: "allein oder zusammen mit anderen"). Das Schweizer Recht sieht zu dieser sog. "joint controllership" keine speziellen Regeln vor; im EU-Recht müssen gemeinsam verantwortliche Personen jedoch eine schriftliche Vereinbarung zur Aufgabenverteilung festlegen. Auch wenn dies im Schweizer Recht nicht vorgesehen ist, ist es dennoch sinnvoll, eine solche Vereinbarung vorzusehen, um mehr Klarheit für die involvierten Parteien betreffend ihrer Rechte und Pflichten sowie Verantwortlichkeiten im jeweiligen Vertragsverhältnis zu schaffen. Joint controller können zwei (oder mehr) Unternehmen bzw. zwei Organe sein, die gemeinsame Entscheidungen (über den Zweck und die Mittel) zur Bearbeitung von Personendaten treffen.

Ein Beispiel für gemeinsam Verantwortliche im Alltag kann ein Reisebüro sein, welches gemeinsam mit einer Hotelkette und einer Airline eine Internet-Plattform zum Anbieten von Reise-Packages aufbaut. Die drei Unternehmen vereinbaren, welche Personendaten wo gespeichert werden, und wer auf diese zugreifen kann. Ausserhalb der Internet-Plattform besteht jedoch keine gemeinsame Datenbearbeitung.

Ein weiteres Beispiel für gemeinsame Verantwortliche im Alltag ist das Beispiel von zwei Unternehmen, welche gemeinsam ein Produkt entwickelt haben und einen Marketing-Event dazu organisieren wollen. Um dies zu tun, teilen sie untereinander Personendaten ihrer Klienten und entscheiden gemeinsam, wen sie auf welche Art für diesen Event einladen wollen, wie Feedback zum Event gesammelt wird, und welche darauffolgenden Promotion-Aktionen getroffen werden sollen. Im Hinblick auf diese Marketingaktion qualifizieren können beiden Unternehmen als gemeinsame Verantwortliche für die bearbeiteten Personendaten qualifizieren.

Unter welchen Voraussetzungen ist eine Auftragsdatenbearbeitung zulässig?

Zur Zulässigkeit der Auftragsdatenbearbeitung ist eine vertragliche Vereinbarung zwischen der verantwortlichen Person und dem Auftragsbearbeiter (ein sogenannter "Auftragsdatenbearbeitungsvertrag") abzuschliessen. Im Gegensatz zur DSGVO enthält das revDSG keine spezifischen Vorgaben zum Inhalt solcher Verträge.

  • Die Vereinbarung sollte insbesondere regeln, welche Daten wie bearbeitet werden, und sicherstellen, dass die Datenbearbeitung von dem Auftragsbearbeiter auch korrekt durchgeführt wird.
  • Die Vereinbarung sollte folgendes beinhalte

    • Gegenstand und Dauer der Bearbeitung
    • Art und Zweck der Bearbeitung
    • Art der Personendaten
    • Kategorien betroffener Personen
    • Pflichten und Rechte des Verantwortlichen
    • Pflichten und Rechte des Auftragsbearbeiters
    • Weisungsrecht des Verantwortlichen
    • Pflicht zur Löschung oder Rückgabe der bearbeiteten Daten, wenn das Vertragsverhältnis aufgelöst wird
    • Liste der technischen und organisatorischen Massnahmen, die vom Auftragsdatenbearbeiter implementiert werden müssen
    • Regelungen zum Beizug von Subunternehmern ("subprocessors")

Die verantwortliche Person muss sicherstellen, dass der Auftragsbearbeiter die Daten nur so bearbeitet, wie die verantwortliche Person es selbst tun dürfte; das bedeutet, dass der Auftragsdatenbearbeiter die Daten insbesondere auch nicht für eigene oder Drittinteressen bearbeiten darf.

Die verantwortliche Person muss sicherstellen, dass es keine Geheimhaltungspflicht gibt, gegen die der Verantwortliche mit einem Outsourcing verstossen würde (z.B. bedarf ein Outsourcing durch eine Bank allenfalls einer Einwilligung der Bankkunden aufgrund des Bankgeheimnisses). Gibt es eine Geheimhaltungspflicht, muss eventuell die Einwilligung der betroffenen Personen vor dem Outsourcing eingeholt werden.

Die verantwortliche Person muss sicherstellen, dass der Auftragsdatenbearbeiter angemessene technische und organisatorische Sicherheitsmassnahmen zum Schutz der Personendaten implementiert hat. Siehe hierzu der Beitrag zur "Datensicherheit" .

Je nachdem, ob ein Unternehmen in einem stark regulierten Bereich tätig ist, wie z.B. im Banken- oder Versicherungswesen, sind allenfalls zusätzliche Voraussetzungen zu erfüllen.

Was ist, wenn der Auftragsbearbeiter gewisse Bearbeitungsprozesse weiter an einen Dritten outsourcen will?

  • Wenn ein Auftragsdatenbearbeiter einen Subunternehmer mit der Bearbeitung von Daten des Verantwortlichen beauftragen will, sind dieselben allgemeinen Voraussetzungen einzuhalten. Der Subunternehmer muss grundsätzlich dieselben Pflichten erfüllen, wie der Auftragsdatenbearbeiter gegenüber dem Verantwortlichen.
  • Wenn der Auftragsbearbeiter an ein Subunternehmen outsourcen will, braucht er hierzu als Erstes die Zustimmung der verantwortlichen Person.
  • Wenn die verantwortliche Person nur eine allgemeine Zustimmung gibt, muss der Auftragsbearbeiter die verantwortliche Person über jede Änderung der Subunternehmer informieren. Wie im europäischen Recht hat dann auch der Verantwortliche ein Widerspruchsrecht in einem solchen Fall, d.h. wenn ein Verantwortlicher mit dem Outsourcing nicht einverstanden ist, muss eine vertragliche Lösung dafür vereinbart werden (allenfalls auch ein beidseitiges Kündigungsrecht).

Was gilt, wenn Daten einem Dritten bekannt gegeben werden, der nicht als Auftragsdatenbearbeiter qualifiziert und die Daten für seine eigenen Zwecke bearbeitet?

In solchen Fällen ist der Dritte ein eigenständiger Verantwortlicher. Dies bedeutet, dass nach Bekanntgabe der Daten an den Dritten, dieser selbst für die Einhaltung des revDSG verantwortlich ist.

Das Unternehmen, welches Personendaten dem Dritten bekanntgeben will, muss dann aber ebenfalls sicherstellen, ob die Bekanntgabe mit den Datenschutzgrundsätzen überhaupt vereinbar ist. Zudem muss es abklären, ob es sich um besonders schützenswerte Personendaten handelt, denn wenn besonders schützenswerte Personendaten Dritten bekanntgegeben werden, muss ein Rechtfertigungsgrund vorliegen (ausdrückliche Einwilligung, überwiegendes privates oder öffentliches Interesse oder gesetzlichen Grundlage).

Auch gilt eine Informationspflicht von Seite des Unternehmens, welches Personendaten einem Dritten bekannt geben will, an die betroffenen Personen – diese müssen nach Gesetz darüber informiert werden, wer die Empfänger ihrer Daten sind und welche Kategorien ihrer Personendaten Dritten bekanntgegeben werden.

Kann ein Unternehmen gebüsst werden, wenn ein Auftragsbearbeiter ohne Erfüllung der Voraussetzungen beauftragt wird?

Ja, für die vorsätzliche Verletzung dieser Voraussetzungen sieht das DSG auf Antrag eine Busse von bis zu CHF 250'000.- vor (Art. 61 lit. b revDSG).

Der EDÖB kann auf Anzeige hin oder von Amtes wegen eine Untersuchung einleiten, wenn Anzeichen dafür bestehen, dass ein Unternehmen ohne Erfüllung der Voraussetzungen nach Art. 9 revDSG einen Auftragsbearbeiter beauftragt hat (Art. 49 revDSG). Im Anschluss an eine Untersuchung kann der EDÖB eine Verfügung erlassen, in welcher angeordnet werden kann, dass die Bearbeitung von Personendaten angepasst, unterbrochen oder abgebrochen wird und die Personendaten selbst ganz oder teilweise gelöscht werden (Art. 51 revDSG). In diesem Rahmen kann der EDÖB auch Gebühren erheben (Art. 59 revDSG).

Dies verdeutlicht, wie wichtig es für ein Unternehmen ist, die anwendbaren Voraussetzungen einzuhalten und deren Erfüllung sauber zu dokumentieren.

Checkliste

Was muss ein Unternehmen in Bezug auf die Auftragsdatenbearbeitung prüfen?

Gibt es im Unternehmen einen Prozess, um einen Auftragsdatenbearbeitungsvertrag mit aktuellen und zukünftigen Auftragsdatenbearbeitern abzuschliessen? Falls ja, beinhaltet dieser Prozess die untenstehenden Punkte?

Internes Template für die Vertragsschliessung

  • Beinhaltet die Vertragsstruktur; für Punkte, welche hier aufgenommen werden können, sehen Sie bitte weiter oben unter dem Titel "Unter welchen Voraussetzungen ist eine Auftragsdatenbearbeitung zulässig?"

Merkblatt zur Ausfüllung des Template

  • Abklärung vor Vertragsschliessung: gibt es eine Geheimhaltungspflicht (z.B. durch einen Vertrag), welche die Auftragsdatenbearbeitung beeinflusst oder gar verhindert?
  • Was muss auf den konkreten Fall angepasst werden?
  • Was kann abgeändert werden?
  • Was darf nicht abgeändert werden?
Hat das Unternehmen Auftragsdatenbearbeiter?

Gibt es Unternehmen, welche im Auftrag von uns Personendaten bearbeiten?

Ist die Auftragsdatenbearbeitung mit den Datenschutzgrundsätzen vereinbar?

Art. 9 Bearbeitung durch Auftragsbearbeiter

1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:
a. Die Daten so bearbeitet werden, wie der Verantwortliche es selbst tun dürfte; und
b. Keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

2 Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

3 Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.

4 Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.