Obwohl die Erforderlichkeit von entsprechenden Verträgen («Auftragsbearbeitungsverträge») bereits nach altem Datenschutzgesetz Pflicht war, ist der Datenschutz mit der Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) und in der Schweiz spätestens mit der Totalrevision des Datenschutzgesetzes nochmals verstärkt ins Rampenlicht gerückt.

Erst die Rollen klären

Datenschutzrechtlich muss zunächst zwischen den Rollen des Verantwortlichen und Auftragsbearbeiters unterschieden werden. Diese Qualifikation hat Einfluss auf die Pflichten, welche der Datenbearbeiter einzuhalten hat. Gilt er mit Blick auf eine Datenbearbeitung als Verantwortlicher, obliegen ihm mehr Pflichten, als wenn er die Daten «bloss» als Auftragsbearbeiter bearbeitet.

Der Verantwortliche entscheidet allein oder zusammen mit anderen (dann liegt eine sog. «gemeinsame Verantwortlichkeit» vor) über den Zweck und die Mittel der Bearbeitung. Der Auftragsbearbeiter hingegen bearbeitet Personendaten lediglich im Auftrag des Verantwortlichen. Das bedeutet im Kern, dass der Auftragsbearbeiter die Personendaten nur nach Weisung des Verantwortlichen bearbeitet. Damit ist die Abgrenzung aber alles andere als klar, und in der Praxis stellen sich schwierige Abgrenzungsfragen.

Schwierige Abgrenzungen

Beispiele für Konstellationen, in denen typischerweise Auftragsdatenbearbeitung vorliegt, sind:

• Hosting- oder Cloud-Service-Provider

• Newsletter-Dienstleister

• Druckaufträge inkl. Versanddienstleistung

• Externe Lohnbuchhaltung

• Externe IT-Wartung

Keine Auftragsbearbeitung (und damit eigenständige oder gemeinsame Verantwortlichkeit) liegt hingegen in der Regel bei folgenden Konstellationen vor:

• Tätigkeit von Anwälten, Wirtschaftsprüfern und Steuerberatern

• Tätigkeit von Banken für Überweisungen

• Zahlungsdienstleister für elektronische Zahlungen

• Dienste für Brief- und Pakettransport

• Vom Vermieter beauftragte Handwerker

Zudem sind Situationen vorstellbar, in denen ein Dienstleister mit Personendaten «in Berührung kommt», ohne Verantwortlicher oder Auftragsbearbeiter zu sein. Dies ist bspw. beim Umzugsunternehmen der Fall, welches Bundesordner (mit Personendaten) transportiert. In solchen Konstellationen fehlt es typischerweise an einer Datenbearbeitung, die Gegenstand der Dienstleistung ist. In solchen Fällen kann es jedoch angezeigt sein, eine Vertraulichkeitsvereinbarung abzuschliessen. Im Einzelfall können sich aber auch bei diesen Konstellationen schwierige Abgrenzungsfragen ergeben. Wie geht man damit in der Praxis am besten vor?

Konstellationen klären

Als Erstes empfiehlt es sich, sich einen Überblick über die möglicherweise vorliegenden Auftragsbearbeitungskonstellationen zu verschaffen. Hierzu gibt es im Internet Auslegungshilfen, etwa vom Bayerischen Landesamt für Datenschutzaufsicht, welches auch für die Schweiz herangezogen werden kann. Im Anschluss gilt es zu prüfen, ob für die identifizierten Konstellationen Auftragsdatenbearbeitungsverträge vorliegen oder nicht.

Mit IT-Dienstleistern werden diese Auftragsbearbeitungsverträge oftmals im Rahmen der bestehenden Vertragswerke abgeschlossen (z.B. als Anhang zum Service-Vertrag). Hierzu sucht man am besten im Internet nach dem entsprechenden Dienstleister und Bezeichnung für Auftragsbearbeitung (ggf. in Englisch «Data Processing Agreement» oder der synonyme Begriff der EU-DSGVO «Auftragsdatenverarbeitung»). Wenn kein Auftragsdatenbearbeitungsvertrag vorliegt, sollte beim entsprechenden Dienstleister angefragt werden, ob ein solcher angeboten wird. Bietet dieser keinen Vertrag an, sollte geprüft werden, ob – mangels Auftragsbearbeitung – wirklich keine Notwendigkeit für den Abschluss eines solchen besteht. Hierzu sollte man den Dienstleister jeweils um eine kurze Begründung bitten, weshalb er der Auffassung sei, nicht als Auftragsbearbeiter zu qualifizieren.

Busse bis 250 000 Franken

Kommt man dennoch zum Schluss, dass eine Auftragsbearbeitung vorliegt und entsprechend ein Auftragsdatenbearbeitungsvertrag abgeschlossen werden muss, sollte man darauf bestehen (und ggf. eine eigene Vertragsvorlage senden) oder den Anbieter wechseln. Ist man hingegen zur Auffassung gelangt, dass keine Auftragsdatenbearbeitung vorliegt, sollte man den begründeten Entscheid entsprechend dokumentieren. Denn der vorsätzliche Beizug eines Auftragsbearbeiters ohne Einhaltung der gesetzlichen Voraussetzungen wird auf Antrag mit Busse bis zu 250 000 Franken bestraft.

Was ist mit dem Inhalt?

Welche Voraussetzungen stellt das neue Datenschutzgesetz jedoch an den Inhalt eines solchen Vertrags? Voraussetzungen sind, dass

• eine vertragliche oder gesetzliche Grundlage für die Übertragung besteht;

• der Auftragsbearbeiter die Daten nur bearbeitet, wie der Verantwortliche es selbst tun dürfte;

• keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet;

• der Verantwortliche sich vergewissert, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten; und

• der Auftragsbearbeiter die Datenbearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen darf.

Im Anwendungsbereich der EU-DSGVO bestehen hingegen umfassendere Voraussetzungen an den Mindestinhalt (z.B. Kontrollrechte des Verantwortlichen, Unterstützungspflichten des Auftragsbearbeiters). Diese sind für Konstellationen unter Schweizer DSG zwar nicht zwingend, werden aber regelmässig analog herangezogen, weil sie einerseits mehr Klarheit in Bezug auf das Vertragsverhältnis schaffen und andererseits, weil zahlreiche Vorlagen vorhanden sind.

Zu prüfen ist schliesslich immer auch, ob mit der infrage stehenden Auftragsdatenbearbeitung auch eine Bekanntgabe von Personendaten ins Ausland vorliegt, welche ggf. weitere Massnahmen erfordert (vgl. Artikel unten).Gaspare Loderer

Gaspare Loderer, LL.M., CIPP/E, CIPM ist Rechtsanwalt bei Kellerhals Carrard Zürich KlG

gaspare.loderer@kellerhals-carrard.ch