Skip to main content
Rächtzytig

ADV: kleiner Aufwand – gute Absicherung

ADV: kleiner Aufwand – gute Absicherung

Das «neue» Datenschutzgesetz ist seit Monaten in aller Munde. Auch wir haben in unserer Rächtzytig bereits verschiedene Beiträge dazu verfasst.[1] In diesem Beitrag widmen wir uns einem besonderen Thema des Datenschutz­rechts – der Auftragsdatenbearbeitung. Ein Thema, das für die meisten Unternehmen relevant ist, wenig beachtet wird und das datenschutzrechtlich jedoch aufgrund der Strafbestimmungen wichtig ist. Umso mehr als mit wenig Aufwand eine gute Absicherung herbeigeführt werden kann.

Strafbestimmungen im Datenschutzrecht

Das Datenschutzgesetz (DSG) enthält eine Reihe von Rechten und Pflichten für alle Personen, die personenbezogene Daten bearbeiten. Mit den Art. 60 ff. DSG wird die Verletzung einer kleinen Auswahl dieser Rechte und Pflichten unter Strafe gestellt. Mit Busse bestraft werden bei Vorsatz insbesondere

  • das Erteilen einer falschen Auskunft;
  • die Verletzung der Informationspflichten;
  • die Bekanntgabe von Daten ins Ausland, ohne dass die Voraussetzungen dazu erfüllt sind;
  • das Nichteinhalten der Mindestanforderungen an die Datensicherheit; sowie eben
  • die Übertragung der Datenbearbeitung an einen Auftragsbearbeiter, ohne dass die gesetzlichen Voraussetzungen erfüllt sind.

Auftragsdatenbearbeitung

Grundsätzlich bearbeitet jede Person, die ihr anvertrauten oder von ihr erhobenen Personendaten selber und ist für diese Bearbeitung verantwortlich – hat dabei also das geltende Datenschutzrecht einzuhalten. In der Praxis werden jedoch in den meisten Fällen nicht alle Personendaten durch die verantwortliche juristische oder natürliche Person selber bearbeitet, sondern die Bearbeitung von Personendaten wird zumindest teilweise Dritten übertragen. Eine solche Auftragsdatenbearbeitung liegt immer dann vor, wenn ein Dritter im Auftrag und nach Weisung des Verantwortlichen Personendaten bearbeitet. Typische Bespiele dafür sind das Outsourcen der Geschäftsführung oder der Buchhaltung (oder Teile davon) oder die Inanspruchnahme von Softwares von IT-Dienstleistern.

Von der Auftragsdatenbearbeitung abzugrenzen ist hingegen die Weitergabe von Personendaten an Dritte, die diese dann in eigener Verantwortung bearbeiten. Eine solche Weitergabe liegt beispielsweise vor, wenn Sie einer Versicherung oder einem Rechtsanwalt Personendaten bekanntgeben. Diese Dritten bearbeiten die Personendaten in eigener Verantwortung und eben gerade nicht nach Ihren Weisungen.

Gesetzliche Voraussetzungen der Auftragsdatenbearbeitung

Wie bereits geschildert, ist die Übertragung der Datenbearbeitung an einen Auftragsbearbeiter gemässe dem DSG nicht grundsätzlich ausgeschlossen, sondern unter gewissen Voraussetzungen zulässig. Art. 9 DSG bestimmt demnach, dass die Bearbeitung von Personendaten vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden kann, wenn die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet. Der Verantwortliche muss sich dabei insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Weiter darf der Auftragsbearbeiter die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.

Fazit

Es ist keineswegs ausgeschlossen, die Bearbeitung von Personendaten ganz oder teilweise Dritten zu übertragen. Aus Beweisgründen sowie aufgrund der Strafbestimmungen ist aber dringendst zu empfehlen, dafür einen schriftlichen Vertrag abzuschliessen, in dem die Themen des Art. 9 DSG aufgegriffen werden. In der Praxis haben sich dafür Standard-Verträge, sogenannte Auftragsdatenbearbeitungsvereinbarungen (kurz: ADV) etabliert. Mit wenig Aufwand kann so das Bussenrisiko massiv gesenkt werden.

[1] Der Datenschutzberater im neuen Datenschutzrecht 

Update zum Datenschutz 

Das neue Datenschutzgesetz

Update zum neuen Datenschutzgesetz

Empfehlen Sie diesen Beitrag weiter: