Der Auftragsverarbeitungsvertrag beim Outsourcing von Tätigkeiten

Die fortschreitende Digitalisierung hat viele positive Seiten und kann Arbeitsprozesse stark unterstützen und vereinfachen. Sie verursacht aber auch nicht unerheb­liche Datenfluten. Das Angebot Dritter, die sich auf bestimmte Gebiete und Arten der externen Datenbearbeitung spezialisiert haben, steigt auch zusehends. Dies hat zur Folge, dass solche Dienstleistungen zu­nehmend von Unternehmen in Anspruch genommen und so eine Vielzahl von Datenbearbeitungen extern, «ausser Haus», durchgeführt werden. 

Ebendas wiederum bedingt, dass Unternehmen noch vermehrt ein besonderes Augenmerk auf die Datensicherheit richten müssen. Dabei wird unweigerlich auch der Datenschutz zum Thema und in diesem Zusammenhang die Frage, ob – und wenn ja, wie – Vereinbarungen mit ­externen Dritten aufzusetzen sind.

Rechtliche Grundlagen

Aufgrund der gegenwärtigen rechtlichen Situation in der Schweiz, wonach das Inkrafttreten des neuen Bundesgesetzes über den Datenschutz (nDSG) vom Bundesrat nach wie vor nicht definitiv fest­gelegt worden ist – zurzeit vorgesehen ist es für den 1. September 2023 –, und der Tatsache, dass sich Schweizer Unternehmen zusätzlich zum heute noch geltenden Bundesgesetz über den Datenschutz (DSG) auch der seit Mai 2018 geltenden Europäischen Datenschutzgrundverordnung (EU-DSGVO) ausgesetzt sehen können, ist es nicht ganz einfach, sich in der ohnehin schon komplexen Thematik des Datenschutzes zurechtzufinden. 

Im Kontext des Outsourcings von Da­tenbearbeitungen an einen Dritten gilt es zu beachten, dass bei der Bearbeitung von Personendaten durch Dritte vorzugsweise eine Vereinbarung zwischen dem Auftraggeber und Auftragnehmer abzuschliessen ist. 

Wann liegt nun aber eine Auslagerung ­einer Datenbearbeitung an einen Dritten vor, die einen solchen Vertrag – auch Auftragsverarbeitungsvertrag (AVV) genannt – erfordert? Diese Frage ist nicht immer leicht zu beantworten. 

Ausgangslage

Bei einer Datenbearbeitung durch Dritte ist die Ausgangslage jeweils die folgende: Eine Person stellt einer anderen Person die zu bearbeitenden Daten zur Verfügung. Bei der Analyse des Rechtsverhältnisses muss aber die Art der Datenbearbeitung genau unter die Lupe genommen werden, um zwischen einem «simplen» Datenbearbeiter, mit dem ein AVV ab­geschlossen werden sollte, und einem Auftragnehmer, der andere wesentliche­re Zwecke mit der Datenbearbeitung beabsichtigt, zu unterscheiden. Das Ergebnis der Analyse ist unter anderem auch bei der Frage nach der Haftung für Datenschutzverstösse entscheidend.

Ein AVV wird zwischen einem sogenannten Verantwortlichen (gemäss nDSG und EU-DSGVO; DSG: Auftraggeber/Inhaber der Datensammlung) und einem Daten­bearbeiter (nDSG: Auftragsbearbeiter; ­EU-DSGVO: Auftragsverarbeiter) geschlos­sen. Wie der Name schon verrät, steht der Verantwortliche hierbei im Zentrum. Der Verantwortliche ist derjenige, der über Zweck und Inhalt beziehungsweise Mittel zur Daten­bearbeitung entscheidet und folglich dafür verantwortlich ist, dass die Datenbe­arbeitung den gesetzlichen Erfordernissen entspricht. 

Er hat Risikoanalysen für die zu bear­beitenden Daten durchzuführen und basierend auf deren Ergebnissen entsprechende organisatorische und technische Massnahmen zum Schutz der Daten (insbesondere vor Verlust, Missbrauch und Veränderung durch unbefugte Dritte) sowie für die Sicherheit der Datenbearbeitung zu ergreifen. Der Datenbearbeiter hingegen nimmt eine ausführende Rolle ein und handelt im Auftrag des Verantwortlichen. 

Verantwortlichkeiten

Die Schwierigkeit besteht also mithin darin, vertragsbedürftige Beziehungen korrekt zu qualifizieren. Bei Unternehmen mit ausgelagerter Lohnbuchhaltung ist beispielsweise ein AVV vonnöten. Dies gilt unter anderem auch für IT-Dienstleister (zum Beispiel Hostingprovider), Treuhänder und Versandunternehmen. Eine abschliessende Liste gibt es jedoch nicht. Liegen hingegen die Kernkompe­tenz eines Dritten sowie dessen Mehrwert nicht in der alleinigen Bearbeitung der Daten im Auftrag eines anderen und bearbeitet er diese Daten zum Beispiel auch für eigene erlaubte Zwecke, kann nicht mehr «nur» von einer Auftragsverarbeitung die Rede sein. 

So ist der Personalvermittler, der im Auftrag für seine Klientschaft tätig ist, bezüglich der Personendatenbear­b­ei­tung im Rahmen des Mandates selbst Verantwortlicher, da seine wesentliche Leistung nicht in der Erbringung einer Datenbearbeitung besteht; Letztere ist in dem Sinne nur das Mittel zum Zweck, denn das Ziel der Dienstleistung ist hier die Stellenvermittlung. Die gleiche Schlussfolgerung gilt zum Beispiel auch für Anwälte oder Steuerberater. Des Weiteren besteht die Möglichkeit, dass mehrere Parteien bezüglich Zwecks und Mitteln relevante Entscheidungen treffen können. In einer solchen Konstellation wird dann von einer Co-Verantwortung (gemeinsamen Verantwortung) gesprochen.

Grundsätzlich lässt sich festhalten, dass derjenige verantwortlich ist, der die Datenbearbeitung veranlasst, das Ziel und somit den Zweck dieser Bearbeitung ­bestimmt sowie über die Parameter (Erhebungskategorie, Auswertungsmethodik, allgemein die Art und letztlich auch die Dauer der Bearbeitung etc.), also über die Mittel zur Datenbearbeitung ­entscheidet. Wer nur eine ausführende Rolle innehat, ist nicht im Bereich des Verantwortlichen anzusiedeln.

Datensicherheit

Wer Personendaten bearbeitet, ist für die Datensicherheit verantwortlich. Das Prinzip, dass Personendaten durch an­gemessene technische Massnahmen (d. h. Massnahmen physischer Natur: Pass­wort­komplexität, Zugriffsbefugnisse, Benutzerkonten, Pseudonymisierung und/oder Verschlüsselung der Daten etc.) sowie organisatorische Massnahmen (bestimmte Verfahrens- und Vorgehensweisen, Handlungsanweisungen etc.) gegen unbefugtes Bearbeiten geschützt werden müssen, ist gegenwärtig schon im Gesetz verankert. Sofern Dritte mit der Bearbeitung von Daten beauftragt werden, muss sich der Auftraggeber zudem vergewissern, dass die Dritten die Datensicherheit ebenso gewährleisten können.

Gemäss der EU-DSGVO und dem noch nicht geltenden nDSG wird ausdrücklich darauf hingewiesen, dass der Verantwortliche sowie der Auftragsverarbeiter/Auftragsbearbeiter verpflichtet sind, «ein(e) dem Risiko angemessene(s)» Schutzniveau/Datensicherheit zu gewährleisten. Die Festlegung der angemessenen technischen und organisatorischen Massnahmen impliziert somit, wie schon erläutert, eine Risikoanalyse. Diesbezüglich hat sich der Verantwortliche die Frage zu stellen, wie hoch das Risiko einer Verletzung der Persönlichkeit oder der Grundrechte dieser Person ist, würden ihre Daten in die Hände Unbefugter gelangen. Entsprechend sind die Massnahmen zur Daten­sicherheit zu treffen.

Im Zusammenhang mit Datensicherheit von Bedeutung ist zudem das Konzept Privacy by Design. Es wird unter dem nDSG explizit, wie dies schon in der EU-DSGVO der Fall ist, zur Pflicht. Dies bedeutet, dass technische Vorkehrungen derart getroffen werden müssen, dass eine Verletzung des Datenschutzes gänzlich unmöglich ist oder die Gefahr einer solchen möglichst minimiert wird. Der Verantwortliche ist zudem gehalten, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist (Privacy by Default).

Grundsätzlich kann die Aussage gemacht werden: Je sensibler die Daten, desto ausgeklügelter, komplexer und umfassender müssen die Massnahmen zur Datensicherheit sein.

Wichtig ist hier zu betonen, dass ein Verantwortlicher sich seiner Verantwortung für die Datensicherheit nicht entziehen kann, indem er die Dienstleistungen zum Beispiel eines externen IT-Dienstleisters in Anspruch nimmt. Es obliegt dem Verantwortlichen – der über die Art und Sensibilität der Daten, die durch den Datenbearbeiter verarbeitet werden, am besten Bescheid weiss und wissen muss –, die Angemessenheit der technischen und ­organisatorischen Massnahmen durch entsprechende Auswahl solcher Massnahmen sicherzustellen, wobei der Datenbearbeiter dem Verantwortlichen beratend zur Seite stehen kann und wohl meistens auch wird.

Vertragsgestaltung

In der EU-DSGVO ist in Artikel 28 klar ­statuiert, welche Aspekte in einem AVV abgehandelt werden müssen. Dies wird in acht Punkten abschliessend geregelt. In der Schweiz zeigt sich die Situation anders. Weder im heute noch geltenden DSG noch im nDSG ist der Inhalt eines AVV genauer umschrieben. Die im Schweizer Gesetz mangelnde explizite Präzisierung der Inhaltsvorgaben eines AVV kann zu Unsicherheiten in der Rechtsanwendung führen. 

Die unbesehene Übernahme eines EU-DSGVO-konformen Vertrags ist allerdings auch nicht zu empfehlen – es sei denn, die EU-DSGVO ist auf den Verantwortlichen anwendbar –, da dort oft ­weitere Gesetze referenziert werden und sich zudem ­zwischen dem DSG/nDSG und der EU-DSGVO auch terminolo­gische ­Unterschiede ergeben. Der Ver­­antwort­liche ist aber auf jeden Fall gut ­be­raten, mit dem Auftragsbearbeiter ­ins­besondere die Konkreti­sierung des ­Auftragsinhaltes, seine Weisungsbefugnis, die zu treffenden technischen und orga­nisato­rischen Mass­nahmen zur Datensicherheit, den Umgang bei Verletzungen der Datensicherheit sowie die Haftung zu regeln. Zudem sollten Bestim­mungen betreffend die Berich­tigung, Einschränkung, Löschung und Rückgabe der personenbe­zogenen Daten vereinbart werden.

Es empfiehlt sich in jedem Fall einen AVV sorgfältig zu redigieren. Dies gilt umso mehr, als mit dem Inkrafttreten des nDSG bei einem Verstoss gegen diese Sorgfaltspflicht eine Busse von bis zu CHF 250 000 auferlegt werden kann. ­Unter dem EU-DSGVO kann schon heute eine Geldbusse von bis zu 10 000 000 Euro oder, im Fall eines Unternehmens, von bis zu zwei ­Prozent seines gesamten weltweit er­zielten Jahresumsatzes des vorange­gangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge ­höher ist.

Fazit

Der Verantwortliche hat nicht unerheb­liche Pflichten im Zusammenhang mit der Bearbeitung von Personendaten einzuhalten. Das Outsourcing von Tätigkeiten kann zusätzliche datenschutzrecht­liche Pflichten beim Verantwortlichen auslösen. Sobald das zukünftige nDSG in Kraft ist, wird der Verantwortliche noch höhere Anforderungen zu erfüllen haben als unter dem aktuellen DSG, wobei zu beachten ist, dass für gewisse Unternehmen die EU-DSGVO auch heute schon ­Anwendung finden kann. 

Aufgrund der dem Verantwortlichen auferlegten rechtlichen Pflichten und der bei deren Nichteinhaltung gegebenenfalls schon jetzt resultierenden Sanktionen von möglichem empfindlichem Ausmass – nebst drohenden Reputationsschäden und Umsatzeinbussen – ist es ratsam und angezeigt, sich mit der Thematik des ­Auftragsverarbeitungsvertrags gründlich zu befassen.

Ob ein Auftragsverarbeitungsvertrag ­gesetzlich erforderlich ist, bedarf einer rechtlichen Analyse, die durchaus aufwendig und nicht ganz einfach sein kann. Für eine Einschätzung empfiehlt es sich daher, juristische Unterstützung beizuziehen, die zudem bei einer möglichen Ausarbeitung eines Auftragsverarbeitungsvertrags behilflich sein kann.