ARTICLE
11 July 2025

Was ist bei der Beauftragung eines Auftragsbearbeiters zu beachten?

FP
FABIAN PRIVACY LEGAL GmbH

Contributor

We are a boutique law firm specializing in data, privacy and data protection laws and related issues, information security, data and privacy governance, risk management, program implementation and legal compliance. Our strengths are the combination of expert knowledge and practical in-house experience as well as a strong network with industry groups, privacy associations and experts around the world.
In diesem Teil unserer Serie analysieren wir, welche Vorgaben nach dem Bundesgesetz über den Datenschutz (DSG) bei der Beauftragung eines Auftragsbearbeiters für die Bearbeitung von Personendaten zu beachten sind.
Switzerland Privacy

Teil 8 unserer Serie zum Datenschutzrecht in der Schweiz

In diesem Teil unserer Serie analysieren wir, welche Vorgaben nach dem Bundesgesetz über den Datenschutz (DSG) bei der Beauftragung eines Auftragsbearbeiters für die Bearbeitung von Personendaten zu beachten sind.

Gesetzliche Grundlagen

Gemäss Art. 9 DSG darf die Bearbeitung von Personendaten vertraglich oder durch Gesetz einem Auftragsbearbeiter übertragen werden, sofern

  1. die Daten nur so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte, und
  2. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Das Gesetz verlangt ausserdem, dass der Verantwortliche sicherstellt, dass der Auftragsbearbeiter die Datensicherheit gewährleisten kann, etwa anhand einer Checkliste oder Einsicht in entsprechende Informationssicherheits-Standards (ISO-Zertifizierung). Eine Weitervergabe der Bearbeitung an Dritte ist nur mit vorgängiger Genehmigung des Verantwortlichen zulässig. Diese Genehmigung kann spezifisch oder allgemein erfolgen. Im Fall einer allgemeinen Genehmigung muss der Auftragsbearbeiter den Verantwortlichen über geplante Änderungen – insbesondere über die Hinzuziehung neuer oder den Austausch bestehender Subunternehmer – informieren und ihm die Möglichkeit geben, zu widersprechen.

Praktische Umsetzung

Das DSG gibt weder Formvorschriften noch einen Mindestinhalt für Auftragsbearbeitungsverträge vor. Best Practice ist, eine schriftliche Vereinbarung zur Auftragsbearbeitung (Data Processing Agreement, DPA) abzuschliessen. Dabei kann man sich an den Vorgaben nach der EU-Datenschutzgrundverordnung (DSGVO) orientieren. Zu empfehlen ist, mindestens zu regeln, dass der Auftragsbearbeiter:

  • Personendaten nur gemäss den Weisungen des Verantwortlichen bearbeiten darf,
  • sicherstellt, dass nur befugte Personen, die zur Vertraulichkeit verpflichtet sind, Zugang zu den Daten erhalten,
  • Subunternehmer nur mit vorgängiger Zustimmung des Verantwortlichen beiziehen darf, wobei besondere Anforderungen an grenzüberschreitende Datenübermittlungen zu berücksichtigen sind,
  • angemessene technische und organisatorische Sicherheitsmassnahmen umzusetzen hat,
  • den Verantwortlichen bei Auskunftsersuchen und Sicherheitsvorfällen informieren und unterstützen muss,
  • Personendaten nach Erbringung der vereinbarten Dienstleistung löscht oder anonymisiert.

Neben den vertraglichen Vorkehrungen sollten Verantwortliche auch aktiv kontrollieren, ob die vereinbarten technischen und organisatorischen Massnahmen tatsächlich umgesetzt werden. Dies kann beispielsweise durch regelmässige Audits, Zertifizierungen oder andere Kontrollmechanismen geschehen, um sicherzustellen, dass die Massnahmen dauerhaft wirksam und angemessen sind.

Bei der Zusammenarbeit mit Auftragsbearbeitern mit Sitz ausserhalb der Schweiz ist zudem auf die Einhaltung der Vorgaben für grenzüberschreitende Datenbekanntgaben gemäss DSG zu achten. Diese Anforderungen behandeln wir in Teil 11 unserer Serie.

Vorschau auf Teil 9

In Teil 9 unserer Serie beleuchten wir, ob für elektronische Direktwerbung eine Einwilligung erforderlich ist – und welche Ausnahmen gelten können.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More