Teil 8 unserer Serie zum Datenschutzrecht in der Schweiz
In diesem Teil unserer Serie analysieren wir, welche Vorgaben nach dem Bundesgesetz über den Datenschutz (DSG) bei der Beauftragung eines Auftragsbearbeiters für die Bearbeitung von Personendaten zu beachten sind.
Gesetzliche Grundlagen
Gemäss Art. 9 DSG darf die Bearbeitung von Personendaten vertraglich oder durch Gesetz einem Auftragsbearbeiter übertragen werden, sofern
- die Daten nur so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte, und
- keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.
Das Gesetz verlangt ausserdem, dass der Verantwortliche sicherstellt, dass der Auftragsbearbeiter die Datensicherheit gewährleisten kann, etwa anhand einer Checkliste oder Einsicht in entsprechende Informationssicherheits-Standards (ISO-Zertifizierung). Eine Weitervergabe der Bearbeitung an Dritte ist nur mit vorgängiger Genehmigung des Verantwortlichen zulässig. Diese Genehmigung kann spezifisch oder allgemein erfolgen. Im Fall einer allgemeinen Genehmigung muss der Auftragsbearbeiter den Verantwortlichen über geplante Änderungen – insbesondere über die Hinzuziehung neuer oder den Austausch bestehender Subunternehmer – informieren und ihm die Möglichkeit geben, zu widersprechen.
Praktische Umsetzung
Das DSG gibt weder Formvorschriften noch einen Mindestinhalt für Auftragsbearbeitungsverträge vor. Best Practice ist, eine schriftliche Vereinbarung zur Auftragsbearbeitung (Data Processing Agreement, DPA) abzuschliessen. Dabei kann man sich an den Vorgaben nach der EU-Datenschutzgrundverordnung (DSGVO) orientieren. Zu empfehlen ist, mindestens zu regeln, dass der Auftragsbearbeiter:
- Personendaten nur gemäss den Weisungen des Verantwortlichen bearbeiten darf,
- sicherstellt, dass nur befugte Personen, die zur Vertraulichkeit verpflichtet sind, Zugang zu den Daten erhalten,
- Subunternehmer nur mit vorgängiger Zustimmung des Verantwortlichen beiziehen darf, wobei besondere Anforderungen an grenzüberschreitende Datenübermittlungen zu berücksichtigen sind,
- angemessene technische und organisatorische Sicherheitsmassnahmen umzusetzen hat,
- den Verantwortlichen bei Auskunftsersuchen und Sicherheitsvorfällen informieren und unterstützen muss,
- Personendaten nach Erbringung der vereinbarten Dienstleistung löscht oder anonymisiert.
Neben den vertraglichen Vorkehrungen sollten Verantwortliche auch aktiv kontrollieren, ob die vereinbarten technischen und organisatorischen Massnahmen tatsächlich umgesetzt werden. Dies kann beispielsweise durch regelmässige Audits, Zertifizierungen oder andere Kontrollmechanismen geschehen, um sicherzustellen, dass die Massnahmen dauerhaft wirksam und angemessen sind.
Bei der Zusammenarbeit mit Auftragsbearbeitern mit Sitz ausserhalb der Schweiz ist zudem auf die Einhaltung der Vorgaben für grenzüberschreitende Datenbekanntgaben gemäss DSG zu achten. Diese Anforderungen behandeln wir in Teil 11 unserer Serie.
Vorschau auf Teil 9
In Teil 9 unserer Serie beleuchten wir, ob für elektronische Direktwerbung eine Einwilligung erforderlich ist – und welche Ausnahmen gelten können.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.