Datenschutz

Auftragsverarbeitungsvertr√§ge: Grundlagen f√ľr die Einhaltung des Datenschutzes (Teil 1)

10/01/2024

In dieser Blogbeitragsreihe werden wir uns vertieft mit Auftragsverarbeitungsvertr√§gen (AVV) und den Aspekten befassen, die Unternehmen bei der Ausarbeitung oder √úberpr√ľfung dieser Vertr√§ge ber√ľcksichtigen m√ľssen. In unserem ersten Blogbeitrag gehen wir auf die wesentlichen Aspekte ein, die ein AVV gem√§ss der EU-Datenschutzgrundverordnung (DSGVO) und dem Schweizer Bundesgesetz √ľber den Datenschutz (DSG) enthalten muss. Im zweiten Blogpost werden wir auf typische Klauseln und Fallstricke eingehen und aufzeigen, wie Sie sinnvolle Erg√§nzungen zu Ihrem AVV formulieren k√∂nnen

Ein AVV ist entscheidend f√ľr die Einhaltung der Datenschutzvorschriften. Er legt die Bedingungen f√ľr den Austausch personenbezogener Daten mit externen Dienstleistern fest, gew√§hrleistet die Datensicherheit und kl√§rt die Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten. 

Wann brauche ich einen AVV?

Ein AVV ist immer dann erforderlich, wenn ein Unternehmen einen Dienstleister mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragt. Einfach ausgedr√ľckt: Jedes Mal, wenn ein Unternehmen ein anderes Unternehmen mit der Datenverarbeitung in seinem Namen beauftragt (z. B. bei der √úbermittlung personenbezogener Daten an einen Dienstleister), sind in den meisten F√§llen ein AVV oder √§hnliche vertragliche Vereinbarungen erforderlich, um die Einhaltung des Datenschutzes zu gew√§hrleisten.¬†

In diesem Sinne besteht das Hauptziel eines AVV darin, die Regeln festzulegen, auf deren Grundlage personenbezogene Daten ausgetauscht werden, und konkrete Zusicherungen hinsichtlich der Umsetzung robuster technischer und organisatorischer Massnahmen zu geben. 

Typische Beispiele f√ľr die Inanspruchnahme von Dienstleistern, die einen AVV erfordern, sind:¬†

  • Software-as-a-Service-L√∂sungen (SaaS) wie z.B. Marketing-, Newsletter- oder Buchhaltungstools;
  • Cloud-basierte CRM-Tools und Hosting-Dienste;
  • Externe Lohnbuchhaltungs- und Kundendienstzentren;
  • Externe Wartung von Servern und Computern;
  • Externe Agenturen in den Bereichen Vertrieb, Marketing oder Personalwesen, wenn sie Zugang zu personenbezogenen Daten Ihres Unternehmens haben.

Unter den folgenden Umständen benötigen Sie in der Regel keinen AVV:

  • Zusammenarbeit mit gesetzlich zur Verschwiegenheit verpflichteten Fachleuten wie Anw√§lten, Wirtschaftspr√ľfern und externen Betriebs√§rzten;
  • Einschaltung von Inkassob√ľros bei der Abtretung von Forderungen;
  • Inanspruchnahme von Bankdienstleistern f√ľr Geld√ľberweisungen oder Postdiensten f√ľr die Bef√∂rderung von Briefen oder Waren.

Arten von Beziehungen, die durch einen AVV geregelt werden 

Es ist wichtig, die Arten von Beziehungen zu verstehen, die im Rahmen eines AVV geregelt werden können, und die verschiedenen Rollen, die Unternehmen bei der Weitergabe personenbezogener Daten an Dritte einnehmen können. AVVs können grundsätzlich zwei Arten von Beziehungen regeln: 

  • Beziehung zwischen Verantwortlichem und Auftragsverarbeiter: Diese Beziehung entsteht, wenn ein Unternehmen (Verantwortlicher) einen dritten Dienstleister (Auftragsverarbeiter) damit beauftragt, in seinem Namen und nach seinen Anweisungen Daten zu verarbeiten, z. B. wenn ein Unternehmen seine Lohnbuchhaltung an einen externen Dienstleister auslagert. 
  • Beziehung zwischen Auftragsverarbeiter und Unterauftragsverarbeiter: In einigen F√§llen kann ein Auftragsverarbeiter eine andere Einrichtung oder ein anderes Unternehmen (Unterauftragsverarbeiter) beauftragen, ihn bei der Datenverarbeitung zu unterst√ľtzen. So kann beispielsweise ein Cloud-Hosting-Dienst (Auftragsverarbeiter) einen externen Datensicherungsdienst (Unterauftragsverarbeiter) beauftragen. 

Wesentliche Bestandteile von AVVs 

Im folgenden Abschnitt werden die spezifischen Komponenten beschrieben, die eine DSGVO- und DSG-konforme Auftragsverarbeitungsvereinbarung enthalten muss. 

Bindung des Auftragsverarbeiters an Details der Datenverarbeitung 

Einer der grundlegenden Aspekte eines AVV ist seine Rolle, den (Unter-)Auftragsverarbeiter an bestimmte Bedingungen f√ľr die Datenverarbeitung zu binden. In diesem Sinne definieren sowohl die DSGVO als auch das DSG einen Kernbestand an obligatorischen Elementen, die in einer Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter enthalten sein m√ľssen.¬†

Ausgehend von der DSGVO m√ľssen Sie die folgenden Themen in Ihren AVV aufnehmen:¬†

  • Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung; 
  • die Arten der betroffenen personenbezogenen Daten und die Kategorien der betroffenen Personen; 
  • Die Rechte und Pflichten des Verantwortlichen. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Die zur Verarbeitung der personenbezogenen Daten befugten Personen sind zur Vertraulichkeit verpflichtet; 
  • Die technischen und organisatorischen Massnahmen zur Gew√§hrleistung der Sicherheit und Integrit√§t der personenbezogenen Daten; 
  • Die Tatsache, dass der Auftragsverarbeiter keinen anderen (Unter-)Auftragsverarbeiter ohne die vorherige ausdr√ľckliche oder allgemeine schriftliche Genehmigung des Verantwortlichen beauftragen darf; 
  • Der Auftragsverarbeiter unterst√ľtzt den Verantwortlichen bei der Beantwortung von Antr√§gen auf Aus√ľbung der Rechte der betroffenen Personen sowie bei der Gew√§hrleistung der Sicherheit der personenbezogenen Daten und der Meldepflicht bei Datenverletzungen; 
  • dass der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der mit der Verarbeitung verbundenen Dienste l√∂scht oder zur√ľckgibt; 
  • Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verf√ľgung, die erforderlich sind, um die Einhaltung der sich aus dem Datenschutzrecht ergebenden Verpflichtungen nachzuweisen, und er gestattet dem Verantwortlichen die Durchf√ľhrung von Audits. 

Diese Elemente dienen als Eckpfeiler f√ľr die Schaffung von Transparenz zwischen dem Verantwortlichen und dem (Unter-)Auftragsverarbeiter. Der AVV setzt klare Erwartungen und Grenzen f√ľr den Umgang mit personenbezogenen Daten und stellt sicher, dass diese nur f√ľr den vorgesehenen Zweck und innerhalb definierter Bedingungen verwendet werden.¬†

Es ist auch wichtig zu bedenken, dass im Rahmen des DSG im Gegensatz zur DSGVO kein förmlicher AVV vorgeschrieben ist. Daher haben die Verantwortlichen und die Auftragsverarbeiter mehr Freiheit bei der Festlegung des Inhalts der Klauseln, die ihre Datenverarbeitungstätigkeiten regeln sollen. Das DSG verlangt jedoch, dass die beteiligten Parteien zumindest folgenden Inhalt festlegen: 

  • Die personenbezogenen Daten, die verarbeitet werden sollen; 
  • Meldeverfahren (insbesondere im Hinblick auf Datenschutzverletzungen); 
  • Klauseln zur Unterauftragsverarbeitung; und 
  • Technische und organisatorische Massnahmen zur Gew√§hrleistung der Sicherheit der personenbezogenen Daten. 

Neben diesen notwendigen Inhalten möchten wir die folgenden wichtigen Teile eines AVV hervorheben, da sie in der Regel zwischen dem Verantwortlichen und dem Auftragsverarbeiter stark diskutiert werden. 

Kontakt mit betroffenen Personen und Aufsichtsbehörden

Der AVV sollte den Umgang mit Anfragen der betroffenen Personen sowie die Zusammenarbeit mit den Aufsichtsbeh√∂rden im Falle von Datenschutzverletzungen oder Ermittlungen darlegen. 

Normalerweise ist nur der Verantwortliche verpflichtet, betroffenen Personen und Aufsichtsbeh√∂rden zu antworten. Im AVV ist daher eindeutig festzulegen, dass der Auftragsverarbeiter keine direkte Antwort auf eine der beiden Anfragen geben darf, und stattdessen den Verantwortlichen innerhalb einer bestimmten Frist (in der Regel 24 bis 48 Stunden) informiert. Schliesslich ist im AVV auch zu verankern, dass der Auftragsverarbeiter mit dem¬†Verantwortlichen zusammenarbeitet, um seinen Verpflichtungen gegen√ľber den betroffenen Personen und den Beh√∂rden im Falle von Datenverletzungen nachzukommen.¬†

Beziehungen zu Unterauftragsverarbeitern

Die Beziehungen zu Unterauftragsverarbeitern k√∂nnen zus√§tzliche Komplexit√§t und Risiken mit sich bringen, weshalb ein klarer Rahmen geschaffen werden muss. Ohne diese zus√§tzlichen Sicherheitsvorkehrungen besteht die Gefahr, dass personenbezogene Daten bei der Weitergabe an Unterauftragsverarbeiter unzureichend gesch√ľtzt werden.¬†

In diesem Sinne sind dies die wichtigsten Punkte, die zu ber√ľcksichtigen sind:

  • Ein Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit schriftlicher Genehmigung des Verantwortlichen beiziehen. Dies kann auf Einzelfallbasis oder durch eine vorherige allgemeine Genehmigung im AVV erfolgen. Wird eine Allgemeingenehmigung erteilt, so muss der Auftragsverarbeiter den Verantwortlichen dennoch unterrichten, wenn er beabsichtigt, einen seiner Unterauftragsverarbeiter zu wechseln, sodass der Verantwortliche die M√∂glichkeit hat, Einspruch gegen solche √Ąnderungen zu erheben; 
  • Bei der Beauftragung eines Unterauftragsverarbeiters gelten f√ľr den Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen, die im AVV mit dem Verantwortlichen festgelegt sind, sowie die geltenden Datenschutzgesetze. 

Ausserdem ist zu bedenken, dass der Auftragsverarbeiter bei Unterverarbeitungen gegen√ľber dem Verantwortlichen in vollem Umfang haftbar bleibt, falls der Unterauftragsverarbeiter seinen Verpflichtungen nicht nachkommt.¬†

Auf diese Weise gew√§hrleisten Datenschutzgesetze, dass die Daten w√§hrend der gesamten Verarbeitungskette durchg√§ngig gesch√ľtzt bleiben. Dies verhindert eine Aufweichung der Datenschutzstandards, wenn zus√§tzliche Parteien in den Datenverarbeitungsprozess einbezogen werden.¬†

Daten√ľbermittlungen in Drittl√§ndern

Im Bereich der internationalen √úbermittlung personenbezogener Daten m√ľssen Unternehmen unbedingt wissen, dass personenbezogene Daten nur unter bestimmten, in der DSGVO und im DSG genannten Umst√§nden in Drittl√§nder (L√§nder ausserhalb der EU/des EWR bzw. der Schweiz) √ľbermittelt werden d√ľrfen.¬†

Bei der Pr√ľfung eines in einem Drittland ans√§ssigen Dienstleisters muss daher zun√§chst festgestellt werden, ob ein so genannter Angemessenheitsbeschluss vorliegt. Dieser Beschluss bedeutet, dass die Datenschutzstandards im Empf√§ngerland als gleichwertig mit denen in der EU oder der Schweiz angesehen werden, so dass ein angemessenes Schutzniveau und ein freier Datenverkehr gew√§hrleistet ist. Zu diesen L√§ndern geh√∂ren zum Beispiel die USA (derzeit nur aus Sicht der EU/DSGVO), Kanada (nur in Bezug auf den privaten Sektor), Israel und das Vereinigte K√∂nigreich.¬†

In F√§llen, in denen es keinen solchen Angemessenheitsbeschluss gibt, m√ľssen die Unternehmen jedenfalls Standardvertragsklauseln als Anhang zum AVV beilegen. Diese Vertragsklauseln, die insbesondere von der EU-Kommission bereitgestellt und von den Schweizer Beh√∂rden akzeptiert werden, dienen als Garantien daf√ľr, dass die √ľbermittelten Daten ein Schutzniveau erhalten, welches dem der EU und der Schweiz entspricht. Es ist wichtig, Auftragsverarbeiter zu verpflichten, diese Klauseln in den AVVs mit ihren Unterauftragsverarbeitern aufzunehmen, um einen angemessenen Schutz in der gesamten Verarbeitungskette zu gew√§hrleisten.¬†

Zusammenfassung

Zusammenfassend l√§sst sich sagen, dass die richtige Anwendung und das richtige Verst√§ndnis eines AVV ein wichtiger Schritt zur Einhaltung des Datenschutzes bei der Zusammenarbeit mit externen Dienstleistern ist. Wenn Unternehmen diese grundlegenden Elemente des AVV verstehen, k√∂nnen sie einen soliden Rahmen f√ľr einen sicheren Datenaustausch schaffen:

  • Ein AVV sollte immer dann vereinbart werden, wenn ein Unternehmen ein anderes Unternehmen mit der Datenverarbeitung in seinem Namen beauftragt; 
  • Im AVV ist es von grundlegender Bedeutung, den Auftragsverarbeiter an bestimmte Bedingungen zu binden. Dazu geh√∂rt, dass der Gegenstand, die Dauer, die Art der personenbezogenen Daten und die Sicherheitsmassnahmen f√ľr die Verarbeitung festgelegt werden; 
  • Die Datenschutzbeh√∂rden sollten auch den Kontakt mit den betroffenen Personen und den Aufsichtsbeh√∂rden sowie die gemeinsamen Zust√§ndigkeiten regeln; 
  • Unterauftragsverarbeiter bringen zus√§tzliche Komplexit√§t und Risiken mit sich. Stellen Sie sicher, dass f√ľr Unterauftragsverarbeiter die gleichen Datenschutzpflichten gelten wie f√ľr Auftragsverarbeiter; 
  • √úbermittlungen von personenbezogenen Daten in Drittl√§nder erfordern eine sorgf√§ltige Vorgehensweise. Personenbezogene Daten k√∂nnen nur unter bestimmten Bedingungen, die in der DSGVO und im DSG festgelegt sind, in Drittl√§nder ausserhalb der EU/des EWR bzw. der Schweiz √ľbermittelt werden. 

Im zweiten Blog-Beitrag dieser Serie werden wir uns eingehender mit spezifischen zus√§tzlichen Klauseln befassen, die in einen AVV aufgenommen werden k√∂nnen und die f√ľr Technologieunternehmen besonders wichtig sind, wie z. B. Dateneigentum, Pr√ľfungsrechte und Haftungsregelungen.¬†

Z√∂gert nicht, einen kostenlosen Anruf mit unseren Experten zu vereinbaren, um mehr √ľber unsere Datenschutz-Services zu erfahren!

Kostenloses Gespräch buchen

By Sebastian Schneider

Head of Privacy & Digital Regulation, Legal Expert

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespr√§ch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterst√ľtzen k√∂nnen.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespräch buchen