Datenschutz  ·  25. Juli 2019

    Auftragsdatenverarbeitung

    http://www.freepik.com
    Hintergrund Vektor erstellt von Freepik - de.freepik.com

    Auftragsdatenverarbeitung

    Mit dem Inkrafttreten der DSGVO am 25.5.2018 ist die Rolle des Auftragsdatenverarbeiters immer mehr ins Zentrum gerückt. Viele Unternehmungen erhielten umfangreiche Auftragsdatenverträge von Kunden und Lieferanten, die unterzeichnet werden sollten. Das hat viele Unternehmungen irritiert und zu Fragen über Rollen und Verantwortlichkeiten geführt. Auf jeden Fall ist wichtig zu wissen, dass die Thematik nicht neu, sondern seit über 20 Jahren im Datenschutz verankert ist.

     

    Inhaber einer Datensammlung oder Verantwortlicher

    Inhaber der Datensammlung gemäss Art. 3 lit. i DSG ist derjenige, der über Zweck und Verwendung der Datensammlung entscheiden kann. Dies ist derjenige, der die Datenbearbeitung berechtigt durchführt, entweder aufgrund einer gesetzlichen Grundlage oder aufgrund einer Einwilligung betroffener Personen. In der DSGVO (Art. 4 Ziff. 7 EU-DSGVO) wird dieser Verantwortlicher genannt.

     

     

     

     

     

    Unternehmerischer Zweck

    Sämtliche Aktivitäten, die eine Unternehmung durchführen muss, um ihren grundsätzlichen statutarischen Zweck zu erreichen, stehen in deren Verantwortung. Dies impliziert auch die Verantwortung für die Bearbeitung der Personendaten.

    Dabei zählen nebst den Kern- und Managementprozessen auch die Unterstützungsprozesse, wie IT, HR, Buchhaltung inkl. Themen wie Inkasso etc. dazu.

     

    Auftragsdatenverarbeiter

    Der Begriff Auftragsdatenverarbeiter kommt aus der DSGVO (Art. 4 Ziff. 8 EU-DSGVO). Im Schweizer Recht sprechen wir eher von Outsourcingnehmer oder Datenbearbeitung durch Dritte gemäss Art. 10a DSG. Auftragsdatenbearbeiter ist jemand, der im Auftrag, also für einen berechtigten Inhaber einer Datensammlung, Daten bearbeitet. Zentral ist dabei, was im Gesetz ausdrücklich festgehalten wird, dass der Inhaber der Datensammlung für die Bearbeitung durch den Auftragsdatenbearbeiter voll und ganz verantwortlich bleibt. Aus diesem Grund muss der Verantwortliche auch unbedingt den Outsourcingnehmer sorgfältig auswählen, vertraglich genauestens instruieren und kontrollieren. Relevant ist bei diesen Bearbeitungen, dass die Bearbeitung der Personendaten sich aus dem Unternehmenszweck ergibt und somit ein wesentlicher Bestandteil davon ist und die Bearbeitung inhaltlich und zeitlich ein gewisses Ausmass umfasst.

     

    Vorgeschriebene Verträge für den Auftragsdatenbearbeiter

    Weil die Verantwortung beim Verantwortlichen bleibt, werden an den Inhalt der Oursourcingverträge, vor allem in der EU gemäss Art. 28 EU-DSGVO, strenge und hohe Anforderungen gestellt. Wichtig ist aber hier für die Beteiligten zu verstehen und zu berücksichtigen, dass es Aufgabe des Inhabers der Datensammlung ist, den Auftragsdatenbearbeiter vertraglich genau über dessen Pflichten zu instruieren und zu verpflichten. Wenn nur eine Bestätigung verlangt wird, dass die DSGVO-Bestimmungen einzuhalten seien, genügt das in keiner Art und Weise! Welche Bestimmungen sollen für den konkreten Fall wie genau umgesetzt sein? Dies ist im Vertrag zu klären.

     

    Auftragsdatenverarbeitung versus Personendatenbearbeitung im Zusammenhang mit einer Vertragserfüllung

    Im Rahmen gelegentlicher Verträge, bei denen die Personendatenbearbeitung nicht im Vordergrund steht oder auf jeden Fall auch nicht heikel ist, spricht man nicht von Auftragsdatenbearbeitung. Eine Auftragsdatenbearbeitung i.S.v. Art. 4 Ziff. 8 EU-DSGVO bzw. ein Outsourcing nach Art. 10a DSG liegt nur dann vor, wenn die Bearbeitung der Personendaten den Vertragszweck bilden. Demnach ist nicht jede Bearbeitung von Personendaten als untergeordnete Nebenpflicht in einem Vertragsverhältnis als eine Auftragsdatenverarbeitung zu verstehen. Denn wenn die Bearbeitung untergeordnet und beiläufig ist und nicht dem Unternehmenszweck dient, liegt keine Auftragsdatenverarbeitung im Sinne der Datenschutzgesetze vor.

    Die FINMA hat im Rundschreiben 2018/3 das Outsourcing – für Banken und Versicherer definiert. Dabei hat die FINMA eine wegweisende Definition für das Outsourcing vorgenommen. «Ein Outsourcing (Auslagerung) liegt vor, wenn ein Unternehmen einen Dienstleister beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu erfüllen.

     

    Wesentlich sind jene Funktionen, von denen die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängt. 

     

    Ausserdem hat die FINMA im Rundschreiben festgelegt, dass die Auslagerung aller wesentlichen Funktionen zulässig ist, vorbehältlich der Oberleitung, Aufsicht und Kontrolle durch das Oberleitungsorgan, zentrale Führungsaufgaben der Geschäftsleitung sowie Funktionen, die das Fällen von strategischen Entscheiden umfassen.

     

    Beispielsweise würde eine Unternehmung mit ihren Angestellten an einem Stadtlauf teilnehmen wollen und sendet dafür einer Druckerei, welche T-Shirts für diesen Anlass bedruckt, die Namen der Mitarbeiter zu, so handelt es sich hierbei nicht um eine Auftragsdatenverarbeitung bzw. ein Outsourcing im Sinne der Datenschutzgesetze. Denn im Zentrum der Druckerei steht nicht die Bearbeitung von Personendaten für einen Auftraggeber, sondern die Bedruckung von T-Shirts.

     

    Rechtsanwälte sind zum Beispiel nicht Auftragsdatenbearbeiter, man muss ihnen nicht vertraglich überbinden, wie sie mit den Personendaten umzugehen haben, obwohl sie sich selbstverständlich ans Gesetz halten werden und müssen. Im Zentrum ihrer Tätigkeit ist nicht die Bearbeitung von Personendaten für einen Auftraggeber, sondern das Erbringen juristischer Beratung.

     

    Dokumentation von Datenschutzmanagement allgemein

    Unternehmungen sind gemäss DSGVO und in Zukunft auch in der Schweiz verpflichtet, ihr Datenschutzmanagementsystem zu dokumentieren. Dies ermöglicht den betroffenen Personen den ganzen LifeCycle ihres Personendatums zu verfolgen, wie Unternehmungen damit umgehen.

    Diese Forderung gilt auch für die Rechtsanwälte im obigen Beispiel, resp. für Unternehmungen allgemein, also auch jeden, die nicht Auftragsdatenverarbeiter sind. Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen das Datenschutzgesetz einhalten. Es sind nur nicht alle gleichzeitig Auftragsdatenverarbeiter.

     

    Zudem kann es für gewisse Kunden selbst bei nicht Auftragsdatenverarbeitern Auswahlkriterium sein, dass der gelebte Datenschutz transparent und somit dokumentiert ist.

     

    Tabelle Begriffe

     

    Begriff

    Artikel

    Beschreibung

    Beispiele

    Inhaber der Datensammlung - CH

    Art. 3 lit. i DSG

    Gemäss Art. 3 lit. i DSG sind Inhaber der Datensammlung Personen, die über den Zweck und den Inhalt der Datensammlung entscheiden.

     

    Inhaber ist also, wer die tatsächliche Gewalt über eine Datensammlung hat. Tatsächliche Gewalt hat, wer die Entscheidung über die Zweckbestimmung, Inhalt und Bearbeitungsmittel und -methoden fällen kann.

     

    Der Inhaber einer Datensammlung erhält Daten entweder aufgrund einer gesetzlicher Grundlage oder einer Einwilligung der betroffenen Person.

     

    Jemand schliesst mit einem Arzt einen Behandlungsvertrag ab. Somit gibt die betroffene Person dem Arzt die Einwilligung ihre Daten zu verwenden.

     

    Die Krankenkasse ist gemäss Art. 3 VVK berechtigt die aufgeführten Personendaten für eine Versicherungskarte zu bearbeiten.

    Verantwortlicher - EU

    Art. 4 Ziff. 7 EU-DSGVO

     

    Art. 24 EU-DSGVO

    Verantwortlicher ist eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

     

    Der Umfang der Verantwortlichkeit ergibt sich aus Art. 24 EU-DSGVO. Der Verantwortliche ist zuständig für die Sicherstellung der zulässigen Datenverarbeitung.

     

    Der Inhaber einer Datensammlung gemäss DSG überschneitet sich mit dem Begriff des Verantwortlichen gemäss EU-DSGVO.

     

    Für natürliche Personen besteht die Pflicht zur obligatorischen Krankenpflegeversicherung. Die natürlichen Personen schliessen deshalb eine Krankenpflegeversicherung bei einer Krankenkasse nach ihrer Wahl ab.

     

    Die Krankenkasse übernimmt und verwaltet alle personenbezogen Daten ihrer Versicherten.

     

    Die Krankenkasse ist nun der Verantwortliche für die personenbezogenen Daten und muss daher den Datenschutz gemäss EU-DSGVO gewährleisten.

     

    Datenbearbeitung durch Dritte (Outsourcingnehmer) - CH

     

    Art. 10a DSG

    Allgemein gebräuchlich spricht man hier von «Outsourcing» oder «Auslagerung».

     

    Der Verantwortliche/Inhaber einer Datensammlung trägt dabei die Verantwortung für die richtige Auswahl, Instruktion und Kontrolle des Outsourcingnehmers.

     

    Eine Arztpraxis erledigt ihre Rechnungen nicht selber, sondern übergibt dies einem Treuhandbüro (Outsourcingnehmer).

     

    Auftragsverarbeiter-EU

    Art. 4 Ziff. 8 EU-DSGVO

    Auftragsverarbeiter ist, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

     

    Der Auftragsverarbeiter ist ein interner Empfänger. Bei der Weitergabe von Daten vom Verantwortlichen an den Auftragsverarbeiter handelt es sich aber gleichwohl um einen Verarbeitungsvorgang.

     

    Eine Lebensmittelunternehmung unterzeichnet einen Vertrag mit einem Treuhandbüro, damit dieses die Abrechnung der Gehälter übernimmt. Die Lebensmittelunternehmung stellt dem Treuhandbüro alle Informationen zur Gehaltsabrechnung zur Verfügung.

     

    (Treuhandbüro=Auftragsverarbeiter)

     

    Zusammenfassung

    Mit der Einführung der EU-DSGVO am 25.5.2018, sind die Sorgfaltspflichten rund um den Datenschutz im Unternehmen gestiegen. Das Mass der Sorgfalt in der EU und in der Schweiz (vor allem mit der Revision des Schweizer Datenschutzgesetzes) sind vergleichbar; die Begrifflichkeiten sind indessen teilweise unterschiedlich.

     

    Der Dateninhaber ist derjenige, der die tatsächliche Gewalt über eine Datensammlung hat. Analog zum schweizerischen Recht spricht die EU vom Verantwortlichen.

     

    Weiter definiert das schweizerische Recht den Outsourcingnehmer, als denjenigen der personenbezogenen Daten im Auftrag des Dateninhabers bearbeitet. Analog dazu definiert die EU-DSGVO den Auftragsverarbeiter.

     

     

    Ob ein Outsourcing (Auslagerung) im Sinne des Datenschutzgesetzes vorliegt, ist daran zu messen, ob der Bearbeiter selbstständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise erfüllt und die Datenbearbeitung den Unternehmenszweck des Bearbeiters bildet.

     

    Ursula Sury ist selbständige Rechtsanwältin in Luzern, Zug und Zürich (CH) und Vizedirektorin an der Hochschule Luzern - Informatik. Sie ist zudem Dozentin für Informatikrecht, Datenschutzrecht und Digitalisierungsrecht.

     

    Erschienen:Informatik Spektrum 03/19

     

    Kommentar schreiben

    Kommentare: 0