Auftragsbearbeitung: Was müssen KMU beim Einsatz von ausländischen Dienstleistern beachten?
Passende Arbeitshilfen
Gesetzliche Grundlagen
Grundsätzlich ist für die Bearbeitung von Personendaten in der Schweiz das Bundesgesetz über den Datenschutz (DSG) anwendbar. Falls Dienstleistungen oder Produkte in der EU/EWR angeboten werden, ist zusätzlich auch die Europäische Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem müssen andere regulatorische Bestimmungen noch beachtet werden, z.B. bei von der FINMA bewilligten Vermögensverwaltern oder bei Start-ups im Medizinalbereich, sofern sie Patientendaten bearbeiten.
Seit dem 1. September 2023 gilt in der Schweiz das revidierte DSG, welches inhaltlich grosse Ähnlichkeiten mit der DSGVO hat. Die Ausführungen in diesem Beitrag beziehen sich auf das revidierte DSG und es ist auch dringend empfohlen sich schon jetzt mit der Umsetzung auseinanderzusetzen, weil es keine Übergangsfrist geben wird.
Begriffe
Verantwortlicher für die Datenbearbeitung ist die Person, welche über den Zweck und die Mittel der Bearbeitung entscheidet. Ein KMU ist etwa als Verantwortlicher für die Bearbeitung seiner Kundendaten für die Rechnungsstellung zu sehen. Im Gegensatz dazu bearbeitet der Auftragsbearbeiter die Personendaten im Auftrag des Verantwortlichen (siehe nachfolgend).
Auftragsbearbeitung
Definition
Bei einem Beizug eines externen Dritten, z.B. einer Marketing-Agentur, einem Cloud-Service-Provider oder einer externen Buchhaltungsfirma, ist zuerst immer zu prüfen, ob Personendaten von diesem Dritten bearbeitet werden. Hier können etwa Kundendaten, aber auch Daten von Mitarbeitenden (z.B. bei einer Auslagerung der Lohnbuchhaltung) betroffen sein. Falls Personendaten betroffen sind, ist zu prüfen, ob es sich bei dem Verhältnis, um ein Auftragsbearbeitungsverhältnis handelt.
Eine Auftragsbearbeitung liegt immer dann vor, wenn ein Dritter die Personendaten nach Weisung und im Interesse des für die Datenbearbeitung Verantwortlichen bearbeitet. Der Auftragsbearbeiter bearbeitet die Personendaten nicht für eigene Zwecke, sondern nur für diejenigen Zwecke, welche der Verantwortliche ihm vorgibt. Der Auftragsbearbeiter ist der „verlängerte Arm“ des Verantwortlichen. In der Praxis kann die Abgrenzung teilweise schwierig zu ziehen sein. Grundsätzlich ist bei Cloud-Service Providern, bei Auslagerungen von unternehmensinternen, administrativen Aufgaben oder bei Einsatz von Marketing-Tools, wie E-Mail-Versand-Dienstleistungen, von einer Auftragsbearbeitung auszugehen.
Prüfung des Auftragsbearbeiter
Bevor ein Auftragsbearbeiter eingesetzt werden kann, muss von der Verantwortlichen geprüft werden, ob dieser in der Lage ist die Datensicherheit zu gewährleisten. Bei grossen, internationalen Cloud-Dienstleistern etwa ist dies kein Problem, weil diese Unternehmen über einen hohen Datensicherheitsstandard verfügen. Bei kleinen, lokalen Unternehmen, wie etwa einem kleinen Buchhaltungsbüro, gestaltet sich die Prüfung vielfach etwas ausführlicher und komplizierter. Grundsätzlich ist in einer solchen Situation darauf zu achten, dass der Dienstleister ein Datensicherheitskonzept und interne Vorgaben zum Datenschutzmanagement hat. Je sensibler die Personendaten, desto höher muss auch der Datensicherheitsstandard sein.
Vertragsinhalt
Liegt nun eine Auftragsbearbeitung vor, so muss mit dem Auftragsbearbeiter eine Vereinbarung über die Bearbeitung von Personendaten im Rahmen dieser Dienstleistung abgeschlossen werden. Üblicherweise hat ein KMU in Vertragsverhandlungen mit Dienstleistern zu wenig Verhandlungsmacht, um eigene Verträge durchzusetzen.
Jetzt weiterlesen mit
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare