Auftragsverarbeitung

Ein Auftragsverarbeiter ist gemäss Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Verantwortlicher hingegen ist gemäss Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Der Auftragsverarbeiter darf nach Art. 29 DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten. Hält sich der Auftragsverarbeiter nicht an die Weisungen, indem er Zwecke und/oder Mittel der Verarbeitung selbst bestimmt, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen.

Ein Auftragsverarbeiter kann sowohl in der EU/EWR als auch in einem Drittstaat ansässig sein und dort die Daten im Auftrag verarbeiten. In letzterem Fall ist zu beachten, dass hierfür die zusätzlichen Anforderungen der Art. 44 ff. DSGVO für Verarbeitungen in Drittstaaten erfüllt werden müssen (angemessenes Schutzniveau im Drittstaat, geeignete Garantien nach Art. 46 DSGVO wie z.B. Standarddatenschutzklauseln oder Ausnahmetatbestand nach Art. 49 DSGVO).

Der für die Verarbeitung Verantwortliche haftet für die Einhaltung der DSGVO und muss bei der Auswahl des Auftragsverarbeiters darauf achten, dass dieser ausreichende Garantien dafür bieten kann, dass die Anforderungen der DSGVO erfüllt und die Rechte betroffener Personen geschützt werden.

Für die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter und die Verarbeitung durch den Auftragsverarbeiter bedarf es regelmässig keiner weiteren Rechtsgrundlage im Sinne von Art. 6 DSGVO als derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt.

Das massgebliche Kriterium für die Abgrenzung ist die Entscheidungsgewalt über die Verarbeitungszwecke. Diese obliegt dem Verantwortlichen, während die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung auch an den Auftragsverarbeiter delegiert werden kann.

Ausschlaggebend ist also, wer tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet und somit einen rechtlichen oder tatsächlichen Einfluss auf die Entscheidung hat, wozu personenbezogene Daten verarbeitet werden.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

• keine Entscheidungsbefugnis über die Daten hat;
• keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten;
• einem eigenen Nutzungsverbot der zu verarbeitenden Daten unterliegt;
• in keiner vertraglichen Beziehung zu den Betroffenen steht, deren Daten er verarbeitet;
• permanent vom Verantwortlichen beaufsichtigt wird;
• und nach aussen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist.

Eine Auftragsverarbeitung liegt beispielsweise in folgenden Fällen vor:

• IT-(Fern)wartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann;
• EDV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren;
• Outsourcing personenbezogener Datenverarbeitung im Rahmen von CloudComputing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist;
• Versand eines Newsletters durch eine Agentur;
• Werbeadressenverarbeitung in einem Letter-Shop;
• Mailprovider;
• externer Druckdienstleister;
• Aktenvernichtung oder Vernichtung von Datenträgern;
• Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen (ohne wesentliche eigene Entscheidungsspielräume);
• Verarbeitung von Kundendaten durch ein Call-Center (ohne wesentliche eigene Entscheidungsspielräume);
• Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen);
• Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten;
• Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen.

Keine Auftragsverarbeitung liegt beispielsweise in folgenden Fällen vor:

• Im Falle von Berufsgeheimnisträgern (Steuer- oder Finanzberater, Rechtsanwälte, Wirtschaftsprüfer, externe Betriebsärzte oder Ärzte, die in Verbindung mit einem Versicherungsanspruch tätig werden), wenn diese im Rahmen ihrer berufsständisch verankerten unabhängigen Tätigkeit agieren;
• Unternehmensberater;
• Inkassobüro mit Forderungsübertragung;
• Bankinstitut für den Geldtransfer;
• Postdienst für den Brieftransport;
• Telekommunikationsanbieter in Bezug auf Datentransport;
• Personalagentur.

Trotz dieser Beispiele sollte in jedem Einzelfall genau geprüft werden, wer die Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung ausübt!

Beispiel - Marktforschung im Auftrag: Eine Bank beauftragt ein Marktforschungsunternehmen mit der landesweiten Durchführung einer Zufriedenheitsumfrage bei ihren Kunden. Die Bank überlässt es dem Unternehmen, Stichprobengrössen, Befragungsmethoden und die Präsentation der Ergebnisse zu bestimmen. Das Unternehmen verarbeitet personenbezogene Daten im Auftrag der Bank, hat dabei aber die Freiheit, zu entscheiden, welche Kunden für ein Interview ausgewählt werden, welche Form das Interview haben soll, welche Informationen von den Kunden zu sammeln sind und wie die Ergebnisse präsentiert werden. Dies bedeutet, dass das Marktforschungsunternehmen in Bezug auf die Verarbeitung personenbezogener Daten selbst ein Verantwortlicher ist, auch wenn die Bank die Gesamtkontrolle über die Daten in Bezug auf die Beauftragung der Studie und die Bestimmung des Zwecks behält.

Beispiel - Online-Bezahldienst: Ein Onlinehändler arbeitet in Zusammenarbeit mit einem Online-Bezahldienst, um die Transaktionen der Kunden zu bearbeiten. Der Bezahldienst ist nicht der Auftragsverarbeiter des Einzelhändlers, obwohl zwischen den beiden Unternehmen ein Vertrag besteht, der Bereiche wie Dienstleistungsstandards und finanzielle Vereinbarungen abdeckt. Begründung: Der Bezahldienst entscheidet, welche Informationen sie von den Kunden benötigen, um ihre Zahlungen korrekt abzuwickeln; muss eigene rechtliche Anforderungen erfüllen, beispielsweise im Hinblick auf die Verwendung und Speicherung von Daten und hat eigene Geschäftsbedingungen, die direkt für die Kunden des Händlers gelten. Daher ist der Zahlungsdienstleister selbst ein für die Verarbeitung Verantwortlicher und hat die volle Verantwortung für die Datenverarbeitung, die er ausführt.

Beispiel - Cloud-Anbieter Eine lokale Behörde verwendet einen Cloud-Anbieter, um Daten über ihren Wohnungsbestand und ihre Bewohner zu speichern, anstatt die Daten in ihrem eigenen IT-System zu speichern. Der Cloud-Anbieter ist verpflichtet, bestimmte Daten nach einem bestimmten Zeitpunkt zu löschen und den Bürgern über ein sicheres Online-Portal Zugang zu ihren eigenen Daten zu gewähren. Er bietet auch ein Diskussionsforum für die betroffenen Bürger an. Obwohl der Cloud-Anbieter eine Reihe von Diensten anbietet und hierfür eine grosse Menge eigener technischer Expertisen einsetzt, handelt es sich „nur“ um einen Auftragsverarbeiter. Eine wichtige Überlegung ist, dass die Bedingungen des Vertrags bedeuten, dass der Cloud-Anbieter keinen Spielraum hat, die Daten für eigene Zwecke zu nutzen. Darüber hinaus sammelt der Cloud-Anbieter selbst keine Informationen. Alle personenbezogenen Daten, die im Zusammenhang mit der Bereitstellung des Dienstes gespeichert werden, werden von der lokalen Behörde zur Verfügung gestellt.

Auftraggeber

• sind verpflichtet zur sorgfältigen Auswahl von Auftragsverarbeitern gem. Art. 28 Abs. 1 DSGVO;
• sind zuständig für die Beurteilung der Zulässigkeit der Verarbeitung gem. Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO;
• erteilen dem Auftragsverarbeiter konkrete Weisungen und dokumentieren diese;
• behandeln alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmassnahmen des Auftragnehmers vertraulich zu behandeln
• informieren den Auftragnehmer unverzüglich, wenn sie Fehler oder Unregelmässigkeiten bei der Prüfung der Auftragsergebnisse feststellen.

Auftragsverarbeiter

• dürfen nur entsprechend den schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen tätig werden (Art. 29 DSGVO);
• müssen nachweisen, dass sie die in Art. 28 Abs. 1 DSGVO geforderten Garantien in Bezug auf technische und organisatorische Massnahmen umgesetzt haben;
• sind gemeinsam mit ihren handelnden Mitarbeitenden gem. Art. 28 Abs. 3 Bst. b DSGVO zur Verschwiegenheit verpflichtet;
• dürfen keinen Unterauftragsverarbeiter ohne vorherige schriftliche Genehmigung des für die Verarbeitung Verantwortlichen einsetzen (Art. 28 Abs. 2 DSGVO);
• müssen mit den Aufsichtsbehörden (wie der DSS) gem. Art. 31 DSGVO zusammenarbeiten;
• müssen Gewährleistung bieten für die Sicherheit ihrer Verarbeitung gem. Art. 32 DSGVO;
• müssen gem. Art. 30 Abs. 2 DSGVO ein Verzeichnis über die Verarbeitungstätigkeiten führen;
• müssen Datenschutzverletzungen dem für die Verarbeitung Verantwortlichen gem. Art. 33 DSGVO melden;
• müssen einen Datenschutzbeauftragten bestellen, wenn dies gem. Art. 37 DSGVO erforderlich ist;
• müssen einen Vertreter innerhalb der EU/EWR bestellen, wenn dies gem. Art. 27 DSGVO erforderlich ist.
• unterliegen Ermittlungs- und Sanktionsbefugnissen der Aufsichtsbehörden gem. Art. 58 DSGVO;
• müssen bei einem Verstoss gegen ihre Verpflichtungen mit Sanktionen bzw. Schadenersatzzahlungen rechnen.

Wenn ein Verantwortlicher einen Auftragsverarbeiter einsetzt, muss er mit diesem einen Vertrag abschliessen, der gem. Art. 28 Abs. 3 DSGVO die folgenden Elemente enthalten muss:

• Gegenstand und Dauer der Verarbeitung;
• Art und Zweck der Verarbeitung;
• Art der personenbezogenen Daten;
• Kategorien der betroffenen Personen;
• Umfang der Weisungsbefugnisse des Verantwortlichen;
• Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit;
• Sicherstellung von technischen und organisatorischen Massnahmen bei der Auftragsverarbeitung;
• mögliche Beauftragung von Unterauftragsverarbeitern;
• Unterstützung des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter bei der Verpflichtung des Verantwortlichen, Anträgen von Betroffenen auf Wahrnehmung ihrer Rechte nach Kapitel III der DSGVO nachzukommen;
• Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen;
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung;
• Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters;
• Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstösst.

Verantwortliche und Auftragsverarbeiter können einen solchen Vertrag entweder

• selbst aufsetzen,
• oder auf das Muster der Datenschutzstelle zurückgreifen (de / en),
• oder die von der EU-Kommission erlassenen Standardvertragsklauseln gemäss Art. 28 Abs. 7 DSGVO benützen, welche seit dem 27. Juni 2021 in Kraft sind (de / en).

Die EU-Standardvertragsklauseln sind inhaltlich an die Anforderungen der Datenschutz-Grundverordnung (DSGVO) angepasst und können (auch während ihrer Laufzeit) auf beliebig viele Parteien ausgeweitet werden. Sie dürfen in ein Vertragswerk eingebaut oder um weitere Bestimmungen ergänzt, aber keinesfalls inhaltlich verändert werden. Sie dürfen von jedem Verantwortlichen und Auftragsverarbeiter ohne weitere Genehmigung verwendet werden.

Für den Fall, dass eine der Parteien in einem Drittstaat sitzt, sei auf die entsprechenden Ausführungen und Standardvertragsklauseln unter Internationaler Datentransfer verwiesen.