In dieser Blogbeitragsreihe werden wir uns vertieft mit Auftragsverarbeitungsverträgen (AVV) und den Aspekten befassen, die Unternehmen bei der Ausarbeitung oder Überprüfung dieser Verträge berücksichtigen müssen. In unserem ersten Blogbeitrag gehen wir auf die wesentlichen Aspekte ein, die ein AVV gemäss der EU-Datenschutzgrundverordnung (DSGVO) und dem Schweizer Bundesgesetz über den Datenschutz (DSG) enthalten muss. Im zweiten Blogpost werden wir auf typische Klauseln und Fallstricke eingehen und aufzeigen, wie Sie sinnvolle Ergänzungen zu Ihrem AVV formulieren können.
Ein AVV ist entscheidend für die Einhaltung der Datenschutzvorschriften. Er legt die Bedingungen für den Austausch personenbezogener Daten mit externen Dienstleistern fest, gewährleistet die Datensicherheit und klärt die Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten.
Wann brauche ich einen AVV?
Ein AVV ist immer dann erforderlich, wenn ein Unternehmen einen Dienstleister mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragt. Einfach ausgedrückt: Jedes Mal, wenn ein Unternehmen ein anderes Unternehmen mit der Datenverarbeitung in seinem Namen beauftragt (z. B. bei der Übermittlung personenbezogener Daten an einen Dienstleister), sind in den meisten Fällen ein AVV oder ähnliche vertragliche Vereinbarungen erforderlich, um die Einhaltung des Datenschutzes zu gewährleisten.
In diesem Sinne besteht das Hauptziel eines AVV darin, die Regeln festzulegen, auf deren Grundlage personenbezogene Daten ausgetauscht werden, und konkrete Zusicherungen hinsichtlich der Umsetzung robuster technischer und organisatorischer Massnahmen zu geben.
Typische Beispiele für die Inanspruchnahme von Dienstleistern, die einen AVV erfordern, sind:
- Software-as-a-Service-Lösungen (SaaS) wie z.B. Marketing-, Newsletter- oder Buchhaltungstools;
- Cloud-basierte CRM-Tools und Hosting-Dienste;
- Externe Lohnbuchhaltungs- und Kundendienstzentren;
- Externe Wartung von Servern und Computern;
- Externe Agenturen in den Bereichen Vertrieb, Marketing oder Personalwesen, wenn sie Zugang zu personenbezogenen Daten Ihres Unternehmens haben.
Unter den folgenden Umständen benötigen Sie in der Regel keinen AVV:
- Zusammenarbeit mit gesetzlich zur Verschwiegenheit verpflichteten Fachleuten wie Anwälten, Wirtschaftsprüfern und externen Betriebsärzten;
- Einschaltung von Inkassobüros bei der Abtretung von Forderungen;
- Inanspruchnahme von Bankdienstleistern für Geldüberweisungen oder Postdiensten für die Beförderung von Briefen oder Waren.
Arten von Beziehungen, die durch einen AVV geregelt werden
Es ist wichtig, die Arten von Beziehungen zu verstehen, die im Rahmen eines AVV geregelt werden können, und die verschiedenen Rollen, die Unternehmen bei der Weitergabe personenbezogener Daten an Dritte einnehmen können. AVVs können grundsätzlich zwei Arten von Beziehungen regeln:
- Beziehung zwischen Verantwortlichem und Auftragsverarbeiter: Diese Beziehung entsteht, wenn ein Unternehmen (Verantwortlicher) einen dritten Dienstleister (Auftragsverarbeiter) damit beauftragt, in seinem Namen und nach seinen Anweisungen Daten zu verarbeiten, z. B. wenn ein Unternehmen seine Lohnbuchhaltung an einen externen Dienstleister auslagert.
- Beziehung zwischen Auftragsverarbeiter und Unterauftragsverarbeiter: In einigen Fällen kann ein Auftragsverarbeiter eine andere Einrichtung oder ein anderes Unternehmen (Unterauftragsverarbeiter) beauftragen, ihn bei der Datenverarbeitung zu unterstützen. So kann beispielsweise ein Cloud-Hosting-Dienst (Auftragsverarbeiter) einen externen Datensicherungsdienst (Unterauftragsverarbeiter) beauftragen.
Wesentliche Bestandteile von AVVs
Im folgenden Abschnitt werden die spezifischen Komponenten beschrieben, die eine DSGVO- und DSG-konforme Auftragsverarbeitungsvereinbarung enthalten muss.
Bindung des Auftragsverarbeiters an Details der Datenverarbeitung
Einer der grundlegenden Aspekte eines AVV ist seine Rolle, den (Unter-)Auftragsverarbeiter an bestimmte Bedingungen für die Datenverarbeitung zu binden. In diesem Sinne definieren sowohl die DSGVO als auch das DSG einen Kernbestand an obligatorischen Elementen, die in einer Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter enthalten sein müssen.
Ausgehend von der DSGVO müssen Sie die folgenden Themen in Ihren AVV aufnehmen:
- Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung;
- die Arten der betroffenen personenbezogenen Daten und die Kategorien der betroffenen Personen;
- Die Rechte und Pflichten des Verantwortlichen. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten. Die zur Verarbeitung der personenbezogenen Daten befugten Personen sind zur Vertraulichkeit verpflichtet;
- Die technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit und Integrität der personenbezogenen Daten;
- Die Tatsache, dass der Auftragsverarbeiter keinen anderen (Unter-)Auftragsverarbeiter ohne die vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Verantwortlichen beauftragen darf;
- Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Personen sowie bei der Gewährleistung der Sicherheit der personenbezogenen Daten und der Meldepflicht bei Datenverletzungen;
- dass der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der mit der Verarbeitung verbundenen Dienste löscht oder zurückgibt;
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der sich aus dem Datenschutzrecht ergebenden Verpflichtungen nachzuweisen, und er gestattet dem Verantwortlichen die Durchführung von Audits.
Diese Elemente dienen als Eckpfeiler für die Schaffung von Transparenz zwischen dem Verantwortlichen und dem (Unter-)Auftragsverarbeiter. Der AVV setzt klare Erwartungen und Grenzen für den Umgang mit personenbezogenen Daten und stellt sicher, dass diese nur für den vorgesehenen Zweck und innerhalb definierter Bedingungen verwendet werden.
Es ist auch wichtig zu bedenken, dass im Rahmen des DSG im Gegensatz zur DSGVO kein förmlicher AVV vorgeschrieben ist. Daher haben die Verantwortlichen und die Auftragsverarbeiter mehr Freiheit bei der Festlegung des Inhalts der Klauseln, die ihre Datenverarbeitungstätigkeiten regeln sollen. Das DSG verlangt jedoch, dass die beteiligten Parteien zumindest folgenden Inhalt festlegen:
- Die personenbezogenen Daten, die verarbeitet werden sollen;
- Meldeverfahren (insbesondere im Hinblick auf Datenschutzverletzungen);
- Klauseln zur Unterauftragsverarbeitung; und
- Technische und organisatorische Massnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten.
Neben diesen notwendigen Inhalten möchten wir die folgenden wichtigen Teile eines AVV hervorheben, da sie in der Regel zwischen dem Verantwortlichen und dem Auftragsverarbeiter stark diskutiert werden.
Kontakt mit betroffenen Personen und Aufsichtsbehörden
Der AVV sollte den Umgang mit Anfragen der betroffenen Personen sowie die Zusammenarbeit mit den Aufsichtsbehörden im Falle von Datenschutzverletzungen oder Ermittlungen darlegen.
Normalerweise ist nur der Verantwortliche verpflichtet, betroffenen Personen und Aufsichtsbehörden zu antworten. Im AVV ist daher eindeutig festzulegen, dass der Auftragsverarbeiter keine direkte Antwort auf eine der beiden Anfragen geben darf, und stattdessen den Verantwortlichen innerhalb einer bestimmten Frist (in der Regel 24 bis 48 Stunden) informiert. Schliesslich ist im AVV auch zu verankern, dass der Auftragsverarbeiter mit dem Verantwortlichen zusammenarbeitet, um seinen Verpflichtungen gegenüber den betroffenen Personen und den Behörden im Falle von Datenverletzungen nachzukommen.
Beziehungen zu Unterauftragsverarbeitern
Die Beziehungen zu Unterauftragsverarbeitern können zusätzliche Komplexität und Risiken mit sich bringen, weshalb ein klarer Rahmen geschaffen werden muss. Ohne diese zusätzlichen Sicherheitsvorkehrungen besteht die Gefahr, dass personenbezogene Daten bei der Weitergabe an Unterauftragsverarbeiter unzureichend geschützt werden.
In diesem Sinne sind dies die wichtigsten Punkte, die zu berücksichtigen sind:
- Ein Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit schriftlicher Genehmigung des Verantwortlichen beiziehen. Dies kann auf Einzelfallbasis oder durch eine vorherige allgemeine Genehmigung im AVV erfolgen. Wird eine Allgemeingenehmigung erteilt, so muss der Auftragsverarbeiter den Verantwortlichen dennoch unterrichten, wenn er beabsichtigt, einen seiner Unterauftragsverarbeiter zu wechseln, sodass der Verantwortliche die Möglichkeit hat, Einspruch gegen solche Änderungen zu erheben;
- Bei der Beauftragung eines Unterauftragsverarbeiters gelten für den Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen, die im AVV mit dem Verantwortlichen festgelegt sind, sowie die geltenden Datenschutzgesetze.
Ausserdem ist zu bedenken, dass der Auftragsverarbeiter bei Unterverarbeitungen gegenüber dem Verantwortlichen in vollem Umfang haftbar bleibt, falls der Unterauftragsverarbeiter seinen Verpflichtungen nicht nachkommt.
Auf diese Weise gewährleisten Datenschutzgesetze, dass die Daten während der gesamten Verarbeitungskette durchgängig geschützt bleiben. Dies verhindert eine Aufweichung der Datenschutzstandards, wenn zusätzliche Parteien in den Datenverarbeitungsprozess einbezogen werden.
Datenübermittlungen in Drittländern
Im Bereich der internationalen Übermittlung personenbezogener Daten müssen Unternehmen unbedingt wissen, dass personenbezogene Daten nur unter bestimmten, in der DSGVO und im DSG genannten Umständen in Drittländer (Länder ausserhalb der EU/des EWR bzw. der Schweiz) übermittelt werden dürfen.
Bei der Prüfung eines in einem Drittland ansässigen Dienstleisters muss daher zunächst festgestellt werden, ob ein so genannter Angemessenheitsbeschluss vorliegt. Dieser Beschluss bedeutet, dass die Datenschutzstandards im Empfängerland als gleichwertig mit denen in der EU oder der Schweiz angesehen werden, so dass ein angemessenes Schutzniveau und ein freier Datenverkehr gewährleistet ist. Zu diesen Ländern gehören zum Beispiel die USA (derzeit nur aus Sicht der EU/DSGVO), Kanada (nur in Bezug auf den privaten Sektor), Israel und das Vereinigte Königreich.
In Fällen, in denen es keinen solchen Angemessenheitsbeschluss gibt, müssen die Unternehmen jedenfalls Standardvertragsklauseln als Anhang zum AVV beilegen. Diese Vertragsklauseln, die insbesondere von der EU-Kommission bereitgestellt und von den Schweizer Behörden akzeptiert werden, dienen als Garantien dafür, dass die übermittelten Daten ein Schutzniveau erhalten, welches dem der EU und der Schweiz entspricht. Es ist wichtig, Auftragsverarbeiter zu verpflichten, diese Klauseln in den AVVs mit ihren Unterauftragsverarbeitern aufzunehmen, um einen angemessenen Schutz in der gesamten Verarbeitungskette zu gewährleisten.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass die richtige Anwendung und das richtige Verständnis eines AVV ein wichtiger Schritt zur Einhaltung des Datenschutzes bei der Zusammenarbeit mit externen Dienstleistern ist. Wenn Unternehmen diese grundlegenden Elemente des AVV verstehen, können sie einen soliden Rahmen für einen sicheren Datenaustausch schaffen:
- Ein AVV sollte immer dann vereinbart werden, wenn ein Unternehmen ein anderes Unternehmen mit der Datenverarbeitung in seinem Namen beauftragt;
- Im AVV ist es von grundlegender Bedeutung, den Auftragsverarbeiter an bestimmte Bedingungen zu binden. Dazu gehört, dass der Gegenstand, die Dauer, die Art der personenbezogenen Daten und die Sicherheitsmassnahmen für die Verarbeitung festgelegt werden;
- Die Datenschutzbehörden sollten auch den Kontakt mit den betroffenen Personen und den Aufsichtsbehörden sowie die gemeinsamen Zuständigkeiten regeln;
- Unterauftragsverarbeiter bringen zusätzliche Komplexität und Risiken mit sich. Stellen Sie sicher, dass für Unterauftragsverarbeiter die gleichen Datenschutzpflichten gelten wie für Auftragsverarbeiter;
- Übermittlungen von personenbezogenen Daten in Drittländer erfordern eine sorgfältige Vorgehensweise. Personenbezogene Daten können nur unter bestimmten Bedingungen, die in der DSGVO und im DSG festgelegt sind, in Drittländer ausserhalb der EU/des EWR bzw. der Schweiz übermittelt werden.
Im zweiten Blog-Beitrag dieser Serie werden wir uns eingehender mit spezifischen zusätzlichen Klauseln befassen, die in einen AVV aufgenommen werden können und die für Technologieunternehmen besonders wichtig sind, wie z. B. Dateneigentum, Prüfungsrechte und Haftungsregelungen.
Zögert nicht, einen kostenlosen Anruf mit unseren Experten zu vereinbaren, um mehr über unsere Datenschutz-Services zu erfahren!