Auftragsbearbeitung

Das neue DSG normiert, gleich wie das alte DSG, die Datenbearbeitung durch Dritte, allerdings mit punktuellen Änderungen. Der vorliegende Beitrag bietet eine Übersicht über die Änderungen und enthält Tipps, wie mit ihnen umzugehen ist.

Art. 9 DSG Bearbeitung durch Auftragsbearbeiter

1 Die Bearbeitung von Personendaten kann vertraglich oder durch die Gesetzgebung einem Auftragsbearbeiter übertragen werden, wenn:

a. die Daten so bearbeitet werden, wie der Verantwortliche selbst es tun dürfte; und

b. keine gesetzliche oder vertragliche Geheimhaltungspflicht die Übertragung verbietet.

2 Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

3 Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen.

4 Er kann dieselben Rechtfertigungsgründe geltend machen wie der Verantwortliche.

Art. 9 DSG übernimmt in wesentlichen Punkten den altrechtlichen Artikel 10a aDSG. Gleichzeitig erfolgen terminologische Änderungen, die infolge der neu eingeführten Begriffe «Auftragsbearbeiter» und «Verantwortlicher» erforderlich sind.

Beim Auftragsbearbeiter handelt es sich gemäss Art. 5 lit. k DSG um die private Person oder das Bundesorgan, die oder das im Auftrag des Verantwortlichen Daten bearbeitet. Der Verantwortliche stellt nach Art. 5 lit. j DSG – diejenige private Person oder dasjenige Bundesorgan dar, welche/s über den Zweck und die Mittel der Bearbeitung entscheidet. Das vertragliche Verhältnis zwischen dem Verantwortlichen und dem Auftragsbearbeiter kann unterschiedlicher Art sein.

Je nach den Verpflichtungen des Auftragsbearbeiters kann das Verhältnis als Auftrag (Art. 394 ff. OR), Werkvertrag (Art. 363 ff. OR) oder gemischter Vertrag qualifiziert werden. Die Datenbearbeitung innerhalb derselben juristischen Person stellt grundsätzlich keine Bearbeitung durch Auftragsbearbeiter dar. Werden Daten in einem Cloud-Speicher aufbewahrt, handelt es sich dabei grundsätzlich um einen Anwendungsfall der Auftragsbearbeitung, welcher die entsprechenden Anforderungen erfüllen muss. Falls dabei Daten ins Ausland bekanntgegeben werden, müssen zudem die Voraussetzungen der Art. 16 und 17 DSG vorliegen.

Art. 9 Abs. 1 DSG begründet eine Sorgfaltspflicht für den Verantwortlichen, bei der Auftragsbearbeitung die Rechte der betroffenen Person zu wahren. Der Verantwortliche muss aktiv sicherstellen, dass der Auftragsbearbeiter das Gesetz im selben Umfang einhält, wie er selbst es tut. Insbesondere kümmert er sich um die Einhaltung der allgemeinen Grundsätze, der Regeln betreffend die Datensicherheit, die in Absatz 2 ausdrücklich erwähnt werden, sowie der Regeln betreffend die Bekanntgabe ins Ausland.

Der Verantwortliche muss analog der Geschäftsherrenhaftung nach Art. 55 OR Verstösse gegen das DSG verhindern. Demnach ist er verpflichtet, seinen Auftragsbearbeiter sorgfältig auszuwählen, ihn angemessen zu instruieren und soweit als nötig zu überwachen.

Gleich wie im alten Datenschutzgesetz lässt sich festhalten, dass die Auftragsbearbeitung für Personendaten, die durch Art. 321 StGB geschützt sind (so zum Beispiel Daten, die unter das Anwaltsgeheimnis fallen), durch Art. 9 Abs. 1 lit. b DSG nicht ausgeschlossen ist, wenn die Dritten als Hilfspersonen im Sinne von Art. 321 Ziff. 1 Abs. 1 StGB zu qualifizieren sind.

* Vgl. den Wortlaut von Art. 321 Ziff. Abs. 1 StGB: «Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht zur Verschwiegenheit verpflichtete Revisoren, Ärzte, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, werden, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft»

Art. 9 Abs. 3 DSG wurde neu eingefügt und statuiert, dass der Auftragsbearbeiter die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen darf. Im Privatsektor ist die Genehmigung nicht an eine besondere Form gebunden. Der Auftragsbearbeiter muss jedoch nachweisen können, dass eine Genehmigung vorliegt, wobei sie sowohl spezifischer wie auch allgemeiner Art sein kann. In letzterem Fall muss der Auftragsbearbeiter den Verantwortlichen über jede Änderung der Bearbeitung informieren (beispielsweise Hinzuziehung oder Ersetzung anderer Auftragsbearbeiter), damit er die Möglichkeit erhält, dagegen Einspruch zu erheben.

Insgesamt ist folglich zu empfehlen, dass Auftragsbearbeitungen schriftlich dokumentiert sind (sog. Auftragsbearbeitungsvertrag).

Kostenfreies Datenschutz Risk Assessment.

L24 AG
Weinbergstrasse 29
8006 Zürich