Outsourcing (Auftragsdatenbearbeitung)

Outsourcing (Auftragsdatenbearbeitung)

Auch wenn Sie die Bearbeitung von Personendaten einem
Auftragsbearbeiter übertragen, bleiben Sie für den Datenschutz verantwortlich.

Schatten von einer Person mit Bohrer in der Hand

Worauf Sie beim Outsourcing besonders achten sollten

Wenn Sie die Bearbeitung von Personendaten einem Auftragsbearbeiter (z.B. Cloud-Anbieter, Webhoster, Versandunternehmen, Call-Center, Treuhandunternehmen oder IT-Supportunternehmen) übertragen, bleiben Sie für den Datenschutz verantwortlich. Sie müssen sicherstellen, dass die Daten vertrags- oder gesetzesgemäss bearbeitet werden.

Der Verantwortliche (Auftraggeber) muss aktiv sicherstellen, dass der Auftragsbearbeiter das Gesetz im selben Umfang einhält, wie er selbst es tut. Das betrifft insbesondere die Einhaltung der allgemeinen Grundsätze, der Regeln betreffend die Datensicherheit, sowie der Regeln betreffend die Bekanntgabe ins Ausland. Der Verantwortliche muss analog wie bei Artikel 55 OR (Geschäftsherrenhaftung) Verstösse gegen das DSG verhindern. Er ist daher verpflichtet, seinen Auftragsbearbeiter sorgfältig auszuwählen, ihn angemessen zu instruieren und soweit als nötig zu überwachen.

Die Datenbearbeitung innerhalb der gleichen juristischen Person (Filiale, Verwaltungseinheit, Mitarbeitende) stellt grundsätzlich keine Bearbeitung durch Auftragsbearbeiter dar.


Pflichten des Auftragsbearbeiters

  1. Der Auftragsbearbeiter muss seinen Verpflichtungen gegenüber dem Verantwortlichen nachkommen, insbesondere ihm Verletzungen der Datensicherheit melden, damit der Verantwortliche seine Meldepflicht gegenüber dem EDÖB gemäss Art. 24 Abs. 1 DSG wahrnehmen kann. 
  2. Grundsätzlich darf der Auftragsbearbeiter keine Personendaten für eigene Zwecke bearbeiten. Für eine solche Zweckänderung muss er einen eigenen Rechtfertigungsgrund geltend machen können.

Pflichten des Verantwortlichen

Der Verantwortliche ist gemäss Art. 9 DSG verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass:

  1. der Auftragsbearbeiter die Daten nur bearbeitet, wie er selbst es tun dürfte:
    Dabei ist sicherzustellen, dass der Auftragsbearbeiter die übertragenen Daten nur gemäss den Weisungen des Auftraggebers bearbeitet und zu regeln, wie diese Weisungen übergegeben werden.
  2. keine Geheimhaltungspflichten verletzt werden:
    In gewissen Konstellationen unterliegen die Daten gesetzlichen oder vertraglichen Geheimhaltungspflichten (z.B. dem Berufsgeheimnis, Bankgeheimnis, Amtsgeheimnis etc.). Ist dies der Fall, muss geprüft werden, ob die Auslagerung von Daten, die als geheim gelten, nicht zu einer Verletzung der Geheimhaltungspflicht des Verantwortlichen führt.
  3. der Auftragsbearbeiter angemessene Massnahmen trifft, um die Datensicherheit zu gewährleisten:
    Der Verantwortliche muss sich insbesondere vergewissern, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten. Neben der Prüfung und vertraglichen Absicherung der durch den Auftragsbearbeiter getroffenen technischen und organisatorischen Massnahmen zum Schutz seiner Systeme und der bearbeiteten Daten, kann es auch sinnvoll sein zu prüfen, wie der Auftragsbearbeiter sicherstellt, dass die implementierten Massnahmen dem Risiko angemessen und wirksam sind und dem Stand der Technik entsprechen. Dazu dienen beispielsweise Audits und Zertifizierungen. 
  4. eine Unterbeauftragung nur mit seiner Genehmigung erfolgen kann:
    Der Auftragsbearbeiter darf die Bearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen einem Dritten übertragen. Im Privatsektor ist die Genehmigung an keine besondere Form gebunden. Der Auftragsbearbeiter muss jedoch nachweisen, dass die Genehmigung vorliegt. Dabei kann es sich um eine allgemeine Einverständniserklärung handeln. In diesem Fall muss der Auftragsbearbeiter den Verantwortlichen über jede Änderung (Hinzuziehung oder Ersetzung anderer Auftragsbearbeiter) informieren, damit dieser Einspruch gegen diese Änderungen erheben kann.
  5. er in der Lage bleibt, seinen Verpflichtungen gegenüber der Aufsichtsbehörde und betroffenen Personen nachzukommen:
    Hierzu kann es sinnvoll sein, vertragliche Vereinbarungen (z.B. Mitwirkungspflicht) und organisatorische Massnahmen zu treffen, um sicherzustellen, dass Daten, die ausgelagert worden sind, bei Bedarf gelöscht oder korrigiert werden können und, bei der Bearbeitung eines Auskunftsgesuchs, auch auffindbar sind. 

Datenbekanntgabe ins Ausland

Findet bei der Auslagerung eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem geprüft werden:ob die Länder, in denen die Daten bearbeitet werden, ein angemessenes Datenschutzniveau aufweisen.
Dieser Schritt setzt die Information über die Orte der Datenbearbeitungen bzw. den Sitz des (Unter-) Auftragsbearbeiters voraus. Wenn sich der Datenbearbeiter / Cloudanbieter in einem Land befindet, welches kein mit dem Schweizer vergleichbares Datenschutzniveau bietet, oder die Daten in Ländern bearbeitet werden, die kein angemessenes Schutzniveau im Vergleich zur Schweiz bieten, dann kann die Datenbekanntgabe nicht ohne Weiteres erfolgen: Massnahmen müssen getroffen werden, um sicherzustellen, dass die Datenübermittlung einen geeigneten Datenschutz im Ausland geniesst. Wir verweisen dazu auf unsere Erläuterungen zur Bekanntgabe von Personendaten ins Ausland.  

Nutzung von Cloud-Diensten

Werden Daten in einer sogenannten Cloud aufbewahrt, handelt es sich dabei grundsätzlich um einen Anwendungsfall der Auftragsbearbeitung, welcher die entsprechenden Voraussetzungen erfüllen muss. Weiterführende Informationen hierzu finden Sie in unseren Ausführungen zur Datenbearbeitungen in der Cloud.

Rechte der Betroffenen

Als betroffene Person können Sie Ihre Rechte (siehe «Auskunftsrecht»)  direkt gegenüber dem Verantwortlichen geltend machen.Auch wenn ein Verantwortlicher die Bearbeitung von Personendaten an einen Auftraggeber überträgt, bleibt er für die Erteilung der Auskunft verantwortlich. Falls der Verantwortliche nicht in der Lage ist, selbst Auskunft zu erteilen, muss er das Begehren an den Auftragsbearbeiter weiterleiten. Der Auftragsbearbeiter ist verpflichtet, den Verantwortlichen bei der Erteilung der Auskunft zu unterstützen, sofern er das Begehren nicht im Auftrag des Verantwortlichen selbst beantwortet.


Datenschutzzertifizierungen

Die Zertifizierung von Systemen, Produkten und Dienstleistungen fördert die Transparenz von Datenbearbeitungen.

Bekanntgabe von Personendaten ins Ausland

Die Übermittlung von Personendaten ins Ausland unterliegt besonderen Regeln. Was beachtet werden muss, bevor Daten in andere Länder transferiert werden.

Datenbearbeitungen in der Cloud

Immer mehr Unternehmen und Behörden nutzen Cloud-Dienste und lagern dabei Daten oder Datenbearbeitungen an eine Cloud-Anbieterin aus.

Datenschutzerklärungen im Internet

Wer braucht eine Datenschutzerklärung und was sollte diese enthalten?


Fragen zum Datenschutz

Schauen Sie in unsere FAQ oder rufen Sie unsere Hotline an.

Aufsicht

Schnellzugriff auf Datenschutz-Empfehlungen und Weiterzüge.

Wichtige Neuerungen

Hier erfahren Sie weiteres über Neuerungen beim Datenschutzgesetz, das am 1.9.2023 in Kraft getreten ist.

Webmaster
Letzte Änderung 26.06.2024

Zum Seitenanfang