Was muss in einer Auftragsbearbeitervereinbarung enthalten sein?

Was muss in einer Auftragsbearbeitervereinbarung berücksichtigt werden?

Sofern die Bearbeitung von Personendaten einer Drittpartei übertragen wird, ist hierfür eine Auftagsbearbeitervereinbarung abzuschliessen. Diese regelt die wechselseitigen datenschutzrechtlichen Rechte und Pflichten der Parteien. Ihr Unternehmen übernimmt die Funktion des Datenverantwortlichen in dieser Beziehung. Das bedeutet, dass Sie auch dafür verantwortlich sind, die Einhaltung der Datenschutzgesetze sicherzustellen. Die Datenschutz-Grundverordnung (DSGVO) enthält klare Vorgaben zu den Anforderungen in Vereinbarungen über die Datenverarbeitung, wohingegen das revidierte Bundesgesetz über den Datenschutz (revDSG) nicht so weit ins Detail geht. Im revDSG ist lediglich Folgendes festgelegt:

• Die Bearbeitung von Personendaten kann mittels Vereinbarung oder kraft Gesetzes einem Auftragsbearbeiter übertragen werden, wenn die Daten ausschliesslich in einer für den Datenverantwortlichen selbst zulässigen Weise verarbeitet werden und wenn weder eine gesetzliche noch eine vertragliche Verschwiegenheitspflicht die Übertragung untersagt.
• Der Datenverantwortliche muss gewährleisten, dass der Auftragsbearbeiter die Datensicherheit garantieren kann.
• Der Auftragsbearbeiter darf die Verarbeitung nur mit der vorherigen Zustimmung des Datenverantwortlichen einem Dritten übertragen.
• Ausserdem kann sich der Auftragsbearbeiter auf die gleichen Rechtfertigungsgründe wie der Datenverantwortliche berufen.

Welche Aspekte sollten in der Vereinbarung Erwähnung finden?

Sie als Datenverantwortlicher müssen gewährleisten, dass der Auftragsverarbeiter seine Pflichten kennt und dass Ihr Auftragnehmer die Geheimhaltungsbestimmungen einhält. Zur Unterstützung des Prozesses sollten diese Aspekte in der Auftagsbearbeitervereinbarung detailliert festgehalten werden.

Der Auftragsbearbeiter verpflichtet sich mit Unterzeichnung der Vereinbarung dazu, den schriftlich festgehaltenen Rahmen einzuhalten und die Daten entsprechend zu bearbeiten. Nach Abschluss der Vertragsbeziehung muss jegliche Bearbeitung und jegliches Dokument, die/das Daten enthält, an den Kunden zurückgegeben oder, sofern erforderlich, gelöscht werden. Die Verschwiegenheitspflicht des Auftragsbearbeiters besteht auch nach Abschluss des Auftrags fort.

Wie sieht es aus, wenn bereits eine DSGVO-konforme Auftagsbearbeitervereinbarung besteht?

Wenn Sie bereits Vereinbarungen über die Datenverarbeitung nach DSGVO abgeschlossen haben, sind Sie im Prinzip auch nach dem revDSG gut gerüstet. Sie sollten jedoch dennoch eine Prüfung durchführen, bei der sie die Vereinbarungen über die Datenverarbeitung durch die entsprechenden Verweise auf das Schweizer revDSG sowie jegliche Besonderheiten des Schweizer Datenschutzrechts ergänzen.

Was ist beim Verfassen einer von Grund auf neuen Auftagsbearbeitervereinbarung zu berücksichtigen?

Wenn Sie bei null anfangen und dabei sind, diese Verträge aufzusetzen, sollten bei neuen Auftragsverarbeitern (z.B. Dienstanbietern) folgende Aspekte berücksichtigt werden:

• Vergessen Sie nicht die Haftungsklauseln.
• Halten Sie schriftlich fest, dass die Datensicherheit garantiert werden muss und wie dieser Prozess abläuft.
• Stellen Sie sicher, dass betroffene Personen über die Übermittlung der Daten an einen Cloud-Anbieter informiert werden.
• Ausserdem müssen Sie den Speicherort der Daten nennen und im Fall von Drittländern zusätzliche Erläuterungen liefern.
• Liefern Sie eine angemessene Beschreibung der technischen und organisatorischen Sicherheitsvorkehrungen, die vom Auftragsbearbeiter genutzt werden.

#social#