Es lohnt sich im Unternehmen zu erkennen, welche Aufgaben selbst erledigt werden sollen und wo sich das Unternehmen besser auf das Kerngeschäft konzentriert, um Effizienz zu steigern und die Kosten zu reduzieren. Gerade in der IT liegt es nahe zu prüfen, einen externen Dienstleister beizuziehen, nicht zuletzt auch aus Überlegungen der Informationssicherheit. Und während sich Unternehmen und Dienstleister gerne und richtig auf die Performance konzentrieren, tun beide gut daran, die grundlegenden Fragen des Datenschutzes beantworten zu können.
Outsourcing aus Sicht Datenschutz
Cloud-Anbieter, Webhoster, Agenturen und Call-Center oder IT-Supportunternehmen übernehmen Aufgaben in Unternehmen, welche auch Einblick in oder das Bearbeiten von Personendaten zur Folge hat, welche das Unternehmen führt. Die Bearbeitung von Personendaten kann nach Datenschutzgesetz (DSG) einem sog. Auftragsbearbeiter (auch „Processor“ genannt) übertragen werden. Dabei bleibt das Unternehmen als sog. Verantwortlicher (auch „Controller“ genannt) in der Pflicht, dass der Datenschutz eingehalten wird. Das Unternehmen hat für eine sorgfältige Auswahl, angemessene Instruktion und notwendige Überwachung zu sorgen. Wechselseitig ist der Dienstleister interessiert, die übertragenen Pflichten abzugrenzen und zu klären, welche Services wie vergütet werden sollen.
AVV – Auftragsverarbeitungsvertrag
In der Praxis hat sich die Vereinbarung zur Auftragsbearbeitung (bzw. nach DSGVO Auftragsverarbeitung) etabliert, häufig als AVV abgekürzt. Anstelle eines separaten AVV kann der Datenschutz auch als Vertragsanhang geregelt werden, wie im Anglo-Amerikanischen Raum üblich mit sog. Data Privacy Addendum, kurz. DPA. Wichtiger als wo, ist dass die Verantwortlichkeiten und Pflichten im Sinne des DSG bzw. der DSGVO geregelt werden. Dabei präsentieren sich immer wieder ähnliche Fallstricke.
Wichtig zu regeln
Die Grundhaltung sowohl des DSG als auch der DSGVO ist sicherzustellen, dass der Auftragsbearbeiter die übertragenen Daten nur gemäss den Weisungen des Auftraggebers bearbeitet und mit geeigneten technischen und organisatorischen Massnahmen den Schutz der Rechte der betroffenen Person zu gewährleisten. Dementsprechend ist neben dem grundsätzlichen Umfang des Auftrags, und damit der Datenbearbeitung, insbesondere die Datensicherheit festzuhalten. Einerseits soll sich diese dem Risiko angemessen und wirksam ausprägen, andererseits hat sie dem Stand der Technik zu entsprechen. Je nach Branche dienen dazu auch beispielsweise Audits, Pen-Tests und Zertifizierungen.
Grundsätzlich bearbeitet der Auftragsbearbeiter Personendaten für Zwecke des Verantwortlichen, also des Unternehmens. Als Dienstleister, darf er diese Personendaten also nicht für eigene Zwecke bearbeiten – ansonsten würde dieser selbst zum Verantwortlichen (teilweise auch „joint controller“ genannt). Für eine solche Zweckänderung muss er einen eigenen Rechtfertigungsgrund geltend machen können; vordergründig die ausdrückliche Einwilligung der betroffenen Person.
Fallstricke in AVV und DPA
Häufig vergessen oder übersehen wird das Thema Unterbeauftragung, also der Beizug sog. Subunternehmer. Diese sind vor Vertragsschluss offenzulegen und nach Vertragsschluss grundsätzlich nur mit vorgängiger Genehmigung des Unternehmens, also des Verantwortlichen einzusetzen. Hinzu kommt, dass bei Auslandbezug Überlegungen zur Bekanntgabe von Personendaten ins Ausland und zur Datensicherheit allgemein hinzukommen (siehe allgemein auch unten zu Outsourcing mit US-Bezug).
Wie vorerwähnt bleibt das Unternehmen als Verantwortlicher in der Pflicht. Hierzu kann es sinnvoll sein, Unterstützungspflichten mit vertraglichen Vereinbarungen (z.B. Mitwirkungspflichten) zu regeln und/oder spezifische organisatorische Massnahmen zu treffen. Vordergründig geht es dabei um die Betroffenenrechte (Auskunft, Berichtigung, Löschung), aber auch um Instrumente und Pflichten aus dem Gesetz (Datenschutzverletzungen, Datenschutzfolgeabschätzungen, etc.).
Nicht selten fehlen Regelungen zur Verantwortlichkeit und Haftung sowie daraus resultierender Kosten – oder sie werden einseitig verlegt. Sinnvoll scheint, die Haftung an die Dynamik des Dienstleistungsverhältnisses anzupassen, insbesondere wie selbständig der Dienstleister für das Unternehmen agiert. Die Kosten sind insbesondere transparent zu machen und orientieren sich wohl am besten am Verursacherprinzip.
Outsourcing mit US-Bezug
Findet beim Outsourcing eine Datenbekanntgabe ins Ausland statt, muss ausserdem geprüft werden, ob die Länder, in denen die Daten bearbeitet werden, ein angemessenes Datenschutzniveau aufweisen. Primär orientiert sich dies am Entscheid des Bundesrates, also an der Liste von Staaten mit einem angemessenen Datenschutz nach Datenschutzverordnung (DSV). Wenn sich der Dienstleister in einem Land befindet, welches kein mit dem Schweizer vergleichbares Datenschutzniveau bietet, oder die Daten in Ländern bearbeitet werden, die kein angemessenes Schutzniveau im Vergleich zur Schweiz bieten, müssen zusätzliche Massnahmen getroffen werden. Vordergründig ist dabei an Standarddatenschutzklauseln (auch „Standard Contractual Clauses“ SCC genannt) zu denken.
Ein Spezialfall stellt mithin die USA dar. Mit dem Wegfall des EU-US-Privacy-Shields – und in der Folge des Swiss-US-Privacy-Shields – durch das Schrems-II Urteil des Europäischen Gerichtshofs im Juli 2020 ist die datenschutzkonforme Bearbeitung von vertraulichen Daten durch einen US-amerikanischen Anbieter komplexer geworden. Zwischenzeitlich verhalf man sich mit SCC – ohne Rechtssicherheit, ob dies genügen würde. Nun bietet das neue Swiss-U.S. Data Privacy Framework für zertifizierte US-Unternehmen einen angemessenen Schutz für Personendaten. In diesem Umfang setzte nun der Bundesrat die USA wieder auf die Liste der Länder mit einem angemessenen Datenschutzniveau und erlauben künftig die Übermittlung von Personendaten aus der Schweiz an zertifizierte Unternehmen in die USA ohne zusätzliche Garantien. Der Bundesrat hat die entsprechende Änderung der DSV auf den 15. September 2024 in Kraft gesetzt.