Winterthur, 06. Dezember 2023
Kategorie: Datenschutz
Wann muss ein Auftragsbearbeitungsvertrag zwischen Auftraggeber und Auftragnehmer abgeschlossen werden?
1. Was ist ein Auftragsbearbeitungsvertrag?
Ein Auftragsbearbeitungsvertrag ist ein rechtliches Dokument. Es wird benötigt, wenn einem externen Dienstleister Personendaten zur Bearbeitung weitergegeben werden. Unter Bearbeiten wird jeder Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen und Vernichten von Daten verstanden. Der Auftraggeber bleibt jedoch der Verantwortliche. Mit dem Auftragsbearbeitungsvertrag wird sichergestellt, dass der Auftragnehmer auf Weisungen des Verantwortlichen sorgfältig und datenschutzkonform handelt.
In der DSGVO der EU wird von einem Auftragsverarbeitungsvertrag und in der DSG der Schweiz von einem Auftragsbearbeitungsvertrag gesprochen.
2. Was regelt ein Auftragsbearbeitungsvertrag?
Ein Auftragsbearbeitungsvertrag regelt die Bedingungen, unter welchen der Auftragnehmer die Daten im Auftrag des Auftraggebers bearbeiten darf.
Die DSGVO macht im Gegensatz zum schweizerischen Gesetzgeber umfangreichere inhaltliche Vorgaben zur Auftragsverarbeitung. In Art. 28 Abs. 3 DSGVO wird festgehalten, welche Aspekte vertraglich geregelt sein müssen. Darunter gehören unter anderem die Befugnisse und Weisungen, der Gegenstand und die Dauer, der Zweck der Verarbeitung sowie die Rechte und Pflichten des Verantwortlichen.
3. Wann ist ein Auftragsbearbeitungsvertrag zwingend nötig?
Bei der Frage, ob es sich um eine Auftragsbearbeitung handelt und somit ein Auftragsbearbeitungsvertrag vorliegen muss, spielt die Weisungsgebundenheit eine entscheidende Rolle.
Auftragsbearbeitungsvertrag ist zwingend nötig | Ein Auftragsbearbeitungsvertrag ist zwingend nötig, wenn die Daten auf Weisung der verantwortlichen Person (Auftraggeber) bearbeitet werden. In anderen Worten, wenn der Auftragnehmer als „verlängerter Arm“ und nicht als Dritter agiert. |
Auftragsbearbeitungsvertrag wird empfohlen | In der DSGVO wird betont, dass im Zweifelsfall ein Auftragsverarbeitungsvertrag empfohlen wird, da dieser der juristischen Absicherung dient. Auch wenn Personendaten einem externen Dienstleister zur Bearbeitung weitergegeben werden, bleibt der Auftraggeber der Verantwortliche. Kommt es zu einer Datenschutzverletzung, so kann der Auftraggeber mit dem Auftragsbearbeitungsvertrag seine Unschuld beweisen. |
Auftragsbearbeitungsvertrag muss nicht abgeschlossen werden | Wenn ein Dienstleister allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet, ist er immer Verantwortlicher und nicht Auftragsbearbeiter. Dieser Definition folgend braucht es somit bei fremden Fachleistungen (Bsp.: Rechtsanwälte, Steuerberater, Wirtschaftsprüfer usw.) keinen Auftragsbearbeitungsvertrag. Selbst wenn in solchen Fällen unnötigerweise ein solcher abgeschlossen wird, werden diese Dienstleister trotzdem als Verantwortliche qualifiziert. |