Was bedeutet eigentlich «Wir sind DSGVO-konform.» ?

Jun 6, 2024

Bei der Evaluierung von neuen Tools hört man in letzter Zeit oft die pauschale Aussage «Wir sind DSGVO-konform.». Damit suggeriert ein Dienstleister (datenschutzrechtlich: Auftragsbearbeiter), dass die Bearbeitung von Personendaten in Übereinstimmung mit der Europäischen Datenschutz-Grundverordnung (DSGVO) erfolgt.

Was aber heisst dies aus Sicht eines Schweizer Unternehmens? Lässt sich automatisch darauf schliessen, dass der Dienstleister auch nach Schweizer Datenschutzrecht konform handelt? Und werden durch den Abschluss eines DSGVO-konformen Vertrages mit dem Dienstleister auch die Anforderungen des Schweizer Datenschutzgesetzes (DSG) erfüllt?

Patrick Knabenhans, Rechtsanwalt, AEW Energie AG, und Michèle Balthasar, Dr. iur. Rechtsanwältin, Balthasar Legal AG, haben eine Annäherung gewagt.

 

Einhaltung der Grundsätze zur Bearbeitung von Personendaten

Beiden Gesetzgebungen gemeinsam ist, dass die Grundsätze zur Bearbeitung von Personendaten eingehalten werden müssen. Diese Grundsätze sind ähnlich ausgestaltet und lassen sich wie folgt zusammenfassen:

  • Personendaten dürfen nur zu einem bestimmten Zweck bearbeitet werden (Zweckbindung).
  • Die Datenerhebung muss erforderlich sein und es soll ein überwiegendes Interesse des Verantwortlichen an der Erhebung bestehen. Es dürfen deshalb nur Personendaten gespeichert und bearbeitet werden, die für eine konkrete Aufgabenerfüllung notwendig sind. Nicht mehr benötigte Daten sind unter Berücksichtigung allfälliger gesetzlicher Aufbewahrungsfristen zu vernichten (Verhältnismässigkeit).
  • Sowohl die Beschaffung der Daten als auch der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein (Transparenz).
  • Personendaten dürfen nicht ohne Wissen und gegen den Willen der betroffenen Person beschafft werden. Diese darf darauf vertrauen, dass der Verantwortliche, welcher die Personendaten bearbeitet, sorgfältig damit umgeht (Treu und Glauben).
  • Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern. Es muss sichergestellt sein, dass die Daten richtig, vollständig und aktuell sind. Ist dies nicht der Fall, müssen die Daten korrigiert oder vernichtet werden (Datenrichtigkeit).

Während das DSG vom «Erlaubnisprinzip mit Verbotsvorbehalt» ausgeht, gilt nach der DSGVO das «Verbotsprinzip mit Erlaubnisvorbehalt». Damit ist das DSG für Unternehmen etwas günstiger ausgestaltet als die DSGVO, da Datenbearbeitungen nicht prinzipiell verboten sind.

 

Gewährleistung der Datensicherheit

Sowohl nach der DSGVO als auch nach dem DSG stehen Verantwortliche und Auftragsbearbeiter in der Pflicht, durch technische und organisatorische Massnahmen («TOM») eine dem Risiko angemessene Datensicherheit zu gewährleisten.

In der Schweiz werden die Mindestmassnahmen in der Datenschutzverordnung (DSV) definiert. Mit der Revision im Jahr 2023 sind die bisherigen Vorschriften überarbeitet und ergänzt worden, um sie auf den aktuellen Stand der Technik abzustimmen und um den Vorgaben der Schengen-relevanten Richtlinie (EU) 2016/680 zu genügen. Zudem wurde Wert auf die Kompatibilität mit der DSGVO gelegt, damit Schweizer Unternehmen, die bereits in der EU tätig sind und eine DSGVO-konforme Datensicherheit gewährleisten, auch in der Schweiz die Mindestanforderungen erfüllen. Daraus lässt sich ableiten, dass «DSGVO-konforme» Dienstleister die Vorgaben bzgl. Datensicherheit gemäss DSG und DSV einhalten.

 

Datenbearbeitung im Auftragsverhältnis

Dienstleister, welche Personendaten bearbeiten, haben ferner Art. 28 DSGVO und/oder Art. 9 DSG zu beachten. Beide Bestimmungen sind ähnlich ausgestaltet, wobei die DSGVO die Verpflichtungen des Auftragsbearbeiters detaillierter aufführt. Deshalb lehnt man sich in der Schweiz bei der Ausgestaltung von Auftragsbearbeitungsverträgen gerne an die Vorschriften der DSGVO an.

Nach Art. 9 DSG darf der Verantwortliche die Bearbeitung von Personendaten einem Auftragsbearbeiter nur dann übertragen, wenn (kumulativ):

    • dieser die Personendaten so bearbeitet, wie dies der Verantwortliche selbst tun dürfte;
    • keine gesetzliche und vertragliche Geheimhaltungspflicht die Übertragung verbietet.

Das verantwortliche Unternehmen vergewissert sich dabei, dass der Auftragsbearbeiter in der Lage ist, die Datensicherheit zu gewährleisten.

Hinzu kommen weitere allgemeine datenschutzrechtliche Pflichten des Dienstleisters:

    • Der Auftragnehmer darf nur nach Weisung des Verantwortlichen Personendaten bearbeiten (Weisungsgebundenheit).
    • Die Übertragung der Datenbearbeitung an einen Unterbeauftragten bedarf der vorgängigen Zustimmung des Auftraggebers (Vetorecht).
    • Eine Datenschutz- bzw. Datensicherheitsverletzung ist dem Auftraggeber zu melden (Meldepflicht). Hier ist zu berücksichtigen, dass das europäische und schweizerische Recht sowohl die Fristen als auch die Risikoschwelle bzgl. Benachrichtigung der Behörden leicht anders regeln.

 

Keine Verpflichtung zur Einhaltung des Berufsgeheimnisses nach DSG

Wie erwähnt, verbietet Art. 9 DSG die Bearbeitung von Personendaten durch einen Auftragsbearbeiter, sofern eine gesetzliche und vertragliche Geheimhaltungspflicht die Übertragung untersagt.

Als gesetzliche Geheimhaltungspflicht gilt etwa das Berufsgeheimnis eines Rechtsanwaltes oder eines Arztes (Art. 321 Ziff. 1 StGB). Handelt es sich beim Auftragsbearbeiter um eine Hilfsperson eines solchen Berufsgeheimnisträgers, unterstellt ihn das StGB ebenfalls dem Berufsgeheimnis. Eine Offenbarung von Personendaten an eine Hilfsperson des Berufsgeheimnisträgers ist damit nicht als Verletzung einer gesetzlichen Geheimhaltungspflicht zu qualifizieren. In der Lehre wird deshalb die Meinung vertreten, dass eine Übertragung von Personendaten an einen Auftragsbearbeiter trotz gesetzlicher Geheimhaltungspflicht möglich ist.

Ein Verbot einer Auslagerung der Datenbearbeitung bei Vorliegen einer gesetzlichen Geheimhaltungspflicht ist in der DSGVO nicht vorgesehen. In Deutschland wurde allerdings nach Inkrafttreten der DSGVO mit dem «Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen» verschiedene Gesetze zu Berufsgeheimnissen novelliert. So dürfen nunmehr u.a. die in § 203 Abs. 1 oder 2 StGB genannten Berufsgeheimnisträger (wie Ärzte, Zahnärzte, Tierärzte, Apotheker oder Angehörige eines anderen Heilberufs) bspw. externen Dienstleistern, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, Geheimnisse unter den Voraussetzungen des § 203 Abs. 3 und 4 StGB offenbaren. Im Gegenzug unterliegt der externe Dienstleister ähnlich wie in der Schweiz nach Art. 321 StGB nunmehr ebenfalls einer auch strafrechtlich sanktionierten Verschwiegenheitspflicht. Es ist davon auszugehen, dass auch in den anderen EU-Mitgliedstaaten ähnliche Regelungen getroffen wurden.

 

Fazit

Zusammenfassend bedeutet die Aussage «Wir sind DSGVO-konform.» für ein Schweizer Unternehmen, dass der Dienstleister die datenschutzrechtlichen Vorgaben nach DSGVO einhält und damit grundsätzlich auch den Anforderungen des DSG und der DSV genügt.

Letztendlich liegt es aber am Verantwortlichen, sich zu vergewissern, ob der Dienstleister die datenschutzrechtlichen Vorgaben tatsächlich einhält. Denn der Verantwortliche bleibt für die rechtmässige Bearbeitung der Personendaten verantwortlich.

 


Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme. 

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.