English version below
Dieser Blogpost ist der fünfte unserer neuen Serie zum revidierten Schweizer Datenschutzgesetz.
Im revidierten Schweizer Datenschutzgesetz wird die Datenbearbeitung im Auftrag erstmals explizit geregelt (Art. 9 revDSG). Ein Auftragnehmer darf Personendaten nur so bearbeiten, wie dies der Auftraggeber auch dürfte. Der Auftragsdatenbearbeiter muss in der Lage sein, die Datensicherheit zu gewährleisten. Er darf die Datenbearbeitung nur mit vorgängiger Genehmigung des Auftraggebers an einen Subunternehmer übertragen.
Die Datenbearbeitung im Auftrag kommt im Alltag sehr häufig und in vielen verschiedenen Konstellationen vor. Sie liegt typischerweise vor, wenn Personendaten an einen externen Dienstleister übertragen werden. Beispiele von Auftragsdatenbearbeitungen sind:
- Hosting: Ein Kunde (Auftraggeber) lässt seine Webseite von einem Webhoster (Auftragnehmer) betreiben. Die IP-Adressen der Besucher sind teilweise Personendaten, welche vom Hoster im Auftrag des Kunden bearbeitet werden.
- Logistik: Ein Versandunternehmen (Auftragnehmer) übernimmt für einen Verkäufer (Auftraggeber) den Versand von Waren an die Endabnehmer. Die Adressdaten der Endabnehmer sind Personendaten, die vom Versandunternehmen im Auftrag des Verkäufers bearbeitet werden.
- Buchhaltung: Ein Treuhandunternehmen (Auftragnehmer) erstellt für seinen Kunden (Auftraggeber) die Buchhaltung. Die Personalinformationen in der Lohnbuchhaltung sind Personendaten, die das Treuhandunternehmen im Auftrag des Kunden bearbeitet.
- Call-Center: Ein Call-Center (Auftragnehmer) führt für seinen Kunden (Auftraggeber) Telefongespräche. Wenn in den Gesprächen Personendaten ausgetauscht werden, findet eine Datenbearbeitung im Auftrag des Kunden statt.
- IT-Support: Ein IT-Unternehmen (Auftragnehmer) greift auf die Systeme seines Kunden (Auftraggeber) zu, um die Systeme zu warten. Sofern sich auf den Systemen Personendaten befinden, liegt eine Auftragsdatenbearbeitung durch den Support vor.
Um den Anforderungen der Datenschutzgesetzgebung gerecht zu werden, wird zwischen dem Auftraggeber und dem Auftragnehmer typischerweise ein Auftragsdatenbearbeitungsvertrag (ADV) abgeschlossen. Darin wird vertraglich sichergestellt, dass der Auftragnehmer seine Kompetenzen nicht überschreitet und die Daten nur so bearbeitet, wie der Auftraggeber dies selbst tun würde. Auftragsdatenbearbeitungsverträge sind damit ein wichtiges Instrument der Datenschutz-Compliance.
Wenn ein Schweizer Unternehmen der europäischen DSGVO unterliegt, so muss es bereits heute die Regelung von Art. 28 DSGVO zum Auftragsdatenbearbeitungsvertrag einhalten. Art. 28 DSGVO gibt vor, welche Regelungen ein ADV mindestens enthalten muss.
In unserer Blogserie zum revidierten Schweizer Datenschutzgesetz beleuchten wir im Wochenrhythmus die wichtigsten Punkte der Revision.
English version:
Series revDSG: Data processing by order
This blogpost is the fifth in our new series on the revised Swiss Data Protection Act.
In the revised Swiss Data Protection Act, data processing by order is explicitly regulated for the first time (Art. 9 revDSG). A contractor may only process personal data in the same way as the client would be permitted to do. The data processor must be able to guarantee data security. He may only transfer data processing to a subcontractor with the prior approval of the client.
Data processing by order occurs very frequently in everyday life and in many different constellations. It typically occurs when personal data is transferred to an external service provider. Examples of commissioned data processing are:
- Hosting: a customer (client) has its website operated by a web hoster (contractor). The IP addresses of the visitors are partly personal data, which are processed by the hoster on behalf of the customer.
- Logistics: A shipping company (contractor) handles the shipping of goods to end users on behalf of a seller (client). The address data of the end buyers is personal data that is processed by the shipping company on behalf of the seller.
- Accounting: A fiduciary company (contractor) prepares accounting for its customer (client). Payroll personnel information is personal data processed by the fiduciary company on behalf of the client.
- Call Center: A call center (contractor) makes telephone calls for its customer (client). If personal data is exchanged in the calls, data processing takes place on behalf of the customer.
- IT support: An IT company (contractor) accesses the systems of its customer (client) in order to maintain the systems. If there is personal data on the systems, this is data processing on behalf of the support.
In order to meet the requirements of data protection legislation, a data processing agreement (DPA) is typically concluded between the client and the contractor. This contractually ensures that the contractor does not exceed its competencies and only processes the data in the same way as the client would do itself. Commissioned data processing contracts are therefore an important instrument for data protection compliance.
If a Swiss company is subject to the European GDPR, it must already comply with the provision of Art. 28 GDPR on data processing agreements. Art. 28 GDPR specifies which regulations a DPA must contain as a minimum.
In our blog series on the revised Swiss Data Protection Act, we highlight the most important points of the revision in a weekly rhythm.