Auftragsdatenverarbeitung im Drittland Schweiz

Auftragsdatenverarbeitung im Drittland Schweiz
Auftragsdatenverarbeitung in der Schweiz

Expertin Regina Mühlich (AdOrga Solutions) erklärt, was deutsche Unternehmer bei einer Auftragsdatenverarbeitung im Ausland beachten sollten und warum sich auch die Schweiz eignet. Sie ist zertifizierte Sachverständige und Beraterin zu Fragen rund um Datenschutz und Qualitätsmanagement. Sie und ihr Team unterstützen Unternehmen bei der Implementierung von Datenschutz-Management-Systemen sowie die Einführung von Qualitäts- und Informationssystemen. In diesem Beitrag erfahren Sie mehr zu zulässigen Drittländern und das Schweizer Datenschutzrecht.

Global agierend, übermitteln immer mehr deutsche Firmen personenbezogene Daten ins Ausland. Oftmals werden diese, ohne darüber nachzudenken und ganz selbstverständlich transferiert, ohne die datenschutzrechtlichen Rahmenbedingungen des betroffenen Landes näher zu kennen oder zu hinterfragen. Was bleibt, ist das Risiko eines Gesetzesverstoßes, der empfindlich geahndet wird. Hier erfahren Sie die mehr über rechtlichen Grundlagen für eine Auftragsdatenverarbeitung im Ausland und insbesondere bei Cloudanbietern in der Schweiz.

Zum Unterschied zwischen EU, EWR und Drittländern

Geht es um den Datentransfer ins Ausland, bietet das vereinte Europa Vorteile. Auch die Übermittlung in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestaltet sich unproblematisch (vgl. „sonstige ausländische Stellen“, § 4 b Abs 2 S. 2 BDSG). Problematisch sind jedoch Datentransfers in Länder, die weder der EU noch dem EWR angehören. Sie werden als sogenannte „Drittländer“ bezeichnet. Doch was ist ein Drittland? „Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte.“  Das Bundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.

Drittländer mit angemessenem Datenschutzniveau

Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht:
Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland.

Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau. Eine Datenübermittlung zur Auftragsdatenverarbeitung in diese Länder ist daher ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).

Auftragsdatenverarbeitung - Karte von Ländern mit angemessenem Datenschutzniveau (EU, EWR und Drittländer)
Überblickskarte: Aus EU-Sicht datenschutzrechtlich adäquate Länder (EU, EWR und Drittländer)

Deutschland vs. Schweiz: Eine ADV ist möglich

Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz. Eine Auftragsdatenverarbeitung ist daher möglich. Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar. Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den „Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“. Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.

Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a DSG): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden.

Ähnlich der Definitionen in Deutschland und Österreich, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d DSG), den besonders schützenswerten Daten gleichgestellt.

Auftragsdatenverarbeitung: Deutsche Daten in der Schweiz

Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber (Kunde) gilt das Schweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten heißt nach deutschem Recht immer eine „Übermittlung“ an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG). Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG), nach Schweizer Recht unproblematisch und zulässig.

Der Schweizer Auftragnehmer (etwa ein Clouddiensleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 – 10 DSG konkretisiert.

Vergleichbare technische und organisatorische Maßnahmen (TOM)

Das DSG und das BDSG stellen hier vergleichbare gesetzliche Anforderungen. 11 Abs. 1 und 2 BDSG verpflichtet die verantwortliche Stelle (Auftraggeber), seine Dienstleister für eine Auftragsdatenverarbeitung sorgfältig auszuwählen und zu kontrollieren. Das Schweizer Recht verpflichtet im Art. 10a Abs. 2 DSG den Auftraggeber sich zu vergewissern, dass der Dienstleister den Datenschutz und die Datensicherheit gewährleistet. In beiden Gesetzen – § 9 BDSG und Art. 8 Abs. 2, 3 und 9 VDSG – sind die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit geregelt. Es besteht weitestgehende Übereinstimmung:

TOM

Deutschland

Schweiz

Zutrittskontrolle § 9 BDSG Nr. 1 der Anlage Zugangskontrolle, Art. 9 Abs. 1a VDSG
Zugangskontrolle § 9 BDSG Nr. 2 der Anlage Benutzerkontrolle, Art. 9 Abs. 1f VDSG
Zugriffskontrolle § 9 BDSG Nr. 3 der Anlage Personendatenträgerkontrolle, Speicherkontrolle, Zugriffskontrolle, Art. 9 Abs. 1b, e und g VDSG
Weitergabekontrolle § 9 BDSG Nr. 4 der Anlage Transportkontrolle, Bekanntgabekontrolle, Art. 9 Abs. 1c und d VDSG
Eingabekontrolle § 9 BDSG Nr. 5 der Anlage Eingabekontrolle, Art. 9 Abs. 1 h VDSG
Auftragskontrolle § 9 BDSG Nr. 6 der Anlage Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. Art. 10a Abs. 2 DSG
Verfügbarkeitskontrolle § 9 BDSG Nr. 7 der Anlage Kein Pendant im DSG. Sichergestellt durch Allgemeine Maßnahmen. Art. 8 Abs.1 VDSG
Trennungskontrolle § 9 BDSG Nr. 8 der Anlage Kein Pendant im DSG. Festlegung gemäß Art. 10a Abs. 1 DSG möglich
 

Datenschutzverantwortlicher (CH) vs. Betrieblicher Datenschutzbeauftragter (D)

Ähnlich wie im DSG 2000 (regelt den Schutz von personenbezogenen Daten in Österreich) gibt es in der Schweiz keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzverantwortlichen. Das Schweizer Recht kennt in Art. 12a VDSG die Möglichkeit, einen betrieblichen Datenschutzverantwortlichen zu bestellen. Mit der Bestellung wird das Unternehmen von seiner Pflicht befreit, seine Datensammlungen gemäß Art. 11 Abs. 5e DSG anzumelden. Beide Gesetze kennen des Weiteren die Verpflichtung für Personen, die personenbezogene Daten verarbeiten: Art. 8 Abs. 1 VDSG (Vertraulichkeit, Verfügbarkeit, Integrität) und § 5 BDSG (Datengeheimnis).

Was bringt die EU-Datenschutzgrundverordnung?

Die DSGVO trat am 25. Mai 2016 in Kraft und hat ab 25. Mai 2018 EU-weit Gültigkeit. Der Transfer von personenbezogenen Daten in Staaten außerhalb der EU/EWR in sogenannte Drittstaaten wird nach dem 25. Mai 2018 weiterhin problematisch bleiben. Prinzipiell bestehen festgelegte Regelungen der EU-Datenschutzrichtlinie (95/46/EG) fort. Gibt es eine Rechtsgrundlage für die generelle Datenübermittlung, kann unter bestimmten Voraussetzungen eine Datenübermittlung erfolgen. Instrumentarien für die Übermittlung sind z.B.

  • EU-Standardvertragsklauseln. Dies sind von der EU-Kommission vorgegeben und deren Inhalt darf nicht verändert werden.
  • Binding Corporate Rules (BCR) sind ein von der Europäischen Kommission eingesetzten Artikel-29-Datenschutzgruppe entwickelter Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogene Daten. Diese erlauben es multinationalen Konzernen, internationalen Organisationen und Firmengruppen nach geltendem europäischem Recht, intern personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu transferieren. BCR müssen bestimmte Voraussetzungen erfüllen und bei den Aufsichtsbehörden einen „Genehmigungsprozess“ durchlaufen.

Neben diesen genannten Möglichkeiten sieht die DSGVO noch weiteres vor:

  • Gemäß Art. 45 Abs. 1 DSGVO darf eine Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation erfolgen, wenn die Kommission beschlossen hat, dass das betreffende Drittland […] ein angemessenes Schutzniveau bietet. Ein solche Datenübermittlung bedarf keiner besonderen Genehmigung.

Es ist davon auszugehen, dass die Schweiz auch nach dem 25. Mai 2018 als Drittland mit angemessenem Datenschutzniveau eingestuft wird.

  • In Art. 47 Abs. 2 DSGVO werden die Mindestanforderungen an BCR konkret geregelt.
  • Neu ist in der DSGVO, dass auch Verhaltensregeln (Art. 40 DSGVO) und die Möglichkeit einer Zertifizierung (Art. 42 DSGVO) eine Grundlage für einen Datentransfer sein können.
  • Des Weiteren werden in Art. 49 DSGVO „Ausnahmen für bestimmte Fälle“ geregelt. Sofern eine von sechs Bedingungen gegeben ist, wie z.B. Abs. 2 a) die Betroffene willigt ausdrücklich in die Datenübermittlung ein oder die Übermittlung ist gemäß Art. 2 b) für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung vor vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.

Die DSGVO bietet mit Art. 49, im Vergleich zum BDSG, einige Möglichkeiten für eine „erlaubte“ Datenübermittlung.

Datenschutzrisiko: Beratung schafft Sicherheit

Auch bei der Datenübermittlung an andere Drittländer gibt es viele Einzelheiten zu beachten. Damit eine Auftragsdatenverarbeitung zulässig wird, spielt es eine Rolle, ob das Drittland über ein angemessenes Datenschutzniveau verfügt, in welche Richtung Daten fließen, woher diese kommen und auch auf die individuelle Rechtslage im Drittland. Damit Unternehmen in diesem komplexen Umfeld keinen Schiffbruch erleiden und datenschutzrechtlich auf der sicheren Seite sind, empfiehlt sich eine professionelle Beratung und Betreuung durch einen Datenschutzbeauftragten. Er kennt die Notwendigkeiten und Rechtslagen der entsprechenden Länder und vermeidet auf diese Weise Wissenslücken, Rechtsbrüche und unnötigen juristischen Ärger.

Datenschutz ist kein Produkt, Datenschutz ist ein Prozess! Unter diesem Aspekt betrachtet, werden auch die Herausforderungen der DSGVO zu meistern sein.

Links und Gesetze zum Nachlesen

DSG https://www.admin.ch/opc/de/classified-compilation/19920153/index.html
VDSG https://www.koordination.ch/de/online-handbuch/dsg/art-vdsg/
BDSG https://www.gesetze-im-internet.de/bdsg_2018/
9 BDSG https://dejure.org/gesetze/BDSG_a.F./Anlage.html
Anlage zu § 9 BDSG https://dejure.org/gesetze/BDSG_a.F./Anlage.html
EU-DSGVO https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=DE