Pflichten bei Datenbearbeitungen durch Dritte

Aufgrund der zunehmenden Digitalisierung beauftragen Genossenschaften vermehrt externe Dienstleister mit der Verwaltung beziehungsweise Datenbearbeitung. Seit dem Inkrafttreten des neuen Datenschutzgesetzes (DSG) bestehen bei der Datenbearbeitung durch einen Dritten (sogenannte Auftragsdatenbearbeitungen) neue Pflichten¹.
Bei Genossenschaften können solche Konstellationen vorkommen, wenn sie Verwaltungsverträge mit externen Dienstleistern beziehungsweise Verträge betreffend gemeinsamer Geschäftsstelle abschliessen und zu sogenannten Cloud-Lösungen greifen. Weil mit einer Auftragsdatenbearbeitung für die Grund- und Persönlichkeitsrechte der betroffenen Personen spezifische Risiken bestehen, hat der Gesetzgeber eine besondere Bestimmung für die Auftragsdatenbearbeitung geschaffen.
Falls im Rahmen des Verwaltungsvertrags oder eines Vertrags zu einer gemeinsamen Geschäftsstelle Cloud-Lösungen benutzt werden, muss der genannte Vertrag noch um einen Vertrag zur Auftragsdatenbearbeitung ergänzt werden. Eine Auftragsdatenbearbeitung liegt vor, wenn die Bearbeitung von Personendaten durch das Unternehmen an externe Dienst­leister übertragen wird. Im neuen DSG wurde die Auftragsdatenbearbeitung erstmals explizit geregelt.²

Pflichten
Zunächst hat die Auftraggeberin den Auftragnehmer³ sorgfältig auszuwählen, zu instruieren und bei der Aufgabenerfüllung zu überwachen. Mindestens die folgenden Punkte müssen geregelt werden:
Bezeichnung der Art von Daten, die zu bearbeiten sind

• Regelung des Weisungsrechts gegenüber Auftragsbearbeiterin
• Steuerung des Beizugs von Subunternehmern durch die Auftragsbearbeiterin (vorgängige Genehmigung)
• Sicherstellung der Datenübertragung in einen sicheren Drittstaat
• Sicherstellung der Datensicherheit durch technische und organisatorische Massnahmen (sogenannte TOM).

Knackpunkt Schutzniveau

Da die zu bearbeitenden Daten oft der Geheim- oder Privatsphäre von Genossenschaftsmitgliedern zuzuordnen sind, müssen diese besonders geschützt werden. Sensible Daten wie Personendaten (Name, Vorname, Geburtsdatum, aber auch Bankdaten) sollten jedenfalls nicht ohne zusätzliche Vorkehrungen auf der Cloud beziehungsweise in beliebigen Drittstaaten gespeichert werden. Der mit dem Cloud-Anbieter geschlossene Vertrag zur Auftragsverarbeitung müsste konkrete technische und organisatorische Massnahmen benennen.

Datenbearbeitungsstandorte in der Schweiz sind zu bevorzugen. Bei ausländischen Standorten sollten Staaten, die über ein gleichwertiges Datenschutzniveau verfügen, gewählt werden.⁴ Als solche Staaten gelten grundsätzlich die EU-/EFTA-Staaten beziehungsweise diejenigen Länder, welche in Anhang 1 der Datenschutzverordnung DSV genannt werden.
Der Datentransfer in ein «unsicheres Drittland», wo kein Angemessenheitsbeschluss vorhanden ist, wäre nach einer Risikoanalyse theoretisch möglich. Dafür wären aber im Gegenzug Garantien in den Vertrag aufzunehmen (zum Beispiel Standardvertragsklauseln) und eine Risikoanalyse vorzunehmen. Letztere ist mit Aufwand verbunden und für Genossenschaften kaum praktikabel. Deshalb wird bis auf Weiteres empfohlen, dass der Cloud-Anbieter seinen rechtlichen Sitz nicht in einem «unsicheren Drittstaat» (wie zum Beispiel den USA), sondern in der EU/EFTA oder in der Schweiz hat und die Daten ausschliesslich in Schweizer beziehungsweise europäischen Rechenzentren gehostet werden.
Ob diese Bedingungen erfüllt sind, kann dem Vertrag zur Auftragsverarbeitung mit dem Cloud-Anbieter entnommen werden.

Gratisdienste
Bei Cloud-Lösungen von Gratisdiensten wie Google-Drive ist oftmals unklar, wer Vertragspartner ist, wo dieser seinen Sitz hat und welchen Inhalt die Nutzungsbedingungen konkret haben. Solche Cloud-Lösungen sollten deshalb nur am Rande und ohne Ablegen von besonders schützenswerten Personendaten⁵ verwendet werden, zum Beispiel für die Buchung von Gemeinschaftsräumen oder zur Organisation eines Quartierfests.

Fazit
Der jeweilige neue oder bestehende Verwaltungsvertrag mit einem externen Dienstleister sollte noch um einen Vertrag zur Auftragsdatenbearbeitung ergänzt werden, in dem die Rechte und Pflichten der Datenbearbeitung genauer geregelt werden. Dieser Vertrag kann auch als Anhang in einen bestehenden Vertrag eingefügt werden.