Neues Datenschutzgesetz: Auch der Einkauf ist gefordert

Was mittlerweile bei vielen Unternehmen bereits der guten Praxis entspricht, wird neu für alle zur Pflicht. Wer noch nicht so weit ist, für den bilden die Überlegungen zu den folgenden Leitfragen einen guten Start auf dem Weg zur nDSG-Compliance:

• Welche Personendaten bearbeitet mein Unternehmen zu welchen Zwecken?
• Von wem erhält mein Unternehmen die Personendaten?
• Wie lange speichert mein Unternehmen die Personendaten?
• Wie schützt mein Unternehmen die Personendaten?
• Wie informiert mein Unternehmen betroffene Personen über die Beschaffung und Bearbeitung der Personendaten?
• Ganz wichtig für den Einkauf: Hat mein Unternehmen die Kontrolle über Auftragsbearbeiter in einem Vertrag schriftlich geregelt?
• Hat mein Unternehmen allfällige Datentransfers ins Ausland abgesichert?

Im Folgenden beleuchten wir einige Aspekte genauer und zeigen auf, wie dies im Alltag einer jeden Einkäuferin und eines jeden Einkäufers relevant werden wird.  

Verträge mit Dienstleistenden 

Beim Beizug externer Dienstleistenden müssen KMUs eruieren, in welcher datenschutzrechtlichen Rolle sie diese beiziehen. Bearbeitet die Dienstleisterin Personendaten der Kundin in deren Auftrag? Hat sie nur bei Gelegenheit der Diensterfüllung Zugriff auf Personendaten (zum Beispiel beim Support oder der Wartung von IT-Systemen)? Oder bearbeitet sie Personendaten einzig zu eigenen Zwecken und ohne Instruktion der Kundin (beispielsweise, wenn es um die Kontaktpflege im Rahmen des Relationship Managements geht)? 

Die Abgrenzungen sind nicht immer ganz einfach, aber eben doch relevant. Denn nur im erstgenannten Fall ist ein sogenannter Auftragsdatenbearbeitungsvertrag (ADV) notwendig. Dies geht in der Praxis erfahrungsgemäss oft unter und man beübt sich selbst. Das muss nicht sein.

Dort, wo es tatsächlich einen ADV braucht, sind die Einkäuferinnen und Einkäufer gefordert. Das nDSG verpflichtet Unternehmen dazu, die Kontrolle über Auftragsbearbeiter vertraglich sicherzustellen. Das Gesetz gibt im Wesentlichen Kontrollziele vor: Verantwortliche müssen die Weisungsgebundenheit der Auftragsbearbeiter und die Gewährleistung der Datensicherheit vertraglich absichern. 

Die Anforderungen sind also eher generell gehalten – eine Eigenart des Schweizer Datenschutzrechts, die es (wir finden in erfrischender Weise) von den Regelungen in der Datenschutz-Grundverordnung unterscheidet.

Im Gegensatz dazu gibt die DSGVO eine ganze Liste mit Mindestregelungspunkten detailliert vor. Ist der Auftragsbearbeiter in der EU oder im EWR niedergelassen oder gilt für das Kundenunternehmen die DSGVO, werden die Vertragsparteien die entsprechenden Regelungspunkte berücksichtigen müssen. 

Unabhängig davon entspricht es heute mittlerweile guter Praxis, die entsprechenden Punkte bei der Ausgestaltung von ADVs zu berücksichtigen. Dazu gehören namentlich Zusicherungen in Bezug auf den Beizug oder den Austausch von Unterauftragsbearbeitern, Kooperations- und Vertraulichkeitspflichten, Prüfrechte und Regelungen hinsichtlich des Orts der Bearbeitung sowie zur Bekanntgabe von Personendaten ins Ausland.

Wichtig ist aber 

Was guter Praxis entspricht und im Unternehmensalltag Sinn macht, wird deswegen nicht zur Rechtspflicht. Rechtsanwendende Behörden in der Schweiz haben ausschliesslich das nDSG anzuwenden – nicht die DSGVO. Je nach Risikoexposition erfordert die Kontrolle über Auftragsbearbeiter mal eine detailliertere, anderswo aber auch nur eine generelle Absicherung der Weisungsgebundenheit und Datensicherheit. Die in der EU von Aufsichtsbehörden, Gerichten oder Kommentierenden zumal geäusserten (teilweise sehr strengen) Ansichten und Wunschvorstellungen an ADVs können Behörden und Gerichte in der Schweiz nicht unbesehen übernehmen. 

Für Schweizer KMU kann es sich lohnen, den in der Schweiz möglichen Pragmatismus mit Augenmass zu nutzen. Dies kann den Verhandlungsaufwand in Beschaffungssituationen überschaubar halten.

Integrale Sicherheitsaspekte 

Gemäss nDSG müssen Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit (das heisst die Datensicherheit) der von ihnen bearbeiteten Personendaten sicherstellen. Dazu müssen sie den Schutzbedarf bestimmen und (daran sowie am Risiko für betroffene Personen gemessen) angemessene Massnahmen festlegen, implementieren, dokumentieren und pflegen. Es bietet sich an, die getroffenen Massnahmen zu dokumentieren (sogenannte TOMs, also Technische und Organisatorische Massnahmen). 

Sicherheitsaspekte sind somit mehr denn je integraler Bestandteil einer jeder Beschaffung, v. a. wenn der Dienstleister für das Unternehmen Personendaten speichert, technisch bearbeitet (zum Beispiel in Applikationen oder Cloud-Lösungen) oder inhaltlich damit arbeitet (beispielsweise im Rahmen von Marketingunterstützung).

Bekanntgabe ins Ausland

Das Datenschutzrecht hält Regelungen für die Bekanntgabe (das heisst den Transfer) von Personendaten ins Ausland bereit. In der Regel schliessen Unternehmen hierfür einen (neuerlichen, zusätzlichen) Vertrag mit der Datenempfängerin im Ausland ab, der «ihren» betroffenen Personen Direktansprüche gegen diese Datenempfängerin im Ausland gibt. Von einem solchen Vertrag kann man absehen, wenn das Importland ein angemessenes datenschutzrechtliches Schutzniveau aufweist. 

Diese Massnahmen sind bei Lichte betrachtet vor allem Formalismen. Diese etwas plakative Aussage leitet sich aus dem folgenden Selbstverständnis ab: Das Wichtigste am Datenschutzrecht ist gute technische und organisatorische Sicherheit. Ein Vertrag kann diese stützen, aber ohne technische (und organisatorische) Sicherheit «ist alles nichts». 

Trotzdem werden sich Einkäuferinnen und Einkäufer in Zukunft vermehrt auch mit dieser Fragestellung auseinanderzusetzen haben. Weiss ich, ob meine Dienstleisterin Personendaten ins Ausland transferiert und, wenn ja, in welche Staaten? Sind diese Auslandtransfers rechtlich (also wie oben gesehen somit meistens auch vertraglich) korrekt abgesichert? Diese Analyse ist nicht immer ganz einfach und erfordert oft die Involvierung von technischen, aber auch rechtlichen Spezialisten.

Keine Herkulesaufgabe

Die Umsetzung der neuen Datenschutzvorschriften ist seriös anzugehen, aber stellt an sich auch keine unüberwindbare oder komplexe Herkulesaufgabe dar. 
In vielen Unternehmen wird dabei der Kelch an den Einkäufer:innen nicht ganz vorübergehen. Richtig instruiert, können sie sogar eine wichtige Rolle in der Umsetzung der Datenschutz-Compliance im Unternehmen spielen.