Key Message. Ein Auftragsdatenverarbeitungsvertrag (ADV, AV-Vertrag) ist eine rechtliche Vereinbarung für Unternehmen, die personenbezogene Daten durch Dritte verarbeiten lassen oder für Dritte verarbeiten. Einen ADV abzuschliessen ist eine der Vorgaben gemäss dem Datenschutzrecht. Mit einem strukturierten Vorgehen und der Verwendung einer passenden Vorlage, lässt sich die Pflicht mit einigermassen sinnvollen Aufwand erfüllen.
Im Detail
Was ist ein ADV?
Ein Auftragsdatenverarbeitungsvertrag, oft auch kurz als ADV oder AV-Vertrag bezeichnet, ist eine rechtlich bindende, vertragliche Vereinbarung zwischen einem Datenverantwortlichen und einem Datenverarbeiter. Der Vertrag regelt die Bedingungen, unter denen personenbezogene Daten von einem Unternehmen (dem Auftraggeber) an einen Dienstleister (den Auftragnehmer) zur Verarbeitung übergeben werden und vom Auftragnehmer verarbeitet werden.
Gemäss dem schweizerischen Datenschutzgesetz (DSG) und der europäischen Datenschutz-Grundverordnung (DSGVO) muss dieser Vertrag bestimmte Elemente enthalten, wobei die Vorgaben der DSGVO wesentlich detaillierter sind als jene im DSG.
Wer benötigt ihn?
Jedes Unternehmen, das personenbezogene Daten durch Dritte verarbeiten lässt, benötigt einen ADV. Dies betrifft z.B: jedes Unternehmen, welches externen Cloud-Speicherplatz oder Saas-Lösungen von Dritten nutzt oder die Personalverwaltung und andere Prozesse auslagert, bei denen personenbezogene Daten bearbeitet werden. Heutzutage ist entsprechend (fast) jedes Unternehmen verpflichtet ADV für bestimmte Bereiche abzuschliessen.
Die Auftragnehmer, welche Daten für ihre Kunden verarbeiten, sind unter der DSGVO ebenfalls verpflichtet den ADV abzuschliessen. Unter Schweizer Recht besteht diese Pflicht zwar nur für den Datenverantwortlichen (also den Kunden einer z.B. Cloud-Lösung). In der Praxis sehen sich die Anbieter jedoch gezwungen einen ADV abzuschliessen, weil die Kunden diesen benötigen.
Wichtigste Anwendungsfälle
Cloudspeicherplatz: Unternehmen, die Cloud-Dienste zur Speicherung oder Verarbeitung von personenbezogenen Daten nutzen, müssen sicherstellen, dass ihre Cloud-Anbieter die Datenschutzanforderungen erfüllen. Hierfür ist ein ADV zwischen dem Kunden und dem Cloud-Provider abzuschliessen. Viele Cloud-Anbieter bieten den ADV bereits gemäss ihren Standardkundenverträgen an.
SaaS-Lösungen: Anbieter von Software-as-a-Service (SaaS)-Lösungen müssen ebenfalls einen ADV abschliessen, wenn sie im Auftrag ihrer Kunden Daten verarbeiten.
Externe Treuhänder: Externe Treuhänder bearbeiten ebenfalls personenbezogene Daten und ein ADV zwischen Kunde und Treuhänder ist nötig.
Wie erstelle ich den Vertrag am schnellsten?
Die Erstellung eines ADV kann schnell und effizient erfolgen, wenn die folgenden Schritte beachtet werden:
A. Als Anbieter, d.h. Auftragsverarbeiter:
- Data Map: Erstelle eine Übersicht wie die Daten für die Kunden verarbeitet werden. Essenziell sind folgende Punkte: Ort der Speicherung der Daten, Beizug von Drittanbietern bei der Datenbearbeitung.
- Vorlagen nutzen: Beginne mit einer Vorlage, die bereits die rechtlichen Anforderungen erfüllt und Anbieter-freundlich ist. Die Ausgestaltung je nachdem ob dein Unternehmen Datenverantwortlicher oder Verarbeiter ist, kann sehr unterschiedlich ausfallen.
- Anpassung an spezifische Bedürfnisse: Passe die Vorlage an die spezifischen Umstände des Unternehmens an.
- Kommunikation mit den Kunden: Die Erfahrung zeigt, dass Kunden in der Regel froh sind, wenn die Auftragsverarbeiter einen fairen Vertrag anbieten.
B. Als Kunde, d.h. als Datenverantwortlicher:
- Data Map: Erstelle eine Übersicht, welche Drittanbieter welche personenbezogenen Daten für dein Unternehmen bearbeiten.
- Kommunikation mit den Anbietern: Kontaktiere die Anbieter mit deinem Anliegen einen ADV abzuschliessen. Einige werden eine eigene Vorlage haben (teilweise sogar online direkt abschliessbar), andere werden nichts vom Thema wissen wollen. Erkläre, dass du den gesetzlichen Pflichten nachkommen willst und daher das Thema adressieren willst.
- Vorlagen nutzen: Wenn ein Anbieter keine eigene Vorlage hat, beginne mit einer Vorlage, die bereits die rechtlichen Anforderungen erfüllt und Kunden-freundlich ist. Die Ausgestaltung je nachdem ob dein Unternehmen Datenverantwortlicher oder Verarbeiter ist, kann sehr unterschiedlich ausfallen.
- Anpassung an spezifische Bedürfnisse: Passe die Vorlage und insb. die Vorlage des Anbieters (sofern möglich) an die spezifischen Umstände deines Unternehmens und insb. der Art der Daten, Zweck der Verarbeitung etc. an. Beachte insb. die Themen Ort der Speicherung und Beizug von Unterauftragnehmern.
Zusatz für Software-Unternehmen: Nutzen als Vertrauenselement
Durch die Implementierung eines gut strukturierten, rechtlich korrekten und fairen ADV kann dein Software-Unternehmen nicht nur die rechtlichen Anforderungen erfüllen, sondern auch das Vertrauen der Kunden und Partner stärken. Es zeigt, dass das Unternehmen Datenschutz ernst nimmt und bereit ist, in die notwendigen rechtlichen und organisatorischen Massnahmen zu investieren, um die Integrität und Sicherheit personenbezogener Daten zu gewährleisten.
Falls du dich bei den obigen Schritten von Lex Futura begleiten lassen willst, findest du hier unser Fixpreisprodukt .