09/2021 – Fachartikel Swiss Infosec AG
Wenn es um die Bearbeitung von Personendaten geht, braucht es im Verhältnis mit Externen je nach Umständen unterschiedliche Verträge. Wir liefern praxistaugliche Checklisten dazu.
NDA
NDA (Non-Disclosure Agreements) sind zweiseitige Verträge zur Sicherstellung der Vertraulichkeit (gleichwertige Bezeichnungen können sein: Confidentiality Agreement [CA], Geheimhaltungsvereinbarung etc.). Wird mit dem Dokument nur eine Partei verpflichtet, handelt es sich genau genommen nicht um einen Vertrag, sondern um eine einseitige Erklärung (die dann auch nur vom Erklärenden zu unterzeichnen ist). Bei Datenbearbeitungen unter der Schwelle einer Auftragsbearbeitung reicht in der Regel der Abschluss eines NDA. Achtung: Die Auffassung, was eine Auftragsbearbeitung ist, kann gerade für die Schweiz und Deutschland auseinanderklaffen: Die Zugriffsmöglichkeit von IT-Dienstleistern dürfte im Anwendungsbereich der EU-DSGVO beispielsweise bereits genügen, damit eine Auftragsbearbeitung vorliegt.
Checkliste NDA
- Wer sind die Vertragsparteien (einzelne Mitarbeitende eines Unternehmens als Privatpersonen oder Unternehmen als Arbeitgeber seiner Mitarbeitenden)?
- Vertraulichkeitsverpflichtung inkl. Überbindung an Mitarbeitende
- Zweckbindung zur Verwendung vertraulicher Daten
- Definition der Vertraulichkeit: Sind Personendaten wie erwünscht von der Vertraulichkeitsverpflichtung erfasst
- Sind Ausnahmen von der Vertraulichkeit so formuliert, dass dadurch der Schutz der Personendaten nicht aufgeweicht wird (z.B. ungünstig, wenn Vertraulichkeit bei Veröffentlichung von Informationen enden soll?)
- Dauer der Vertraulichkeitspflicht: zeitlich beschränkt oder unbeschränkt
- Rückgabe/Löschung von vertraulichen Informationen/Personendaten
- ev. Detaillierung technisch-organisatorischer Massnahmen
- Vertraulichkeitsverstösse: Greift gesetzliches Haftungsregime (Schaden, Vertragsverletzung, Verschulden und adäquater Kausalzusammenhang) oder sind strengere schadens- und verschuldensunabhängig wirksame Konventionalstrafen angebracht?
- Anwendbares Recht/Gerichtsstand geregelt
ABV
ABV ist die Abkürzung für Auftragsbearbeitungsverträge. Sie können auch in Form von Vertragsklauseln in andere Verträge eingebettet sein, um den datenschutzrechtlichen Anforderungen zu genügen. Um eine angemessene Verteilung der Rechte und Pflichten zu erreichen, ist es wichtig zu wissen, ob man Verantwortlicher oder Auftragsbearbeiter ist. Auftragsbearbeitungsverträge sind mit relativ geringfügigen Anpassungen auch zwischen Auftragsbearbeitern und ihren Unterauftragsbearbeitern möglich. Je nach wahrgenommener Rolle (Verantwortlicher oder Auftragsbearbeiter) der Partei, die der anderen einen Vorschlag für einen konkreten ABV unterbreitet, beinhalten ABV interessensbezogen eine unterschiedliche Verteilung der Rechte und Pflichten, die natürlich auf die Verhandlungsmacht der Beteiligten abgestimmt sein sollte. Gewisse grundlegende Aspekte bei der Vertragsgestaltung sind aber unabhängig davon zu beachten.
Rollenunabhängige Checkliste ABV
- Weisungsrecht des Verantwortlichen punkto Datenbearbeitung
- Standort(e) der Datenbearbeitung
- Zweckbindung der Datenbearbeitung
- Vertraulichkeitsverpflichtung inkl. Überbindung an Mitarbeitende
- Datensicherheit / technisch-organisatorische Massnahmen im erforderlichen Umfang geregelt (abhängig von Sensibilität der Daten, Datenmenge, Auslandübermittlung etc…)
- Kontrollrechte zugunsten des Verantwortlichen (z.B. Verpflichtung zur regelmässigen Berichterstattung und/oder Durchführung von Audits)
- Unterauftragsbearbeiter: Explizite Zustimmung zum Beizug oder reines Vetorecht; Überbindung von Vertragspflichten an diese
- Meldung von Datenschutzverletzungen/Datensicherheitsverletzungen an Verantwortlichen
- Unterstützung des Verantwortlichen bei Betroffenenrechten, Datenschutz-Folgenabschätzungen und weiteren Datenschutzpflichten
- Rückgabe/Löschung/Vernichtung Personendaten
- Kostentragung für Erfüllung Datenschutzpflichten
- Haftung (Varianten: keine Regelung [gesetzliche Haftung], genereller Verweis auf Hauptvertrag [dortige Regelung?], Verschärfung gesetzliche Haftung, Erleichterung/Ausschluss gesetzliche Haftung)
- anwendbares Recht/Gerichtsstand geregelt (bei generellem Verweis auf Hauptvertrag: dortige Regelung?)
- Bei Standort der Datenbearbeitung ausserhalb EU/EWR: Einbezug EU-Standardvertragsklauseln
- Vertragsbeginn und -beendigung
- nur DSGVO: zusätzliche Angabe zu Gegenstand und Dauer der Verarbeitung, Art der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen
Haben Sie Fragen zum Datenschutz? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.
Swiss Infosec AG; 01.09.2021
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch