Auftragsverarbeiter sind Unternehmen oder Personen, die im Auftrag eines für die Datenverarbeitung Verantwortlichen personenbezogene Daten verarbeiten. Sie spielen eine zentrale Rolle im Rahmen der DSGVO, da sie die operative Durchführung der Datenverarbeitung übernehmen, während der Verantwortliche die Zwecke und Mittel festlegt.

In der Schweiz müssen Auftragsverarbeiter besonders sorgfältig arbeiten, um sowohl nationale als auch internationale Vorschriften einzuhalten.

Die DSGVO legt klare Verpflichtungen für Auftragsverarbeiter fest, um den Schutz personenbezogener Daten zu gewährleisten. Sie müssen strikt nach den Anweisungen des Verantwortlichen handeln und geeignete technische und organisatorische Massnahmen implementieren, um ein angemessenes Schutzniveau sicherzustellen. Dazu gehören die Wahrung der Vertraulichkeit sowie die regelmässige Überprüfung und Aktualisierung der Sicherheitsvorkehrungen.

Ein zentraler Bestandteil der Zusammenarbeit zwischen Verantwortlichen und Auftragsverarbeitern ist ein schriftlicher Vertrag, der präzise Anweisungen zur Datenverarbeitung enthält und die Grundlage der eigentlichen Verarbeitung darstellt. Dieser muss sicherstellen, dass der Auftragsverarbeiter alle geltenden Datenschutzvorschriften einhält. Zudem sollte der Vertrag Klauseln enthalten, die es dem Verantwortlichen ermöglichen, die Einhaltung der Datenschutzstandards zu kontrollieren. In der Schweiz muss dieser Vertrag zusätzlich den Anforderungen des Bundesgesetzes über den Datenschutz (DSG) entsprechen.

Die Sicherstellung der Datensicherheit gehört zu den wichtigsten Aufgaben des Auftragsverarbeiters. Laut DSGVO und schweizerischem Datenschutzrecht sind sie verpflichtet, eine Reihe von technischen und organisatorischen Schutzmassnahmen zu ergreifen. Dazu zählen unter anderem die Verschlüsselung von Daten, Zugangsbeschränkungen und die regelmässige Schulung der Mitarbeitenden in Datenschutzfragen. Diese Massnahmen müssen fortlaufend auf ihre Wirksamkeit überprüft und an neue Bedrohungen angepasst werden.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bietet in der Schweiz Richtlinien und Empfehlungen zur Datensicherheit an, die Unternehmen beachten sollten, um eine rechtskonforme und sichere Datenverarbeitung zu gewährleisten.

Ein weiterer entscheidender Aspekt der Rolle des Auftragsverarbeiters ist die Schulung und Sensibilisierung seiner Mitarbeitenden in Datenschutzfragen. Eine durchdachte Schulungsstrategie hilft, menschliche Fehler zu minimieren, die häufig zu Datenschutzverletzungen führen. Mitarbeitende sollten nicht nur mit den Bestimmungen der DSGVO und des schweizerischen Datenschutzgesetzes vertraut sein, sondern auch mit den spezifischen Datenschutzpraktiken ihres Unternehmens.

Diese Schulungen müssen regelmässig aktualisiert werden, um technologischen Entwicklungen und Änderungen in der Rechtslage Rechnung zu tragen.

Im Falle einer Datenschutzverletzung ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Diese Meldepflicht ermöglicht es dem Verantwortlichen, geeignete Massnahmen zu ergreifen, um die Folgen der Verletzung zu minimieren. Die DSGVO schreibt vor, dass eine Meldung spätestens 72 Stunden nach Bekanntwerden der Verletzung erfolgen muss. In der Schweiz gilt eine ähnliche Dringlichkeit, wobei der EDÖB bei gravierenden Vorfällen benachrichtigt werden kann.

Ein weiterer zentraler Punkt für Auftragsverarbeiter ist die regelmässige Durchführung interner Audits und Überprüfungen. Diese Audits gewährleisten, dass alle Datenschutzmassnahmen ordnungsgemäss implementiert und aufrechterhalten werden. Die Ergebnisse sollten dokumentiert und, falls erforderlich, an den Verantwortlichen weitergeleitet werden. Solche Audits helfen zudem, Schwachstellen in den Datenschutzvorkehrungen frühzeitig zu identifizieren und Korrekturmassnahmen zu ergreifen.

Der Datenschutz entwickelt sich kontinuierlich weiter, beeinflusst durch technologische Fortschritte und gesetzliche Rahmenänderungen. Auftragsverarbeiter müssen sich diesen Veränderungen anpassen. Die Einführung neuer Technologien, wie Künstlicher Intelligenz und automatisierter Verarbeitungssysteme, stellt neue Herausforderungen, aber auch Chancen für den Datenschutz dar.

In der Schweiz könnten Auftragsverarbeiter künftig mit zusätzlichen Leitlinien und Vorschriften seitens des EDÖB rechnen, um sicherzustellen, dass die Datenschutzstandards international konkurrenzfähig bleiben.