Ihr Kontakt
Die spanische Datenschutzbehörde (AEPD) büsste im August 2021 einen Auftragsverarbeiter, weil dieser nach Abschluss des Dienstleistungsvertrags nicht alle personenbezogenen Daten an den Verantwortlichen zurückgegeben hatte. Für diesen Verstoss gegen die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) sanktionierte die AEPD den Auftragsverarbeiter mit einer Busse in der Höhe von 100’000 EUR. Der Fall führt vor Augen, wie weit die Pflichten im Rahmen von Auftragsverarbeitungsvereinbarungen (AVV) gehen können und dass bei deren Nichteinhaltung empfindliche Bussen drohen.
Pflicht zur Löschung oder Rückgabe aller Daten nach Vertragsabschluss
Jedes Verarbeiten von personenbezogenen Daten durch einen Auftragsverarbeiter muss nach der DSGVO durch einen schriftlichen Vertrag gedeckt sein (vgl. Art. 28 Abs. 3 DSGVO). Dabei können Verantwortliche und Auftragsverarbeiter grundsätzlich ihren eigenen Vertrag aushandeln, dieser muss jedoch bestimmten, in der DSGVO festgelegten, Mindestanforderungen genügen (vgl. dazu MLL News vom 16.02.2022). Zu den Inhalten, welche ein entsprechender Vertrag aufzugreifen hat, gehört unter anderem, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten entweder löschen oder zurückgeben muss, soweit keine Aufbewahrungspflichten der EU-Mitgliedstaaten bestehen.
Verweigerung der Datenrückgabe führt zu einer Busse in der Höhe von 100’000 EUR
Veranschaulicht wird diese Pflicht zur Datenrückgabe sowie die Folgen für den Auftragsverarbeiter im Falle eines Verstosses durch den Entscheid der spanischen Datenschutzbehörde (AEPD) vom 17. August 2021 (PS/00315/2020). Anlass für den Entscheid war eine auf folgendem Sachverhalt beruhende Beschwerde durch den Verantwortlichen: Ein Unternehmen aus dem Tourismus- und Hoteldienstleistungssektor (Verantwortlicher) hatte einen Anbieter, der auf Software- und Computerdienstleistungen spezialisiert ist (nachfolgend: Auftragsverarbeiter), mit der Verwaltung seiner Daten und Server betraut. Die zwischen den Parteien abgeschlossene Auftragsverarbeitungsvereinbarung sah vor, dass der Auftragsverarbeiter nach Beendigung der Geschäftsbeziehungen alle Daten, die dieser von der Verantwortlichen erhalten bzw. für die Verantwortliche verarbeitet hatte, an Letztere zurückzugeben hat.
Im Rahmen einer Reorganisation kündigte die Verantwortliche den Dienstleistungsvertrag und wies den Auftragsverarbeiter an, die entsprechenden Daten umgehend zurückzugeben. Trotz mehrmaliger Aufforderung verweigerte der Auftragsverarbeiter in der Folge die Rückgabe der Daten, mitunter mit der Begründung, die Verantwortliche habe noch ausstehende Rechnungsbeträge für vom Auftragsverarbeiter erbrachte Leistungen. Im weiteren Verfahrensstadium berief sich der Auftragsverarbeiter zudem auf organisatorische Probleme, welche eine Datenrückgabe verzögert hätten. Durch die Verweigerung des Auftragsverarbeiters die Daten zurückzugeben, war es dem Datenverantwortlichen unmöglich, auf seine Server bzw. seine Daten zuzugreifen, was nach Angaben des Auftraggebers zu enormen finanziellen Schäden führte.
Die AEPD hat in ihrem Entscheid diesbezüglich festgehalten, dass in der Verweigerung der Datenrückgabe durch den Auftragsverarbeiter ein Verstoss gegen Artikel 28 Absatz 3 Buchstabe g DSGVO zu sehen ist und hat dem Auftragsverarbeiter wegen Nichteinhaltung dieser Verpflichtung eine Busse in der Höhe von 100’000 EUR auferlegt.
Ausserdem äusserte sich die AEPD in ihrem Entscheid zu weiteren Punkten bezüglich dem Rollenverhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter, insbesondere zum Auskunfts- und Weisungsrecht des Verantwortlichen gegenüber dem Auftragsverarbeiter. So hielt die AEPD fest, dass dem Verantwortlichen kein Auskunftsrecht zukomme, da es sich hierbei um ein persönliches Recht der betroffenen Person handelt, und dass der Verantwortliche den Auftragsverarbeiter nur dazu verpflichten kann, seinen gesetzlichen Verpflichtungen nachzukommen.
Die AEPD ergänzte weiter, dass der Verantwortliche dem Auftragsverarbeiter keine direkten und spezifischen Anweisungen für die Verarbeitung der Daten erteilen könne, da der Auftragsverarbeiter im Auftrag des Datenverantwortlichen, aber nicht unter dessen direkter Kontrolle handle. Der Auftragsverarbeiter geniesse immer noch ein gewisses Mass an Autonomie darüber, wie er die Daten verarbeitet, um seinen Verpflichtungen und den Interessen des Verantwortlichen gerecht zu werden.
Einordnung des Falls und Anmerkungen
Der Entscheid veranschaulicht, was in einer Auftragsverarbeitungsvereinbarung festgehalten werden sollte bzw. muss und welche Verpflichtungen dem Auftragsverarbeiter in Bezug auf die Datenrückgabe nach Beendigung treffen. Insbesondere wurde in Bezug auf die Rückgabe der Daten ein Leistungsverweigerungsrecht seitens des Auftragsverarbeiters verneint. Personenbezogene Daten dürfen also nicht bloss deshalb zurückbehalten werden, weil der Auftraggeber seine Rechnungen noch nicht bezahlt hat.
Dieses Fazit ist für Schweizer Unternehmen indes nicht nur dann relevant, wenn sie in den Anwendungsbereich der DSGVO fallen (vgl. MLL News vom 19.12.2019). Im Gegensatz zu Bestimmungen der DSGVO bestehen unter dem geltenden Schweizer Datenschutzgesetz (DSG), als auch unter der revidierten Fassung, welche ab dem 1. September 2023 in Kraft treten wird (vgl. MLL-News vom 10.03.2022), keine ausdrücklichen Mindestinhalte eines Auftragsverarbeitungsvertrages, insbesondere auch nicht in Bezug auf die Löschung oder Rückgabe von Daten nach Beendigung des Vertrags. Damit aber nach Schweizer Recht überhaupt ein Auftragsverarbeitungsverhältnis vorliegen kann, müssen gleichwohl zahlreiche vertragliche Vorgaben gemacht werden, namentlich Weisungs- und Kontrollrechte vorgesehen werden. Inwieweit aber welche konkreten Vorgaben in einem Vertrag enthalten sein müssen, ist nicht restlos klar. Bei dieser Beurteilung liegt es nahe, sich an den Pflichtinhalten der DSGVO zu orientieren. Dies gilt umso mehr, weil bei der Nichteinhaltung der Vorgaben zur Auftragsverarbeitung mit der Revision des DSG, ab dem 1. September 2023, strafrechtliche Sanktionen drohen (vgl. dazu MLL-News vom 10.03.2022 und MLL-News vom 19.10.2020).
Vor diesem Hintergrund ist es denn auch nachvollziehbar, dass viele Schweizer Unternehmen ihre AVV standardmässig im Einklang mit den Vorgaben der DSGVO ausgestalten. Die blosse Orientierung an den Vorgaben des Schweizer Rechts ist aber auch praktisch meist wenig sinnvoll, weil bei einer Zusammenarbeit mit Verantwortlichen aus dem EU-Raum ohnehin (auch) die Anforderungen der DSGVO zu berücksichtigen sind. Denn Verantwortliche im Anwendungsbereich der DSGVO sind verpflichtet, vertraglich sicherzustellen, dass ihre Auftragsverarbeiter die Datenverarbeitung in Übereinstimmung mit den Vorgaben der DSGVO vornehmen. Insofern sind auch Schweizer Unternehmen gut beraten, sich mit den Pflichtinhalten der DSGVO auseinanderzusetzen.
Weitere Informationen:
- Entscheid der spanischen Datenschutzbehörde AEPD vom 17. August 2021 (PS/00315/2020)
- MLL-News vom 16.02.2022: EDSA veröffentlicht die finale Version der Leitlinien zu den datenschutzrechtlichen Rollen des Verantwortlichen und des Auftragsverarbeiters
- MLL News vom 19.12.2019: «EU-Datenschützer (EDSA) veröffentlichen definitive Leitlinien zum räumlichen Anwendungsbereich der DSGVO»
- MLL-News vom 10.03.2022: DSG Revision: Bundesamt für Justiz veröffentlicht Datum des Inkrafttretens (mit weiteren Hinweisen)
- Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung (DSGVO)
- Bundesgesetz über den Datenschutz (DSG)