Innovative Technologien gestalten das Vertragswesen neu: Eine Anpassung der Risikoverteilung sowie überarbeitete Standardverträge und AGBs sind unabdingbar, um der veränderten Datenlandschaft gerecht zu werden.
Haben Sie Ihre Verträge und Allgemeinen Geschäftsbedingungen (AGB) der rasanten digitalen und gesetzlichen Entwicklung angepasst? In einer digital geprägten Wirtschaft und angesichts des Inkrafttretens des neuen Datenschutzgesetzes (DSG) am 1. September 2023 sind Vertragsbestimmungen, die den Umgang mit Daten, den Datenschutz und Cyber Risiken regeln ein Must.
Nachstehend eine kurze Auflistung / Checkliste von Standard-Regelungspunkten, die in unserer Praxis heute in fast jedem (Dauer-)Vertrag geregelt werden sollten.
Rollen/Verantwortung: Werden in einem Vertragsverhältnis Personendaten bearbeitet (was nahezu immer der Fall ist), ist vertraglich festzulegen, welche Partei welche datenschutzrechtliche Rolle (Verantwortlicher/Controller; Bearbeiter/Processor; Joint Controller etc.) einnimmt und für die entsprechenden Pflichten und Prozesse (Transparenz; Auskunftspflicht; Löschung; etc.) verantwortlich ist und einstgehen muss. Je nach Konstellation ist der Vertrag durch einen Auftragsdatenbearbeitungsvertrag (Anhang) im Sinne von Art. 9 DSG bzw. Art. 28 Abs. 3 DSGVO zu ergänzen. Empfohlen ist auch die Regelung, wer für die Richtigkeit der erhobenen Personendaten verantwortlich ist.
Subunternehmer: Zu regeln ist weiter ob und wenn ja, wie der Einsatz von Subunternehmern erfolgen darf. Hierzu gilt es gesetzliche Regeln zu beachten.
Auslandbezug: Die Weitergabe von Personendaten ins Ausland ist ebenfalls vertraglich zu regeln, da es diesbezüglich strenge Regeln im DSG gibt. Besonders heikel ist die Weitergabe in Länder ausserhalb der EU. Es stellt sich auch die Frage des Lawful-Access Risikos.
Datenschutzerklärung: Die Standardverträge und AGB sollten mit der Datenschutzerklärung in Übereinstimmung gebracht werden. Vielfach wird in AGB auf die aktuelle Datenschutzerklärung des Unternehmens verwiesen.
Einholung von Einwilligungen: Bei der Bearbeitung von besonders schützenswerte Personendaten ist zu beachten, dass diese oft nur bearbeitet – und damit auch weitergeben – werden können, wenn die betroffene Person ausdrücklich zustimmt (Art. 6 Abs. 7 lit. a DSG). Um besonders schützenswerte Personendaten handelt es sich z.B. bei religiösen und politischen Ansichten oder Daten über die Gesundheit (vgl. Art. 5 lit. c DSG). In den entsprechenden Verträgen sollte daher geregelt werden, wer für die Einholung von Einwilligungen verantwortlich ist.
Compliance: Hier geht es darum, zu definieren welche Rechtsordnungen anwendbar sind und Mitwirkungspflichten bei Behördenanfragen festzuhalten.
Cyber Risiken gehören zu den Top Risiken (hohe Eintretenswahrscheinlichkeit; hohes Schadenspotential). Daher sollte das Thema Datensicherheit (Pflichten zum Schutz der Daten und der Infrastruktur; Risikoallokation) vertraglich geregelt werden.
Datenschutzniveau und TOMs: Es empfiehlt sich, die Umsetzung eines angemessenen Datenschutzniveaus, Schutzziele und generelle (bei sensitiven Daten auch konkrete) technische und organisatorische Massnahmen (sog. TOMs) im Vertrag als Pflicht zu regeln. Für das Datenschutzniveau spielen in der Vertragspraxis (branchenspezifische) Standards, Richtlinien, Frameworks sowie Zertifizierungen eine wichtige Rolle (z.B. ISO/IEC 27000-Serie, NIST 800-Serie; PCI DSS, NIST Cybersecurity Framework; IKT-Minimalstandard). Als Orientierung für die Schutzziele kann Art. 3 DSV dienen. Je nach Sensitivität der Daten sollte sich der Auftraggeber konkrete TOMs versprechen lassen. Zum Beispiel: 2-Faktor-Authentifizierungen, offline Backups, Details zur Verschlüsselung (z.B. Cipher), Datenstruktur, Redundanz, Updatepolitik, Reaktionszeiten oder auch Kontrollen vertraglich geregelt werden. Je nach Konstellation, können die Vertragsparteien auch hier Standards beiziehen. Die Regelungen sind auch für die Frage der Haftung bei einer Cyber Attacke von grosser Bedeutung.
Informations-, Dokumentations- und Reportingpflichten: Diese Pflichten des Providers schaffen Transparenz für den Besteller und sind insbesondere in einer Krise oder für Unternehmen mit Meldepflichten (z.B. FINMA regulierte Unternehmen, Betreiber von kritischen Infrastrukturen)von hoher Relevanz.
Pflichten bei Cyber-Attacken: Hier geht es darum, zu regeln, was der Provider beim Auftreten eines Cyber-Vorfalls zu tun hat (spezifische Informationspflichten, Beurteilung der Auswirkungen auf den Besteller, Kooperation bei Untersuchungen, Anpassung der TOMs, Dokumentation, etc.).
Haftung bei Cyber Attacken: Empfehlenswert ist die Regelung der Haftung bei Cyber Attacken durch Dritte. Hier gilt es eine angemessene Lösung zu finden, welche Partei inwieweit und unter welchen Umständen bei einer Cyberattacke und für ein Datenleck (mit-)haftet. Es gibt keine absolute Sicherheit.
Versicherung: Bei Grossprojekten oder einem wesentlichen Outsourcing ist der Nachweis einer Cyberriskversicherung (Wie können Cyber Risiken versichert werden? (mme.ch)) oder Betriebsausfallversicherung des Providers empfehlenswert.
Ob es zivilrechtliches (d.h. sachenrechtliches) Eigentum an Daten (alle Arten von Daten, also auch Daten über juristische Personen, Maschinendaten, Produktionsdaten, etc.) gibt, ist umstritten. Wie dem auch sei: Es ist vertragsrechtlich möglich, dass die Parteien intra partes festlegen, wie die Eigentumsverhältnisse an den Daten geregelt sein sollen.
Verbleiben die Daten trotz Übergabe an die Gegenpartei bei der übergebenden Partei, so ist zu regeln, ob und in welchem Ausmass und für welche Zwecke die entgegennehmende Partei (oder Dritte) die Daten nutzen oder zugreifen darf (z.B. Auswertungsverbot für eigene Zwecke, Verbot der Weitergabe an Dritte, Regelung betr. Löschung; Recht auf Zugang, technische Sicherheit beim Zugriff; Zustimmung zur Übermittlung von Daten über eine öffentliche Netzwerkinfrastruktur (Internet), Geheimhaltungspflichten, Zugänglichkeit für Nutzer, Datenzugang für Dritte, Datenqualität, Nutzung für KI, Gegenleistung, Knowhow-Schutz, etc.).
Zu beachten sind dabei je nach Konstellation verschiedene rechtliche Vorschriften (Öffentlichkeitsgesetz; EU Data Act, EU Free Flow of Data-VO, etc.).
Sind in Produkten oder dem Vertragsgegenstand Softwarekomponenten enthalten, sollen die Immaterialgüterrechte geklärt und entsprechende Nutzungs- bzw. Lizenzrechte der Nutzer gesichert und begrenzt werden. Zu regeln sind auch die Unterhaltspflichten (Maintenance) und Updates.
Die Force Majeure Klauseln und die Haftungsausschlüsse sollten den neue Risiken angepasst werden, wie Stromausfälle, Energieausfälle, Energieknappheit, Energierationierungen, Pandemien, Epidemien, Übermittlungsfehlern, technischen Fehlleistungen oder Unterbrechungen, Missbrauch/Störungen des Internets, von Webseiten, von verlinkten Webseiten, des Netzwerkes, der IT Infrastruktur oder Telekommunikationsnetzes, sowie Datenmissbrauch durch Dritte oder Datenverlust.
Bei Dauerverträge ist jeweils genau zu überlegen, was die Beendigungsszenarien sind, welche Beendigungshandlungen (Exit Management) vorzunehmen sind (z.B. Herausgabepflichten, Übertragung der Daten in einem standardisierten, üblichen Format; Löschung von Daten; etc.).
Weitere Artikel zum Thema:
