Welche Rolle hat mein Unternehmen im Datenverkehr? - Auf dem Weg zum nDSG Teil 8

25.05.2023 von Oliver Strässler

Das neue Datenschutzgesetz stellt viele Verpflichtungen für die an einer Datenbearbeitung beteiligten Personen auf, wobei es insbesondere darauf ankommt, in welcher Rolle ein Unternehmen agiert. Hierbei wird zwischen der Rolle «des Verantwortlichen bzw. des Controllers» und der Rolle des «Auftragsbearbeiters bzw. des Processors» unterschieden.

 

Welche Rollen gibt es?

Ein Unternehmen kann folgende Rollen einnehmen: jene der Verantwortlichen und jene des Auftragsbearbeiters. Beide bearbeiten Personendaten, doch die Rechte und Pflichten unterscheiden sich je nach Rolle grundlegend.

Kurz gesagt: während die Verantwortliche für die Einhaltung des Datenschutzrechts verantwortlich ist, nimmt der Auftragsbearbeiter eine Art «Hilfspersonenstellung» ein.

Wann bin ich Verantwortliche?

Ob man Verantwortliche oder Auftragsbearbeiter ist, kann nicht mit einer einfachen Vertragsklausel festgelegt werden. Es ist darauf abzustellen, wie die Daten bearbeitet werden.

Grundsätzlich gilt: Wer entscheiden kann, ist Verantwortliche. Im Umkehrschluss gilt daher: Wer nicht Verantwortliche sein will, darf keine Entscheidungsmacht haben. Massgebend ist die Entscheidungsmacht über die Zwecke und die Mittel der Datenbearbeitung.

Entscheidungsmacht über die Zwecke der Datenbearbeitung hat, wer bestimmt, ob und warum die Datenbearbeitung stattfindet und was sie erreichen soll – auch wenn sie datenschutzwidrig sein sollte.

Unter den Mitteln werden nicht etwa die technischen oder organisatorischen Mittel verstanden. Es geht hierbei um die Bestimmung der datenschutzrechtlichen Bearbeitungsmodalitäten. Entscheide über die Mittel sind Entscheide über (nicht abschliessend):

  • die Art der Personendaten, die bearbeitet werden;

  • die Dauer der Bearbeitung;

  • die Quellen der Daten;

  • den Zeitpunkt und den Ort der Bearbeitung; und

  • den Zugang zu den Daten.

Beispiel
Eine online Dating-Plattform erhebt von natürlichen Personen Daten über Alter, Aussehen, Freizeitaktivitäten, Wohnort und Vorlieben bei der Partnerwahl. Sie analysiert die Personendaten und zeigt die Profile jenen anderen Nutzern an, die den Vorlieben entsprechen. In diesem Beispiel ist die Dating-Plattform Verantwortliche. Sie entscheidet einerseits über den Zweck der Datenbearbeitung, nämlich das zwei Personen mit zueinander passenden Eigenschaften und Vorlieben miteinander verknüpft werden. Andererseits entscheidet die Plattform über die Mittel, da sie bestimmt, welche Daten erhoben werden, wo die Daten gespeichert werden, wie lange die Daten gespeichert werden und wer Zugang zu diesen Daten erhält.

Wann bin ich Auftragsbearbeiter?

Wer Personendaten im Auftrag der Verantwortlichen bearbeitet, ist grundsätzlich Auftragsbearbeiter.

Der Auftragsbearbeiter ist an den Zweck und die Bearbeitungsmodalitäten (z.B. Ort der Datenbearbeitung), die die Verantwortliche vorgibt, gebunden. Diese Anweisungen der Verantwortlichen werden in einem Auftragsdatenbearbeitungsvertrag oder kurz «ADV» festgehalten.

Da ein Auftragsbearbeiter nicht mit jedem Kunden einen individuellen ADV ausarbeiten will, ist es in der Praxis gängig, dass er einen auf sich zugeschnittenen ADV erstellen lässt. Diesen unterbreitet er anschliessend all seinen Kunden, die Verantwortliche sind. Mit diesem ADV ist für die Verantwortlichen klar, wie der Auftragsbearbeiter die Daten bearbeitet.

Beispiel
Die Dating-Plattform vom vorherigen Beispiel wird erfolgreich. Sie will die Software nicht länger auf eigenen Servern hosten und sucht sich einen Hosting-Anbieter. Durch diesen Vorgang bleibt die Dating-Plattform weiterhin Verantwortliche. Der Hosting-Anbieter stöbert hoffentlich nicht in den Daten herum. Sein Auftrag ist einzig, das Hosting der Software und der Kundendaten der Dating-Plattform. Die Dating-Plattform und der Hosting-Anbieter schliessen zusammen einen ADV ab, der die datenschutzrechtlichen Modalitäten regeln. Der Hosting-Anbieter ist somit Auftragsbearbeiter.

 

Kann ich Verantwortliche und Auftragsbearbeiter zugleich sein?

Betreffend eine bestimmte Datenbearbeitung kann jede Partei nur eine Rolle einnehmen. Im Beispiel von Mitarbeiterdaten nimmt ein Unternehmen als Arbeitgeberin die Rolle der Verantwortlichen ein.

Allerdings kann dasselbe Unternehmen in einer anderen Datenbearbeitung als Auftragsbearbeiter agieren, z.B., wenn es für seine Kunden als Hosting-Anbieter Personendaten im Auftrag bearbeitet.

Ich kenne nun meine Rolle in der Datenbearbeitung. Was nun?

Jeder Rolle kommen verschiedene Rechte und Pflichten zu. Es ist vorteilhaft, die Rechte zu kennen. Noch wichtiger ist es, über die Pflichten informiert zu sein. In unserem nächsten Beitrag werden wir auf deshalb ausgewählte, wichtige Pflichten der Verantwortlichen und des Auftragsbearbeiters adressieren.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum