Inhaltsverzeichnis
- Wer bleibt verantwortlich, wenn andere mit Personendaten arbeiten?
- Welche Rollen entstehen, wenn mehrere Organisationen mit denselben Daten arbeiten?
- Auftragsbearbeitung: Der häufigste Fall
- Wenn mehrere Organisationen gemeinsam entscheiden
- Wenn Organisationen unabhängig voneinander handeln
- Warum die richtige Rollenverteilung so wichtig ist
- Ein einfacher Entscheidungsbaum für die Praxis
- Wann zusätzlich die DSGVO gilt
- Bevor Sie Daten weitergeben: Diese drei Fragen helfen
Ihr IT-Dienstleister hostet Ihre Kundendaten. Eine Marketingagentur verschickt Ihren Newsletter. Eine HR-Plattform verwaltet Personaldaten Ihrer Mitarbeitenden. Und eine Eventplattform organisiert die Anmeldungen für Ihre Veranstaltung.
Diese Arbeitsteilung gehört heute zum digitalen Alltag vieler Organisationen. Doch sobald mehrere Organisationen mit denselben Personendaten arbeiten, stellen sich wichtige Fragen:
- Wer ist für den Datenschutz verantwortlich?
- Darf ein externer Dienstleister Personendaten einfach bearbeiten?
- Wer haftet, wenn etwas schiefläuft?
Genau hier wird Datenschutz oft unübersichtlich. Das Bundesgesetz über den Datenschutz (DSG) beantwortet diese Fragen mit einer zentralen Überlegung:
Wer entscheidet über Zweck und Mittel der Datenbearbeitung?
Diese Frage bestimmt:
- welche Rolle eine Organisation einnimmt
- welche Datenschutzpflichten gelten
- welche Verträge erforderlich sind
In der Praxis entstehen gerade hier die meisten Unsicherheiten. Dieser Beitrag zeigt, wie sich typische Konstellationen einordnen lassen.
Wer bleibt verantwortlich, wenn andere mit Personendaten arbeiten?
Viele Organisationen gehen intuitiv davon aus: Wenn ein externer Dienstleister Personendaten bearbeitet, liegt die Verantwortung bei ihm. Doch so einfach ist es nicht. Nach dem Datenschutzgesetz bleibt grundsätzlich jene Stelle verantwortlich, die über Zweck und Mittel der Datenbearbeitung entscheidet. Diese Stelle bezeichnet das Gesetz als Verantwortlichen.
Beauftragt eine Organisation beispielsweise einen Cloudanbieter damit, Kundendaten zu speichern, entscheidet sie weiterhin über den Zweck der Bearbeitung, etwa für Kundenverwaltung oder Vertragsabwicklung. Der Cloudanbieter übernimmt lediglich die technische Bearbeitung. Datenschutzrechtlich spricht man hier von einem Auftragsbearbeiter.
Das bedeutet: Auch wenn ein Dritter Daten technisch bearbeitet, bleibt die datenschutzrechtliche Hauptverantwortung bei der Organisation. Das Gesetz versteht unter «Bearbeiten» übrigens jeden Umgang mit Personendaten – von der Beschaffung über die Speicherung bis zur Löschung.
Welche Rollen entstehen, wenn mehrere Organisationen mit denselben Daten arbeiten?
Sobald mehrere Organisationen mit Personendaten arbeiten, stellt sich immer dieselbe Frage: Wer entscheidet über Zweck und Mittel der Datenbearbeitung?
In der Praxis lassen sich die meisten Situationen auf vier typische Rollen zurückführen (siehe Tabelle 1).
| Rolle | Wer entscheidet? | Beispiele | Vertrag |
| Verantwortlicher | Organisation entscheidet über Zweck und Mittel | Organisation betreibt eigenes CRM bei sich | – |
| Auftragsbearbeiter | Bearbeitet Daten im Auftrag und nach Weisung | Cloudanbieter, IT-Dienstleister, Agentur | Pflicht: Auftragsbearbeitungsvertrag |
| Gemeinsame Verantwortliche | Mehrere Organisationen entscheiden gemeinsam | Gemeinsame Plattform oder Projekt | Empfehlung: Vereinbarung über Rollen und Verantwortlichkeiten |
| Separate Verantwortliche | Jede Organisation entscheidet selbst | Datenübermittlung an Versicherung | Empfehlung: Datenschutzklausel in bestehendem Vertrag |
Auftragsbearbeitung: Der häufigste Fall
Bei einer Auftragsbearbeitung bestimmt eine Organisation den Zweck der Datenbearbeitung und beauftragt einen externen Dienstleister mit der technischen oder/und organisatorischen Umsetzung. Typische Beispiele sind:
- Cloudanbieter
- Newsletterplattformen
- IT-Dienstleister
- Umfrage-Tools
- Softwareanbieter
- externe Buchhaltungsservices
Diese Dienstleister bearbeiten Personendaten nicht für eigene Zwecke, sondern ausschliesslich im Auftrag der Organisation. Sie handeln weisungsgebunden. Das bedeutet: Sie dürfen nur das tun, was die verantwortliche Organisation vorgibt.
In solchen Fällen verlangt das Datenschutzgesetz eine vertragliche Regelung – einen Auftragsbearbeitungsvertrag (oft «AVV» oder «DPA» genannt). Dieser Vertrag stellt sicher, dass der Dienstleister die Daten nur so bearbeitet, wie es die verantwortliche Organisation selbst dürfte.
Typischerweise regelt ein solcher Vertrag unter anderem:
- Gegenstand und Zweck der Datenbearbeitung
- Weisungsgebundenheit des Dienstleisters
- technische und organisatorische Sicherheitsmassnahmen
- Einsatz von Unterauftragsbearbeitern
- Unterstützung bei Betroffenenrechten
- Meldung von Datensicherheitsverletzungen
- Ort der Datenbearbeitung und allfällige Auslandsübermittlungen
- Löschung oder Rückgabe der Daten nach Vertragsende
Viele grosse Anbieter stellen hierfür standardisierte Verträge bereit. Diese sind jedoch häufig nur eingeschränkt verhandelbar. Umso wichtiger ist es, zu prüfen, ob die zentralen Punkte korrekt geregelt sind.
Wenn mehrere Organisationen gemeinsam entscheiden
In manchen Fällen entscheiden mehrere Organisationen gemeinsam über Zweck und Mittel der Datenbearbeitung. Dies kann etwa bei folgenden Situationen vorkommen:
- Kooperationen
- gemeinsamen Plattformen
- gemeinsamen Veranstaltungen
- gemeinsamen Forschungsprojekten
In solchen Fällen spricht man von gemeinsamer Verantwortlichkeit. Damit klar ist, wer welche Datenschutzpflichten übernimmt, empfiehlt sich eine entsprechende Vereinbarung zwischen den beteiligten Organisationen. Typischerweise wird darin geregelt:
- wer Informationspflichten erfüllt
- wer Auskunftsgesuche beantwortet
- wer Sicherheitsmassnahmen umsetzt
Solche Vereinbarungen schaffen vor allem eines: klare Verantwortlichkeiten.
Wenn Organisationen unabhängig voneinander handeln
Es gibt auch Situationen, in denen mehrere Organisationen mit denselben Personendaten arbeiten, jedoch unabhängig voneinander entscheiden, wie sie diese verwenden. Ein Beispiel: Eine Organisation übermittelt Daten an eine Versicherung, damit diese eine Leistung prüfen kann. Beide Organisationen verfolgen eigene Zwecke und treffen ihre Entscheidungen selbst. In solchen Fällen handelt es sich datenschutzrechtlich um separate oder eigenständige Verantwortliche. Ein spezieller Datenschutzvertrag ist hier in der Regel nicht erforderlich. Häufig reicht eine entsprechende Datenschutzklausel im bestehenden Vertrag, die den Datenaustausch regelt.
Warum die richtige Rollenverteilung so wichtig ist
Die Rollenfrage ist keine nebensächliche Formalität. Sie entscheidet darüber,
- wer für den Datenschutz verantwortlich ist
- welche Verträge erforderlich sind
- wer im Ernstfall haftet
Sie klärt zum Beispiel:
- Wer informiert betroffene Personen?
- Wer bearbeitet Auskunftsgesuche?
- Wer meldet Datensicherheitsverletzungen?
Auch die Haftung kann betroffen sein.
Das Datenschutzgesetz sieht bei bestimmten Verstössen strafrechtliche Sanktionen von bis zu CHF 250’000 vor. Etwa bei Verletzungen von Informations-, Auskunfts- oder Mitwirkungspflichten sowie bei Verstössen gegen Regeln zur Auftragsbearbeitung oder Auslandsbekanntgabe. Diese richten sich in der Regel gegen entscheidungsverantwortliche natürliche Personen innerhalb einer Organisation. Umso wichtiger ist es, Rollen frühzeitig klar festzulegen.
Ein einfacher Entscheidungsbaum für die Praxis
Die Rollenfrage kann zunächst komplex erscheinen. Ein einfacher Entscheidungsbaum hilft jedoch, typische Situationen schneller einzuordnen. Er ersetzt keine juristische Prüfung, bietet aber eine gute Orientierung im Alltag.
Wann zusätzlich die DSGVO gilt
Neben der Rollenverteilung stellt sich in der Praxis oft noch eine weitere Frage: Gilt neben dem Schweizer Datenschutzgesetz auch die DSGVO oder andere Datenschutzgesetze? Wer bereits andere Blogbeiträge der FH Graubünden zum Thema Datenschutz gelesen hat, kennt die Antwort: Unter bestimmten Umständen lautet sie ja. Wir Beschränkungen uns hier auf die Datenschutz-Grundverordnung (DSGVO). Die DSGVO kann insbesondere dann anwendbar sein, wenn eine Organisation:
- Waren oder Dienstleistungen gezielt an Personen im EU/EWR-Raum anbietet oder
- das Verhalten von Personen im EU/EWR-Raum beobachtet (z. B. durch Tracking).
Entscheidend ist, ob Sie sich mit Ihrem Angebot gezielt an Personen im EU/EWR Raum richten oder deren Verhalten dort verfolgen. Die zentralen Datenschutzrollen sind im DSG und in der DSGVO nahezu identisch aufgebaut. Beide Regelwerke unterscheiden zwischen Verantwortlichen, Auftragsbearbeitern und gemeinsam Verantwortlichen. Wer diese Rollen also klar festlegt und die Zusammenarbeit vertraglich sauber regelt, schafft damit bereits eine solide Grundlage für beide Regelwerke.
Bevor Sie Daten weitergeben: Diese drei Fragen helfen
Datenschutz wirkt oft komplex. In der Praxis beginnt er jedoch häufig mit einer einfachen Frage: Wer entscheidet über die Bearbeitung und wer bearbeitet sie nur im Auftrag? Ein kurzer Realitätscheck hilft für die Praxis. Drei Fragen reichen oft aus, um die Situation richtig einzuordnen:
1. Wer entscheidet über den Zweck der Datenbearbeitung?
Wenn Ihre Organisation entscheidet, bleiben Sie in der Regel verantwortlich.
2. Bearbeitet der Dienstleister die Daten ausschliesslich nach Ihren Weisungen?
Dann handelt es sich meist um eine Auftragsbearbeitung – ein Auftragsbearbeitungsvertrag ist erforderlich.
3. Verfolgt der Dienstleister eigene Zwecke mit den Daten?
Dann kann eine gemeinsame oder separate Verantwortlichkeit vorliegen.
Daraus ergeben sich drei praktische Schritte:
- Rollen klären
- Verträge prüfen
- Zuständigkeiten festlegen
Oft lässt sich mit wenig Aufwand viel Klarheit schaffen und zahlreiche datenschutzrechtliche Risiken vermeiden. Viele Datenschutzfragen wirken kompliziert, bis man weiss, wer über die Datenbearbeitung entscheidet.
Hier gibt es weitere Blogs der FH Graubünden zu lesen.
Martin Berger ist Datenschutzbeauftragter und Datenschutzberater in den Zentralen Diensten der Fachhochschule Graubünden. In diesem Beitrag erklärt er, welche Rollen im Datenschutz entstehen, wenn mehrere Organisationen mit Personendaten arbeiten.