Blog & Events

Datenverarbeitungs-Verträge: Datenverantwortlicher oder Auftragsverarbeiter?

23/03/2021

Das Entwerfen, Überprüfen oder Verhandeln eines Datenverarbeitungsvertrags (DPA) kann eine schwierige Aufgabe sein. Um diese zu vereinfachen haben wir kürzlich unseren DPA Generator veröffentlicht. Mithilfe eines einfach zu nutzenden Fragebogens generiert dieser kostenlos massgeschneiderte rechtssichere Datenverarbeitungsverträge für Unternehmen – basierend auf dem offiziellen EU-Kommissionstemplate.

In unserer Blogserie zu Datenverarbeitungsverträgen geben wir nützliche Tipps um Datenverarbeitungsverträge besser zu verstehen, um entsprechende Anpassungen für das Unternehmen vorzunehmen und für die Verhandlung der Verträge mit Geschäftspartnern. In diesem ersten Artikel geht es darum festzustellen in welche Kategorie das Unternehmen fällt: In das des Datenverantwortlichen oder des Datenverarbeiters.

Die Datenschutzgrundverordnung (DSGVO) und das überarbeitete Schweizer Bundesgesetz über den Datenschutz (DSG) (in Kraft ab 2022) haben unterschiedliche Rollen und Verantwortlichkeiten für Datenverantwortliche und Datenverarbeiter festgelegt. Vor der Unterzeichnung eines Datenverarbeitungsvertrags muss festgestellt werden in welche Kategorie das Unternehmen fällt.

Wann gilt ein Unternehmen als Datenverantwortlicher?

Ein Datenverantwortlicher ist ein Unternehmen, eine Organisation, eine natürliche Person oder eine Behörde, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Einfach gesagt ist ein Datenverantwortlicher eine Person oder ein Unternehmen, das einen Grund für die Verarbeitung personenbezogener Daten hat und entscheidet wie damit umgegangen wird.

Um dies zu vereinfachen hier einige Beispiele von Unternehmen oder Personen die als Datenverantwortliche handeln.

  • Zalando sammelt Lieferadressen von seinen Kunden, um deren Produkte zu versenden.
  • Facebook sammelt Profildaten und nutzt sie für zielgerichtete Werbung.
  • Ein YouTuber sammelt E-Mail-Adressen von seinen Fans, um eine Mailingliste zu starten.

Die Datenverantwortlichen haben mehrere Pflichten, unter anderem:

  • Veröffentlichung einer klaren, transparenten und genauen Datenschutzrichtlinie.
  • Reagieren auf Anfragen von Betroffenen.
  • Abschluss eines Auftragsverarbeitungsvertrags mit jedem von ihnen beauftragten Datenverarbeiter.
  • Haftung für Schäden, die durch eine gegen die DSGVO verstossende Verarbeitung verursacht werden.

Wann gilt ein Unternehmen als Datenverarbeiter?

Ein Datenverarbeiter im Sinne der DSGVO und dem überarbeiteten DSG, ist ein Unternehmen, eine Organisation, eine natürliche Person oder eine Behörde, die personenbezogene Daten im Auftrag (und für die Zwecke) des Datenverantwortlichen im Rahmen eines Auftragsverarbeitungsvertrags verarbeitet.

Ein Auftragsverarbeiter hat nicht das primäre Interesse an dem Endergebnis der Datenverarbeitung. Aber er kann von derVerarbeitung der personenbezogenen Daten profitieren und z. B. eine Gebühr dafür erhalten. Er verarbeitet personenbezogene Daten lediglich, weil der Verantwortliche ihn dazu aufgefordert hat.

Hier sind einige Beispiele von Unternehmen, die primär als Auftragsverarbeiter agieren:

  • MailChimp erhält von einem Kunden eine Liste von E-Mail-Adressen und einen Auftrag. MailChimp sendet Marketing-E-Mails basierend auf den Anweisungen des Kunden.
  • Hotjar sammelt IP-Adressen und verfolgt das Verhalten der Nutzer einer Website. Hotjar präsentiert dem Betreiber der Website Einblicke, wie die Website genutzt wird.
  • Shopify erhält Kundendaten von einer Website, die von einem Händler kontrolliert wird. Shopify stellt einen Einkaufswagen und andere E-Commerce-Funktionen zur Verfügung.

Die Hauptverantwortung eines Datenverarbeiters besteht darin, sich an den Datenverarbeitungsvertrag mit dem Datenverantwortlichen zu halten. Der Datenverarbeiter ist nicht in der Lage, den Zweck und die Mittel, mit denen die Daten verwendet werden, zu ändern, z. B. die Kundendaten des Verantwortlichen für eigene Marketingzwecke zu verwenden. Datenverarbeiter sind an die Weisungen des Datenverantwortlichen gebunden. Dementsprechend haftet ein Datenverarbeiter für den durch die Verarbeitung verursachten Schaden nur dann, wenn er die speziell an Auftragsverarbeiter gerichteten Verpflichtungen der DSGVO nicht eingehalten hat oder wenn er ausserhalb der rechtmässigen Anweisungen des Verantwortlichen oder entgegen diesen gehandelt hat.

Wie kann festgestellt werden, ob unser Unternehmen ein Datenverantwortlicher oder Datenverarbeiter ist?

Ein Unternehmen ist nicht von Natur aus entweder ein Verantwortlicher oder ein Auftragsverarbeiter (oder beides). Stattdessen kann ein Unternehmen für eine Tätigkeit ein Verantwortlicher und für eine andere ein Auftragsverarbeiter sein. Daher müssen Unternehmen die personenbezogenen Daten und die Verarbeitung dieser Daten jeweils genau anschauen und definieren, wer die Zwecke und die Art und Weise dieser spezifischen Verarbeitung bestimmt.

In der Regel entscheidet der Datenverantwortliche:

  • Welche Arten von persönlichen Daten gesammelt werden sollen.
  • Der Zweck oder die Zwecke, für die die Daten verwendet werden sollen.
  • Über welche Personen Daten gesammelt werden sollen.
  • Ob und an wen die Daten weitergegeben werden sollen.

Dies sind alles Entscheidungen, die nur vom Datenverantwortlichen im Rahmen seiner Gesamtkontrolle der Datenverarbeitung getroffen werden können.

Der Datenverarbeiter kann im Rahmen des Datenverarbeitungsvertrages entscheiden:

  • Welche IT-Systeme oder andere Methoden zur Erfassung personenbezogener Daten verwendet werden.
  • Wie die persönlichen Daten gespeichert werden.
  • Die Details der Sicherheitsmassnahmen zum Schutz der persönlichen Daten

Wie stellen Unternehmen in der Praxis ihre Rolle fest?

Nicht allen Fragen, die oben aufgeführt werden, werden in der Praxis aufgrund der Komplexität der Geschäftsbeziehungen immer nachgegangen. Der Schlüssel liegt darin, den Grad der Unabhängigkeit jeder Partei bei der Bestimmung, wie und auf welche Weise die Daten verarbeitet werden, zubestimmen.

Wir hoffen dass wir mit dem ersten Teil unserer Blogserie zu den Datenverarbeitungsverträgen den Unterschied zwischen dem Verantwortlichen und dem Verarbeiter verständlich machen konnten und der Artikel dabei hilft zu bestimmen, in welcher Rolle sich das Unternehmen für eine bestimmte Datenverarbeitungstätigkeit befindet.

Für weitere Fragen sind wir jederzeit unter privacy@lexr.ch zu erreichen.

Anna Maria Tonikidou

By Anna Maria Tonikidou

MLaw, LL. M. mult.

Verwandt

Let’s Go

100+ Unternehmen vertrauen bereits auf LEXR. Ob etabliertes Unternehmen oder Startup, wir bieten perfekt angepasste rechtliche Unterstützung und helfen auf dem Weg zum Erfolg.

Kostenloses Gespräch buchen