Wer steuert das Schiff im Bereich Datenschutz?
In unserer digitalen Welt, in der Personendaten wie ein wertvoller Schatz gehandhabt werden müssen, ist es essenziell, die Rollen im Datenschutz klar zu kennen. Als Unternehmen muss man sich bei jeder Bearbeitung von Personendaten die Frage stellen: Fungiere ich als Verantwortlicher oder als Auftragsdatenbearbeiter? Woran erkennt man diese datenschutzrelevanten Rollen, und warum ist die Einordnung in der Praxis von Bedeutung?
Der Verantwortliche im Sinne des Datenschutzes ist jenes Unternehmen, das über den Zweck und die Mittel der Bearbeitung von Personendaten entscheidet. Der Auftragsdatenbearbeiter hingegen bearbeitet diese Daten lediglich im Auftrag und nach Weisung des Verantwortlichen.
Verantwortlicher oder Auftragsdatenbearbeiter: Eine maritime Analogie
Um diese Rollen greifbar zu machen, bietet sich eine Analogie aus der Schifffahrt an: Der Kapitän bestimmt die Route, die zu befolgenden Regeln und trägt die Gesamtverantwortung für die Reise sowie die Sicherheit an Bord. Die Bootscrew führt die Anweisungen des Kapitäns aus, steuert das Schiff und übernimmt organisatorische sowie technische Aufgaben – hat aber in der Regel keine weitreichenden Entscheidungsbefugnisse. In der Praxis bedeutet das: Als Verantwortlicher legen Sie fest, warum und wie Personendaten verarbeitet werden, sei es für Marketingzwecke, HR-Management oder Kundenservice. Der Auftragsdatenbearbeiter sorgt für die Umsetzung im Rahmen des vereinbarten Auftragsverhältnisses.
Der Auftragsbearbeitungsvertrag: Die vertragliche Kompassnadel
UMB AG fungiert als IT-Dienstleister typischerweise im Auftrag ihrer Kunden und damit als Auftragsdatenbearbeiterin[i]. Hier kommt der Auftragsbearbeitungsvertrag, in der Praxis auch Datenverarbeitungsvereinbarung oder AVV genannt, ins Spiel - die unverzichtbare vertragliche Grundlage im Datenschutz. Dieser Vertrag regelt detailliert die Rechte und Pflichten beider Parteien, legt fest, welche Arten von Personendaten bearbeitet werden, zu welchem Zweck und mit welchen Sicherheitsmassnahmen. Insbesondere dokumentiert dieser die technischen und organisatorischen Massnahmen (die sog. TOMs), die UMB umsetzt, um die Datenintegrität, Vertraulichkeit und Verfügbarkeit zu gewährleisten[ii]. Beispiele hierfür sind Zugriffs-, Speicher- und Trennungskontrollen. Ohne einen solchen Vertrag riskieren Unternehmen insbesondere Bussgelder und Haftungsrisiken, da sowohl DSG als auch DSGVO eine schriftliche Vereinbarung vorschreiben.
Die Verantwortung bleibt an Bord
Als Verantwortlicher können Sie Aufgaben auslagern, doch die Verantwortung für die Einhaltung des Datenschutzes verbleibt bei Ihnen. Zu den zentralen gesetzlichen Pflichten gehören das Schaffen einer Rechtsgrundlage für die Datenverarbeitung, etwa durch Einwilligungen, Verträge oder gesetzliche Vorgaben (auch überwiegendes Interesse kann eine Rechtgrundlage sein). Das Erfüllen von Betroffenenrechten wie Anfragen zu Auskunft, Berichtigung, Löschung oder Widerspruch, das Erstellen transparenter Datenschutzerklärungen, die sorgfältige Auswahl und Überwachung von Auftragsdatenverarbeitern sowie die fristgerechte Meldung von Datenpannen an Aufsichtsbehörden ist stets nach den geltenden Datenschutzbestimmungen einzuhalten.
Auftragsdatenbearbeiter: Die Crew im Einsatz
Der Auftragsdatenbearbeiter handelt ausschliesslich auf Weisung des Verantwortlichen und darf die Daten nicht für eigene Zwecke nutzen. Zu seinen Kernpflichten zählen die Umsetzung und Wartung von Sicherheitsmassnahmen wie Firewalls, Intrusion-Detection-Systeme und Schulungen der Mitarbeitenden, die Wahrung der Vertraulichkeit durch Bindung aller Beteiligten an Geheimhaltung, die unverzügliche Meldung von Pannen an den Verantwortlichen sowie die Unterstützung bei Audits durch Bereitstellung von Berichten oder Zertifizierungen wie ISO 27001.
Wachsam bleiben!
In der Praxis lauern einige Stolpersteine, etwa die Unterschätzung der Notwendigkeit, Subunternehmer im Vertrag zu regeln, wobei Änderungen dem Verantwortlichen mitgeteilt werden müssen, um Transparenz zu wahren. Ein weiterer Fehler ist die Annahme, dass Outsourcing die Verantwortung vollständig abgibt. Bleiben Sie wachsam und dokumentieren Sie alles, denn das Datenschutzgesetz liebt gründliches Dokumentieren. Um als Verantwortlicher die Kontrolle zu behalten, stellen Sie vertraglich sicher, dass Ihr Auftragsdatenbearbeiter die Daten nur im vereinbarten Umfang bearbeitet, bei Datensicherheitsverletzungen alle relevanten Infos umgehend liefert, Änderungen bei Subunternehmen ankündigt und Audits oder Nachweise wie Zertifizierungen ermöglicht. Bei Outsourcing schliessen Sie immer eine Auftragsdatenverarbeitungsvereinbarung ab und integrieren Sie sie in Ihre Vertragswerke.
Bleiben Sie Kapitän – mit UMB als zuverlässige Crew
Wenn Sie den Kurs bestimmen, sind Sie der Kapitän und damit der Verantwortliche. Nutzen Sie Partner wie UMB, um Ihre IT-Infrastruktur sicher zu outsourcen, ohne die Steuerung aus der Hand zu geben. Unsere Services sind DSG- und DSGVO-konform. Kontaktieren Sie uns bei Fragen mit dem Kontaktformular und lassen Sie uns gemeinsam sicher durch die Datenschutz-Gewässer navigieren!
Dieser Blogbeitrag dient ausschliesslich dazu, grundlegendes Wissen zu Compliance und regulatorischen Anforderungen zu vermitteln und aufzuzeigen, dass UMB diese Aspekte im Rahmen ihrer Services berücksichtigt. Der Text basiert auf dem aktuellen Stand (März 2026).
[i] Für interne Datenbearbeitungen, z.B. bei der Bearbeitung von Personaldaten, handelt UMB natürlich als Verantwortliche
Ihre Ansprechpartner/innen
