CONTROLLER, PROCESSOR, JOINT CONTROLLER - WARUM FALSCHE ROLLENVERTEILUNG TEUER WERDEN KANN

IT-Projekte und datengetriebene Geschäftsmodelle werden zunehmend komplexer. Wo mehrere Parteien zusammenarbeiten, ist die datenschutzrechtliche Rollenverteilung oft unklar. Dies kann erhebliche finanzielle und haftungsrechtliche Folgen haben, die sich häufig erst im Streitfall oder bei einer behördlichen Prüfung zeigen.

Dieser Beitrag zeigt, warum die tatsächliche Einflussnahme entscheidend ist und nicht die vertragliche Bezeichnung.

In der Praxis wird diese Abgrenzung in der Regel anhand der Begriffe «Controller» und «Processor» vorgenommen. Als Controller (Verantwortlicher) gilt dabei diejenige Partei, die darüber entscheidet, zu welchem Zweck und auf welche Weise Personendaten bearbeitet werden, während der Processor (Auftragsbearbeiter) Personendaten ausschliesslich im Auftrag und nach Weisung bearbeitet.

Diese Frage stellt sich bei grösseren IT-Projekten und datengetriebenen Geschäftsmodellen regelmässig nicht nur im nationalen Kontext. Häufig sind Datenbearbeitungen sowohl in der Schweiz als auch im Europäischen Wirtschaftsraum betroffen. Entsprechend orientiert sich die folgende Einordnung an den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) und greift die Regelungen des schweizerischen Datenschutzgesetzes ergänzend auf. Aus diesem Grund verwenden wir die Terminologie der DSGVO «personenbezogene Daten», «Datenverarbeitung» und «Auftragsverarbeiter». Die Begrifflichkeiten sind vergleichbar mit den unter dem schweizerischen Datenschutzgesetz geltenden Begriffen «Personendaten», «Datenbearbeitung» und «Auftragsbearbeiter».

Datenbearbeitungen in Drittstaaten ausserhalb der Europäischen Union, insbesondere in Ländern ohne angemessenes Datenschutzniveau wie den USA, trifft man in der Praxis ebenso häufig an. In diesem Blogbeitrag bleiben sie ausser Betracht. Sie erfahren auf unserer ONMAP oder in unserem Blogbeitrag mehr dazu.

WARUM DER VERTRAG ALLEIN NICHT ENTSCHEIDEND IST

Nach der Datenschutz-Grundverordnung (DSGVO) bestimmt sich die Rolle nicht nach dem Titel im Vertrag, sondern nach der funktionalen Ausgestaltung der Zusammenarbeit.

Entscheidend ist:

• wer über den Zweck der Datenverarbeitung entscheidet;

• wer die wesentlichen Mittel der Verarbeitung bestimmt.

Bezeichnet ein Vertrag eine Partei als «Processor», obwohl sie inhaltlich über Zweck und Einsatz der Daten mitentscheidet, liegt rechtlich kein Auftragsverarbeitungsverhältnis vor trotz der vertraglichen Etikette.

Praxis-Tipp: Die Rollenverteilung sollte anhand der tatsächlichen Prozesse analysiert werden, bevor Verträge erstellt und finalisiert werden.

CONTROLLER VS. PROCESSOR – EIN KLASSISCHER PRAXISFEHLER

Ein Controller entscheidet über Zweck und Mittel der Verarbeitung. Ein Processor verarbeitet personenbezogene Daten ausschliesslich im Auftrag und nach Weisung des Controllers.

In der Praxis problematisch sind insbesondere folgende Konstellationen:

• IT-Dienstleister, die eigenständig entscheiden, wie personenbezogene Daten verwendet oder ausgewertet werden.

• Plattformanbieter, die zwar Standardlösungen anbieten, diese jedoch gleichzeitig für eigene Zwecke nutzen.

• Berater oder Entwickler, die produktiv mit Echtdaten arbeiten und dabei eigene fachliche Entscheidungen treffen.

Wird ein Dienstleister fälschlich als Auftragsverarbeiter eingeordnet, fehlt ihm die datenschutzrechtliche Legitimation, personenbezogene Daten eigenständig zu verarbeiten, da er sich zu Unrecht auf ein Auftragsverarbeitungsverhältnis stützt.

Praxis-Tipp: Sobald ein Dienstleister eigene Entscheidungsbefugnisse hat, ist daher erhöhte Vorsicht geboten, insbesondere bei Analytics, Cloud oder KI-Projekten.

FEHLKLASSIFIZIERUNG VON DIENSTLEISTERN UND IHRE TYPISCHE FOLGEN

Eine fehlerhafte Rollenverteilung kann erhebliche Konsequenzen haben:

• Unwirksame Auftragsverarbeitungsverträge

• Fehlende oder falsche Datenschutzerklärungen

• Unklare Zuständigkeit bei Betroffenenanfragen

• Haftungsrisiken bei Datenschutzverletzungen

• Bussgelder und behördliche Anordnungen

Besonders problematisch ist, dass Fehler oft systemisch sind und sich über mehrere Projekte hinweg fortsetzen.

Praxis-Tipp: Bestehende Vertragsstrukturen sollten regelmässig überprüft werden – insbesondere bei neuen Technologien oder geänderten Geschäftsmodellen.

JOINT CONTROLLER ALS HAFTUNGSFALLE

Besonders unterschätzt wird die gemeinsame Verantwortlichkeit (Joint Control). Diese liegt vor, wenn zwei oder mehr Parteien gemeinsam über Zweck und Mittel der Verarbeitung entscheiden.

Typische Konstellationen:

• Gemeinsame Plattformen

• Konzerninterne Datenpools

• Kooperationen bei Marketing Lösungen

• Gemeinsame KI- oder Datenprojekte

Joint Controller haften gegenüber betroffenen Personen grundsätzlich solidarisch. Intern können sie zwar die Verantwortung aufteilen, nach aussen bleibt die Haftung jedoch bestehen.

Der Europäische Gerichtshof hat wiederholt klargestellt, dass bereits eine Mitwirkung an der Zweckbestimmung ausreichen kann, um eine gemeinsame Verantwortlichkeit zu begründen.

Praxis-Tipp: Joint-Controller-Vereinbarungen sind kein Formalismus, sondern zwingend notwendig, um Verantwortlichkeiten und Regressfragen zu klären.

KONSEQUENZEN FÜR VERTRÄGE UND COMPLIANCE

Die korrekte Rollenbestimmung hat direkte Auswirkungen auf:

• Vertragsgestaltung

• Informationspflichten gegenüber betroffenen Personen

• Technische und organisatorische Massnahmen

• Haftung und Versicherungsfragen

• Interne Governance-Strukturen

Eine saubere Rollenklärung ist daher Grundlage jeder funktionierenden Datenschutz-Compliance.

EXKURS: VERGLEICH MIT DER SCHWEIZ

Auch nach dem Schweizer Datenschutzrecht ist die Rollenverteilung funktional ausgestaltet. Entscheidend ist nicht die vertragliche Bezeichnung, sondern die tatsächliche Einflussnahme auf Zweck und Mittel der Datenbearbeitung.

Zwar kennt das Schweizer Recht keine ausdrückliche Regelung zur gemeinsamen Verantwortlichkeit, diese ist jedoch in Praxis und Lehre anerkannt, mit vergleichbaren Haftungsfolgen.

FAZIT

Die DSGVO kennt keine formalen Etiketten, sondern funktionale Verantwortung. Wer Zweck und Mittel der Datenverarbeitung beeinflusst, trägt Verantwortung – unabhängig davon, wie der Vertrag überschrieben ist.

Eine saubere Rollenklärung ist daher kein Formalismus, sondern ein zentrales Instrument zur Haftungsbegrenzung.

WEITERE INFORMATIONEN:

• Daten durch Dritte bearbeiten lassen (Übersicht auf unserer ONMAP)

• Daten mit und für Dritte bearbeiten (Übersicht auf unserer ONMAP)

• Warum IT-Verträge schriftlich geschlossen werden sollten.

Wir unterstützen regelmässig Kunden bei der Erstellung, Prüfung und Verhandlung von Verträge und stehen für die Klärung von datenschutzrechtlichen Fragen Red und Antwort.

Kontaktieren Sie uns gerne.  

Ihre Ansprechpersonen:

Caroline Danner

Rechtsanwältin & Inhaberin ONLAW

Selina Häfliger

BLAW, juristische Mitarbeiterin

Bild von Karolina Grabowska auf Pixabay