Das neue Schweizer Datenschutzgesetz definiert zwar die Begriffe des alleinigen oder gemeinsamen Verantwortlichen und des Auftragsbearbeiters, analog der DSGVO, doch ist gerade in der Praxis unklar, wer genau bei einer Bearbeitung über den Zweck und die Mittel entscheidet. Wie bereits nach der DSGVO, verursacht die Rollenzuweisung auch in der Schweiz Kopfzerbrechen und kann bei fehlenden vertraglichen Grundlagen – einer Auftragsbearbeitungsvereinbarung – für den Verantwortlichen zu Busse führen. Dieser Beitrag bietet unter Bezugnahme auf die Leitlinien des Europäischen Datenschutzausschuss (EDSA) und der vom EuGH entwickelten neueren Rechtsprechung seit Dezember 2023 Auslegungshilfen.

Die strikte Rollenzuteilung nach dem neuen Schweizer Datenschutzgesetz bedingt, dass für jede Bearbeitung ein Verantwortlicher vorliegt, wobei nicht immer auch ein Auftragsbearbeiter vorliegen muss. Der Verantwortliche hat klar zugewiesene Aufgaben, ebenso ein allfälliger Auftragsbearbeiter. Die Hauptverantwortung für die Bearbeitung verbleibt aber immer beim Verantwortlichen (Quellen gem. BK), so treffen ihn die...