Daten mit und
für Dritte bearbeiten
Wer im Auftrag eines Verantwortlichen Personendaten bearbeitet, wird als Auftragsbearbeiter bezeichnet.
Der Auftragsbearbeiter hat in vielen Bereichen die gleichen Pflichten wie der Verantwortliche selbst. Folgende Tätigkeiten muss der Auftragsbearbeiter speziell beachten:
- Der Auftragsbearbeiter darf die Bearbeitung der Personendaten einem Dritten nur mit Zustimmung des Verantwortlichen übertragen.
- Eine Verletzung der Datensicherheit (Data Breach) muss dem Verantwortlichen gemeldet werden.
- Betroffenenrechte sind direkt beim Verantwortlichen zu stellen, weshalb der Auftragsbearbeiter solche Anfragen dem Verantwortlichen weiterzuleiten hat.
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zu einer Datenbearbeitung fest, so sind sie gemeinsam Verantwortliche. Diese Konstellation wird auch Joint Controller genannt. Diese Konstellation wird im Datenschutzgesetz nicht explizit genannt. Es wird - wie für Auftragsbearbeitungen - empfohlen, einen schriftlichen Vertrag abzuschliessen.