Die Vorsorgeeinrichtung hat für den PK-Experten und die Revisionsstelle keine Auftragsbearbeitungsverträge («Data Processing Agreement» bzw. «Controller to Processor Agreement») abzuschliessen, da es sich bei beiden um Verantwortliche (d.h. nicht Auftragsbearbeiter) gemäss revDSG handelt. Die Vorsorgeeinrichtung hat mit diesen vielmehr sog. «Controller to Controller Agreements» zur Abgrenzung der Verantwortlichkeiten gemäss revDSG zu vereinbaren. Dies schliesst jedoch nicht aus, dass der PK-Experte für die Vorsorgeeinrichtung bestimmte Tätigkeiten ausübt, bei welchen sie bzw. er aus datenschutzrechtlicher Sicht die Rolle des Auftragsbearbeitenden einnimmt. An diese Rolle ist z.B. zu denken, wenn die Vorsorgeeinrichtung hinsichtlich der Datenverwendung eine Weisungsbefugnis innehat und darüber entscheidet, welche Personendaten der PK-Experte zu welchem Zweck zur Verfügung gestellt werden.