Die eng­li­sche Daten­schutz-Auf­sichts­be­hör­de ICO hat ihre Leit­li­ni­en zu Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern auf­da­tiert. Es sind eine Kurz- und eine aus­führ­li­che­re Ver­si­on ver­füg­bar.

Aus der Kurz­ver­si­on erge­ben sich fol­gen­de Indi­zi­en für die Eigen­schaft eines Ver­ant­wort­li­chen:

  • Ent­scheid über die Daten­be­ar­bei­tung;
  • Ent­scheid über den Zweck bzw das Ergeb­nis der Bear­bei­tung;
  • Ent­scheid über den Umfang der bear­bei­te­ten Daten;
  • Ent­scheid über den Kreis der betrof­fe­nen Per­so­nen;
  • Erzie­lung von Pro­fit durch die Bear­bei­tung, abge­se­hen vom Ent­gelt für Dienst­lei­stun­gen;
  • Bear­bei­tung auf Basis eines Ver­trags mit den betrof­fe­nen Per­so­nen oder im Rah­men einer direk­ten Bezie­hung mit ihnen;
  • Bear­bei­tung von Daten der eige­nen Mit­ar­bei­ter;
  • Fäl­lung von Ent­schei­dun­gen über betrof­fe­ne Per­so­nen als Teil der Bear­bei­tung;
  • Ver­wen­dung beruf­li­chen Spe­zi­al­wis­sens (“pro­fes­sio­nal judgment”) als Teil der Bear­bei­tung;
  • völ­li­ge Frei­heit in der Art der Bear­bei­tung;
  • Ein­satz eige­ner Auf­trags­be­ar­bei­ter.

Fol­gen­de Indi­zi­en für die Eigen­schaft eines Gemein­sam Ver­ant­wort­li­chen:

  • Die Par­tei­en ver­fol­gen ein gemein­sa­mes Ziel bei der Bear­bei­tung;
  • die Bear­bei­tung dient zu einem Zweck, den auch ein ande­rer Ver­ant­wort­li­cher ver­folgt;
  • die glei­che Daten­bank wird mit einem ande­ren Ver­ant­wort­li­chen ver­wen­det;
  • die Bear­bei­tung wur­de zusam­men mit einem ande­ren Ver­ant­wort­li­chen geplant und auf­ge­setzt;
  • die Regeln für den Umgang mit Daten wer­den gemein­sam mit einem ande­ren Ver­ant­wort­li­chen auf­ge­setzt.

Fol­gen­de Indi­zi­en für die Eigen­schaft eines Auf­trags­be­ar­bei­ters:

    • Die Bear­bei­tung folgt Wei­sun­gen eines ande­ren;
    • die Daten wer­den von einem Kun­den oder einer ver­gleich­ba­ren Dritt­par­tei erhal­ten oder nach ihren Wei­sunen erho­ben;
    • feh­len­de Ent­schei­dung
      • dar­über, Per­so­nen­da­ten von betrof­fe­nen Per­so­nen zu erhe­ben;
      • über die Art der erho­be­nen Daten;
      • über die Rechts­grund­la­ge der Bear­bei­tung;
      • über den Zweck der Bear­bei­tung;
      • über die Bekannt­ga­be von Daten an Drit­te;
      • über die Spei­cher­daue
    • es wer­den zwar eini­ge Ent­schei­dun­gen über die Bear­bei­tung getrof­fen, doch wer­den die­se Ent­schei­dun­gen gemäss einem Dritt­ver­trag umge­setzt
    • es besteht ken Inter­es­se am End­ergeb­nis der Bear­bei­tung.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.