ICO: Leit­li­ni­en für Ver­ant­wort­li­che und Auf­trags­be­ar­bei­ter; Kri­te­ri­en zur Rollenbestimmung

Die eng­li­sche Daten­schutz-Auf­sichts­be­hör­de ICO hat ihre Leit­li­ni­en zu Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern auf­da­tiert. Es sind eine Kurz- und eine aus­führ­li­che­re Ver­si­on verfügbar.

Aus der Kurz­ver­si­on erge­ben sich fol­gen­de Indi­zi­en für die Eigen­schaft eines Ver­ant­wort­li­chen:

  • Ent­scheid über die Datenbearbeitung;
  • Ent­scheid über den Zweck bzw das Ergeb­nis der Bearbeitung;
  • Ent­scheid über den Umfang der bear­bei­te­ten Daten;
  • Ent­scheid über den Kreis der betrof­fe­nen Personen;
  • Erzie­lung von Pro­fit durch die Bear­bei­tung, abge­se­hen vom Ent­gelt für Dienstleistungen;
  • Bear­bei­tung auf Basis eines Ver­trags mit den betrof­fe­nen Per­so­nen oder im Rah­men einer direk­ten Bezie­hung mit ihnen;
  • Bear­bei­tung von Daten der eige­nen Mitarbeiter;
  • Fäl­lung von Ent­schei­dun­gen über betrof­fe­ne Per­so­nen als Teil der Bearbeitung;
  • Ver­wen­dung beruf­li­chen Spe­zi­al­wis­sens (“pro­fes­sio­nal judgment”) als Teil der Bearbeitung;
  • völ­li­ge Frei­heit in der Art der Bearbeitung;
  • Ein­satz eige­ner Auftragsbearbeiter.

Fol­gen­de Indi­zi­en für die Eigen­schaft eines Gemein­sam Ver­ant­wort­li­chen:

  • Die Par­tei­en ver­fol­gen ein gemein­sa­mes Ziel bei der Bearbeitung;
  • die Bear­bei­tung dient zu einem Zweck, den auch ein ande­rer Ver­ant­wort­li­cher verfolgt;
  • die glei­che Daten­bank wird mit einem ande­ren Ver­ant­wort­li­chen verwendet;
  • die Bear­bei­tung wur­de zusam­men mit einem ande­ren Ver­ant­wort­li­chen geplant und aufgesetzt;
  • die Regeln für den Umgang mit Daten wer­den gemein­sam mit einem ande­ren Ver­ant­wort­li­chen aufgesetzt.

Fol­gen­de Indi­zi­en für die Eigen­schaft eines Auf­trags­be­ar­bei­ters:

    • Die Bear­bei­tung folgt Wei­sun­gen eines anderen;
    • die Daten wer­den von einem Kun­den oder einer ver­gleich­ba­ren Dritt­par­tei erhal­ten oder nach ihren Wei­sunen erhoben;
    • feh­len­de Entscheidung 
      • dar­über, Per­so­nen­da­ten von betrof­fe­nen Per­so­nen zu erheben;
      • über die Art der erho­be­nen Daten;
      • über die Rechts­grund­la­ge der Bearbeitung;
      • über den Zweck der Bearbeitung;
      • über die Bekannt­ga­be von Daten an Dritte;
      • über die Speicherdaue
    • es wer­den zwar eini­ge Ent­schei­dun­gen über die Bear­bei­tung getrof­fen, doch wer­den die­se Ent­schei­dun­gen gemäss einem Dritt­ver­trag umgesetzt
    • es besteht ken Inter­es­se am End­ergeb­nis der Bearbeitung.