- Bereitstellung eines frei nutzbaren CustomGPT-Prompts zur rechtlichen Einstufung datenbearbeitender Stellen nach schweizerischem Datenschutzrecht.
- Prüfung erfolgt mittels Entscheidungsbaum mit Identifikation der Bearbeitung, Bestimmung primärer Verantwortlichkeit und Kriterien für Auftragsbearbeitung.
- Prompt ist wegen Zeichenlimit in Instructions und umfangreichem Knowledge-Dokument getrennt; zusätzlich Referenzaufsatz von David Rosenthal hinterlegt.
Ein neuer Prompt in unserer Prompt Library unterstützt bei der Einstufung von datenbearbeitenden Stellen als Verantwortliche, gemeinsam Verantwortliche oder Auftragsbearbeiter nach schweizerischem Recht. Wie üblich ist der Prompt bei uns abrufbar und frei verwendbar, und ist als CustomGPT verfügbar.
Der Bot führt durch die Prüfung der datenschutzrechtlichen Rollen über einen vorgegebenen Entscheidungsbaum, der die Identifikation der Bearbeitung und der beteiligten Stellen umfasst, die Bestimmung der primären Verantwortlichkeit, die Prüfung einer Auftragsbearbeitung mit vier Hauptkriterien und drei Zweifelsfallregeln und die Prüfung einer gemeinsamen Verantwortung. Berücksichtigt werden auch Konstellationen wie Body Leasing.
Weil OpenAI die Instructions eines CustomGPT auf 8’000 Zeichen beschränkt und die vollständige Logik mit allen Fragen, Optionen und einer Vorlage für die Dokumentation des Ergebnisses am Ende rund 10’000 Zeichen umfasst, ist der Prompt aufgeteilt:
- Instructions (ca. 3’400 Zeichen): Verhaltensregeln und Kurzübersicht; steuert, wie der Bot vorgeht;
- Knowledge-Dokument (ca. 10’000 Zeichen): Vollständige Prüfungslogik, Kriterien, Sprunglogik und Protokollvorlage – steuert, was der Bot prüft.
Ebenfalls hinterlegt als Knowhow haben wir den öffentlich abrufbaren Aufsatz von David Rosenthal zu den datenschutzrechtlichen Rollen, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, in: Jusletter 17. Juni 2019 (der dadurch selbstredend keine Verantwortung für unseren Prompt oder dessen Verwendung übernimmt).