Jusletter

Inhaltsverzeichnis

• 1. Einleitung
• 2. Warum Dienstleister, die Daten bearbeiten, meist als Auftragsbearbeiter gelten
• a. Ein beliebtes Konstrukt …
• b. Mit einfach umzusetzenden Anforderungen
• c. Oft ein voreiliger Schluss
• 3. Wann ist ein Dienstleister selbst Verantwortlicher?
• 4. Warum es den «Verantwortlichen» überhaupt gibt
• a. Wer die datenschutzrechtlichen Parameter festlegt …
• b. … soll die Durchsetzung des Datenschutzes sicherstellen
• c. Ob er verantwortlich sein will, spielt keine Rolle
• 5. Entscheid über die «Zwecke» der Bearbeitung
• a. Wer hat die Datenbearbeitung veranlasst?
• 6. Wenn die Datenbearbeitung die Leistung selbst ist
• a. Beispiel Social Media
• b. Mischformen sind denkbar – es zählen die tatsächlichen Verhältnisse
• c. Sonderfall: Der Auftraggeber ist die betroffene Person selbst
• 7. Wenn die Datenbearbeitung nur das Mittel zum Zweck ist
• a. Beispiel Anwalt
• b. Beispiel Banken und Versicherer
• c. Bearbeitung aus eigenen gesetzlichen Pflichten
• 8. Entscheid über die «Mittel» der Bearbeitung
• a. Die datenschutzrechtlichen Parameter, nicht ihre Umsetzung
• b. Beispiel Arzneimittelstudie
• c. Beispiel Übersetzer
• d. Wer hat faktisch das Sagen?
• e. Relevanz des Zugangs zu den Personendaten
• 9. Wenn der Dienstleister «entscheidet» und trotzdem Auftragsbearbeiter ist
• a. Standardisierung von Dienstleistungen
• b. Welche Freiheiten bedingt sich der Auftragsbearbeiter aus?
• c. Welche Entscheide an den Auftragsbearbeiter delegiert werden dürfen
• d. Wenn der Auftragsbearbeiter sich nicht an den ADV hält
• 10. Auftragsbearbeiter und Verantwortlicher in einem
• a. Dieselbe Datenbearbeitung in zwei Ausprägungen
• b. Nebenleistungen, für welche der Dienstleister Verantwortlicher ist
• c. Relevanz der Aufschaltung einer Datenschutzerklärung
• 11. Eigenständige und gemeinsame Verantwortliche
• 12. Herausforderungen von Controller-Controller-Transfers
• a. Von Gesetzes wegen ist kein Vertrag erforderlich
• b. Die Anforderung der Zweckkompatibilität und Rechtsgrundlage
• c. Weitere Gründe für eine vertragliche Regelung bei Controller-Controller-Transfers
• 13. Wenn mehrere Stellen für eine Datenbearbeitung gemeinsam verantwortlich sind
• a. Anforderung einer vertraglichen Regelung der Verantwortlichkeiten
• b. Anwendbares Recht bei Verantwortlichen in mehreren Staaten
• 14. Mitbestimmung führt zur gemeinsamen Verantwortlichkeit
• a. Der Fall Facebook Fanpages: Es braucht nicht viel zur gemeinsamen Verantwortlichkeit
• b. Der Fall Zeugen Jehovas: Die Mitbestimmung kann auch eine mittelbare sein
• c. Nicht jeder gemeinsame Verantwortliche hat dieselbe Verantwortung
• d. Privilegierung unter den gemeinsamen Verantwortlichen?
• 15. Abgrenzung zwischen gemeinsamer und eigenständiger Verantwortlichkeit
• a. Problematik überlagernder Datenbearbeitungen am Beispiel von Fernmeldenetzen
• b. Das Ebenenmodell als Abgrenzungshilfe bei überlagernden Datenbearbeitungen
• c. Der Fall SWIFT: Die Autonomie führte zur gemeinsamen Verantwortlichkeit
• d. Beispiel: Reisebüro v. Reiseportal
• e. Schranken für die Regelung der Verantwortlichkeit im Innenverhältnis?
• 16. Führt bereits der Zugang zu Daten zur Auftragsbearbeitung?
• a. Ausgangslage
• b. Fall 1: Kein Zugang zu Personendaten im Klartext
• c. Fall 2: Zugang zu Personendaten, aber sie sind nicht zu bearbeiten
• 17. Datenbearbeiter, aber weder Verantwortlicher noch Auftragsbearbeiter?
• a. Personen, die «unter der Aufsicht» arbeiten
• b. Kein ADV erforderlich
• 18. Zusammenfassung und Fazit
• a. Verantwortlich ist, wer über Zweck und Parameter der Datenbearbeitung entscheidet
• b. Es kann sein, dass mehrere Stellen relevante Entscheide treffen
• c. Wer nur über die Ausführung entscheidet, ist nicht Verantwortlicher
• d. Vor- und Nachteile der möglichen Rollen
• e. Auf das Bauchgefühl hören
• Anhang: Was in einen ADV gehört
• Anhang: Die Tabelle mit Beispielen aus der Praxis finden Sie hier.