Am 7. November veröffentlichte der Europäische Datenschutzbeauftragte eine Reihe von Leitlinien, anhand derer Unternehmen feststellen können, ob sie als Controller, Processor oder Joint-Controller tätig sind. Die Leitlinien enthalten auch einfach zu bedienende Checklisten sowie ein Flussdiagramm.
In den Leitlinien werden viele der Empfehlungen der Artikel-29-Gruppe in ihrer Stellungnahme 1/2010 zu den Begriffen Controller und Processor sowie die Bestände der etablierten europäischen Rechtsprechung wiederholt. Sie enthalten jedoch einige wichtige Klarstellungen sowie sehr spezifische, sektororientierte Beispiele, damit die Unternehmen ihre Rolle bei der Verarbeitung personenbezogener Daten korrekt festlegen können.
Daher wird in den Leitlinien klargestellt, dass nur ein Verantwortlicher den Zweck der Verarbeitung personenbezogener Daten bestimmen kann. Darüber hinaus kann nur ein Verantwortlicher die wesentlichen Mittel für die Verarbeitung personenbezogener Daten festlegen. Es ist jedoch möglich, dass ein Auftragsverarbeiter die nicht wesentlichen Mittel zur Verarbeitung personenbezogener Daten bestimmt. Kurz gesagt, ein Verantwortlicher bestimmt immer den Zweck und (zumindest) die wesentlichen Mittel für die Verarbeitung personenbezogener Daten.
Eine weitere wichtige Klarstellung der Leitlinien ist, dass ein Unternehmen auch dann ein Controller ist, wenn es keinen Zugang zu den in seinem Namen verarbeiteten personenbezogenen Daten hat, solange dieses Unternehmen den Zweck und die Art und Weise der Verarbeitung bestimmt, Einfluss auf die Verarbeitung hat, indem es die Verarbeitung personenbezogener Daten veranlasst, oder anonyme Statistiken auf der Grundlage von personenbezogenen Daten erhält, die von einem anderen Unternehmen erhoben und verarbeitet werden. Während dies bereits gängige Praxis einiger europäischer Datenschutzbehörden und eine vom Gerichtshof der Europäischen Union bestätigte Position war, wird sie nun vom EU-DSB bestätigt, insbesondere im Zusammenhang mit der Unterscheidung Controller / Processor.
Die gleiche Klarstellung gilt für die Verarbeitung personenbezogener Daten als Joint-Controllership; es ist nicht erforderlich, dass beide für die Verarbeitung verantwortlichen Zugang zu personenbezogenen Daten haben, damit sie als Joint-Controller qualifiziert werden können.
Ferner wichtig zu berücksichtigen für die Unternehmen ist, dass nur ein für die Verarbeitung Verantwortlicher den Zweck und die wesentlichen Mittel für die Verarbeitung personenbezogener Daten festlegen kann. Der Processor ist jedoch kein „Untergebener“ und kann ein hohes Maß an Autonomie bei der Entscheidung über die Mittel genießen, wenn er im Namen des Controllers handelt.
Sollten Sie Unterstützung bei der Interpretation der Leitlinien benötigen, melden Sie sich gerne jederzeit bei uns. Wir freuen uns auf Ihre Nachricht.