Als Verantwortlicher gilt jene Person oder jenes Bundesorgan, welche bzw. welches allein oder zusammen mit anderen über den Zweck (Wieso findet eine Datenbearbeitung statt?) und die Mittel (Wie wird der Zweck erreicht?) der Datenbearbeitung entscheidet. Es handelt sich dabei um diejenige Person bzw. um dasjenige Bundesorgan, die/das die wesentlichen datenschutzrechtlichen Parameter einer Datenbearbeitung festlegt (ASIP-Fachmitteilung Nr. 130, S. 6, Anm. 31).
Ein Beispiel ist die Gesundheitsprüfung. Sie bezweckt die Durchsetzung der Anzeigepflicht, d.h. der Deklaration einer gesundheitlichen Beeinträchtigung. Der Zweck wird mittels eines durch den Antragsteller (Versicherten) zuhanden des Verantwortlichen auszufüllenden Fragebogens oder durch sonstiges schriftliches Befragen des Antragstellers durch den Verantwortlichen erreicht (Mittel).
Dabei empfehlen wir die Anwendung von DSAT (ASIP-Fachmitteilung Nr. 131, S. 5): Formular «Compliance Check II – Anforderungen an eine Datenbearbeitung (für Verantwortliche)» unter /download/.[1]
[1] DSAT ist ein Datenschutz Self Assessment Tool, bestehend aus einem Satz von Formularen, der eine strukturierte Selbstbeurteilung der Datenschutz-Compliance eines Unternehmens erlaubt, d.h. die „Überprüfung, inwieweit die Bestimmungen des Datenschutzes sowohl unter dem revidierten DSG als auch der DSGVO eingehalten sind“ (/einfuehrung/).