Datenschutz-Akademie » Datenschutz-Wiki » Verantwortlicher für die Verarbeitung nach DSGVO
Verantwortlicher für die Verarbeitung nach DSGVO
Wie ist die Rolle des Verantwortlichen in der Datenschutzgrundverordnung definiert?
Die Regelungen der Datenschutzgrundverordnung (DSGVO) richten sich in vielfacher Hinsicht an den „Verantwortlichen“. Artikel 4 Nr. 7 DSGVO definiert ihn als diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortlicher für die Verarbeitung nach DSGVO muss gewährleisten, dass die Vorschriften der DSGVO eingehalten werden und die Verarbeitung personenbezogener Daten in seinem Verantwortungsbereich rechtmäßig erfolgt. Dies muss der Verantwortliche nachweisen können.
Gibt es für die Verarbeitung mehrere Verantwortliche, so gelten die Bestimmungen des Artikels 26 DSGVO. Die gemeinsam Verantwortlichen müssen in einer Vereinbarung transparent festlegen, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Das gilt besonders für die Betroffenenrechte und die Informationspflichten.
Welche Aufgaben hat der Verantwortliche?
Die DSGVO weist dem Verantwortlichen eine ganze Reihe von Pflichten zu, die hier nicht alle vollständig aufgelistet werden können. So ist der Verantwortliche für die Einhaltung der in Artikel 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten zuständig und hat dafür die Rechenschaftspflicht. Nach Artikel 12 DSGVO muss dieser Personen, die von der Verarbeitung personenbezogener Daten betroffen sind, alle Informationen und Mitteilungen transparent und verständlich übermitteln, die in Artikel 13 ff. DSGVO geregelt sind. Dazu zählen zum Beispiel die Informationspflicht bei der Datenerhebung und das Recht auf Berichtigung und Löschung der Daten sowie die Einschränkung der Verarbeitung.
Abhängig von den Umständen der Verarbeitung muss der Verantwortliche gemäß Artikel 24 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um eine DSGVO-gerechte Verarbeitung sicherzustellen. Dazu zählen die Grundsätze des Privacy by Design und Privacy by Default sowie der IT-Sicherheit der Systeme. Artikel 32 DSGVO nennt konkret die Pseudonymisierung und Verschlüsselung von Daten als mögliche technische Mittel für den Schutz der Rechte und Freiheiten von Menschen.
Datenschutzverletzungen muss der Verantwortliche für die Verarbeitung nach DSGVO nach Maßgabe des Artikel 33 DSGVO möglichst binnen 72 Stunden an die Aufsichtsbehörde melden. Eine Ausnahme davon macht das Gesetz, wenn die Datenpanne voraussichtlich zu keinem Risiko für die Rechte und Freiheiten von Menschen führt. Bei einem hohen Risiko sind im Regelfall auch die betroffenen Personen durch den Verantwortlichen zu benachrichtigen, wie Artikel 34 DSGVO regelt.
Nach Artikel 82 DSGVO haftet der Verantwortliche für immaterielle und materielle Schäden des Betroffenen, die durch den Verstoß des Datenverarbeiters gegen die Verordnung entstehen. Davon wird er nur befreit, wenn er nachweist, dass er in keinerlei Hinsicht verantwortlich ist für den Umstand, der zum Schaden geführt hat.
Whitepaper Datenschutz an Unternehmensstandorten und Personen der Datenschutzorganisation
Im Whitepaper zum Datenschutz an Unternehmensstandorten & Personen der Datenschutzorganisation finden Sie:
- Erhalten Sie Informationen zu rechtlich zulässigen Datenübermittlungen
- Lernen Sie mehr über die Datenschutzrelevante Betrachtung verschiedener Unternehmensstandorte
- Lernen Sie DSGVO-konforme Möglichkeiten der Datenübermittlung in Drittländer kennen
- Erhalten Sie Hintergrundinformationen zum Marktortprinzip, Drittland und Konzernprivileg
- Lernen Sie welche Personen Mitglieder der Datenschutzorganisation sind
In der Robin Data ComplianceOS® bekommen Sie passende TOMs auf Basis Ihrer Branche angezeigt und können diese einfach in Ihre digitale Datenschutz-Dokumentation importieren.
Welche Pflichten hat der Verantwortliche gegenüber dem Datenschutzbeauftragten?
Der Verantwortliche für die Verarbeitung nach DSGVO hat auch gegenüber seinem Datenschutzbeauftragten eine Reihe von Pflichten zu erfüllen. So hat er dem Beauftragten neben Räumen nach Artikel 38 DSGVO die nötigen Ressourcen und Fortbildungsmaterial wie Fachzeitschriften, Kommentare und Lehrbücher zur Verfügung zu stellen. Für Kontroversen sorgt in der Praxis oft die Frage, wieviel Zeit der Datenschutzbeauftragte für seine Tätigkeit neben etwaigen anderen Aufgaben aufwenden kann. Das kann je nach dem Umfang und der Komplexität der Datenverarbeitungen variieren. Im Zweifel muss der Verantwortliche den Datenschutzbeauftragte von anderen Arbeiten entbinden.
In großen Unternehmen müssen ihn Ansprechpartner aus den Fachbereichen bei der Erfüllung seiner Aufgaben unterstützen. Außerdem hat der Verantwortliche dafür Sorge zu tragen, dass der Datenschutzbeauftragte Zutritt zu sämtlichen Bereichen, in denen Datenverarbeitungen durchgeführt werden sowie Zugriff auf alle Unterlagen und IT-Systeme hat.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020