Verantwortlichkeiten

💡 Leitlinie des BfDI

• „Verantwortlicher“
• Auftragsverarbeiter
• Datenschutzbeauftragte
• Aufsichtsbehörden

„Verantwortlicher“

(Art. 4 Abs. 7 DSGVO)

„[…] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“

=> Geschäftsführung (+ Mitarbeiter)

Muss:

• Datenschutzgrundsätze einhalten und Rechenschaft über deren Einhaltung ablegen
• Dokumentation der Verarbeitungstätigkeiten führen
  • bei hohem Risiko eine Datenschutz-Folgenabschätzung vornehmen
• Ausübung von Betroffenenrechten ermöglichen
  • Datenschutzverletzungen melden
• ggf. einen Datenschutzbeauftragten benennen

Kann:

• Auftragsverarbeiter beauftragen

Auftragsverarbeiter

Auftragsverarbeitung:

• erfordert Vertrag (Auftragsverarbeitungsvertrag (AVV) oder Datenschutz-Anhang (data protection addendum) an Hauptvertrag)
• Auftraggeber bleibt für die Verarbeitung der personenbezogenen Daten verantwortlich und haftbar

Der Auftragsverarbeiter ist verpflichtet:

• die von der verantwortlichen Stelle erteilten Aufträge genau befolgen
  • personenbezogene Daten nur zu den im Auftrag festgelegten Zwecken verarbeiten
• angemessene technische und organisatorische Maßnahmen zu ergreifen

Datenschutzbeauftragte

(Art. 37 DSGVO)

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten […]

§ 38 BDSG erfordert zusätzlich die Benennung eines Datenschutzbeauftragten

[…] soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen […]

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Aufgaben (Art. 39 DSGVO):

• unterrichtet und berät das Unternehmen
• überwacht die Einhaltung von Datenschutzvorschriften und die Strategie
• Anlaufstelle für Aufsichtsbehörden und Betroffene

Aufsichtsbehörden

• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
• Landesdatenschutzbeauftragte