Bitte beachten Sie: Trotz gründlicher Überprüfung unserer Quellen, und obwohl wir uns unserer Auslegung sicher sind, stellt der folgende Text keine rechtliche Beratung dar.
Sie haben sicherlich die Begriffe „Datenverantwortlicher“ und „Datenverarbeiter“ in den letzten Monaten häufig gehört. Aber wissen Sie, was genau damit gemeint ist?
In diesem Blogeintrag erklären wir Ihnen, was der Unterschied zwischen dem Datenverarbeiter und dem Datenverantwortlichen ist und welche Auswirkungen die EU-DSGVO auf die Datenverarbeitung in Ihrem Unternehmen hat.
Datenverarbeiter oder Datenverantwortlicher?
Die bisherige Gesetzgebung unterscheidet zwei Typen der Organisationen, die personenbezogene Daten verarbeiten: den Datenverantwortlichen und den Datenverarbeiter. In dieser Hinsicht hat sich mit Inkrafttreten der EU-DSGVO nichts geändert.
Der Datenverantwortliche wird laut EU-DSGVO wie folgt definiert: „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ (Quelle: Art.4, Abs. 7, EU-DSGVO).
In diesem Sinne können fast alle Unternehmen als Datenverantwortliche eingestuft werden. Versenden Sie zum Beispiel an Ihre Kunden Newsletter über Veranstaltungen oder Sonderangebote, gelten Sie als ein Datenverantwortlicher.
Der Datenverarbeiter, oder Auftragsverarbeiter (EU-DSGVO) ist: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Quelle: Art.4, Abs. 8, EU-DSGVO).
Als Beispiel können hier Inkassounternehmen oder Marktforschungsunternehmen angeführt werden. Sie beschäftigen sich lediglich mit der Datenverarbeitung, weil der Zweck dieser Verarbeitung von den Auftragsgebern, also den Datenverantwortlichen, bestimmt wird.
Es ist auch möglich, dass ein Unternehmen sowohl als Datenverantwortlicher als auch Datenverarbeiter tätig ist, wie z.B. Esendex.
Wir sind Datenverantwortlicher indem wir die von uns erhobene Daten verarbeiten, wir sind jedoch auch Auftragsverarbeiter, indem wir Daten im Auftrag von unseren Kunden verarbeiten.
Wir verarbeiten personenbezogene Daten, die von unseren Kunden erhoben wurden (als Datenverarbeiter) und gleichzeitig bestimmen den Zweck der Verarbeitung von personenbezogenen Daten, die von uns erhoben werden (als Datenverantwortlicher).
Nach den bisherigen Datenschutzregelungen lag die Hauptverantwortung für den Datenschutz beim Datenverantwortlichen. Mit der EU-DSGVO wurden jedoch diese Pflichten auch auf die Datenverarbeiter erweitert.
Datenverantwortlicher – Rechte und Pflichten
Wie bisher muss sich der Datenverantwortliche bei der Datenverarbeitung nach den Prinzipien der Datensparsamkeit und Datenvermeidung ausrichten. Neu ist jedoch die Voraussetzung „des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen.“ (Art. 25, EU-DSGVO).
Dies bedeutet, dass der Datenverantwortliche „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung angemessene technische und organisatorische Maßnahmen wie Pseudonymisierung“ zu treffen hat (Quelle: BfDI – Info 6).
Darüber hinaus muss der Datenverantwortliche sicherstellen, dass Standardeinstellungen gesetzt werden, um nur solche personenbezogenen Daten zu verarbeiten, die für den konkreten Zweck erforderlich sind. Dies bezieht sich auf den Umfang der erhobenen Daten, ihre Verarbeitung sowie auf die Speicherfrist und Zugänglichkeit.
“Privacy by Default” und “Privacy by Design” gelten nach wie vor, lediglich zu einem erweiterten Umfang.
Falls der Datenverantwortliche einen Datenverarbeiter beauftragt, muss sichergestellt werden, dass die andere Organisation die Voraussetzungen der EU-DSGVO erfüllt. Es macht absolut Sinn zu überprüfen, ob der Datenverarbeiter einen Datenschutzbeauftragten hat und welche Sicherheitsmaßnahmen eingesetzt werden, um personenbezogenen Daten zu schützen.
Eine andere Pflicht des Datenverantwortlichen ist die Durchführung der sogenannten Datenschutz-Folgenabschätzung, wenn die Datenverarbeitung ein besonders hohes Risiko für persönliche Rechte und Freiheiten darstellt. Laut EU-DSGVO ist diese immer im Falle des Profilings, der Verarbeitung besonders sensibler Daten, sowie der Videoüberwachung durchzuführen (Art.35, EU-DSGVO).
Der Datenverantwortliche ist auch dazu verpflichtet, eine Verletzung des Datenschutzes unverzüglich an die zuständige Aufsichtsbehörde zu melden.
Auftragsverarbeiter und die EU-DSGVO
Gemäß der EU-DSGVO haben Auftragsverarbeiter ähnliche Pflichten wie Datenverantwortliche.
Auch Auftragsverarbeiter müssen sicherstellen, dass sie technisch-organisatorische Maßnahmen treffen, um die Voraussetzungen der EU-DSGVO einzuhalten.
Genauso wie Datenverantwortliche, sollten Auftragsverarbeiter ein Verzeichnis über ihre Datenverarbeitungstätigkeiten führen und dieses, wenn erforderlich, einer Aufsichtsbehörde oder dem Datenverantwortlichen zur Verfügung stellen.
Darüber hinaus sind die Auftragsverarbeiter verpflichtet, dem Datenverantwortlichen unverzüglich mitzuteilen, wenn es zu einer Verletzung des Datenschutzes gekommen ist.
Zusätzlich müssen Auftragsverarbeiter die Rechte der Einzelpersonen gewährleisten, u.a. das Recht auf Berichtigung, das Recht auf Löschung der Daten der Einzelperson, sowie das Recht auf Datenübertragbarkeit.
Auf Wunsch des Datenverantwortlichen müssen die Auftragsverarbeiter im Stande sein, alle personenbezogenen Daten dem Datenverantwortlichen zu übergeben, oder diese zu löschen.
Verfügt ein Auftragsverarbeiter über Informationen, die beweisen, dass seine Datenverarbeitungsprozesse gegen die Voraussetzungen der EU-DSGVO verstoßen, muss das Unternehmen den Datenverantwortlichen darüber unverzüglich informieren.
Angesichts der neuen Verordnung ist es angebracht, dass Auftragsverarbeiter durch eine öffentlich anerkannte Zertifizierung ihre Konformität mit den neuen Regelungen nachweisen können.
Sowohl der Datenverantwortliche als auch der Auftragsverarbeiter sind verpflichtet, einen Datenschutzbeauftragten anzustellen, sofern die Datenverarbeitung deren Kerntätigkeit darstellt. Für alle alle anderen Organisationen ist eine Datenschutzabteilung freiwillig.
Zusammenfassung
Unabhängig davon, ob Ihr Unternehmen als Datenverantwortlicher oder Auftragsverarbeiter tätig ist, greifen die Voraussetzungen der neuen Verordnung. Wir haben in diesem Blogeintrag nur die wichtigsten Änderungen zusammengefasst, das Thema ist jedoch keinesfalls erschöpft.
Sie können jederzeit weitere nützliche Informationen auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nachlesen.
Haben Sie Fragen dazu, wie wir bei Esendex unsere Datenverarbeitungsprozesse an die EU-DSGVO anpassen, dann setzen Sie sich mit uns in Verbindung. Unsere Mitarbeiter stehen Ihnen gerne jederzeit zur Verfügung.
