INFORMATIONEN

Data Controller vs. Datenverarbeiter

Wenn Sie erfolgreich sein wollen, müssen Sie die Datenverarbeitungsfunktionen in einem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter genau kennen, um die Verantwortlichkeiten und Verpflichtungen zu verstehen.

Ein für die Verarbeitung Verantwortlicher ist: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“.

Im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten die Auftragsverarbeiter personenbezogene Daten in der von dem für die Verarbeitung Verantwortlichen vorgegebenen Weise. Und das gilt für jeden Unterauftragsverarbeiter, den der Auftragsverarbeiter einsetzt.

Unterschiedliche Rollen für Controller und Prozessoren

Um Transparenz zu gewährleisten, wird in der Datenschutz-Grundverordnung zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern unterschieden. Um die Einhaltung der DSGVO zu gewährleisten, werden jedem von ihnen verschiedene Positionen zugewiesen.

Datenerhebung

Die für die Verarbeitung Verantwortlichen erhalten personenbezogene Daten nur von den betroffenen Personen. Folglich müssen die für die Verarbeitung Verantwortlichen auch ihre Rechtsgrundlage für die Beschaffung der Daten festlegen.

Die für die Verarbeitung Verantwortlichen müssen eine gültige Grundlage für die Erhebung von Daten schaffen, indem sie eine der sechs Datenbanken nutzen, die in der Datenschutz-Grundverordnung für die Erhebung von Daten aufgeführt sind, und wenn Daten bestimmte Datenkategorien erfordern, müssen die für die Verarbeitung Verantwortlichen auch eine Grundlage für die Erhebung und Verarbeitung von Daten haben, indem sie eine der zehn Datenbanken nutzen, die ebenfalls in der Datenschutz-Grundverordnung aufgeführt sind.

Verträge

Die für die Verarbeitung Verantwortlichen sind dafür verantwortlich, dass nur Datenverarbeiter eingesetzt werden, die die Rechtsvorschriften einhalten. Bei der Auswahl von Datenverarbeitern sollte eine detaillierte Due-Diligence-Prüfung durchgeführt werden.

Bei der Verarbeitung der Daten muss im Vertrag festgelegt werden, welche Anweisungen der Auftragsverarbeiter ausführen muss.

Die Einzelheiten der Datenschutzgrundverordnung sind in jedem Vertrag angegeben:

  • Art, Zweck, Gegenstand und ein vollständiger Zeitplan des Verarbeitungsplans;
  • Rechte und Pflichten des für die Verarbeitung Verantwortlichen;
  • Kategorien von Daten enthalten;
  • Kategorien von betroffenen Personen;
  • Zustimmung zur Befolgung der Anweisungen;
  • Vertraulichkeitsfragen;
  • Engagement für den Schutz;
  • Bedingungen für die Beauftragung von Unterauftragsverarbeitern;
  • Nachweis der Einhaltung von Artikel 28;
  • Rückgabe und Entsorgung von Daten.
  • Verhaltenskodizes oder Zertifizierungen

    Alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter müssen nicht nur einen Vertrag abschließen, sondern auch einen Verhaltenskodex oder ein anerkanntes Zertifizierungsverfahren einhalten, aus dem hervorgeht, wie die Vereinbarung die Anforderungen der DSGVO erfüllt.

    Datenschutz-Folgenabschätzungen

    Die für die Verarbeitung Verantwortlichen müssen Datenschutz-Folgenabschätzungen durchführen, wenn sie einen Auftragsverarbeiter mit der Durchführung einer risikoreichen Datenverarbeitung beauftragen. Jedes Mitglied der Aufsichtsbehörde definiert, was es als risikoreiche Tätigkeiten ansieht.

    Jede Datenschutz-Folgenabschätzung (DFA) muss mindestens vier kritische Elemente enthalten:

    Beschreibung des Zwecks des Prozesses und des Prozesses selbst;

    Beurteilung der Notwendigkeit der Bearbeitung;

    Bewertung der Risiken;

    Maßnahmen zur Bewältigung und Minimierung von Risiken.

    Transparenz

    Transparenz ist ein entscheidendes Ziel der Datenschutz-Grundverordnung. In Artikel 5 Absatz 2 heißt es, dass die für die Verarbeitung Verantwortlichen in der Lage sein müssen, „nachzuweisen, dass die Verarbeitung personenbezogener Daten gegenüber der betroffenen Person transparent erfolgt“.

    Meldung von Datenschutzverletzungen

    Die für die Verarbeitung Verantwortlichen müssen die Aufsichtsbehörde und die betroffene Person benachrichtigen, wenn eine Datenverletzung die Rechte und Freiheiten der betroffenen Personen verletzt. Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden nach Feststellung der Verletzung erfolgen.

    Geringfügige Datenverstöße, die keine Meldung an die Aufsichtsbehörde erfordern, müssen in einer Datenbank für Datenverstöße gemeldet werden.

    Stellt ein Auftragsverarbeiter einen Sicherheitsverstoß fest, müssen die entsprechenden für die Verarbeitung Verantwortlichen, die von dem Verstoß betroffen sind, informiert werden.

    Ernennung eines Datenschutzbeauftragten

    Wenn sie mit Daten arbeiten, müssen die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter einen Datenschutzbeauftragten (DSB) benennen, der ein oder mehrere Kriterien erfüllt:

  • Sie sind eine öffentliche Einrichtung;
  • Verarbeitung großer Datenmengen, die eine regelmäßige Überwachung erfordern;
  • Besondere Datenkategorien (einschließlich Daten über strafrechtliche Verurteilungen oder Straftaten) speichern.
  • Wenn ein DSB ernannt wird, hat er folgende Aufgaben:

  • Beratung der Organisation über ihre Rolle beim Datenschutz;
  • Überwachung der Einhaltung der einschlägigen Rechtsvorschriften;
  • Hilfe bei Folgenabschätzungen;
  • Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
  • Der behördliche Datenschutzbeauftragte könnte ein Unterauftragnehmer sein, der intern an einen behördlichen Dienstleister vergeben wird.

    Schlussfolgerung

    Nach der Datenschutz-Grundverordnung haben sowohl die für die Verarbeitung Verantwortlichen als auch die Datenverarbeiter unterschiedliche Aufgaben. Dennoch werden Sie feststellen, dass sich ihre Funktionen gegenseitig bei der Erreichung der Ziele Transparenz und Rechenschaftspflicht unterstützen.

    Datenschutz und Big Data

    Big Data, also riesige Datenmengen, ist eines der Lieblingsthemen der digitalen Revolution. Viele Unternehmen sind von den modernen Datenanalysetools für Marketing und Kundenbindung begeistert. Auf

    mehr »