INFORMATIONEN

Data Controller vs. Datenverarbeiter

Wenn Sie erfolgreich sein wollen, müssen Sie die Datenverarbeitungsfunktionen in einem Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter genau kennen, um die Verantwortlichkeiten und Verpflichtungen zu verstehen.

Ein für die Verarbeitung Verantwortlicher ist: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“.

Im Auftrag des für die Verarbeitung Verantwortlichen verarbeiten die Auftragsverarbeiter personenbezogene Daten in der von dem für die Verarbeitung Verantwortlichen vorgegebenen Weise. Und das gilt für jeden Unterauftragsverarbeiter, den der Auftragsverarbeiter einsetzt.

Unterschiedliche Rollen für Controller und Prozessoren

Um Transparenz zu gewährleisten, wird in der Datenschutz-Grundverordnung zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern unterschieden. Um die Einhaltung der DSGVO zu gewährleisten, werden jedem von ihnen verschiedene Positionen zugewiesen.

Datenerhebung

Die für die Verarbeitung Verantwortlichen erhalten personenbezogene Daten nur von den betroffenen Personen. Folglich müssen die für die Verarbeitung Verantwortlichen auch ihre Rechtsgrundlage für die Beschaffung der Daten festlegen.

Die für die Verarbeitung Verantwortlichen müssen eine gültige Grundlage für die Erhebung von Daten schaffen, indem sie eine der sechs Datenbanken nutzen, die in der Datenschutz-Grundverordnung für die Erhebung von Daten aufgeführt sind, und wenn Daten bestimmte Datenkategorien erfordern, müssen die für die Verarbeitung Verantwortlichen auch eine Grundlage für die Erhebung und Verarbeitung von Daten haben, indem sie eine der zehn Datenbanken nutzen, die ebenfalls in der Datenschutz-Grundverordnung aufgeführt sind.

Verträge

Die für die Verarbeitung Verantwortlichen sind dafür verantwortlich, dass nur Datenverarbeiter eingesetzt werden, die die Rechtsvorschriften einhalten. Bei der Auswahl von Datenverarbeitern sollte eine detaillierte Due-Diligence-Prüfung durchgeführt werden.

Bei der Verarbeitung der Daten muss im Vertrag festgelegt werden, welche Anweisungen der Auftragsverarbeiter ausführen muss.

Die Einzelheiten der Datenschutzgrundverordnung sind in jedem Vertrag angegeben:

Art, Zweck, Gegenstand und ein vollständiger Zeitplan des Verarbeitungsplans;

Rechte und Pflichten des für die Verarbeitung Verantwortlichen;

Kategorien von Daten enthalten;

Kategorien von betroffenen Personen;

Zustimmung zur Befolgung der Anweisungen;

Vertraulichkeitsfragen;

Engagement für den Schutz;

Bedingungen für die Beauftragung von Unterauftragsverarbeitern;

Nachweis der Einhaltung von Artikel 28;

Rückgabe und Entsorgung von Daten.

Verhaltenskodizes oder Zertifizierungen

Alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter müssen nicht nur einen Vertrag abschließen, sondern auch einen Verhaltenskodex oder ein anerkanntes Zertifizierungsverfahren einhalten, aus dem hervorgeht, wie die Vereinbarung die Anforderungen der DSGVO erfüllt.

Datenschutz-Folgenabschätzungen

Die für die Verarbeitung Verantwortlichen müssen Datenschutz-Folgenabschätzungen durchführen, wenn sie einen Auftragsverarbeiter mit der Durchführung einer risikoreichen Datenverarbeitung beauftragen. Jedes Mitglied der Aufsichtsbehörde definiert, was es als risikoreiche Tätigkeiten ansieht.

Jede Datenschutz-Folgenabschätzung (DFA) muss mindestens vier kritische Elemente enthalten:

Beschreibung des Zwecks des Prozesses und des Prozesses selbst;

Beurteilung der Notwendigkeit der Bearbeitung;

Bewertung der Risiken;

Maßnahmen zur Bewältigung und Minimierung von Risiken.

Transparenz

Transparenz ist ein entscheidendes Ziel der Datenschutz-Grundverordnung. In Artikel 5 Absatz 2 heißt es, dass die für die Verarbeitung Verantwortlichen in der Lage sein müssen, „nachzuweisen, dass die Verarbeitung personenbezogener Daten gegenüber der betroffenen Person transparent erfolgt“.

Meldung von Datenschutzverletzungen

Die für die Verarbeitung Verantwortlichen müssen die Aufsichtsbehörde und die betroffene Person benachrichtigen, wenn eine Datenverletzung die Rechte und Freiheiten der betroffenen Personen verletzt. Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden nach Feststellung der Verletzung erfolgen.

Geringfügige Datenverstöße, die keine Meldung an die Aufsichtsbehörde erfordern, müssen in einer Datenbank für Datenverstöße gemeldet werden.

Stellt ein Auftragsverarbeiter einen Sicherheitsverstoß fest, müssen die entsprechenden für die Verarbeitung Verantwortlichen, die von dem Verstoß betroffen sind, informiert werden.

Ernennung eines Datenschutzbeauftragten

Wenn sie mit Daten arbeiten, müssen die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter einen Datenschutzbeauftragten (DSB) benennen, der ein oder mehrere Kriterien erfüllt:

Sie sind eine öffentliche Einrichtung;

Verarbeitung großer Datenmengen, die eine regelmäßige Überwachung erfordern;

Besondere Datenkategorien (einschließlich Daten über strafrechtliche Verurteilungen oder Straftaten) speichern.

Wenn ein DSB ernannt wird, hat er folgende Aufgaben:

Beratung der Organisation über ihre Rolle beim Datenschutz;

Überwachung der Einhaltung der einschlägigen Rechtsvorschriften;

Hilfe bei Folgenabschätzungen;

Zusammenarbeit mit den zuständigen Aufsichtsbehörden.

Der behördliche Datenschutzbeauftragte könnte ein Unterauftragnehmer sein, der intern an einen behördlichen Dienstleister vergeben wird.

Schlussfolgerung

Nach der Datenschutz-Grundverordnung haben sowohl die für die Verarbeitung Verantwortlichen als auch die Datenverarbeiter unterschiedliche Aufgaben. Dennoch werden Sie feststellen, dass sich ihre Funktionen gegenseitig bei der Erreichung der Ziele Transparenz und Rechenschaftspflicht unterstützen.

DSGVO: Der Vertrag – die Rechtsgrundlage für eine gesetzeskonforme Verarbeitung

15/03/2021 Keine Kommentare

Was müssen wir wissen? Auf dieser Grundlage bestimmt die Datenschutz-Grundverordnung, ob Sie personenbezogene Daten verarbeiten müssen, weil Sie den vertraglichen Verpflichtungen einer Person nachkommen müssen

mehr »

Wie DSGVO auf die medizinische Wissenschaft angewendet wird

18/12/2022 Keine Kommentare

Die allgemeine Datenschutzverordnung zielt vor allem darauf ab, die Rechte der europäischen Internetnutzer in Bezug auf ihre Daten zu stärken, indem sie den Betroffenen gegenüber

mehr »

Was sind die wichtigsten DSGVO-Sanktionen?

20/03/2022 Keine Kommentare

Artikel 83 der Datenschutz-Grundverordnung sieht vor, dass bei Verstößen gegen die Datenschutz-Grundverordnung angemessene, verhältnismäßige und abschreckende Sanktionen verhängt werden. Ein Bußgeld im Zusammenhang mit der

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Data Controller vs. Datenverarbeiter

Unterschiedliche Rollen für Controller und Prozessoren

Datenerhebung

Verträge

Verhaltenskodizes oder Zertifizierungen

Datenschutz-Folgenabschätzungen

Transparenz

Meldung von Datenschutzverletzungen

Ernennung eines Datenschutzbeauftragten

Schlussfolgerung

DSGVO: Der Vertrag – die Rechtsgrundlage für eine gesetzeskonforme Verarbeitung

Wie DSGVO auf die medizinische Wissenschaft angewendet wird

Was sind die wichtigsten DSGVO-Sanktionen?

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen