Um die Einhaltung der DSGVO und die Gleichbehandlung von Personen zu gewährleisten, ist es wichtig, dass Sie Ihre Position in Bezug auf die von Ihnen erhobenen personenbezogenen Daten kennen.
Je nachdem, ob Sie für die Verarbeitung der Daten verantwortlich sind, die Daten verarbeiten oder gemeinsam mit anderen für die Verarbeitung verantwortlich sind, können sich Ihre Verantwortlichkeiten nach der DSGVO unterscheiden.
Zusätzlich zu allen personenbezogenen Daten und Verarbeitungen, die Sie durchführen, können Sie sich die Zeit nehmen, die Situation jedes Unternehmens, mit dem Sie zu tun haben, zu bewerten und zu erfassen.
Viele Faktoren hängen von der Leistungsfähigkeit des Betreibers oder der von ihm zugelassenen Person ab.
Controller, Prozessor oder gemeinsamer Controller?
Die nachstehenden Checklisten enthalten Anhaltspunkte dafür, dass Sie ein für die Datenverarbeitung Verantwortlicher, ein Datenverarbeiter oder ein gemeinsam mit anderen für die Datenverarbeitung Verantwortlicher sind. Je mehr Punkte Sie ankreuzen, desto wahrscheinlicher ist es, dass Sie in die betreffende Gruppe fallen.
Sind wir ein für die Datenverarbeitung Verantwortlicher?
Sind wir ein für die Datenverarbeitung Verantwortlicher?
Sind wir Datenverarbeiter?
Welche Bedeutung haben der für die Datenverarbeitung Verantwortliche und der Datenverarbeiter?
Die wichtigsten Entscheidungsträger sind die Betreiber; sie üben die Gesamtaufsicht über die Ziele und Methoden der Verarbeitung personenbezogener Daten aus.
Wenn die Ziele und Methoden der Verarbeitung derselben personenbezogenen Daten von zwei oder mehr Betreibern gemeinsam festgelegt werden, handelt es sich um verbundene Betreiber. Verarbeiten sie jedoch dieselben Informationen zu unterschiedlichen Zwecken, so sind sie keine gemeinsamen Betreiber.
Die von den Betreibern benannten Personen müssen im Namen und ausschließlich im Auftrag der betreffenden Betreiber handeln.
Wie können Sie entscheiden, ob Sie ein für die Datenverarbeitung Verantwortlicher sind?
Um zu verstehen, welche Verantwortlichkeiten im Rahmen der DSGVO in jeder Situation gelten, müssen Sie in der Lage sein, zwischen Betreibern, verbundenen Betreibern und von Betreibern bevollmächtigten Personen zu unterscheiden.
Um zu entscheiden, ob Sie ein für die Datenverarbeitung Verantwortlicher sind, sollten Sie Ihre Position und Ihre Pflichten in Bezug auf die von Ihnen durchgeführten Informationsverarbeitungstätigkeiten berücksichtigen.
Mit anderen Worten: Wenn Sie die Gesamtaufsicht über den Zweck und die Mittel der Sammlung personenbezogener Daten ausüben, sind Sie ein Betreiber, wenn Sie bestimmen, welche Daten verarbeitet werden und warum.
Nehmen wir an, dass Sie beim Sammeln von Informationen keine persönlichen Absichten verfolgen und ausschließlich auf Anweisung des Kunden handeln. In diesem Fall sind Sie wahrscheinlich ein Datenverarbeiter, auch wenn Sie bei der Verarbeitung der Daten einige Ermessensentscheidungen treffen.
Was bedeutet es, dass Sie ein Kontrolleur sind?
Die für die Verarbeitung Verantwortlichen sind in höchstem Maße gesetzlich haftbar. Sie sollten alle Datensicherheitsstandards sowie die DSGVO-Spezifikationen einhalten und deren Einhaltung nachweisen. Sie haften auch für die Durchsetzung der von Ihnen ermächtigten Person(en).
Im Falle eines Verstoßes gegen seine Pflichten, d.h. bei Sanktionen, werden Führungskräfte und Einzelpersonen gegen einen Kontrolleur vorgehen.
Was bedeutet es, dass Sie ein Datenverarbeiter sind?
Datenverarbeiter haben nach der DSGVO möglicherweise nicht die gleichen Pflichten wie die für die Verarbeitung Verantwortlichen. Selbst dann haben Sie als Datenverarbeiter eine Reihe direkter Verantwortlichkeiten gemäß der DSGVO.
Sowohl Aufsichtsbehörden als auch Einzelpersonen können gegen einen Auftragsverarbeiter Klage erheben, wenn er seinen Pflichten nicht nachkommt.
Was bedeutet es, dass Sie ein gemeinsamer Kontrolleur sind?
Von den gemeinsam für die Verarbeitung Verantwortlichen wird erwartet, dass sie festlegen, ob einer von ihnen allein für die Einhaltung der in der Datenschutz-Grundverordnung festgelegten Pflichten, der Rechenschaftspflicht und der Rechte der Personen verantwortlich ist. Sie sollten dieses Wissen den Personen zugänglich machen.
Beide gemeinsam für die Verarbeitung Verantwortlichen sind jedoch für die Einhaltung der Pflichten des Betreibers nach der Datenschutz-Grundverordnung verantwortlich. Sowohl die Aufsichtsbehörden als auch natürliche Personen können bei einem Verstoß gegen diese Pflichten gegen jeden Betreiber vorgehen.