INFORMATIONEN

Who’s Who in der DSGVO: Verantwortlicher versus Auftragsverarbeiter

Um die Rechte der betroffenen Personen zu schützen, können diese Personen oder Teams für Tätigkeiten im Zusammenhang mit den verschiedenen Phasen der Datenverwaltung verantwortlich gemacht werden. Die rechtlichen Verantwortlichkeiten, die mit diesen beiden Positionen verbunden sind, können in Anbetracht der unterschiedlichen Geschäftsrahmen in der heutigen Welt falsch interpretiert werden.

Obwohl die Funktionen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters identisch zu sein scheinen, weisen sie unterschiedliche Merkmale und spezifische rechtliche Verantwortlichkeiten auf, und beide können durch eine effiziente Software zur Durchsetzung der Datenschutzgrundverordnung unterstützt werden. Die beiden Begriffe werden in diesem Blogbeitrag kurz umrissen und die Unterschiede in den Pflichten der beiden Positionen werden aufgezeigt.

Was ist ein für die Datenverarbeitung Verantwortlicher im Sinne der DSGVO?

Wie der Name schon sagt, ist der für die Verarbeitung Verantwortliche eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Datenverarbeitung entscheidet.

Was ist ein Datenverarbeiter im Sinne der DSGVO?

Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, ist ein Datenverarbeiter. Auftragsverarbeiter dürfen personenbezogene Daten nur auf der Grundlage schriftlicher Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten.

Sie werden also nie alle Funktionen gleichzeitig für eine einzige Verarbeitungstätigkeit haben: Sie sind entweder ein Kontrolleur oder ein Bearbeiter. Es ist jedoch sehr wahrscheinlich, dass Sie für verschiedene Verarbeitungstätigkeiten beide Positionen innehaben werden.

Das Unternehmen wäre zum Beispiel der Controller für die Lohnverwaltung seiner Mitarbeiter. Ihr Unternehmen wäre jedoch wahrscheinlich ein Auftragsverarbeiter für Softwaredienste, die für andere Organisationen erbracht werden.

Je nachdem, wie eine Organisation aufgebaut ist, können Übungen zur Zuordnung von Datenschutzdaten und Tools zur Durchsetzung der DSGVO dabei helfen, mehr Varianten zu definieren und zu handhaben.

Was sind die Unterschiede zwischen einem Prozessor und einem Controller?

Zweitens ist der für die Verarbeitung Verantwortliche allein für die Bearbeitung der von der betroffenen Person gestellten Anträge zuständig. Der für die Verarbeitung Verantwortliche führt oder organisiert die Ausübung der Rechte der betroffenen Person, wie das Recht auf Auskunft und das Recht auf Löschung (und viele weitere, gemäß Artikel 15-22).

Zweitens wird das Ziel der Verarbeitung von dem für die Datenverarbeitung Verantwortlichen bestimmt. Der Hauptentscheidungsträger für personenbezogene Daten ist der für die Datenverarbeitung Verantwortliche.

Der für die Verarbeitung Verantwortliche ist verpflichtet, den rechtmäßigen Zweck der Verarbeitung zu prüfen und sicherzustellen, dass die Verarbeitung ein klar definiertes, eindeutiges Ziel und eine angemessene Rechtsgrundlage hat.

Drittens darf der für die Verarbeitung Verantwortliche nur Auftragsverarbeiter beauftragen, die geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Verarbeitung mit den Anforderungen der DSGVO übereinstimmt und somit die Rechte der betroffenen Person schützt.

Hierfür muss eine Vereinbarung (ein Verarbeitungsvertrag) oder ein gesonderter Rechtsakt vorgesehen werden. In Anlehnung an Artikel 28 werden die Bedingungen, die in den Vertrag aufgenommen werden sollten, ausdrücklich genannt.

Es ist daran zu erinnern, dass der Auftragsverarbeiter dieselbe Anforderung nach Artikel 28 Absatz 4 in Bezug auf die von ihm eingeschalteten Auftragsverarbeiter – wir nennen sie Unterauftragsverarbeiter – erfüllen muss.

Auch für Unterauftragsverarbeiter gelten die für den Hauptauftragsverarbeiter geltenden Pflichten. Darüber hinaus müssen die Unterauftragsverarbeiter geeignete technische und betriebliche Maßnahmen ergreifen, damit die Produktion (einschließlich der Verwendung von Durchsetzungssoftware) im Einklang mit der Datenschutz-Grundverordnung steht.

Für die betroffenen Unterverarbeiter trägt der Erstverarbeiter jedoch die volle Verantwortung (Artikel 28 Absatz 4).

Was die regulatorischen Zuständigkeiten im Rahmen der Datenschutz-Grundverordnung betrifft, so gibt es auch einige Diskrepanzen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern:

  • Ein Verzeichnis der Verarbeitungstätigkeiten ist gemäß Art. 30. Die genauen Daten, die erforderlich sind, variieren zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern: In den Aufzeichnungen von Auftragsverarbeitern werden weniger Informationen benötigt.
  • Die Artikel 33 und 34 beziehen sich auf Datenschutzverletzungen. Der für die Verarbeitung Verantwortliche ist für die Benachrichtigung der Aufsichtsbehörde oder der betroffenen Person zuständig, aber der Auftragsverarbeiter sollte den für die Verarbeitung Verantwortlichen ohne unnötige Verzögerung über einen Verstoß informieren.
  • Die Artikel 35 und 36 beziehen sich auf Folgenabschätzungen zur Datensicherheit und vorherige Konsultationen. Diese sind eng mit der Bestimmung der Mittel und des Zwecks der Verarbeitung verknüpft und gehören somit zu den Pflichten des für die Verarbeitung Verantwortlichen.
  • Wie passt das DSGVO-System zu den für die Datenverarbeitung Verantwortlichen und den Datenverarbeitern?

    Die Datenschutz-Grundverordnung verlangt eine klare vertragliche Beziehung zwischen Auftragsverarbeitern und Unterauftragsverarbeitern. Obwohl der für die Verarbeitung Verantwortliche in mehreren Situationen die führende Position innehat, weist die DSGVO dem Datenverarbeiter und den Unterauftragsverarbeitern die rechtliche Verantwortung zu, ein „wasserdichtes System“ aufzubauen, um ein Durchsickern der Rechenschaftspflicht zu verhindern.

    Das System der Datenschutz-Grundverordnung wirkt wie eine „Ewigkeitsklausel“: Der für die Verarbeitung Verantwortliche überträgt dem Auftragsverarbeiter Pflichten, der wiederum jedem Unterauftragsverarbeiter dieselben Pflichten auferlegen muss, und so weiter, ad infinitum. Es ist nicht möglich, sich der Verantwortung und Rechenschaftspflicht an irgendeiner Stelle in der Kette zwischen für die Verarbeitung Verantwortlichem und Auftragsverarbeiter zu entziehen.

    Die Kenntnis dieser beiden Grundsätze und ihrer Unterscheidungen wird dem Unternehmen helfen, seine rechtliche Verantwortung zu bestimmen und künftige Praktiken für die Verarbeitung personenbezogener Daten festzulegen.