jura-basic (Lexikon: Auftragsverarbeiter Verantwortlicher) - Grundwissen
   

  Rechtslexikon

 Juristisches
      Basiswissen


Rechtsgebiete:


Informationen:

DSGVO (Verantwortlicher und Auftragsverarbeiter)

Verantwortlicher

Rz. 3

a) Verantwortlicher ist derjenige, der Grundentscheidungen über Zweck und Mittel der Verarbeitung von personenbezogenen Daten trifft.

Verantwortlicher muss nicht eine natürliche Person sein. Verantwortlicher kann auch eine juristische Person sein, insbesondere GmbH oder Aktiengesellschaft.

Verantwortlicher iSd DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,

  • die allein oder gemeinsam mit anderen

  • über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO, § 46 Nr. 7 BDSG@).

Verantwortlicher kann nur eine Stelle sein, die eine gewisse Entscheidungsmacht hat. Der Verantwortlicher muss Grundentscheidungen über Zweck und Mittel der Verarbeitung von personenbezogenen Daten treffen und Datenverarbeitungsvorgänge organisieren, koordinieren oder fördern können (vgl. EuGH, 10.07.2018 - C-25/17, Zeugen Jehovas). Der Verantwortliche muss über geeignete technische und organisatorische Maßnahmen entscheiden und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen. Dabei hat er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (Erwägungsgrund 70, Art. 24 Abs. 1 DSGVO).

Beispiel: Ein Mitarbeiter eines Kfz-Betriebs erhebt im Rahmen eines Vertragsabschlusses personenbezogene Daten des Kunden (sog. Vertragsdaten). Verantwortlicher iSd DSGVO ist der Betriebsinhaber. Er kann Datenverarbeitungsvorgänge organisieren, koordinieren und fördern und geeignete Schutzmaßnahme treffen. Geeignete Maßnahmen können die Durchführung von Datenminimierung und Pseudonymisierung von personenbezogenen Daten sein. Betriebsinhaber kann eine natürliche Person oder eine juristische Person (z.B. GmbH) sein. Ein Arbeiter oder Büroangestellter kann nicht Verantwortlicher sein, da er gegen den Willen des Betriebsinhabers keine technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen kann.

Der Betreiber einer Facebook-Fanpage ist Verantwortlicher, da er Facebook im Rahmen des geschlossenen Vertrags die Möglichkeit gibt, personenbezogene Daten der Fanpage-Nutzer zu erfassen und so zur Verarbeitung der personenbezogenen Daten der Besucher beiträgt. Zugleich ist auch Facebook als Verantwortlicher anzusehen, da Facebook Besucherdaten verarbeitet. Facebook und der Betreiber einer Facebook-Fanpage sind beide Verantwortliche (siehe Gemeinsam Verantwortliche, Rz.5).

b) Der Verantwortliche hat zum Schutrz personenbezogener Daten geeignete technische und organisatorische Maßnahmen umzusetzen und den Nachweis zu erbringen, dass die Verarbeitung gemäß der DSGVO erfolgt (Art. 24 Abs. 1 DSGVO). Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert, siehe auch Erwägungsgrund 74.

c) Unter Berücksichtigung des Stands der Technik, trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen (wie z. B. Pseudonymisierung), die dafür ausgelegt sind, die Datenschutzgrundsätze (wie etwa Datenminimierung) wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen (Art. 25 Abs. 1 DSGVO).

Der Verantwortliche trifft auch geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit (Art. 25 Abs. 2 DSGVO), siehe auch Erwägungsgrund 78.

d) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche (§ 26 Abs. 1 DSGVO), siehe auch Erwägungsgrund 78.

e) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen (siehe Verarbeitungsverzeichnis, Rz.9).

f) Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 DSGVO), siehe auch Erwägungsgrund 82.

g) Der Verantwortliche ist berechtigt die Verarbeitung von personenbezogenen Daten im Rahmen eines Auftrags einem anderen zu übertragen. Dieser andere ist der Auftragsverarbeiter (siehe Auftragsverarbeiter, Rz.4).

h) Fraglich ist, ob Facebook als Verantwortlicher oder Auftragsverarbeiter anzusehen ist. Der EuGH sieht Facebook als Verantwortlicher, da das soziale Netzwerk über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer selbst entscheidet. Der EuGH sieht auch den Betreiber einer Facebook-Fanpage als Verantwortlicher, da er die Datenerhebung ermöglicht und somit über Zweck und Mittel der Datenerhebung entscheidet. Facebook und Fanpagebetreiber sind gemeinsame Verantwortliche (siehe Gemeinsam Verantwortliche, Rz.5).

i) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen (siehe Haftung, Rz.10).


<< Rz. 2 || Rz. 4 >>

Inhaltsübersicht ...    (jura-basic)


Dokument-Nr. 0001916 (Details, unten bei Hinweise), © jura-basic 2022

Weitere Themen...

Hier können Sie weitere Themen lesen, die von jura-basic bereitgestellt werden.

Weitere Fragen zum Arbeitsverhältnis?

Haben Sie weitere Fragen zum Arbeitsverhältnis, insbesondere zum Urlaub und Urlaubsabgeltung, zur Krankheit, zur Kündigung, zur Arbeitszeit (insbesondere Bereitschaftsdienst, Überstunden), dann siehe Details.


Hinweise

jura-basic.de, Copyright 2022...