Die DSGVO definiert einen klaren Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter, und nicht alle an der Datenverarbeitung beteiligten Organisationen haben die gleichen Verantwortlichkeiten. Compliance-Anforderungen unterscheiden sich je nachdem, um welche Art von Organisation es sich handelt (oder beides).
Das Verständnis des Unterschieds zwischen Datenverantwortlichen und Datenverarbeitern ist entscheidend für die DSGVO-Compliance. Unwissenheit vorzuspielen ist keine Option – Sie sind dafür verantwortlich, sicherzustellen, dass Sie die DSGVO einhalten und diese Einhaltung gegenüber den Aufsichtsbehörden nachweisen können.
Wir werden im Folgenden die wichtigsten Unterschiede zwischen Datenverantwortlichen und Datenverarbeitern sowie deren Verantwortlichkeiten behandeln. Es ist jedoch wichtig, mit Ihrem Rechtsteam oder externem Rechtsbeistand zu sprechen, um zu wissen, wo Ihre Organisation steht.
DSGVO-Datenverantwortliche vs. Datenverarbeiter
Unter der DSGVO ist ein Datenverantwortlicher eine Organisation oder eine Einzelperson, die entscheidet, wie und warum personenbezogene Daten verarbeitet werden.
Ein Datenverarbeiter ist jede dritte Partei, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet. Ein Datenverarbeiter darf personenbezogene Daten nur gemäß den Anweisungen des Datenverantwortlichen verarbeiten, es sei denn, das Gesetz schreibt etwas anderes vor.
Datenverantwortliche haben größere Verantwortlichkeiten für die Einhaltung der DSGVO, aber auch Datenverarbeiter sind verpflichtet sicherzustellen, dass die Datenverarbeitung gemäß der DSGVO erfolgt.
Beachten Sie, dass es möglich ist, sowohl Datenverantwortlicher als auch Datenverarbeiter zu sein. Um dies sicher zu wissen, ist es wichtig, mit Ihrem Rechtsteam oder externem Rechtsbeistand zu sprechen.
Beispiel
Lassen Sie uns den Unterschied zwischen Datenverantwortlichen und Datenverarbeitern anhand eines Beispiels klären, das auf einem der UK Information Commissioner's Office basiert.
Ein IT-Dienstleistungsunternehmen speichert Archivdaten im Auftrag einer Bank. Obwohl das Unternehmen seine technische Expertise nutzt, um zu entscheiden, wie die Daten am besten sicher und zugänglich gespeichert werden, bestimmt die Bank, warum und wie die Daten verwendet werden und wie lange sie aufbewahrt werden. Die Bank ist daher der mutmaßliche Datenverantwortliche, da sie die ausschließliche Kontrolle darüber hat, warum die Daten verarbeitet werden. Das IT-Dienstleistungsunternehmen ist der mutmaßliche Datenverarbeiter, da es zwar teilweise Kontrolle über die Art und Weise der Datenverarbeitung hat, aber nicht darüber, warum die Daten verarbeitet werden.
DSGVO-Anforderungen an Datenverantwortliche
Datenverantwortliche müssen die strengsten Ebenen der DSGVO-Compliance erfüllen.
Sie sind nicht nur verpflichtet, die vollständige Einhaltung aller Datenschutzprinzipien aktiv nachzuweisen — sie sind auch für die Einhaltung der DSGVO durch alle von ihnen eingesetzten Datenverarbeiter verantwortlich.
Artikel 24 beschreibt die folgenden Anforderungen an Datenverantwortliche. Sie müssen:
- Zweck, Natur, Kontext und Umfang der Datenverarbeitung berücksichtigen.
- Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen in Betracht ziehen.
- Geeignete und effektive Maßnahmen umsetzen, die die Einhaltung der DSGVO-Vorschriften durch die Datenverarbeitungstätigkeiten nachweisen.
- Diese Maßnahmen gegebenenfalls überprüfen und aktualisieren.
Anforderungen an Datenverarbeiter gemäß DSGVO
Datenverarbeiter haben nicht dieselben rechtlichen Verpflichtungen wie Datenverantwortliche gemäß DSGVO.
Sie müssen jedoch die Verpflichtungen des Datenverantwortlichen erfüllen, wie sie in einer verbindlichen schriftlichen Vereinbarung festgelegt sind. Dazu gehört, nur auf dokumentierte Anweisungen des Datenverantwortlichen darüber zu handeln, welche Daten sie verarbeiten dürfen, warum und wie lange.
Bei der Verarbeitung von Daten gemäß diesen Anweisungen muss der Datenverarbeiter geeignete organisatorische und technische Maßnahmen umsetzen, um den Richtlinien der DSGVO zu entsprechen.
Nach Abschluss der Datenverarbeitung muss der Datenverarbeiter die personenbezogenen Daten entweder an den Datenverantwortlichen zurückgeben oder löschen, es sei denn, er ist gesetzlich verpflichtet, sie zu speichern.
Was ist der Unterschied zwischen Datenverantwortlichem und Datenverarbeiter gemäß DSGVO?
Gemäß DSGVO entscheidet ein Datenverantwortlicher darüber, wie und warum personenbezogene Daten verarbeitet werden, während ein Datenverarbeiter personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet.
Was ist die DSGVO-Vereinbarung zwischen Verantwortlichem und Verarbeiter?
Die DSGVO-Vereinbarung zwischen einem Datenverantwortlichen und einem Verarbeiter ist eine Datenverarbeitungsvereinbarung. Gemäß DSGVO müssen Datenverantwortliche Datenverarbeitungsvereinbarungen mit allen Datenverarbeitern haben. Diese Vereinbarungen müssen die folgenden Anforderungen erfüllen, die in Artikel 28 beschrieben sind, indem sie angeben:
- den Gegenstand und die Dauer der Verarbeitung
- die Art und den Zweck der Verarbeitung
- die Art der personenbezogenen Daten und Kategorien der betroffenen Personen
- die Verpflichtungen und Rechte des Datenverantwortlichen
Kann man gemäß DSGVO sowohl Verantwortlicher als auch Verarbeiter sein?
Man kann gemäß DSGVO sowohl Datenverantwortlicher als auch Verarbeiter sein — aber nur für unterschiedliche Verarbeitungstätigkeiten. Zum Beispiel kann man ein Datenverantwortlicher sein, wenn man die Daten seiner Mitarbeiter verarbeitet, und ein Datenverarbeiter, wenn man personenbezogene Daten im Auftrag und gemäß den Anweisungen eines Datenverantwortlichen verarbeitet.
Was ist ein Beispiel für einen Verantwortlichen und einen Verarbeiter?
Angenommen, ein SaaS-Unternehmen schließt einen Vertrag mit einem Lohnbuchhaltungsunternehmen ab und weist dieses an, wann und wie die Mitarbeiter zu bezahlen sind. In diesem Beispiel ist das SaaS-Unternehmen ein Datenverantwortlicher und das Lohnbuchhaltungsunternehmen ist ein Datenverarbeiter.