Geschrieben am 24.01.2025 von:
Im letzten Beitrag unserer Reihe (diesen findest du hier) haben wir Artikel 4 DS-GVO kennengelernt, in dem viele wichtige DS-GVO-Begriffe definiert sind. Was unter der „Verarbeitung personenbezogener Daten“ zu verstehen ist, haben wir uns letztes Mal näher angeschaut. Heute werfen wir einen genaueren Blick auf die Begriffe des Verantwortlichen, des Auftragsverarbeiters und des „Dritten“ – und welche Pflichten und Verantwortlichkeiten daraus resultieren.
Der „Verantwortliche“ ist in Art. 4 Nr. 7 DS-GVO definiert. Das entscheidende Merkmal, das den Verantwortlichen in diesem Sinne auszeichnet, ist die Befugnis, über Zweck („Warum?“) und Mittel („Wie?“) der Datenverarbeitungen zu entscheiden. Beispiele für Verantwortliche sind Unternehmen, Einzelunternehmer, Behörden, Schulen, Arztpraxen und Kanzleien. Der Verantwortliche muss zum Beispiel die Grundsätze des Datenschutzes nach Art. 5 Abs. 1 DS-GVO einhalten und die Einhaltung auch nachweisen können (Art. 5 Abs. 2 DS-GVO). Mit diesen Grundsätzen werden wir uns ausführlich im nächsten Beitrag beschäftigen. Darüber hinaus muss er noch einige andere Pflichten erfüllen – zum Beispiel bestimmte Informationen bereitstellen (Art. 12 ff. DS-GVO), Auskunft erteilen (Art. 15 DS-GVO) und personenbezogene Daten datenschutzkonform löschen (Art. 17 DS-GVO), um nur einige Beispiele zu nennen. In unserer Beitragsreihe werden wir uns noch eingehend mit verschiedenen Verpflichtungen beschäftigen. Du siehst, die Verantwortlichkeiten sind ausschlaggebend dafür, wer welche Pflichten im Datenschutz zu erfüllen hat. Aber auch dafür, wer für die Folgen einstehen muss, wenn diese Pflichten verletzt werden.
Es ist durchaus möglich, dass mehrere Verantwortliche bei der Verarbeitung von personenbezogenen Daten involviert sind. In diesem Fall muss allerdings ein Vertrag nach Art. 26 DS-GVO geschlossen werden, der unter anderem regelt, wer welchen datenschutzrechtlichen Pflichten nachkommt, damit keine Lücken bei der Pflichterfüllung entstehen.
Im Gegensatz zum Verantwortlichen hat der Auftragsverarbeiter nach Art. 4 Nr. 8 DS-GVO keine Entscheidungsbefugnis, sondern handelt nur auf Weisung des Verantwortlichen. Beispiele hierfür sind Callcenter, Marktforschungsinstitute, IT-Support von Dienstleistern oder Cloud-Anbieter. Auch die Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter muss in einem Vertrag geregelt werden. Die Einzelheiten dazu sind in Art. 28 DS-GVO geregelt.
Anders verhält es sich bei der Zusammenarbeit mit „Dritten“ (Art. 4 Nr. 10 DS-GVO). Diese sind selbst für die Einhaltung der DS-GVO verantwortlich. Typische Beispiele dafür sind Steuerberater, Rechtsanwälte, Schulungsanbieter, Personalvermittler oder Postdienste. Ein besonderer datenschutzrechtlicher Vertrag ist hier nicht vorgeschrieben, dennoch empfiehlt es sich, Regelungen zur Vertraulichkeit und zum Datenschutz zu treffen. Falls dich das Thema interessiert, haben wir dazu bei unserer Academy ein kostenloses Seminar im Angebot (mehr dazu hier).
Die Abgrenzung dieser Verantwortlichkeiten ist in der Praxis nicht immer ganz einfach. Wenn du dabei Fragen hast, komm gerne auf uns zu, wir helfen dir!