Fachwissen Datenschutz - Verantwortlichkeiten

Der Verantwortliche ist die Entität, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Diese Rolle beinhaltet die alleinige Entscheidungsbefugnis über die Datenverarbeitung, was sie zur häufigsten Rolle für datenverarbeitende Parteien macht. Ein Verantwortlicher kann Auftragsverarbeiter einsetzen, um bestimmte Teile der Datenverarbeitung durchzuführen, bleibt jedoch für die Gesamtheit der Datenverarbeitung verantwortlich und haftet direkt für die Einhaltung der DSGVO-Vorgaben.

Ein Auftragsverarbeiter hingegen handelt ausschließlich im Auftrag des Verantwortlichen und hat keine eigene Entscheidungsbefugnis hinsichtlich der Zwecke und Mittel der Datenverarbeitung. Die Aufgaben des Auftragsverarbeiters sind durch den Verantwortlichen vorgegeben, und er darf die ihm anvertrauten Daten nicht zu eigenen Zwecken verarbeiten. Verstößt ein Auftragsverarbeiter gegen diese Regelung und verarbeitet Daten zu eigenen Zwecken, nimmt er rechtlich die Rolle eines Verantwortlichen ein.

Im Kontext der Datenverarbeitung innerhalb der Europäischen Union, wie durch die Datenschutz-Grundverordnung (DSGVO) geregelt, ergeben sich verschiedene Konstellationen in Bezug auf die Beteiligung von datenverarbeitenden Parteien. Diese Konstellationen definieren, wie Verantwortliche und Auftragsverarbeiter in Beziehung zueinander stehen und welche rechtlichen Vereinbarungen getroffen werden müssen, um die Einhaltung der DSGVO zu gewährleisten.

Bei der Auftragsverarbeitung handelt es sich um eine Konstellation, in der ein Auftragsverarbeiter personenbezogene Daten im Namen und auf Weisung eines Verantwortlichen verarbeitet. Dies erfordert eine formelle Vereinbarung, die Auftragsverarbeitungsvereinbarung, welche die Anforderungen des Artikels 28 Absatz 3 DSGVO erfüllen muss. Diese Vereinbarung muss unter anderem den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen festlegen.

Wenn Daten von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, spricht man von einer Datenübermittlung zwischen zwei Verantwortlichen. In diesem Fall sind beide Parteien für die Einhaltung der Datenschutzprinzipien verantwortlich. Die Übermittlung muss auf einer rechtlichen Grundlage beruhen und die Rechte der betroffenen Personen müssen gewahrt bleiben.

Die gemeinsame Verantwortlichkeit tritt auf, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen. Diese Konstellation erfordert den Abschluss eines Joint-Controller-Agreements (JCA), das die jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO, insbesondere in Bezug auf die Ausübung der Rechte der betroffenen Personen und die Informationspflichten, klärt. Artikel 26 DSGVO schreibt vor, dass solch eine Vereinbarung transparente Informationen über die jeweiligen Verantwortlichkeiten bereitstellen muss.

In der Praxis der Datenverarbeitung gibt es unterschiedliche Konstellationen, in denen Unternehmen als Verantwortliche oder Auftragsverarbeiter agieren können. Hier einige praxisnahe Beispiele, die die verschiedenen Konstellationen illustrieren:

• Versand von E-Mails durch E-Mailprovider
  Viele Unternehmen nutzen externe Dienste für den Versand von E-Mails und Newslettern. In diesem Fall agiert der E-Mailprovider als Auftragsverarbeiter, der die E-Mailadressen der Empfänger nur gemäß den Anweisungen des verantwortlichen Unternehmens verarbeitet.
  
  
• Speicherung von Daten in einer Cloud-Infrastruktur
  Online-Shops setzen häufig Cloud-Dienste für das Hosting ihrer Plattformen ein. Die Kundendaten werden dabei in der Cloud gespeichert, wobei der Cloudanbieter als Auftragsverarbeiter fungiert und die Daten ausschließlich im Auftrag des Online-Shops verarbeitet.
  
  
• Auslagerung von Call-Centertätigkeiten
  Unternehmen, die externe Callcenter zur Bearbeitung von Kundenanfragen nutzen, setzen diese Callcenter als Auftragsverarbeiter ein. Die Callcenter bearbeiten die Anfragen im Namen des Unternehmens, ohne eigene Entscheidungen über die Verwendung der Daten zu treffen.

• Einsatz von Steuerberatern oder Rechtsanwälten
  Wenn Unternehmen personenbezogene Daten an Steuerberater oder Rechtsanwälte übermitteln, handeln diese als eigenständig Verantwortliche. Sie verarbeiten die Daten eigenverantwortlich und sind nicht weisungsgebunden, da sie über einen eigenen Ermessensspielraum verfügen.

• Webtracking mittels Pixel
  Bei der Integration eines Tracking-Pixels von sozialen Netzwerken auf der Website eines Online-Shops zur Durchführung von Retargeting-Maßnahmen, können sowohl der Websitebetreiber als auch das soziale Netzwerk als gemeinsam Verantwortliche agieren. Beide Parteien bestimmen gemeinsam die Zwecke und Mittel der Datenverarbeitung, was eine klare Vereinbarung über die Aufteilung der datenschutzrechtlichen Pflichten erfordert.

Datenschutz am Arbeitsplatz umfasst eine Vielzahl von Maßnahmen, um sicherzustellen, dass personenbezogene und unternehmenskritische Daten sicher und geschützt sind. Ein wesentlicher Aspekt dabei ist die Sicherung der IT-Infrastruktur, einschließlich der Geräte, die für berufliche Zwecke genutzt werden. Hierzu gehören unter anderem PCs und Wechseldatenträger wie USB-Sticks.

PC-Sicherheit

Ein PC sollte durch ein starkes Passwort geschützt sein, um unbefugten Zugriff zu verhindern. Ein starkes Passwort ist in der Regel eine Kombination aus Buchstaben, Zahlen und Sonderzeichen, die nicht leicht zu erraten ist. Neben der Passwortsicherung ist es auch entscheidend, dass das Betriebssystem und alle installierten Programme regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zu schließen.

Festplattenverschlüsselung

Die Verschlüsselung der Festplatte ist eine weitere wichtige Maßnahme, da sie dazu beiträgt, die auf dem Gerät gespeicherten Daten zu schützen, selbst wenn das Gerät gestohlen wird oder verloren geht. Durch die Verschlüsselung werden die Daten in eine Form umgewandelt, die ohne den richtigen Schlüssel oder das Passwort nicht lesbar ist.

Sicherung von Wechseldatenträgern

USB-Sticks und andere Wechseldatenträger, die für die Speicherung und den Transport von Daten verwendet werden, sollten ebenfalls verschlüsselt und durch starke Passwörter geschützt sein. Dies ist besonders wichtig, da diese Geräte leicht verloren gehen oder gestohlen werden können und somit ein Risiko für den Datenschutz darstellen.

Sicherung des Arbeitsplatzes

• PC-Sicherheit: Vor dem Verlassen des Arbeitsplatzes sollte der PC gesperrt werden, um zu verhindern, dass Unbefugte Zugang zu elektronischen Daten erhalten.
• Aufbewahrung physischer Dokumente: Sensible oder schutzbedürftige Dokumente sollten nicht offen auf dem Schreibtisch liegen gelassen werden. Stattdessen sollten sie in abschließbaren Schränken oder Rollcontainern sicher verstaut werden.

Entsorgung von Dokumenten

• Sichere Entsorgung: Dokumente, die personenbezogene Daten oder andere sensible Informationen enthalten, dürfen nicht einfach in den Papierkorb geworfen werden. Stattdessen sollten sie mit einem geeigneten Dokumenten-Schredder vernichtet werden, um sicherzustellen, dass die Informationen nicht wiederhergestellt und missbraucht werden können.