Fachwissen Datenschutz - Verantwortlichkeiten

In der Welt des Datenschutzes nach der Datenschutz-Grundverordnung (DSGVO) gibt es zwei Hauptrollen, die bei der Verarbeitung personenbezogener Daten eine zentrale Bedeutung haben:

  • den Verantwortlichen
    und
  • den Auftragsverarbeiter

Verantwortlicher

Der Verantwortliche ist die Entität, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Diese Rolle beinhaltet die alleinige Entscheidungsbefugnis über die Datenverarbeitung, was sie zur häufigsten Rolle für datenverarbeitende Parteien macht. Ein Verantwortlicher kann Auftragsverarbeiter einsetzen, um bestimmte Teile der Datenverarbeitung durchzuführen, bleibt jedoch für die Gesamtheit der Datenverarbeitung verantwortlich und haftet direkt für die Einhaltung der DSGVO-Vorgaben.

Auftragsverarbeiter

Ein Auftragsverarbeiter hingegen handelt ausschließlich im Auftrag des Verantwortlichen und hat keine eigene Entscheidungsbefugnis hinsichtlich der Zwecke und Mittel der Datenverarbeitung. Die Aufgaben des Auftragsverarbeiters sind durch den Verantwortlichen vorgegeben, und er darf die ihm anvertrauten Daten nicht zu eigenen Zwecken verarbeiten. Verstößt ein Auftragsverarbeiter gegen diese Regelung und verarbeitet Daten zu eigenen Zwecken, nimmt er rechtlich die Rolle eines Verantwortlichen ein.

Konstellationen der Datenverarbeitung: Verantwortliche, Auftragsverarbeiter und gemeinsame Verantwortung

Im Kontext der Datenverarbeitung innerhalb der Europäischen Union, wie durch die Datenschutz-Grundverordnung (DSGVO) geregelt, ergeben sich verschiedene Konstellationen in Bezug auf die Beteiligung von datenverarbeitenden Parteien. Diese Konstellationen definieren, wie Verantwortliche und Auftragsverarbeiter in Beziehung zueinander stehen und welche rechtlichen Vereinbarungen getroffen werden müssen, um die Einhaltung der DSGVO zu gewährleisten.

Auftragsverarbeitung

Bei der Auftragsverarbeitung handelt es sich um eine Konstellation, in der ein Auftragsverarbeiter personenbezogene Daten im Namen und auf Weisung eines Verantwortlichen verarbeitet. Dies erfordert eine formelle Vereinbarung, die Auftragsverarbeitungsvereinbarung, welche die Anforderungen des Artikels 28 Absatz 3 DSGVO erfüllen muss. Diese Vereinbarung muss unter anderem den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen festlegen.

Datenübermittlung zwischen zwei Verantwortlichen

Wenn Daten von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, spricht man von einer Datenübermittlung zwischen zwei Verantwortlichen. In diesem Fall sind beide Parteien für die Einhaltung der Datenschutzprinzipien verantwortlich. Die Übermittlung muss auf einer rechtlichen Grundlage beruhen und die Rechte der betroffenen Personen müssen gewahrt bleiben.

Gemeinsame Verantwortlichkeit

Die gemeinsame Verantwortlichkeit tritt auf, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen. Diese Konstellation erfordert den Abschluss eines Joint-Controller-Agreements (JCA), das die jeweiligen Verantwortlichkeiten für die Einhaltung der DSGVO, insbesondere in Bezug auf die Ausübung der Rechte der betroffenen Personen und die Informationspflichten, klärt. Artikel 26 DSGVO schreibt vor, dass solch eine Vereinbarung transparente Informationen über die jeweiligen Verantwortlichkeiten bereitstellen muss.

Beispiele für Auftragsverarbeitung

In der Praxis der Datenverarbeitung gibt es unterschiedliche Konstellationen, in denen Unternehmen als Verantwortliche oder Auftragsverarbeiter agieren können. Hier einige praxisnahe Beispiele, die die verschiedenen Konstellationen illustrieren:

  • Versand von E-Mails durch E-Mailprovider
    Viele Unternehmen nutzen externe Dienste für den Versand von E-Mails und Newslettern. In diesem Fall agiert der E-Mailprovider als Auftragsverarbeiter, der die E-Mailadressen der Empfänger nur gemäß den Anweisungen des verantwortlichen Unternehmens verarbeitet.

  • Speicherung von Daten in einer Cloud-Infrastruktur
    Online-Shops setzen häufig Cloud-Dienste für das Hosting ihrer Plattformen ein. Die Kundendaten werden dabei in der Cloud gespeichert, wobei der Cloudanbieter als Auftragsverarbeiter fungiert und die Daten ausschließlich im Auftrag des Online-Shops verarbeitet.

  • Auslagerung von Call-Centertätigkeiten
    Unternehmen, die externe Callcenter zur Bearbeitung von Kundenanfragen nutzen, setzen diese Callcenter als Auftragsverarbeiter ein. Die Callcenter bearbeiten die Anfragen im Namen des Unternehmens, ohne eigene Entscheidungen über die Verwendung der Daten zu treffen.

Datenübermittlung zwischen zwei Verantwortlichen

  • Einsatz von Steuerberatern oder Rechtsanwälten
    Wenn Unternehmen personenbezogene Daten an Steuerberater oder Rechtsanwälte übermitteln, handeln diese als eigenständig Verantwortliche. Sie verarbeiten die Daten eigenverantwortlich und sind nicht weisungsgebunden, da sie über einen eigenen Ermessensspielraum verfügen.

Gemeinsame Verantwortlichkeit

  • Webtracking mittels Pixel
    Bei der Integration eines Tracking-Pixels von sozialen Netzwerken auf der Website eines Online-Shops zur Durchführung von Retargeting-Maßnahmen, können sowohl der Websitebetreiber als auch das soziale Netzwerk als gemeinsam Verantwortliche agieren. Beide Parteien bestimmen gemeinsam die Zwecke und Mittel der Datenverarbeitung, was eine klare Vereinbarung über die Aufteilung der datenschutzrechtlichen Pflichten erfordert.

Datenschutzbeauftragte

Datenschutz am Arbeitsplatz

Datenschutz am Arbeitsplatz umfasst eine Vielzahl von Maßnahmen, um sicherzustellen, dass personenbezogene und unternehmenskritische Daten sicher und geschützt sind. Ein wesentlicher Aspekt dabei ist die Sicherung der IT-Infrastruktur, einschließlich der Geräte, die für berufliche Zwecke genutzt werden. Hierzu gehören unter anderem PCs und Wechseldatenträger wie USB-Sticks.

PC-Sicherheit

Ein PC sollte durch ein starkes Passwort geschützt sein, um unbefugten Zugriff zu verhindern. Ein starkes Passwort ist in der Regel eine Kombination aus Buchstaben, Zahlen und Sonderzeichen, die nicht leicht zu erraten ist. Neben der Passwortsicherung ist es auch entscheidend, dass das Betriebssystem und alle installierten Programme regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zu schließen.

 

Festplattenverschlüsselung

Die Verschlüsselung der Festplatte ist eine weitere wichtige Maßnahme, da sie dazu beiträgt, die auf dem Gerät gespeicherten Daten zu schützen, selbst wenn das Gerät gestohlen wird oder verloren geht. Durch die Verschlüsselung werden die Daten in eine Form umgewandelt, die ohne den richtigen Schlüssel oder das Passwort nicht lesbar ist.

 

Sicherung von Wechseldatenträgern

USB-Sticks und andere Wechseldatenträger, die für die Speicherung und den Transport von Daten verwendet werden, sollten ebenfalls verschlüsselt und durch starke Passwörter geschützt sein. Dies ist besonders wichtig, da diese Geräte leicht verloren gehen oder gestohlen werden können und somit ein Risiko für den Datenschutz darstellen.

Um den Datenschutz am Arbeitsplatz zu gewährleisten, ist es wichtig, dass Arbeitsbereiche so organisiert und hinterlassen werden, dass unbefugten Dritten der Zugriff auf schutzbedürftige Dokumente verwehrt bleibt.

Dies beinhaltet, dass PCs bei Abwesenheit gesperrt und physische Dokumente sicher aufbewahrt werden sollten.


Sicherung des Arbeitsplatzes

  • PC-Sicherheit: Vor dem Verlassen des Arbeitsplatzes sollte der PC gesperrt werden, um zu verhindern, dass Unbefugte Zugang zu elektronischen Daten erhalten.
  • Aufbewahrung physischer Dokumente: Sensible oder schutzbedürftige Dokumente sollten nicht offen auf dem Schreibtisch liegen gelassen werden. Stattdessen sollten sie in abschließbaren Schränken oder Rollcontainern sicher verstaut werden.

Entsorgung von Dokumenten

  • Sichere Entsorgung: Dokumente, die personenbezogene Daten oder andere sensible Informationen enthalten, dürfen nicht einfach in den Papierkorb geworfen werden. Stattdessen sollten sie mit einem geeigneten Dokumenten-Schredder vernichtet werden, um sicherzustellen, dass die Informationen nicht wiederhergestellt und missbraucht werden können.

Grundsätzliche Aufgaben eines Datenschutzbeauftragten bei einem Kreditinstitut

Führung elektronisches Verfahrensregisters

» Alle Anwendungen mit Dokumentation von internen Zugriffsberechtigungen je Verfahren
» Kontrolle von Unterlagen zu Freigaben von Anwendungen, die personenbezogene Daten

   enthalten

Kontrolle/ Sicherstellung der Durchführung von regelmäßigen Mitarbeiterschulungen

Externe Anfragen / Informationen

» SCHUFA Anfragen mit Auftrag um Prüfung berechtigtes Interesse nach § 29 BDSG

Bearbeitung und Besprechung interner Angelegenheiten

» Einverständniserklärung Mitarbeiter bezüglich Speicherung und Nutzung von
   Leistungsdaten (z.B. Berechtigungsanträge, Parametereinstellung bei Personensuche)

» Verpflichtungserklärungen Datenschutz bei Neueinstellungen

» Erstellung und Pflege Datenschutzkonzept (u.a. Videoüberwachungen, Datenvernichtung

Interne Kontrollen

» Verpflichtung neu eingestellten Mitarbeiter auf das Datengeheimnis gemäß § 5 BDSG

» Aufbewahrung von Bewerbungs- und Testunterlagen sowie Führung von Personalakten

» Kontrolle von technisch-organisatorischen Maßnahmen

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Wir bieten

  • Projektmanagement aus einer Hand
  • Strategische Partnerschaften mit exzellenten Marktführern
  • Unterstützt durch modernste Künstliche Intelligenz Technologie eischl. Machine Learning Library (KI, MLL)
  • Innovative Lösungen und fundierte Expertise für Ihren Projekterfolg
KI-unterstütztes Projektmanagement
Mit strategischen Partnerschaften zum nachhaltigen Erfolg
HUB_Leistungsportfolio.pdf
Adobe Acrobat Dokument 5.3 MB

Auszeichnung

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

- Eine Beratung mit PROFIL -

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH