Die Art und Weise, wie Unternehmen personenbezogene Daten nutzen und speichern, wird schon seit vielen Jahren kritisch hinterfragt, und der Druck, verantwortungsvoll damit umzugehen, wird immer größer, je mehr Verbraucher sich bewusst werden, wie wertvoll ihre Daten sind.
Die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter müssen Verantwortung übernehmen.
Lesen Sie weiter, um die Unterschiede zwischen einem Datenverantwortlichen und einem Datenverarbeiter zu erfahren.
Was ist ein für die Datenverarbeitung Verantwortlicher?
Nach der Allgemeinen Datenschutzverordnung (DSGVO) sind die für die Datenverarbeitung Verantwortlichen für die von einem Unternehmen oder einer Organisation erhobenen personenbezogenen Daten verantwortlich. Ein für die Datenverarbeitung Verantwortlicher ist eine Person - oder eine Einrichtung -, die auf höchster Ebene Entscheidungen über Daten trifft.
Der für die Verarbeitung Verantwortliche definiert und entscheidet, was ein Datenverarbeiter tut - wenn es sich um zwei verschiedene Personen oder Organisationen handelt.
So erkennen Sie, ob Sie ein Datenverantwortlicher sind
Unter bestimmten Umständen kann es schwierig sein, festzustellen, ob Sie für die Datenverarbeitung verantwortlich sind oder nicht.
Wenn beispielsweise eine App Zahlungsdaten über Stripe oder ApplePay verarbeitet und Kartendaten auf dem Gerät des Nutzers speichert, ist diese mobile App dann der für die Datenverarbeitung Verantwortliche oder der Datenverarbeiter?
Die britische Datenschutzbehörde empfiehlt, dass Organisationen die folgende Checkliste berücksichtigen, um zu entscheiden, ob sie für die Datenverarbeitung verantwortlich sind:
☐ Wir haben beschlossen, die personenbezogenen Daten zu sammeln oder zu verarbeiten.
☐ Wir haben entschieden, was der Zweck oder das Ergebnis der Verarbeitung sein sollte.
☐ Wir haben entschieden, welche persönlichen Daten gesammelt werden sollen.
Wir haben entschieden, über welche Personen wir personenbezogene Daten sammeln.
☐ Wir erzielen einen kommerziellen Gewinn oder einen anderen Nutzen aus der Verarbeitung, mit Ausnahme von Zahlungen für Dienstleistungen von einem anderen für die Verarbeitung Verantwortlichen.
☐ Wir verarbeiten die personenbezogenen Daten aufgrund eines Vertrags zwischen uns und der betroffenen Person.
☐ Die betroffenen Personen sind unsere Mitarbeiter.
☐ Wir treffen im Rahmen oder als Ergebnis der Verarbeitung Entscheidungen über die betroffenen Personen.
☐ Bei der Verarbeitung der personenbezogenen Daten gehen wir nach bestem Wissen und Gewissen vor.
☐ Wir haben eine direkte Beziehung zu den betroffenen Personen.
☐ Wir haben völlige Autonomie darüber, wie die personenbezogenen Daten verarbeitet werden.
☐ Wir haben die Auftragsverarbeiter beauftragt, die personenbezogenen Daten in unserem Namen zu verarbeiten".
Je mehr Kästchen Sie ankreuzen, desto wahrscheinlicher sind Sie ein für die Datenverarbeitung Verantwortlicher.
Verantwortlichkeiten eines für die Datenverarbeitung Verantwortlichen
Da die für die Verarbeitung Verantwortlichen eine so große Kontrolle über die Erhebung, Verwendung und Verarbeitung personenbezogener Daten haben, tragen sie die größte Verantwortung für die Einhaltung der verschiedenen Anforderungen, die die DSGVO stellt.
So müssen die für die Datenverarbeitung Verantwortlichen beispielsweise die folgenden Anforderungen erfüllen: DSGVO :
- Sie müssen eine rechtmäßige Grundlage gemäß Artikel 6 der DSGVO angeben und dokumentieren, um zu rechtfertigen, dass sie personenbezogene Daten rechtmäßig erheben und verarbeiten.
- Sie müssen sicherstellen, dass personenbezogene Daten durch geeignete Sicherheitsmaßnahmen wie Verschlüsselung und Zugangskontrollen geschützt werden.
- Sie müssen sich an die wichtigsten Grundsätze der DSGVO halten, wie z.B. Rechenschaftspflicht, Fairness und Transparenz.
Wenn ein für die Datenverarbeitung Verantwortlicher die Anforderungen von DSGVO nicht erfüllt, kann er zwei Risiken eingehen:
Risiko Nr. 1: Die Regulierungsbehörden können rechtliche Schritte einleiten und bei Nichteinhaltung Geldstrafen verhängen
So ist beispielsweise Whatsapp ein für die Verarbeitung Verantwortlicher, weil es Telefonnummern für seine eigenen Zwecke sammelt und über die Art der Verarbeitung entscheidet. Das Unternehmen wurde in Irland mit einer Geldstrafe von 225 Mio. EUR belegt (DSGVO ), weil seine Datenschutzpolitik nicht den Transparenzanforderungen entsprach.
Risiko Nr. 2: Betroffene Personen können rechtliche Schritte einleiten und Schadenersatz fordern
Wenn ein für die Datenverarbeitung Verantwortlicher personenbezogene Daten von Einzelpersonen in einer nicht konformen Weise verarbeitet, können Einzelpersonen die für die Datenverarbeitung Verantwortlichen auch auf Schadenersatz verklagen.
Beispiele für einen für die Datenverarbeitung Verantwortlichen
Ein für die Datenverarbeitung Verantwortlicher kann eine Einzelperson, eine Einrichtung, eine Wohltätigkeitsorganisation oder eine Regierungsbehörde sein. Manchmal nehmen sie auch die Rolle eines Datenverarbeiters ein.
Wenn beispielsweise ein Unternehmen Google Workspace für die interne Kommunikation und Zusammenarbeit nutzt, ist dieses Unternehmen der für die Datenverarbeitung Verantwortliche und Google ist der Auftragsverarbeiter.
Was ist ein Datenverarbeiter?
Laut DSGVO ist ein Datenverarbeiter eine Person oder Organisation, die Daten im Auftrag eines Datenverantwortlichen verarbeitet.
In der täglichen Arbeit einer Organisation legt der für die Datenverarbeitung Verantwortliche die Regeln fest, und der Datenverarbeiter hält sich an diese Regeln.
Verantwortlichkeiten eines Datenverarbeiters
In Artikel 4 der Website DSGVO heißt es:
"Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet."
Ein Datenverarbeiter sammelt, speichert oder löscht eingehende personenbezogene Daten nach den Richtlinien eines für die Datenverarbeitung Verantwortlichen, der seinerseits die Richtlinien von DSGVO befolgen sollte.
Der Auftragsverarbeiter entwirft, erstellt und implementiert technische Lösungen zur Erfassung personenbezogener Daten und Sicherheitsmaßnahmen zum Schutz dieser Daten. Darüber hinaus ist der Auftragsverarbeiter für die Speicherung personenbezogener Daten und die Übermittlung von Daten an andere Organisationen gemäß den Vorgaben des für die Verarbeitung Verantwortlichen zuständig.
Da die Datenverarbeiter keine Kontrolle über die Zwecke und Mittel der Verarbeitung haben, sind ihre Verantwortlichkeiten unter DSGVO begrenzt. Einige der Verpflichtungen von DSGVO gelten jedoch auch für Datenverarbeiter:
- Der Verarbeiter muss die Sicherheitsanforderungen nach Artikel 32 DSGVO erfüllen.
- Auftragsverarbeiter müssen einen Datenverarbeitungsvertrag abschließen, wenn sie ihre eigenen Auftragsverarbeiter für die Erbringung ihrer Dienstleistungen einsetzen. Außerdem sollten diese Unterauftragsverarbeiter-Vereinbarungen die dem Hauptauftragsverarbeiter auferlegten Verpflichtungen widerspiegeln.
- Datenverarbeiter müssen gemäß Artikel 35 DSGVO unter Umständen Aufzeichnungen über die Verarbeitungstätigkeiten führen.
- Datenverarbeiter haben gemäß Artikel 46 DSGVO bestimmte Verpflichtungen in Bezug auf internationale Datenübermittlungen.
Wie die für die Verarbeitung Verantwortlichen können auch die Datenverarbeiter wegen Nichteinhaltung der Bestimmungen der DSGVO verklagt werden. Darüber hinaus können betroffene Personen auch Ansprüche gegen Datenverarbeiter geltend machen.
Beispiele für einen Datenverarbeiter
Ähnlich wie die für die Datenverarbeitung Verantwortlichen können auch die Datenverarbeiter natürliche oder juristische Personen sein.
Stellen Sie sich vor, in Ihrem Unternehmen findet eine große Weihnachtsfeier statt, zu der alle Kunden eingeladen werden. Das Unternehmen beauftragt eine externe Druckerei mit der Erstellung der Einladungen. Die Druckerei erhält eine Liste mit Namen und Adressen der Kunden.
In diesem Fall würde die DSGVO die Druckerei als Datenverarbeiter betrachten, da sie personenbezogene Daten gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verwendet.
Datenverantwortlicher vs. Datenverarbeiter: Unterschiede und Gemeinsamkeiten
Die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter haben täglich mit demselben Thema zu tun - den personenbezogenen Daten. Ihre Rollen sind jedoch sehr unterschiedlich, ebenso wie ihre Verantwortlichkeiten. Die DSGVO sieht die für die Datenverarbeitung Verantwortlichen eher als Generäle, während die Datenverarbeiter die Fußsoldaten sind.
| Datenkontrolleure | Datenverarbeiter |
| Legt fest, wie Daten verarbeitet werden - denkt immer daran, was die Datenverarbeiter tun | Verarbeitet Daten gemäß den Richtlinien des für die Verarbeitung Verantwortlichen |
Trifft wichtige Entscheidungen über Daten:
|
Befolgt die vom für die Verarbeitung Verantwortlichen festgelegten Datenregeln |
Kann eine Person sowohl für die Datenverarbeitung als auch für die Datenverarbeitung verantwortlich sein?
Es gibt Überschneidungen zwischen den Aufgaben der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter. Der Hauptunterschied zwischen den beiden Rollen ist hierarchischer Natur. In jeder Organisation ist das Tagesgeschäft der beiden Positionen eng miteinander verwoben.
Die Website DSGVO ermöglicht Doppelrollen für Einzelpersonen, Unternehmen und andere Organisationen. In manchen Fällen können Sie zum Beispiel als Datenverantwortlicher für eine Organisation und als Datenverarbeiter für eine andere Organisation fungieren.
Selbst wenn ein Drittanbieter oder eine andere Organisation immer oder gelegentlich in dieser Doppelrolle agiert, ist es wichtig zu verstehen, wie sich die Positionen des Datenverarbeiters und des Datenverantwortlichen unterscheiden und warum.
In welchen Gesetzen sind sie vorgeschrieben?
Die DSGVO ist derzeit das strengste Datenschutzgesetz der Welt, und es betrifft alle Organisationen, die mit Daten von Menschen in der EU zu tun haben. Aus diesem Grund sollten Sie die in Artikel 4 der DSGVO beschriebenen Aufgaben am genauesten befolgen.
Es kann jedoch sein, dass Ihr Land oder Staat Datenschutzgesetze hat, die sich in mancher Hinsicht von der DSGVO unterscheiden. Wenn Ihre Organisation in irgendeiner Weise mit Daten umgeht, sollten Sie sich daher informieren, welche lokalen, nationalen und internationalen Gesetze gelten.
Auch wenn ein Unternehmen seinen Sitz in den USA hat, sind die Datenschutzgesetze zu beachten.
Der Federal Trade Commission Act ( DSGVO) steht zwar nicht auf derselben Ebene, doch ist die FTC in den USA mit der Durchsetzung von Datenschutzbestimmungen beauftragt, auch in Fällen, in denen ein Unternehmen seine eigenen veröffentlichten Datenschutzrichtlinien nicht einhält.
Außerdem verbietet der Children's Online Privacy Protection Act (COPPA) die Datenerfassung von Kindern unter 13 Jahren.
Für die Datenverarbeitung Verantwortliche und das Gesetz
Wie der Name schon sagt, tragen die für die Datenverarbeitung Verantwortlichen die größte Verantwortung gemäß DSGVO , da sie letztendlich für die personenbezogenen Daten einer Organisation verantwortlich sind.
Die Geldbußen für die Nichteinhaltung der DSGVO werden von Fall zu Fall festgelegt, können aber ziemlich hoch ausfallen. Die Höchststrafen werden als Teil des weltweiten Jahresumsatzes einer nicht konformen Organisation berechnet. Die Höchststrafe kann zwischen 4 % des Umsatzes und 20 Millionen Euro liegen, je nachdem, welcher Betrag höher ist.
Bei geringfügigeren Verstößen können Bußgelder in Höhe von 2 % des weltweiten Umsatzes oder 10 Millionen Euro verhängt werden, je nachdem, was höher ist.
Als für die Datenverarbeitung Verantwortlicher müssen Sie immer einen Datenverarbeiter auswählen, der mit der DSGVO konform ist. Ihre Organisation wird am Ende dafür verantwortlich gemacht werden.
Darüber hinaus müssen Sie eine Vereinbarung treffen, die festlegt, was mit den personenbezogenen Daten geschieht, wenn ein Vertrag zwischen einem für die Datenverarbeitung Verantwortlichen und einem Auftragsverarbeiter beendet wird.
Datenverarbeiter und das Gesetz
Datenverarbeiter haben möglicherweise weniger Kontrolle über Entscheidungen in Bezug auf personenbezogene Daten. Dennoch wird ein Datenverarbeiter, der sich nicht auf die DSGVO konzentriert, für viele Organisationen nicht von Nutzen sein. Der Grund dafür ist, dass die DSGVO die Gerichte ermächtigt, Geldbußen gegen Datenverarbeiter zu verhängen, nicht nur gegen für die Verarbeitung Verantwortliche.
Während ein Datenverarbeiter personenbezogene Daten im Auftrag eines für die Datenverarbeitung Verantwortlichen erheben, speichern und entsorgen sollte, sollten Sie sich auch bemühen, ein genaues Tätigkeitsverzeichnis zu führen. Dies ist nicht nur nach den Standards von DSGVO erforderlich, sondern entspricht wahrscheinlich auch der bewährten Praxis Ihres für die Datenverarbeitung Verantwortlichen.
Wenn Gerichte in der EU einen Verstoß oder einen anderen Fall der Nichteinhaltung der DSGVO untersuchen, wird der Datenverarbeiter ebenso wie der für die Datenverarbeitung Verantwortliche Gegenstand einer Untersuchung sein.
Zusammenfassung
Personenbezogene Daten sind wertvoll, sowohl für die Personen, denen sie gehören, als auch für die Organisationen, die sie sammeln, untersuchen und speichern wollen. Die DSGVO macht deutlich, wie wichtig Daten sind, und die für die Datenverarbeitung Verantwortlichen und die Datenverarbeiter müssen sich der Bedeutung ihrer Rolle bewusst sein.
Grundsätzlich ist es wichtig, den Unterschied zwischen Datenkontrolle und Datenverarbeitung zu verstehen. Dann wissen Sie, welche Person oder Organisation die Datenentscheidungen trifft und wer die Datenpolitik mit jedem Klick durchführt.
Mehr über die Autorin
Geschrieben von Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali ist ein in London ansässiger Anwalt für Datenschutzrecht mit einem Master of Laws-Abschluss in EU-Datenschutzrecht am King's College London. Er hat sechs Jahre Erfahrung in der Beratung von Unternehmen bei der Einhaltung von Datenschutzgesetzen. Mehr über die Autorin
