Gut zu wissen: Verantwortliche im Sinne der DSGVO und des BDSG (neu)

Informieren und handeln. Vorbereitung zu einer DSGVO-konformen Datenschutzdokumentation

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) regeln den Schutz personenbezogener Daten in der EU und Deutschland. Verantwortliche haben dabei eine zentrale Rolle, da sie daf├╝r sorgen m├╝ssen, dass die Vorschriften zum Datenschutz eingehalten werden. Verantwortliche k├Ânnen nat├╝rliche Personen oder Unternehmen sein, die personenbezogene Daten erheben, verarbeiten oder nutzen.

Die DSGVO (Datenschutz-Grundverordnung) ist eine EU-Verordnung zum Schutz personenbezogener Daten. Sie legt fest, wer als Verantwortlicher im Sinne der Verordnung gilt und somit die Verantwortung f├╝r die Einhaltung der Datenschutzvorschriften tr├Ągt.

Als Verantwortlicher gilt gem├Ą├č Artikel 4 Nummer 7 der DSGVO eine nat├╝rliche oder juristische Person, Beh├Ârde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen ├╝ber die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Dabei ist es unerheblich, ob die Daten automatisiert oder manuell verarbeitet werden. Auch die Frage, ob die Verarbeitung im Rahmen einer gesch├Ąftlichen oder beruflichen T├Ątigkeit erfolgt, spielt keine Rolle.

Es ist also jeder verantwortlich, der personenbezogene Daten verarbeitet oder in Auftrag gibt, dass diese verarbeitet werden. Das kann zum Beispiel ein Unternehmen sein, das Kundendaten speichert oder ein Verein, der Mitgliederdaten verarbeitet.



Im Folgenden werden die wichtigsten Pflichten von Verantwortlichen gem├Ą├č DSGVO und BDSG (neu) aufgef├╝hrt:

  • Artikel 5 DSGVO: Grunds├Ątze der Verarbeitung personenbezogener Daten m├╝ssen eingehalten werden. Daten m├╝ssen rechtm├Ą├čig, transparent, zweckgebunden und angemessen erhoben, verarbeitet und genutzt werden.
  • Artikel 6 DSGVO: Es muss eine Rechtsgrundlage f├╝r die Verarbeitung personenbezogener Daten geben. Diese kann unter anderem eine Einwilligung, ein Vertrag oder ein berechtigtes Interesse sein.
  • Artikel 13 und 14 DSGVO: Verantwortliche m├╝ssen die betroffenen Personen ├╝ber die Verarbeitung ihrer Daten informieren, zum Beispiel ├╝ber die Zwecke der Verarbeitung, die Speicherfristen oder die Empf├Ąnger der Daten.
  • Artikel 15 bis 22 DSGVO: Die betroffenen Personen haben Rechte, aufgrund derer sie Auskunft ├╝ber ihre gespeicherten Daten, deren Berichtigung oder L├Âschung verlangen k├Ânnen. Au├čerdem haben sie ein Recht auf Einschr├Ąnkung der Verarbeitung, auf Daten├╝bertragbarkeit und ein Widerspruchsrecht.
  • Artikel 25 DSGVO: Verantwortliche m├╝ssen technische und organisatorische Ma├čnahmen ergreifen, um die Sicherheit und den Schutz personenbezogener Daten zu gew├Ąhrleisten. Das bedeutet unter anderem, dass Daten nur von autorisierten Personen verarbeitet werden d├╝rfen und dass Datenverluste oder -lecks vermieden werden m├╝ssen.
  • ┬ž 32 BDSG (neu): Verantwortliche m├╝ssen ein Verzeichnis von Verarbeitungst├Ątigkeiten f├╝hren, das alle Informationen ├╝ber die Verarbeitung personenbezogener Daten enth├Ąlt. Dieses Verzeichnis muss auf Anfrage der Aufsichtsbeh├Ârden vorgelegt werden.
  • ┬ž 38 BDSG (neu): Verantwortliche m├╝ssen einen Datenschutzbeauftragten bestellen, wenn mehr als neun Personen mit der Verarbeitung personenbezogener Daten besch├Ąftigt sind oder wenn es sich um eine ├Âffentliche Stelle handelt.

Die DSGVO (Datenschutz-Grundverordnung) enth├Ąlt verschiedene Dokumentationspflichten f├╝r Verantwortliche im Zusammenhang mit der Verarbeitung personenbezogener Daten. Zu den wichtigsten geh├Âren:

  1. Verzeichnis von Verarbeitungst├Ątigkeiten: Der Verantwortliche muss ein Verzeichnis von Verarbeitungst├Ątigkeiten f├╝hren, in dem alle Datenverarbeitungsvorg├Ąnge dokumentiert werden, die im Unternehmen durchgef├╝hrt werden. Das Verzeichnis muss u.a. Angaben zu den Zwecken der Verarbeitung, den Kategorien von personenbezogenen Daten, den Empf├Ąngern der Daten und den L├Âschfristen enthalten.
  2. Datenschutz-Folgenabsch├Ątzung (DSFA): Wenn eine Verarbeitung personenbezogener Daten ein hohes Risiko f├╝r die Rechte und Freiheiten der betroffenen Personen darstellt, muss der Verantwortliche eine DSFA durchf├╝hren. Die Ergebnisse der DSFA m├╝ssen dokumentiert werden.
  3. Auftragsverarbeitungsvertr├Ąge: Wenn der Verantwortliche einen Auftragsverarbeiter beauftragt, muss er mit diesem einen Auftragsverarbeitungsvertrag abschlie├čen. In diesem Vertrag m├╝ssen u.a. die Datenverarbeitungszwecke, die technischen und organisatorischen Ma├čnahmen zur Datensicherheit sowie die Rechte und Pflichten des Auftragsverarbeiters festgelegt werden.
  4. Dokumentation von Datenschutzverletzungen: Wenn es zu einer Datenschutzverletzung kommt, muss der Verantwortliche dies innerhalb von 72 Stunden an die Datenschutzbeh├Ârde melden und eine Dokumentation der Verletzung und der ergriffenen Ma├čnahmen erstellen.
  5. Datenschutzerkl├Ąrung: Der Verantwortliche muss eine Datenschutzerkl├Ąrung bereitstellen, in der er u.a. ├╝ber die Art, den Umfang und den Zweck der erhobenen Daten informiert und die Rechte der betroffenen Personen erl├Ąutert.

Diese Aufz├Ąhlung ist nicht abschlie├čend, sondern gibt einen ├ťberblick ├╝ber die wichtigsten Pflichten, je nach Art und Umfang der Datenverarbeitungst├Ątigkeiten des Verantwortlichen, im Sinne der DSGVO und des BDSG (neu). Es ist wichtig, dass Verantwortliche sich mit den Datenschutzvorschriften vertraut machen und diese konsequent umsetzen, um den Schutz personenbezogener Daten zu gew├Ąhrleisten.

Sie haben Fragen zu Ihrer Rolle als verantwortliche Stelle? Sie ben├Âtigen Beratung bzw. Unterst├╝tzung bei der Erstellung Ihrer Datenschutzdokumentation?

F├╝r ein unverbindliches Gespr├Ąch einfach anrufen.

Partner f├╝r Datenschutzverantwortliche im Raum Emden, Aurich, Norden, Leer, Wilhelmshaven, Oldenburg, Bremen, Papenburg, M├╝nster