21.03.2017 | Top-Thema EU-Datenschutz-Grundverordnung

Grundlagen der EU-DSGVO: Wer ist wofür verantwortlich?

Kapitel
Bild: MEV Verlag GmbH, Germany

In die neue EU-Datenschutzgrundverordnung sind viele Prinzipien der bisherigen Regelung eingeflossen. Aber es gibt auch zahlreiche Veränderungen durch neue Techniken und Verfahren, aus denen die Verantwortlichen für den Datenschutz Konsequenzen ziehen müssen.

Wer entscheidet der haftet!

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) trat am 25.05.2016 in Kraft. Anwendbar ist sie ab dem 25. Mai 2018. Sie enthält Regelungen darüber, wer für die Daten verantwortlich ist und wie sie zu verarbeiten sind.

Als „Verantwortlicher“ gilt nach der Definition des Art.  4 der EU-DSGVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verantwortlichen haften dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden und haben dies durch geeignete Maßnahmen zu gewährleisten. Wenn nötig müssen sie den Nachweis dafür erbringen. Nach Artikel 2 der Verordnung gilt diese Pflicht nicht für natürliche Personen, die ihre Daten ausschließlich für persönliche oder familiäre Tätigkeiten verarbeiten.

Sind mehrere Personen für die Datenverarbeitung zuständig gelten sie als „gemeinsam Verantwortliche“. Sie müssen vereinbaren, wer welche Aufgaben erfüllt, besonders wenn es um die Rechte der betroffenen Personen geht (Art. 24, 26 EU-DSGVO).

Aufträge für Datenverarbeitung – nur mit Vertrag erlaubt

Aufträge über Datenverarbeitung kann einem sogenannten „Auftragsverarbeiter“ zu geteilt werden (Art. 4, Art. 28 EU-DSGVO). Dieser muss garantieren, dass er über die geeigneten technischen und organisatorischen Möglichkeiten verfügt, um die Verarbeitung im Einklang mit den Anforderungen der Verordnung vorzunehmen und den Schutz der Rechte der betroffenen Personen zu gewährleisten. Der Auftragsverarbeiter darf seinerseits die Aufträge zur Datenverarbeitung nicht an Dritte weitergeben ohne schriftliche Genehmigung des Verantwortlichen. Der Verantwortliche muss über solche Aktionen informiert werden, so dass dieser dagegen Einspruch erheben kann.

 In Art. 28 der Verordnung ist ein Vertrag mit dem Auftragsverarbeiter vorgeschrieben, in dem mindestens folgendes festlegt sein muss:

  • Gegenstand und Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten sowie die Kategorien betroffener Personen
  • Pflichten und Rechte der Verantwortlichen
  • Verarbeitung der personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
  • Informationspflicht gegenüber dem Verantwortlichen betreffend Weitergabe des Auftrags an weitere Auftragsverarbeiter, bzw. die betreffenden Aktionen
  • Geheimhaltungspflicht für den Auftragsverarbeiter und seine Mitarbeitenden und allenfalls weitere Auftragsverarbeiter
  • Verpflichtung, die Rechte der betroffenen Personen zu erfüllen und über die Möglichkeiten nach dem Stand der Technik zu verfügen
  • Gegenseitige Unterstützung bei der Erfüllung der Pflichten
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Wahl des Verantwortlichen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
  • Informationen, um die Einhaltung der Pflichten nachzuweisen
  • Überprüfung durch den Verantwortlichen ermöglichen
  • Verpflichtung des Beauftragten, mit weiteren Auftragsdatenverarbeitern einen Vertrag mit denselben Kriterien abzuschließen

Die Europäische Kommission kann Standardvertragsklauseln festlegen.

Muss der Beauftragte die Daten nach Recht der Union oder der Mitgliedstaaten anders als vorgesehen verwenden, muss er den Auftraggeber informieren, sofern der Informationspflicht nicht ein wichtiges öffentliches Interesse entgegensteht.

Datensparsamkeit

Das bereits im Bundesdatenschutzgesetz (BDSG) verankerte Prinzip der Datensparsamkeit gilt als eines der zentralen Prinzipien des Datenschutzes gem. Art. 5 EU-DSGVO. Diese müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden und dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Daten müssen

  • dem Zweck angemessen und erheblich sein, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein und wenn nötig korrigiert werden
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht wie es für den vorgesehenen Zweck nötig ist

Technische Maßnahmen

Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Verordnung erfolgt. Regelmäßige Aktualisierung und Überprüfung ist notwendig (Art. 24 und Art. 32 EU-DSGVO).

Notwendig ist folgendes:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • Möglichkeit, den Zugang zu den Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  • Anpassung des Schutzniveaus an die Umstände und die Risiken, wie Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung
  • Verzeichnis aller Verarbeitungstätigkeiten, die der Zuständigkeit des Verantwortlichen oder seines Vertreters unterliegen (Artikel 30)

Die Verantwortlichen und die Auftragsverarbeiter stellen sicher, dass ihnen unterstellte natürliche Personen personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten. Personenbezogene Daten sollten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und sind für alle unbefugten Personen zu verschlüsseln.

Art. 35 EU-DSGVO schreibt eine sogenannte Datenschutz-Folgenabschätzung vor. Diese ist vorzunehmen bei der Verwendung neuer Technologien, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen (Art. 31 EU-DSGVO).

Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem. Art. 42 EU-DSGVO kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

Für Verstöße gegen die EU-DSGVO werden im allgemeinen Geldbußen vorgesehen. Diese müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Mitgliedstaaten können aber auch andere Sanktionen festlegen (Art. 83, 84 EU-DSGVO).

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Compliance-Beauftragter

Aktuell
Meistgelesen