Wer ist verantwortlich für die Umsetzung von Datenschutz?
Der Datenschutz wird in erster Linie in der EU-Datenschutzgrundverordnung (DS-GVO) geregelt. Grundsätzlich ist der Verantwortliche eines Unternehmens, einer Organisation, eines Vereins oder einer Praxis verpflichtet, den Datenschutz umzusetzen. Wir erklären Ihnen in diesem Blog, welche Pflichten ein Verantwortlicher nach DS-GVO hat.
Wer ist der Verantwortliche nach DS-GVO?
„Im Sinne dieser Verordnung [DS-GVO] bezeichnet der Ausdruck […] „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ Artikel 4 (7) DS-GVO
Wer diese Begriff-Definition der DS-GVO liest, dem wird klar, dass es bei der Verantwortlichkeit für den Datenschutz grundsätzlich um die Entscheidungsgewalt in der betroffenen Organisation geht. Wenn man also die Verantwortlichkeit nach Vorgabe der DS-GVO klären möchte, muss man die entsprechenden Zuständigkeiten im Unternehmen durchleuchten.
Dabei kann es unter bestimmten Umständen auch möglich sein, dass es bei Verknüpfungen in der Organisationshierarchie auch zu sogenannten gemeinsamen Verantwortlichkeiten kommen kann. Die Verantwortlichkeiten sind im Einzelnen zu betrachten und zu bewerten.
Pflichten für den Verantwortlichen im Datenschutz
Der Verantwortliche muss nachweisen und dokumentieren, dass er die Grundsätze des Datenschutzes einhält, umsetzt und dokumentiert. Es liegt laut DS-GVO eine sogenannte Rechenschaftspflicht vor. Die Grundsätze sind unter anderem (Art. 5 (1) DS-GVO):
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Dabei muss der Verantwortliche ebenso dokumentieren, dass er die Rechte der Betroffenen umsetzt (Betroffenenrechte). Außerdem muss er Datenpannen erkennen können, melden und nachweisen, dass er sie ausreichend handhabt. Dies muss er zudem DS-GVO-konform dokumentieren.
Die Schulung von Mitarbeitern gehört ebenfalls zu den Aufgaben des Verantwortlichen, genauso wie beispielsweise die Erstellung von einem Verzeichnis von Verarbeitungstätigkeiten (VVT), der Erarbeitung von technischen und organisatorischen Maßnahmen (TOM), der Benennung eines (externen) Datenschutzbeauftragten und der Durchführung einer Datenschutzfolgenabschätzung (DSFA), sollte diese notwendig sein.
Wichtig ist, dass alle diese Maßnahmen und die Einhaltung des Datenschutzes dokumentiert und stetig weiterentwickelt werden, damit der Datenschutz auf einem durchgängig aktuellen und sicheren Stand ist.
Rechenschaftspflicht nach DS-GVO
Die sogenannte Rechenschaftspflicht legt fest, dass der Verantwortliche nicht nur für die Einhaltung der Datenschutz-Grundsätze zuständig ist, sondern dies auch nachweisen muss (Beweislastumkehr).
ADV-Verträge
In manchen Fällen wir die Datenverarbeitung der personenbezogenen Daten durch einen Auftragsdatenverarbeiter durchgeführt. Hierbei verarbeitet dieser die Daten im Auftrag des Verantwortlichen, ist also weisungsgebunden. Durch diese Gebundenheit an die Weisung des Verantwortlichen, muss dieser darauf achten, dass die Datenverarbeitung im Sinne seiner Vorgaben durchgeführt wird und entsprechend den Datenschutz sicher stellen.
Ein entsprechender ADV-Vertrag muss geschlossen werden, um die rechtmäßige und sichere Verarbeitung von personenbezogenen Daten zu gewährleisten. Darüber hinaus muss aber auch der Auftragsdatenverarbeiter eine Reihe von Maßnahmen treffen, die den Datenschutz gewährleisten und kann unter Umständen für Datenpannen haftbar gemacht werden.
Der externe Datenschutzbeauftragte und der Verantwortliche nach DS-GVO
Bei der Umsetzung der DS-GVO kann sich der Verantwortliche durch einen externen Datenschutzbeauftragten unterstützen lassen. Er kann die Datenschutzvorgaben mit einem geschulten Blick beurteilen, welche Vorgaben ausreichend umgesetzt wurden und wo ggf. noch Lücken vorhanden sind.
Das Team von Datenschutzberater.NRW besteht aus Fachleuten der IT, Steuerrecht und Datenschutz. Wir betreuen Mandanten in ganz NRW (Köln, Düsseldorf, Siegburg, Bonn, Siegen, Rhein-Sieg-Kreis usw.) und bieten dabei folgendes Angebot:
- Projektbezogenen Datenschutz
- Externer Datenschutzbeauftragter (TÜV)
- Datenschutz-Erstberatung
- Datenschutz-Audit
- GoBD-Beratung
- IT-Audit
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.