Verantwortlicher (Datenschutz)
Verantwortlicher im Sinne des europäischen Datenschutzrechts ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.[1] Bis zur Vollharmonisierung des Datenschutzrechts durch die Datenschutz-Grundverordnung wurde in Deutschland der Begriff verantwortliche Stelle verwendet.[2] Heute werden beide Begriffe synonym verwendet.[3] Die Definition umfasst neben natürlichen Personen auch juristische Personen, Behörden, Einrichtungen oder andere Stellen. Letztendlich handelt jedoch immer ein Mensch für diese. Verantwortlicher ist somit auch entsprechend der Behördenleiter oder die Geschäftsführung.[4] Für die Bestimmung des Verantwortlichen kommt es darauf an, ob aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss genommen und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitgewirkt wird.[5] Durch eine weite Definition soll ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden.[6]
Der Europäische Gerichtshof hat bereits entschieden, dass eine Suchmaschine Verantwortlicher für entsprechende Datenverarbeitungen ist.[7] Ein soziales Netzwerk ist verantwortlich für die Daten der Nutzer. Wer eine Fanpage bei einem sozialen Netzwerk betreibt, ist auch Verantwortlicher, obwohl das soziale Netzwerk im Wesentlichen die Verarbeitung der Daten durchführt.[8] Auch die Einbindung von Social-Media-Plug-ins begründet eine Verantwortlichkeit, wenn dadurch Daten an die Social-Media-Plattform übertragen werden.[9] Eine Religionsgemeinschaft ist ebenfalls Verantwortlicher, wenn Mitglieder organisiert von Tür zu Tür laufen, obwohl die Gemeinschaft selbst keinen Zugriff auf die dabei gesammelten Daten hat.[10]
Die verantwortliche Stelle setzt angemessene und geeignete technische und organisatorische Maßnahmen um.[11]
Konkret muss der Verantwortliche
- alle Lichtinformationen bereitstellen und die Ausübung von Betroffenenrechten ermöglichen[12] und erleichtern[13],
- ein Verzeichnis von Verarbeitungstätigkeiten führen[14],
- Datenschutzverletzungen melden (Art. 33 DSGVO) und Betroffene gegebenenfalls benachrichtigen (Art. 34 DSGVO),
- bei hohem Risiko eine Datenschutz-Folgenabschätzung vornehmen (Art. 25 DSGVO),
- ggf. einen Datenschutzbeauftragten benennen (Art. 37 DSGVO) und
- Rechenschaft über die Einhaltung der Grundsätze des Datenschutzes ablegen (Art. 5 Abs. 2 DSGVO)
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ Datenschutz-Grundverordnung. Artikel 4 Nummer 7. In: EUR-Lex. 4. März 2021, abgerufen am 27. Juni 2021: „Im Sinne dieser Verordnung bezeichnet der Ausdruck [...] 7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden [...].“
- ↑ § 3 Absatz 7 Bundesdatenschutzgesetz a. F.
- ↑ z. B. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Datenschutzbeauftragte – Antworten auf häufig gestellte Fragen. (PDF) Januar 2020, abgerufen am 27. Juni 2021. ; Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Datenschutzbeschwerde. Wie läuft ein Beschwerdeverfahren beim BfDI? Abgerufen am 27. Juni 2021. ; Landesbeauftragter für den Datenschutz und die Informationsfreiheit: Gesichtserkennung: LfDI eröffnet Verfahren gegen Unternehmen PimEyes. 26. Mai 2021, abgerufen am 27. Juni 2021.
- ↑ BeckOK DatenschutzR/Schild, 49. Ed. 1.8.2024, DS-GVO Art. 4 Rn. 89.
- ↑ EuGH, Urteil vom 10. Juli 2018, Az. C-25/17, abrufbar auf der Seite des EuGH.
- ↑ EuGH, Urteil vom 13. Mai 2014, Az. C-131/12, abrufbar auf der Seite des EuGH.
- ↑ EuGH, Urteil vom 24. September 2019, Az. C-136/17, abrufbar auf der Seite des EuGH.
- ↑ EuGH, Urteil vom 5. Juni 2018, Az. C-210/16, abrufbar auf der Seite des EuGH.
- ↑ EuGH, Urteil vom 29. Juli 2019, Az. C-40/17, abrufbar auf der Seite des EuGH.
- ↑ EuGH, Urteil vom 10. Juli 2018, Az. C-25/17, abrufbar auf der Seite des EuGH.
- ↑ Datenschutz-Grundverordnung. Artikel 24 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
- ↑ Datenschutz-Grundverordnung. Artikel 12 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
- ↑ Datenschutz-Grundverordnung. Artikel 12 Absatz 2. In: EUR-Lex. 3. April 2021, abgerufen am 21. Juni 2021: „Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.“
- ↑ Datenschutz-Grundverordnung. Artikel 30 Absatz 1 Satz 1. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“