Es ist kaum zu glauben, dass wir uns dem einjährigen Jubiläum der GDPR nähern. Nach einer zweijährigen Übergangszeit trat die DSGVO am25. Mai 2018 in Kraft und veränderte die Art und Weise, wie Unternehmen an den Datenschutz herangehen, vollständig.

Das Gesetz wurde eingeführt, um unserer zunehmend digitalisierten Welt Rechnung zu tragen und die Rechte des Einzelnen in Bezug auf die Verwendung seiner persönlichen Daten anzuerkennen.

Viele Organisationen haben viel Zeit und Mühe investiert, um sicherzustellen, dass sie die neue Gesetzgebung einhalten, für andere war es jedoch eine schwierigere und mühsamere Reise. Der Nachweis der Einhaltung der DSGVO ist ein fortlaufender Prozess und es gibt viele Aspekte der Gesetzgebung, die noch geklärt werden müssen und für Unternehmen verwirrend sein können.

Zwei Begriffe, die wir im Zusammenhang mit der DSGVO ständig hören, sind „Data Controllers“ und „Data Processors“. Es ist wichtig, den Unterschied zwischen diesen beiden Begriffen zu verstehen, da er Ihre Verantwortlichkeiten im Rahmen der Gesetzgebung bestimmt.

Die Unterscheidung zwischen einem Datenverantwortlichen und einem Datenverarbeiter kann in der Praxis erhebliche Folgen haben. Wenn ein Unternehmen in die Datenverarbeitung involviert ist, ist es wichtig, dass es die Rollen und Verantwortlichkeiten frühzeitig festlegt, um Verwirrung zu vermeiden, falls es zu einem Datenschutzverstoß kommt. So können Sie sicherstellen, dass es keine Lücken bei den Verantwortlichkeiten gibt und dass die Unternehmen effizient und effektiv mit diesen Problemen umgehen können.

Was sind personenbezogene Daten?

Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, dann gilt die Datenschutz-Grundverordnung für Sie. Die EU definiert „personenbezogene Daten“ als alle Informationen, die direkt oder indirekt zur Identifizierung einer Person (Datensubjekt) verwendet werden können. Dazu gehört alles von einem Namen, einer E-Mail-Adresse, einer IP-Adresse und Bildern. Dazu gehören auch sensible persönliche Daten wie biometrische Daten oder genetische Daten, die zur Identifizierung einer Person verarbeitet werden könnten.

Sind Sie ein „Data Controller“ oder ein „Data Processor“?

1 6
1 6

    

Wenn Ihr Unternehmen die Zwecke und die Art und Weise der Verarbeitung personenbezogener Daten festlegt, dann gilt es als Data Controller.

Datenverantwortliche spielen eine Schlüsselrolle bei der Einhaltung der DSGVO, da sie personenbezogene Daten von Kunden und Mitarbeitern aufbewahren und sammeln.

Die Aufgaben des Data Controller umfassen:

  • Erleichterung einer größeren Transparenz bei der Verarbeitung von Daten im Zusammenhang mit Anfragen von Betroffenen
  • Sicherstellen, dass die betroffenen Personen innerhalb der in der DSGVO festgelegten Fristen behandelt werden
  • Durchführung von Datenschutzbewertungen und Ernennung von Datenschutzbeauftragten
  • Benachrichtigung der Aufsichtsbehörden über Datenschutzverletzungen innerhalb von 72 Stunden nach Entdeckung der Verletzung
  • Überwachung und Reaktion auf Änderungen der Compliance-Vorgaben
  • Ersetzen von Feldern mit identifizierenden Daten durch Pseudonyme und Verschlüsselung von persönlichen Daten
  • Führen von Aufzeichnungen über die Verarbeitung personenbezogener Daten über ein Register für personenbezogene Daten
  • Verwaltung und Regelung der Interaktion mit Dritten in Bezug auf die Verarbeitung und den Umgang mit personenbezogenen Daten

Wer ist ein Datenverarbeiter und was sind seine Pflichten?

Verantwortlichkeiten des Datenverarbeiters

Wenn eine Person, eine Organisation, eine Agentur oder eine andere Einrichtung im Auftrag eines Datenverantwortlichen handelt, wird sie als Datenverarbeiter betrachtet.

Beispiele für einen Datenverarbeiter sind:

  • Eine externe Agentur (z.B. ein Unternehmen, das für die Entsorgung von Kundendaten zuständig ist)
  • Ein Cloud-Anbieter, der persönliche Daten speichert
  • Jeder Dienstleister, der in Ihrem Auftrag handelt und Zugang zu persönlichen Daten eines Kunden oder Mitarbeiters hat

Lesen Sie auch den Dummies-Leitfaden zur ePrivacy-Verordnung

Zu den Aufgaben des Datenverarbeiters gehören:

  • Die Entscheidung, welche IT-Systeme oder andere Methoden zur Erfassung persönlicher Daten verwendet werden sollen
  • Wie Sie persönliche Daten speichern
  • Sicherheit der Daten
  • Mittel, die zur Übertragung von Daten von einer Organisation zu einer anderen verwendet werden
  • Mittel, um persönliche Daten über bestimmte Personen abzurufen
  • Sicherstellen, dass die Methode hinter dem Aufbewahrungszeitplan befolgt wird
  • Mittel zum Löschen/Entsorgen von Daten

Datenverarbeiter unterliegen im Rahmen der DSGVO mehreren neuen Verpflichtungen. Dazu gehört die Aufrechterhaltung von Maßnahmen, die ein angemessenes Sicherheitsniveau für personenbezogene Daten im Verhältnis zum potenziellen Risiko gewährleisten.

Datenverarbeiter sind verpflichtet, sich an die Anweisungen der für die Datenverarbeitung Verantwortlichen zu halten, es sei denn, diese Anweisungen stehen im Widerspruch zur DSGVO selbst.

Kann ein Datenverantwortlicher auch ein Datenverarbeiter sein?

Es gibt gewisse Grauzonen, in denen sich Situationen überschneiden können, so dass es schwierig ist, zu unterscheiden, ob Sie ein Data Controller oder ein Data Processor sind. Die ICO ist jedoch in ihrem Ratschlag klar und deutlich: „Eine Organisation kann nicht gleichzeitig Datenverantwortlicher und Datenverarbeiter für dieselbe Datenverarbeitungstätigkeit sein; sie muss das eine oder das andere sein.

Um festzustellen, welche Organisation für welche Daten datenschutzrechtlich verantwortlich ist, muss man sich also sowohl die betreffende Verarbeitung als auch die beteiligten Organisationen ansehen. Außerdem ist es wichtig, dass die Systeme und Verfahren, soweit dies praktikabel ist, zwischen den ‚eigenen‘ Daten der Organisation und den Daten, die sie im Auftrag der anderen verarbeitet, unterscheiden.“

Erfahren Sie auch , was eine gültige GDPR-Einwilligung ist

Um die vollständige Einhaltung der DSGVO zu gewährleisten, müssen Unternehmen ihre Rollen und Verantwortlichkeiten klar definieren, um nicht gegen die Gesetzgebung zu verstoßen. Wenn Sie sich nicht sicher sind, wo Ihre Organisation steht, sollten Sie zur weiteren Klärung eine Rechtsberatung in Anspruch nehmen.

MetaPrivacy wurde entwickelt, um einen Best-Practice-Ansatz für die Einhaltung des Datenschutzes zu bieten. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir Ihrem Unternehmen helfen können, seine Compliance-Struktur zu verbessern.

HAFTUNGSAUSSCHLUSS: Der Inhalt und die Meinungen in diesem Blog dienen nur zu Informationszwecken. Sie stellen keine Rechts- oder sonstige professionelle Beratung dar und sollten nicht als Ersatz für eine spezifische Beratung in Bezug auf bestimmte Umstände, das Datenschutzgesetz oder andere aktuelle oder zukünftige Gesetze betrachtet werden. MetaCompliance übernimmt keine Verantwortung für Fehler, Auslassungen oder irreführende Aussagen oder für Verluste, die durch das Vertrauen auf die in diesem Blog enthaltenen Materialien entstehen können.