EU-Datenschutz-Grundverordnung (DSGVO): Pflichten des Verantwortlichen

Begriff

Mit der DSGVO wurde der Begriff des datenschutzrechtlichen Auftraggebers auf den Verantwortlichen geändert. Als Verantwortliche gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. 

Pflichten

Wie der Name bereits suggeriert, ist der Verantwortliche für den gesamten Datenverarbeitungsvorgang verantwortlich und muss auch den Nachweis erbringen können, dass er sämtliche Pflichten erfüllt. Er fungiert als erster Ansprechpartner für betroffene Personen und Behörden. Seine Pflichten sind:

• Der Verantwortliche erfüllt die Informationspflichten gegenüber den betroffenen Personen und handhabt die Anträge und Anfragen bzgl der Betroffenenrechte. 

• Er hat unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen (Näheres hierzu „Datensicherheit und privacy by design/privacy by default“) umzusetzen, um eine rechtmäßige Datenverarbeitung sicherzustellen. Hierfür muss er auch den Nachweis erbringen können. 

• Er ist daher für die Implementierung der Datensicherheitsmaßnahmen sowie den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verantwortlich (Näheres hierzu im Merkblatt „Datensicherheit und privacy by design/privacy by default“). 

• Jeder Verantwortliche und seine Vertreter müssen zudem ein Verzeichnis aller Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. 

• Er ist verpflichtet mit der Aufsichtsbehörde auf Anfrage zusammen zu arbeiten. 

• Im Falle einer Datenschutzverletzung muss der Verantwortliche unverzüglich (spätestens in 72 Stunden) eine Meldung an die Aufsichtsbehörde durchführen (Näheres hierzu „Meldung von Datenschutzverletzungen“), es sei denn, es läge ein Ausnahmegrund vor. Ebenso hat er uU die betroffenen Personen direkt zu informieren.

• Der Verantwortliche hat Risikoanalysen der Datenanwendungen durchzuführen. Führen diese zu einem wahrscheinlich hohen Risiko für betroffene Personen, muss er zusätzlich eine sogenannte „Datenschutz-Folgenabschätzung“ vornehmen (bzw ggf die Aufsichtsbehörde zu konsultieren).

• Es ist ein Datenschutzbeauftragter verpflichtend zu bestellen, wenn die Kerntätigkeit des Unternehmers eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Gemeinsam Verantwortliche

Als gemeinsam Verantwortliche sind zwei oder mehr Verantwortliche zu bezeichnen, die gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen (ähnlich den Informationsverbundsystemen nach dem DSG 2000). In diesem Fall ist in einer Vereinbarung festzuhalten, wer von ihnen welche gesetzliche Verpflichtung übernimmt (z.B. wer handhabt die Betroffenenrechte, wer kommt den Informationspflichten nach). In der Vereinbarung kann auch eine Anlaufstelle für die betroffenen Personen angegeben werden. 

Unabhängig vom Inhalt der Vereinbarung können betroffene Personen ihre Rechte aber gegenüber jedem Einzelnen geltend machen. Die Vereinbarung ist aber für die interne Aufgabenverteilung und etwaige Regressansprüche gegeneinander wichtig.

Vertreter von nicht in der Union niedergelassenen Verantwortlichen 

Für Verantwortliche, deren Sitz sich außerhalb der Europäischen Union befindet, die sich aber dennoch im Geltungsbereich der DSGVO befinden, benennt der Verantwortliche schriftlich einen Vertreter. Dieser Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden. Der Vertreter fungiert zusätzlich oder an Stelle des Verantwortlichen als Anlaufstelle insbesondere für Aufsichtsbehörden und betroffene Personen. 

Ausnahmen von der Pflicht zur Benennung eines Vertreters bestehen nur bei: 

• einer Verarbeitung, die gelegentlich erfolgt, keine umfangreiche Verarbeitung besonderer Datenkategorien („sensible Daten“) oder umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
• Behörden oder öffentlichen Stellen. 

Der Verantwortliche haftet weiterhin selbst. 

Haftung

Die betroffenen Personen haben neben verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfen auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche im Falle einer Rechtsverletzung durch den Verantwortlichen. 

Die betroffenen Personen können auf materiellen oder immateriellen Schadenersatz klagen. Jeder an einer Verarbeitung Beteiligte haftet für den Schaden, der durch eine unrechtmäßige Verarbeitung verursacht wurde. Die Haftung entfällt, wenn die fehlende Verantwortung für den Umstand, durch den der Schaden eingetreten ist, nachgewiesen werden kann.

Ist mehr als ein Verantwortlicher oder sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie für einen Schaden verantwortlich, haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden. Es ist jedoch möglich, von den übrigen an derselben Verarbeitung Beteiligten den Teil des Schadenersatzes zurückzufordern, der ihrem Anteil an der Verantwortung für den Schaden entspricht, also Regress zu nehmen.

.Relevante Artikel der DSGVO: Art 24-27, Art 30-31

Relevante Erwägungsgründe: 13, 22-24, 80, 146

Stand: 01.04.2024