Laut der DSGVO ist ein Datenverantwortlicher (auch „Verantwortlicher“ genannt) die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Datenverantwortliche ist somit derjenige, der den Zweck der Datenverarbeitung festlegt und entscheidet, wie die Daten verarbeitet werden sollen.
Beispielsweise kann ein Unternehmen, das Kundendaten verarbeitet, als Datenverantwortlicher agieren, wenn es bestimmt, welche Daten erhoben werden, zu welchem Zweck sie genutzt werden und wie lange sie gespeichert werden sollen.
Pflichten des Datenverantwortlichen
Der Datenverantwortliche hat zahlreiche Verpflichtungen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO erfolgt. Zu den wichtigsten Pflichten gehören:
- Rechtmäßigkeit der Verarbeitung: Der Datenverantwortliche muss sicherstellen, dass die Verarbeitung der Daten auf einer gültigen Rechtsgrundlage basiert, wie beispielsweise einer Einwilligung der betroffenen Person oder einer gesetzlichen Verpflichtung.
- Informationspflichten: Der Datenverantwortliche ist verpflichtet, die betroffenen Personen über die Verarbeitung ihrer Daten zu informieren. Dazu gehört die Bereitstellung klarer und transparenter Informationen darüber, welche Daten verarbeitet werden, zu welchem Zweck und wie lange die Daten gespeichert werden.
- Betroffenenrechte: Der Datenverantwortliche muss sicherstellen, dass die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit, gewahrt werden. Die Anfragen der betroffenen Personen müssen innerhalb der in der DSGVO festgelegten Fristen bearbeitet werden.
- Datensicherheit: Der Datenverantwortliche ist dafür verantwortlich, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz vor unbefugtem Zugriff, Datenverlust und anderen Risiken.
- Meldung von Datenschutzverletzungen: Im Falle einer Datenschutzverletzung muss der Datenverantwortliche die zuständige Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden, informieren. Auch die betroffenen Personen müssen informiert werden, wenn die Verletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt.
- Verzeichnis der Verarbeitungstätigkeiten: Der Datenverantwortliche ist verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, in dem alle relevanten Informationen zur Datenverarbeitung dokumentiert sind. Dies dient der Rechenschaftspflicht und Transparenz.
Datenverantwortlicher und Auftragsverarbeiter
Ein weiterer wichtiger Begriff im Datenschutzrecht ist der Auftragsverarbeiter. Während der Datenverantwortliche über die Zwecke und Mittel der Datenverarbeitung entscheidet, führt der Auftragsverarbeiter die Verarbeitung der Daten im Auftrag des Datenverantwortlichen durch. Ein typisches Beispiel wäre ein Unternehmen, das ein externes IT-Dienstleistungsunternehmen damit beauftragt, Kundendaten zu verwalten.
Es ist wichtig, dass zwischen dem Datenverantwortlichen und dem Auftragsverarbeiter ein Auftragsverarbeitungsvertrag (AVV) geschlossen wird, der die Rechte und Pflichten beider Parteien regelt und sicherstellt, dass die Verarbeitung der Daten im Einklang mit der DSGVO erfolgt.
Datenverantwortlicher und Haftung
Der Datenverantwortliche trägt die Hauptverantwortung für die Einhaltung der Datenschutzvorschriften und kann bei Verstößen gegen die DSGVO haftbar gemacht werden. Im Falle einer Datenschutzverletzung oder einer unrechtmäßigen Verarbeitung personenbezogener Daten kann die Aufsichtsbehörde Bußgelder verhängen, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können.
Fazit
Der Datenverantwortliche ist eine zentrale Figur im Datenschutzrecht, da er die Verantwortung für die rechtmäßige Verarbeitung personenbezogener Daten trägt. Unternehmen und Organisationen müssen sicherstellen, dass sie die Anforderungen der DSGVO einhalten und ihre Pflichten als Datenverantwortliche ernst nehmen, um Bußgelder und Reputationsschäden zu vermeiden. Eine sorgfältige Planung und Umsetzung der Datenschutzvorschriften ist unerlässlich, um die Rechte der betroffenen Personen zu schützen und rechtliche Risiken zu minimieren.