Ein Teil der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) enthält Definitionen der verschiedenen Rollen und ihrer Verantwortlichkeiten. Bevor Sie mit den DSGVO Anforderungenoder deren Implementierung beginnen, müssen Sie die Schlüsselrollen verstehen. In diesem Artikel werde ich einen Überblick über die wichtigsten Aufgaben und Verantwortlichkeiten der DSGVO geben.
Verantwortlicher
Der Verantwortliche ist eine natürliche Person oder ein Rechtsträger, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt (z. B. bei der Verarbeitung personenbezogener Daten eines Arbeitnehmers gilt der Arbeitgeber als Verantwortlicher). Unter gewissen Umständen ist das Bestehen von gemeinsam Datenverantwortlichen möglich; wenn beispielsweise ein Unternehmen in mehreren Ländern tätig ist und Entscheidungen über Verarbeitungszwecke jedoch sowohl von der zentralen als auch von lokalen Einheiten getroffen werden.
Die Hauptverantwortung eines Verantwortlichen liegt in der Rechenschaftspflicht, d. h. im Einklang mit der DSGVO zu handeln und betroffenen Personen und der Aufsichtsbehörde die Einhaltung der DSGVO, wie verlangt und bei Bedarf, aufzeigen zu können.
Siehe auch: EU DSGVO Verantwortlicher vs. Auftragsverarbeiter – Was sind die Unterschiede?
Auftragsverarbeiter
Eine natürliche Person oder ein Rechtsträger, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (z. B. ein Callcenter, das im Auftrag eines Kunden handelt), gilt als ein Auftragsverarbeiter. Manchmal wird ein Auftragsverarbeiter auch als Dritter bezeichnet.
Die Hauptverantwortlichkeit des Auftragsverarbeiters besteht darin sicherzustellen, dass die, in der, mit dem Verantwortlichen abgeschlossenen Datenverarbeitungsvereinbarung festgelegten Bedingungen, stets erfüllt sind und dass die, in der DSGVO festgelegten Verpflichtungen eingehalten werden.
Datenschutzbeauftragter (DSB)
Der Datenschutzbeauftragte ist eine Führungsrolle, die von der EU DSGVO gefordert wird. Diese Rolle besteht in Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Ein Datenschutzbeauftragter ist für die Beaufsichtigung des Datenschutzansatzes, der Strategie und deren Umsetzung verantwortlich. Kurz gesagt ist der DSB für die Einhaltung der DSGVO verantwortlich. Es ist möglich, dass sich einzelne Unternehmen dafür entscheiden, keinen DSB zu ernennen, sondern diese Verantwortung auf eine bereits in der Organisation bestehende Person zu übertragen.
Normalerweise hängt die Wahl, ob der Datenschutzbeauftragte ernannt wird oder nicht vom Umfang der, in einem Unternehmen verarbeiteten personenbezogenen Daten ab. Zum Beispiel sollte ein kleines Unternehmen, das analytische Dienstleistungen bezüglich Krankenakten anbietet, einen DSB haben, weil es personenbezogene Daten verarbeitet, während ein mittleres Produktionsunternehmen sich dafür entscheiden könnte, keinen DSB zu ernennen, da die einzigen personenbezogenen Daten, die es verarbeitet, die der Mitarbeiter und der Lieferanten sind.
Die Hauptverantwortung des Datenschutzbeauftragten besteht darin, die Einhaltung der DSGVO zu gewährleisten und die Unternehmensleitung und das Personal über das Ergreifen richtiger Maßnahmen zu beraten.
Siehe auch: Die Rolle des DSB im Hinblick auf die Datenschutz-Grundverordnung.
Aufsichtsbehörde
Eine Aufsichtsbehörde ist eine Behörde in einem EU-Land, die für die Überwachung der Einhaltung der DSGVO zuständig ist. Ein EU-Land innerhalb der Europäischen Union wird auch als Mitgliedstaat bezeichnet. Eine Aufsichtsbehörde ist in der Regel eine Datenschutzkommission oder eine gleichwertige Behörde in einem Mitgliedstaat. Die Bezeichnung kann in den Ländern unterschiedlich sein. Zum Beispiel wird es im Vereinigten Königreich als Informations-Beauftragtenstelle (Information Commissioners Office) bezeichnet. Siehe hier Liste der Aufsichtsbehörden in allen EU-Mitgliedstaaten.
Die Hauptaufgabe der Aufsichtsbehörde besteht darin, Unternehmen bezüglich der DSGVO zu beraten, Audits bezüglich der Einhaltung der DSGVO durchzuführen, Beschwerden von betroffenen Personen zu bearbeiten und Geldbußen zu verhängen, wenn Unternehmen die DSGVO bewusst nicht einhalten.
Eine Aufsichtsbehörde wird von einigen Experten auch als Datenschutzbehörde bezeichnet. Sie sollten also daran denken, dass beide Begriffe dieselbe Bedeutung haben.
Während eine Aufsichtsbehörde innerhalb eines Landes zuständig ist, können in mehreren Ländern tätige Unternehmen beschließen, eine federführende Aufsichtsbehörde für die Berichterstattung zu ernennen. Zum Beispiel sollte dann das Unternehmen den Namen seines DSB bei der federführenden Aufsichtsbehörde registrieren lassen. Dies kann eine große Vereinfachung für Unternehmen, die in mehreren Ländern tätig sind und nicht in jedem Land einen DSB ernennen möchten, darstellen.
Siehe auch: The obligations of controllers towards Data Protection Authorities according to GDPR.
Schlussfolgerung
Schlussfolgernd kann festgestellt werden: Um die DSGVO richtig zu verstehen und umzusetzen, müssen Sie die Schlüsselrollen der DSGVO verstehen und entscheiden, welche Rollen im Kontext Ihres Unternehmens von Bedeutung sind.
Um die gesamte Verordnung zu lesen, klicken Sie hier: EU DSGVO Volltext.