Wer ist der Verantwortliche?
Nach Artikel 4 der DSGVO ist der Verantwortliche diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In der Regel ist das das Unternehmen, der Verein oder die Behörde selbst, nicht eine einzelne Person darin.
Der Verantwortliche trägt die zentrale Verantwortung für die Einhaltung der DSGVO. Bei ihm liegt die Rechenschaftspflicht: Er muss nachweisen können, dass jede Verarbeitung rechtmäßig erfolgt.
Welche Pflichten hat der Verantwortliche?
Aus der Rolle ergibt sich ein ganzes Bündel an Pflichten:
- für jede Verarbeitung eine gültige Rechtsgrundlage sicherstellen
- die Betroffenenrechte erfüllen, etwa Auskunft und Löschung
- ein Verzeichnis von Verarbeitungstätigkeiten führen
- geeignete technische und organisatorische Maßnahmen umsetzen
- eine Datenpanne fristgerecht melden
Beauftragt der Verantwortliche Dienstleister, bleibt er gegenüber den betroffenen Personen verantwortlich und muss die Auftragsverarbeitung vertraglich absichern.
Abgrenzung zu Auftragsverarbeiter und gemeinsamer Verantwortung
Vom Verantwortlichen zu unterscheiden ist der Auftragsverarbeiter, der Daten nur weisungsgebunden im Auftrag verarbeitet. Entscheidend ist, wer über das Ob und Wie der Verarbeitung bestimmt. Wer die Zwecke festlegt, ist Verantwortlicher.
Treffen zwei oder mehr Stellen diese Entscheidungen gemeinsam, liegt eine gemeinsame Verantwortlichkeit vor. Dann müssen sie in einer Vereinbarung festlegen, wer welche Pflichten erfüllt. Diese Einordnung ist in der Praxis oft kniffliger als gedacht und sollte sorgfältig geprüft werden.