Verantwortlicher

Die Rolle des Verantwortlichen in der DSGVO

Die Regelungen der Datenschutzgrundverordnung (DSGVO) richten sich in vielfacher Hinsicht an den „Verantwortlichen“. Artikel 4 Nr. 7 DSGVO definiert ihn als diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche muss gewährleisten, dass die Vorschriften der DSGVO eingehalten werden und die Verarbeitung personenbezogener Daten in seinem Verantwortungsbereich rechtmäßig erfolgt. Dies muss der Verantwortliche nachweisen können.

Gibt es für die Verarbeitung mehrere Verantwortliche, so gelten die Bestimmungen des Artikels 26 DSGVO. Die gemeinsam Verantwortlichen müssen in einer Vereinbarung transparent festlegen, wer von ihnen welche Pflichten nach der DSGVO erfüllt. Das gilt besonders für die Betroffenenrechte und die Informationspflichten.

Aufgaben des Verantwortlichen

Die DSGVO weist dem Verantwortlichen eine ganze Reihe von Pflichten zu, die hier nicht alle vollständig aufgelistet werden können. So ist der Verantwortliche für die Einhaltung der in Artikel 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten zuständig und hat dafür die Rechenschaftspflicht. Nach Artikel 12 DSGVO muss dieser Personen, die von der Verarbeitung personenbezogener Daten betroffen sind, alle Informationen und Mitteilungen transparent und verständlich übermitteln, die in Artikel 13 ff. DSGVO geregelt sind. Dazu zählen zum Beispiel die Informationspflicht bei der Datenerhebung und das Recht auf Berichtigung und Löschung der Daten sowie die Einschränkung der Verarbeitung.

Abhängig von den Umständen der Verarbeitung muss der Verantwortliche gemäß Artikel 24 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um eine DSGVO-gerechte Verarbeitung sicherzustellen. Dazu zählen die Grundsätze des Privacy by Design und Privacy by Default sowie der IT-Sicherheit der Systeme. Artikel 32 DSGVO nennt konkret die Pseudonymisierung und Verschlüsselung von Daten als mögliche technische Mittel für den Schutz der Rechte und Freiheiten von Menschen.

Datenschutzverletzungen muss der Verantwortliche nach Maßgabe des Artikel 33 DSGVO möglichst binnen 72 Stunden an die Aufsichtsbehörde melden. Eine Ausnahme davon macht das Gesetz, wenn die Datenpanne voraussichtlich zu keinem Risiko für die Rechte und Freiheiten von Menschen führt. Bei einem hohen Risiko sind im Regelfall auch die betroffenen Personen durch den Verantwortlichen zu benachrichtigen, wie Artikel 34 DSGVO regelt.

Nach Artikel 82 DSGVO haftet der Verantwortliche für immaterielle und materielle Schäden des Betroffenen, die durch den Verstoß des Datenverarbeiters gegen die Verordnung entstehen. Davon wird er nur befreit, wenn er nachweist, dass er in keinerlei Hinsicht verantwortlich ist für den Umstand, der zum Schaden geführt hat.