Verantwortlicher (Datenschutz)
Verantwortlicher im Sinne des europäischen Datenschutzrechts ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.[1] Bis zur Vollharmonisierung des Datenschutzrechts durch die Datenschutz-Grundverordnung wurde in Deutschland der Begriff verantwortliche Stelle verwendet.[2] Heute werden beide Begriffe synonym verwendet.[3]
Die verantwortliche Stelle setzt angemessene und geeignete technische und organisatorische Maßnahmen um.[4]
Konkret muss der Verantwortliche
- alle Lichtinformationen bereitstellen und die Ausübung von Betroffenenrechten ermöglichen[5] und erleichtern[6],
- ein Verzeichnis von Verarbeitungstätigkeiten führen[7],
- Datenschutzverletzungen melden (Art. 33 DSGVO) und Betroffene gegebenenfalls benachrichtigen (Art. 34 DSGVO),
- bei hohem Risiko eine Datenschutz-Folgenabschätzung vornehmen (Art. 25 DSGVO),
- ggf. einen Datenschutzbeauftragten benennen (Art. 37 DSGVO) und
- Rechenschaft über die Einhaltung der Grundsätze des Datenschutzes ablegen (Art. 5 Abs. 2 DSGVO)
Einzelnachweise
- ↑ Datenschutz-Grundverordnung. Artikel 4 Nummer 7. In: EUR-Lex. 4. März 2021, abgerufen am 27. Juni 2021: „Im Sinne dieser Verordnung bezeichnet der Ausdruck [...] 7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden [...].“
- ↑ § 3 Absatz 7 Bundesdatenschutzgesetz a. F.
- ↑ z. B. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: Datenschutzbeauftragte – Antworten auf häufig gestellte Fragen. (PDF) Januar 2020, abgerufen am 27. Juni 2021. ; Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Datenschutzbeschwerde. Wie läuft ein Beschwerdeverfahren beim BfDI? Abgerufen am 27. Juni 2021. ; Landesbeauftragter für den Datenschutz und die Informationsfreiheit: Gesichtserkennung: LfDI eröffnet Verfahren gegen Unternehmen PimEyes. 26. Mai 2021, abgerufen am 27. Juni 2021.
- ↑ Datenschutz-Grundverordnung. Artikel 24 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
- ↑ Datenschutz-Grundverordnung. Artikel 12 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
- ↑ Datenschutz-Grundverordnung. Artikel 12 Absatz 2. In: EUR-Lex. 3. April 2021, abgerufen am 21. Juni 2021: „Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.“
- ↑ Datenschutz-Grundverordnung. Artikel 30 Absatz 1 Satz 1. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“