Verantwortlicher gemäß der DSGVO

Verantwortlicher gemäß der DSGVO

Jeder, der über Datenschutz spricht, verwendet diesen Begriff sicherlich mit hoher Häufigkeit. Folglich stellt sich so Manchem dabei möglicherweise aber die Frage, was ein Verantwortlicher gemäß der DSGVO eigentlich ist. Mehr zur Definition des Begriffes eines Verantwortlichen gemäß der DSGVO erfahren Sie im Folgenden.

Der Begriff Verantwortlicher gemäß der DSGVO

Bei der Definition eines Verantwortlichen gemäß der DSGVO hilft uns Art. 4 Nr. 7 DSGVO weiter. Demnach ist ein Verantwortlicher eine „[…] natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“. Dabei kann es sich bei der juristischen Person um ein ein Unternehmen, Gewerbe, eine Behörde, einen Verein, eine Organisation, eine Kanzlei etc. handeln.

Angaben in Art. 2 Abs. 2 DSGVO

Was bedeutet dieser Abschnitt nun aber in der Praxis? Ist damit jeder, der personenbezogene Daten verarbeitet, Verantwortlicher? Oder besser gefragt: Wann findet die Verarbeitung von personenbezogenen Daten durch einen Verantwortlichen Anwendung? Um diese Frage zu beantworten, hilft es, einen Blick auf Art. 2 DSGVO zu werfen. Demnach finden wir in Abs. 2 dieses Artikels Informationen dazu, in welchem Fall die DSGVO keine Anwendung findet:

1)     „im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionrechts fällt,

2)    durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel 5 Kapitel 2 EUV fallen,

3)    durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

4)    durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“

Erste Ausnahme: Anwendungsbereich des Unionrechts (Art. 2 Abs. 2 lit. a) DSGVO)

In einfacher Sprache ausgedrückt bedeutet diese Ausnahme, dass die DSGVO jegliche Verarbeitung von personenbezogenen Daten nicht erfasst, wenn ein Verantwortlicher die personenbezogenen Daten nicht in der EU verarbeitet. Zusätzlich ist hinzuzufügen, dass ein Verantwortlicher die DSGVO nicht beachten muss, sofern er keine personenbezogenen Daten von EU-Bürgern verarbeitet.

Zweite Ausnahme: Tätigkeiten von Mitgliedstaaten nach Titel V Kapitel 2 EUV (Art. 2 Abs. 2 lit. b) DSGVO)

Sobald die Verarbeitung von personenbezogenen Daten in den Bereich fällt, in dem Mitgliedstaaten ihren Tätigkeiten nach Titel V Kapitel 2 EUV (Allgemeine Bestimmungen über das auswärtige Handeln der Union und besondere Bestimmungen über die gemeinsame Außen- und Sicherheitspolitik) nachgehen, findet die DSGVO keine Anwendung. Dies insofern, dass der Rat eigene Datenschutzregelungen für die Mitgliedstaaten durch Beschluss festlegen kann. Somit bedeutet diese Ausnahme also nicht, dass der Datenschutz bei der Verarbeitung personenbezogener außer Acht gelassen werden kann.

Dritte Ausnahme: Ausschließlich private oder familiäre Tätigkeiten (Art. 2 Abs. 2 lit. c) DSGVO)

Werden personenbezogene Daten ausschließlich im privaten oder familiären Bereich verarbeitet, fallen sie ebenfalls nicht in den Anwendungsbereich der DSGVO. Dies umfasst beispielsweise die Verarbeitung von personenbezogenen Daten im Freundeskreis und im Bereich, den man als Familie in dem Sinne auffassen könne, in dem zwischen Personen eine persönliche Nähe existiert, die mit der Nähe einer Familie vergleichbar wäre. Sobald eine Person allerdings mit diesen Daten geschäftlich handelt oder die Daten den persönlichen und familiären Bereich verlassen, greift die DSGVO.

Vierte Ausnahme: Aufklärung, Bekämpfung und Abwehr von Straftaten (Art. 2 Abs. 2 lit. d) DSGVO)

Wenn ein Verantwortlicher personenbezogene Daten im Zuge der Aufklärung, Bekämpfung und Abwehr von Straftaten verarbeitet, gilt die DSGVO für ihn nicht. Dafür hat dann die JI-Richtlinie (Datenschutzrichtlinie im Bereich von Justiz und Inneres / Richtlinie Justiz/Inneres EU 2016/680) Gültigkeit.

Zusammenfassend

Sobald ein Datenverarbeiter i. S. d. DSGVO personenbezogene Daten also auf geschäftlicher Ebene verarbeitet oder keine der oben genannten Ausnahmen zutrifft, ist er Verantwortlicher gemäß der DSGVO und muss die Regelungen der DSGVO beachten.

Fazit

Die Regelungen der DSGVO ziehen nach sich, dass ein Verantwortlicher eine entsprechende Datenschutzdokumentation und Umsetzungsmaßnahmen i. S. d. DSGVO einhält; also ein sogenanntes Datenschutz-Management-System implementiert. stetig überprüft und verbessert. Dies zieht die Erstellung von Datenschutzhinweisen – meist Datenschutzerklärung genannt – für oftmals unterschiedliche Bereiche nach sich (z. B. Webseite, Beschäftigte, Bewerber, Geschäftspartner etc.). Zusätzlich dürfen die Dokumentationen von technischen und organisatorischen Maßnahmen sowie die für den Datenschutz relevanten Prozesse etc. nicht fehlen. In Abhängigkeit der jeweiligen Prozesse einer Einrichtung ist oftmals (siehe Art. 30 Abs. 5 DSGVO) mindestens ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Des Weiteren sind etwaige Verträge, die sich aus einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO oder einer Auftragsverarbeitung nach Art. 4 Nr. 8 DSGVO i. V. m. Art. 28 Abs. 3 DSGVO ergeben, abzuschließen. Eventuelle Beschäftigte sind zum Datenschutz zu sensibilisieren.

Bei der Umsetzung dieser und der weiteren Anforderungen der DSGVO können wir Sie unterstützen. Kontaktieren Sie uns gern noch heute für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.