Auftragsverarbeitung - Rechenschaftspflicht
DSGVO setzt neue Rahmenbedingungen
Mit der Datenschutzgrundverordnung wurde in Art. 5 Abs. 2 DSGVO für den Bereich der Europäischen Union explizit der Grundsatz der Rechenschaftspflicht festgeschrieben. Das bedeutet, dass die Verantwortlichen dafür geradestehen, dass die Grundsätze des Datenschutzes, wie sie Art. 5 Abs. 1 DSGVO definiert, umgesetzt werden. Dafür haben die Verantwortlichen auch den Nachweis zu erbringen.
Anforderungen an Verantwortliche
Mit der Rechenschaftspflicht wird betont, dass von den Verantwortlichen passende und wirkungsvolle Maßnahmen zu ergreifen sind und dass sie deren Umsetzung nachweisen können sollen. Dies schreibt insbesondere Art. 24 DSGVO fest. Dieser Artikel fordert, dass Verantwortliche organisatorische und technische Maßnahmen ergreifen müssen, mit denen sie die Konformität der Verarbeitung mit der DSGVO sicherstellen. Wenn nötig, sollen die ergriffenen Maßnahmen überprüft sowie aktualisiert werden.
Pflichten von Verantwortlichen und Auftragsverarbeitern
Wichtig ist auch Art. 28 DSGVO. In diesem Artikel zeigt sich, dass die Rechenschaftspflicht sich auch in den Pflichten widerspiegelt, die Verantwortliche übernehmen, wenn sie die Dienste eines Auftragsverarbeiters in Anspruch nehmen. Dabei werden zwar insbesondere die Verantwortlichen unmittelbar in die Pflicht genommen. Dennoch gibt es Vorschriften, die sich gleichermaßen an Verantwortliche wie an Auftragsverarbeiter richten. Zu nennen sind hier die in Art. 58 DSGVO niedergelegten Bestimmungen zu den Befugnissen im Zusammenhang mit der behördlichen Aufsicht. Geldbußen dürfen nämlich – falls sie den sich aus der DSGVO ergebenden Pflichten nicht gerecht werden – gegen Verantwortliche und gegen Auftragsverarbeiter verhängt werden. Zudem sind ebenfalls beide gegenüber den aufsichtführenden Behörden zur Rechenschaft verpflichtet. Sie müssen ihre Tätigkeiten dokumentieren und die entsprechenden Unterlagen auf Verlangen zur Verfügung stellen. Im Zusammenhang mit Untersuchungen sollen sie mit den Behörden zusammenarbeiten und auch deren Anweisungen nachkommen. Nichtsdestotrotz wird daran erinnert, dass Auftragsverarbeiter lediglich den Anweisungen der Verantwortlichen zu folgen haben und nicht eigenständig agieren dürfen.
Wichtige Definition der Rollen
Die Rechenschaftspflicht ist schon deswegen ein zentraler Bestandteil der DSGVO, weil sie es – selbstverständlich gemeinsam mit anderen Regelungen – erforderlich macht, genau zu definieren, welche Rollen die mit der Verarbeitung von personenbezogenen Daten Befassten innehaben. Für die Rollenzuweisung von Verantwortlichen und Auftragsverarbeitern gelten laut DSGVO – im Verhältnis zu der Richtlinie 95/46/EG – im Wesentlichen die gleichen Kriterien. Beide Begriffe sind funktioneller Natur, und weisen den Rollen Verantwortlichkeiten zu, die ihren tatsächlichen Funktionen entsprechen.
Tatsächliche Tätigkeiten sind entscheidend
Nicht die formelle Benennung als Verantwortlicher oder Auftragsverarbeiter definiert die jeweilige rechtliche Stellung. Diese ist vielmehr in den Tätigkeiten begründet, die in einer bestimmten Situation tatsächlich ausgeführt werden. Das macht die Begriffe des Verantwortlichen beziehungsweise des Auftragsverarbeiters zu funktionellen Begriffen, deren Sinn es ist, den Handelnden die Verantwortung aufgrund ihrer tatsächlich übernommenen Rollen zuzuweisen. Praktisch bedeutet dies, dass die Rollenzuweisung aus der Analyse der Fakten abzuleiten ist. Somit steht sie auch nicht als verhandelbar zur Disposition.
Eigens geprägte Konzepte
Auch wenn rechtliche Quellen außerhalb der DSGVO einen Beitrag zur Identifikation eines Verantwortlichen leisten können, sind die Konzepte des Verantwortlichen und des Auftragsverarbeiters doch von der DSGVO geprägte Konzepte. Als solche sind sie vorrangig im Sinne des Datenschutzrechts der Europäischen Union auszulegen. Selbst wenn der Begriff der Verantwortlichen sich mit Begrifflichkeiten anderer Rechtsgebiete überschneiden kann – beispielsweise mit dem Rechteinhaber im Sinne des Wettbewerbsrechts – ist er hier im Sinne der DSGVO zu interpretieren.
Rollenzuweisung und Rechenschaftspflicht
Den Verantwortlichen wird diese Rolle zugewiesen, damit ihre Rechenschaftspflicht festgeschrieben und so der Schutz personenbezogener Daten in umfassender und wirksamer Weise gesichert werden kann. Aus diesem Grunde sollte der Begriff des Verantwortlichen ausreichend weit interpretiert werden: Nur so kann der Schutz der Betroffenen gestärkt werden.
Verantwortliche oder Auftragsverarbeiter?
Die Unterscheidung von Verantwortlichen und Auftragsverarbeitern interessiert Sie? Stellen Sie uns gern Ihre Fragen. Sie erreichen uns unter Telefon 09122 6937302 und mit Ihrer Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Verantwortlicher: Wie definiert die Datenschutzgrundverordnung diese Rolle?
- Entscheidungsträger: Verarbeiter entscheidet über Zwecke und Mittel der Verarbeitung
- Zwecke und Mittel der Datenverarbeitung unterliegen der Entscheidung des Verantwortlichen
- Verarbeitung personenbezogener Daten: Verantwortlicher für ein oder mehrere Verarbeitungsvorgänge
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
