Zum Inhalt springen

TISAX® Dokumentation (Handbuch) für KMUs und NIS2 Anforderungen | Blog

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Datenschutz » Pflichten der Verantwortlichen und Auftragsverarbeiter in der DSGVO

Pflichten der Verantwortlichen und Auftragsverarbeiter in der DSGVO

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Die Datenschutz-Grundverordnung (DSGVO) legt bestimmte Pflichten für Verantwortliche und Auftragsverarbeiter fest, um den Schutz personenbezogener Daten und die Rechte der betroffenen Personen zu gewährleisten. In diesem Artikel werden die wichtigsten Pflichten von Verantwortlichen und Auftragsverarbeitern im Rahmen der DSGVO erläutert.

Unsere Dienstleistungen - Pflichten der Verantwortlichen und Auftragsverarbeiter

Pflichten der Verantwortlichen

Verantwortliche sind Organisationen oder Personen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen. Sie haben eine Reihe von Pflichten gemäß der DSGVO, darunter:

  • Rechtmäßigkeit, Fairness und Transparenz
    Verantwortliche müssen sicherstellen, dass personenbezogene Daten rechtmäßig, fair und transparent verarbeitet werden. Sie müssen eine der in der DSGVO festgelegten Rechtsgrundlagen für die Verarbeitung einhalten und die betroffenen Personen über die Verarbeitung ihrer Daten informieren.
  • Zweckbindung
    Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden. Verantwortliche dürfen Daten nicht für andere, inkompatible Zwecke verarbeiten, es sei denn, sie haben eine zusätzliche Rechtsgrundlage dafür.
  • Datenminimierung
    Verantwortliche müssen sicherstellen, dass nur diejenigen personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Sie müssen die Menge der verarbeiteten Daten auf das notwendige Minimum beschränken.
  • Richtigkeit
    Verantwortliche müssen angemessene Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten, die sie verarbeiten, korrekt und aktuell sind.
  • Speicherbegrenzung
    Personenbezogene Daten dürfen nicht länger als für den jeweiligen Zweck erforderlich aufbewahrt werden. Verantwortliche müssen sicherstellen, dass Daten gelöscht oder anonymisiert werden, wenn sie nicht mehr benötigt werden.
  • Integrität und Vertraulichkeit
    Verantwortliche müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung ein.

Pflichten der Auftragsverarbeiter

Auftragsverarbeiter sind Organisationen oder Personen, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeiten. Ihre Pflichten umfassen:

  • Verarbeitung nach Weisung
    Auftragsverarbeiter müssen personenbezogene Daten ausschließlich nach dokumentierten Weisungen des Verantwortlichen verarbeiten.
  • Vertraulichkeit
    Auftragsverarbeiter müssen sicherstellen, dass die Personen, die personenbezogene Daten im Rahmen ihrer Aufgaben verarbeiten, zur Wahrung der Vertraulichkeit verpflichtet sind.
  • Sicherheit der Verarbeitung
    Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung ein.
  • Unterauftragsverarbeiter
    Wenn ein Auftragsverarbeiter einen weiteren Unterauftragsverarbeiter einsetzt, um bestimmte Verarbeitungstätigkeiten im Auftrag des Verantwortlichen durchzuführen, muss er dafür sorgen, dass dieselben Datenschutzverpflichtungen wie in seinem Vertrag mit dem Verantwortlichen auch in dem Vertrag mit dem Unterauftragsverarbeiter festgehalten werden.
  • Hilfestellung bei der Einhaltung der Rechte der betroffenen Personen
    Auftragsverarbeiter müssen den Verantwortlichen bei der Erfüllung ihrer Pflichten in Bezug auf die Rechte der betroffenen Personen unterstützen, z. B. bei Anfragen zur Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung.
  • Meldung von Datenschutzverletzungen
    Auftragsverarbeiter müssen den Verantwortlichen unverzüglich über Datenschutzverletzungen informieren, damit der Verantwortliche seiner Meldepflicht gegenüber der Aufsichtsbehörde und gegebenenfalls den betroffenen Personen nachkommen kann.
  • Löschung oder Rückgabe von personenbezogenen Daten
    Nach Beendigung der Verarbeitungstätigkeiten muss der Auftragsverarbeiter die personenbezogenen Daten auf Anweisung des Verantwortlichen entweder löschen oder zurückgeben.
  • Nachweis der Einhaltung der DSGVO
    Auftragsverarbeiter müssen dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, um nachzuweisen, dass sie die in der DSGVO festgelegten Verpflichtungen erfüllen.
Datenschutz Handbuch DSGVO
Datenschutz Handbuch DSGVO

Verträge zwischen Verantwortlichen und Auftragsverarbeitern

Die DSGVO verlangt, dass zwischen Verantwortlichen und Auftragsverarbeitern ein schriftlicher Vertrag geschlossen wird, der bestimmte Anforderungen erfüllt. Dazu gehören die Festlegung der Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Rechte und Pflichten des Verantwortlichen. Der Vertrag sollte auch die spezifischen Pflichten des Auftragsverarbeiters im Rahmen der DSGVO festlegen.

Zusammenarbeit mit Aufsichtsbehörden

Sowohl Verantwortliche als auch Auftragsverarbeiter müssen bei Bedarf mit den zuständigen Datenschutzaufsichtsbehörden zusammenarbeiten. Dies kann beispielsweise im Falle einer Datenschutzverletzung oder bei der Durchführung einer Datenschutz-Folgenabschätzung erforderlich sein. Die Zusammenarbeit mit den Aufsichtsbehörden hilft dabei, die Einhaltung der DSGVO sicherzustellen und mögliche Probleme oder Verstöße frühzeitig zu identifizieren und zu beheben.

Bestellung eines Datenschutzbeauftragten (DSB)

In bestimmten Fällen müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten (DSB) bestellen. Dies ist erforderlich, wenn die Verarbeitungstätigkeiten eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern oder wenn die Verarbeitung besonderer Kategorien von Daten oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten im großen Umfang erfolgt. Der DSB ist für die Überwachung der Einhaltung der DSGVO innerhalb der Organisation verantwortlich und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen.

Durchführung von Datenschutz-Folgenabschätzungen

Wenn Verarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, müssen Verantwortliche und gegebenenfalls auch Auftragsverarbeiter eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Die DSFA soll die Risiken bewerten und geeignete Maßnahmen zur Minderung dieser Risiken identifizieren. Eine DSFA kann erforderlich sein, wenn beispielsweise neue Technologien eingesetzt werden oder die Verarbeitung von sensiblen Daten in großem Umfang stattfindet.

Sensibilisierung und Schulung von Mitarbeitern

Verantwortliche und Auftragsverarbeiter sollten ihre Mitarbeiter in Bezug auf Datenschutz und Informationssicherheit sensibilisieren und schulen. Dies umfasst die Vermittlung von Grundlagenwissen über die DSGVO, die Rechte der betroffenen Personen und die Pflichten der Organisation. Regelmäßige Schulungen und Aktualisierungen helfen dabei, das Bewusstsein für Datenschutzbelange aufrechtzuerhalten und mögliche Verstöße oder Datenpannen zu vermeiden.

Dokumentation und Nachweis der Einhaltung

Verantwortliche und Auftragsverarbeiter müssen die Einhaltung der DSGVO dokumentieren und nachweisen können. Dies umfasst die Führung eines Verarbeitungsverzeichnisses, in dem alle Verarbeitungstätigkeiten von personenbezogenen Daten aufgeführt sind, sowie die Dokumentation von Datenschutz-Folgenabschätzungen, Einwilligungserklärungen und Verträgen mit Unterauftragsverarbeitern. Die Dokumentation hilft dabei, die Transparenz der Verarbeitungstätigkeiten zu erhöhen und die Rechenschaftspflicht gegenüber Aufsichtsbehörden und betroffenen Personen zu erfüllen.

Datenübermittlung in Drittländer

Bei der Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) müssen Verantwortliche und Auftragsverarbeiter sicherstellen, dass ein angemessenes Schutzniveau für die Daten gewährleistet ist. Dies kann durch die Verwendung von Standardvertragsklauseln, die Anerkennung eines Angemessenheitsbeschlusses der Europäischen Kommission oder die Implementierung von verbindlichen internen Datenschutzvorschriften erreicht werden. Die Einhaltung dieser Anforderungen ist wichtig, um den Schutz der Rechte und Freiheiten der betroffenen Personen bei grenzüberschreitenden Datenübermittlungen zu gewährleisten.

Fazit

Verantwortliche und Auftragsverarbeiter spielen eine zentrale Rolle bei der Umsetzung der DSGVO und dem Schutz personenbezogener Daten. Die Erfüllung ihrer jeweiligen Pflichten trägt dazu bei, das Vertrauen der betroffenen Personen und die Einhaltung der gesetzlichen Anforderungen sicherzustellen. Durch die Implementierung geeigneter Datenschutzmaßnahmen, die Zusammenarbeit mit Aufsichtsbehörden, die Schulung von Mitarbeitern und die sorgfältige Dokumentation ihrer Verarbeitungstätigkeiten können Verantwortliche und Auftragsverarbeiter ihren Beitrag zum Schutz der Privatsphäre und der Rechte der betroffenen Personen leisten.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner