Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Verantwortlicher für den Datenschutz

Jede Stelle, die personenbezogene Daten für sich selbst verarbeitet (oder durch andere im Auftrag verarbeiten lässt), ist datenschutzrechtlich für diesen Vorgang verantwortlich. Das bedeutet, dass die verantwortliche Organisation überprüfen und feststellen muss, ob bzw. dass sie Datenschutzvorschriften einhält.

Vom Verantwortlichen abzugrenzen ist der Auftragsverarbeiter: Er wird tätig auf Weisung des Verantwortlichen.

➜ Definition und Folgen der Verantwortlichkeit

Wer ist hier Verantwortlicher im Sinner der DSGVO? Der Betriebsrat muss den Datenschutz nur einhalten. Verantwortlicher ist ganz klar der Arbeitgeber!
Bild: sdecoret / iStock / Getty Images Plus
Betrieblicher Datenschutz

Welche personenbezogenen Daten verarbeitet der Betriebsrat und wer erteilt Auskunft darüber? Diese Fragen stellen sich viele Arbeitnehmer – und sie sind gar nicht so leicht zu beantworten. Denn der Betriebsrat selbst ist kein Verantwortlicher im Sinne der DSGVO, er ist nur verpflichtet, den Datenschutz einzuhalten. Was bedeutet das für die Praxis?

Wer ist Verantwortlicher nach DSGVO?
Bild: Nastco / iStock / Getty Images
Verantwortung im Datenschutz

Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.

Art. 27 DSGVO

Die Benennungspflicht eines EU-Vertreters ist für internationale Unternehmen ohne EU-Sitz wichtig. Aber auch externe DSBs, die in der Stellung als EU-Vertreter einen Baustein ihres Portfolios sehen, kommen um eine rechtliche Einarbeitung in diesen Komplex nicht herum.

Eine schwierige Frage

Durch die DSGVO lebt die Diskussion, ob der Betriebsrat datenschutzrechtlich eine eigene verantwortliche Stelle ist, wieder auf. Die Frage ist umstritten, je nach Antwort können sich weitreichende Konsequenzen ergeben. Der Artikel gibt einen Überblick und Praxistipps.

1 von 1

Gesetze, Vorschriften und Rechtsprechung

  • Art. 4 Nr. 7 DSGVO (Definition des Begriffs des Verantwortlichen)
  • Art. 4 Nr. 8 DSGVO (Definition des Auftragsverarbeiters )
  • Art. 26 DSGVO (Gemeinsam Verantwortliche )

Definition des Begriffs des Verantwortlichen

Verantwortlicher für eine Datenverarbeitung ist, wer beide Voraussetzungen erfüllt:

  1. Es handelt sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle.
    Beispiel: Menschen, Gesellschaften und andere Personenvereinigungen des privaten Rechts wie z.B. GmbH, AG, Gewerbetreibende, Selbstständige oder Vereine, Bundes- und Landesbehörden, öffentliche Stiftungen oder Anstalten
  2. Die Stelle besitzt die Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
    Beispiel: Ein Arbeitgeber entscheidet, für die Personaldatenverarbeitung die Software XY und für die Gehaltsabrechnungen ein externes Lohnbüro einzusetzen.

Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, gelten sie als gemeinsame Verantwortliche (Art. 26 DSGVO).

Folgen der (alleinigen oder gemeinsamen) Verantwortlichkeit

Wer als Verantwortlicher für eine Datenverarbeitung gilt, muss dafür sorgen, dass er alle Vorgaben der Datenschutzgesetze einhält. Dazu zählt unter anderem die Nachweisbarkeit und Rechenschaftspflicht über die Datenschutzorganisation (Art. 5 DSGVO), die Gewährleistung der Datensicherheit (Art. 32 DSGVO) und gegebenenfalls die Ernennung eines Datenschutzbeauftragten (§ 38 BDSG für nicht-öffentliche Stellen in Deutschland und Art. 37 Abs. 1 Buchstabe a DSGVO für öffentliche Stellen).

Kommt der Verantwortliche seinen Pflichten nicht nach, drohen ihm sämtliche Konsequenzen, die das Datenschutzrecht vorsieht (vor allem Geldbußen, Geld- oder Freiheitsstrafen und Schadensersatzansprüche bis hin zu Untersagungsverfügungen durch die Datenschutz-Aufsichtsbehörde).

Auftragsverarbeitung

Wenn eine Stelle eine andere beauftragt, für sie tätig zu werden, liegt oft eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Da hier der Auftragsverarbeiter nur nach Weisung handeln darf, trägt die Verantwortung für diese Datenverarbeitung auch der Auftraggeber. Verstößt der Auftragnehmer gegen datenschutzrechtliche Vorschriften, haften beide gesamtschuldnerisch.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.