Verantwortliche - Guidelines Panelfit

Wer ist dieser Akteur?

Der Verantwortliche kann jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)”.^[1] Daraus geht hervor, dass jede Stelle, die aus verschiedenen Gründen über personenbezogene Daten verfügt, als Verantwortlicher gilt, sei es, um beispielsweise wissenschaftliche Forschung auf der Grundlage personenbezogener Daten durchzuführen oder für Marketing- oder Geschäftszwecke. Der Verantwortliche hat Einfluss auf die Verarbeitung personenbezogener Daten, indem er die Verarbeitung durchführt oder die Möglichkeit hat, über die Verarbeitung zu entscheiden. Um festzustellen, ob eine Einrichtung ein Verantwortlicher ist, können die folgenden Fragen gestellt werden:

Wer trifft die Entscheidungen über die Datenverarbeitung?
Wer ist befugt, die Datenverarbeitung zu stoppen?
Warum findet die Verarbeitung statt?
Wer hat die Verarbeitung veranlasst?
Wer profitiert von der Verarbeitung?^[2]

Die Definition schließt auch die Möglichkeit ein, dass der Verantwortliche nicht allein handelt, sondern dass es mehrere Verantwortliche gibt, die gemeinsam die Verarbeitung personenbezogener Daten kontrollieren. Der Abschnitt „GemeinsameVerantwortliche“ erläutert dies ausführlicher.

Was sind seine Aufgaben?

Der Verantwortliche bestimmt die Mittel und Zwecke der Datenverarbeitung. Das bedeutet, dass der Verantwortliche die Kontrolle über die Verarbeitung personenbezogener Daten hat und der Akteur ist, der tatsächlich entscheidet, was mit den personenbezogenen Daten geschieht. In der Regel will der Verantwortliche ein Ziel erreichen, z. B. ein Forschungsprojekt und -ziel oder einen Geschäftsprozess*, für den die Verarbeitung von Daten erforderlich ist.

Was sind seine Rechte und Pflichten?

Der Verantwortliche muss sicherstellen, dass Datenschutzvorschriften wie die DSGVO eingehalten werden. Mit anderen Worten ist der Verantwortlichedafür verantwortlich, was mit den personenbezogenen Daten geschieht, wie sie verarbeitet werden und ob die Verarbeitung im Einklang mit der DSGVO steht oder nicht. In der Praxis bedeutet dies, dass die Verantwortlichen Maßnahmen und Garantien einführen müssen, die darauf abzielen, die Anwendung der Datenschutz-Grundverordnung einzuhalten und solche Richtlinien nachzuweisen. In der Tat definiert Artikel 24 DSGVO die Verantwortung des Verantwortlichen in Bezug auf die Umsetzung:

„geeigneter technischer und organisatorischer Maßnahmen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.”^[3]

Diese technischen und organisatorischen Maßnahmen werden im Abschnitt „Grundsätze“ (3.1.3) dieses Dokuments näher erläutert. Der Verantwortliche muss nachweisen können, dass die Grundsätze der Datenverarbeitung wie Datenminimierung, Speicherbegrenzung und Transparenz umgesetzt und gewährleistet werden. Dies wird in Art. 5 Absatz 2DSGVO als Rechenschaftspflicht des Verantwortlichen bezeichnet. Es ist daher wichtig, dass der Verantwortliche in der Lage ist, die Einhaltung dieser Grundsätze nachzuweisen und zu dokumentieren (Art. 30 Absatz 2 DSGVO). ^[4]^[5] Bei der Durchführung und Umsetzung von Forschungsprojekten sollten die Grundsätze des „Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Art. 25 DSGVO) beachtet werden. Rechenschaftspflicht bedeutet dabei nicht nur, dass „… der Projektvorschlag eine vorgegebene Checkliste von Bedingungen erfüllen muss, sondern dass die Forschungsmethodik selbst ethisch-rechtskonform gestaltet sein muss“^[6]. Praktische Beispiele sind die Einbeziehung eines interdisziplinären Teams, ein als DSB bestellter Rechts- und Ethiksachverständiger, eine IT-Infrastruktur, die der CIA-Trias entspricht, und die Aufzeichnung und Regelung des Datenflusses innerhalb des Forschungsteams und zwischen ihm und anderen Stellen.^[7]

Der Verantwortliche kann andere Stellen beauftragen und ernennen, die die Verarbeitung in seinem Namen durchführen, die sogenannten Auftragsverarbeiter. Der Verantwortliche ist verpflichtet, nur Auftragsverarbeiter zu beauftragen, die hinreichende Garantien dafür bieten können, dass sie geeignete technische und organisatorische Maßnahmen für eine DSGVO-konforme Verarbeitung der Daten ergriffen haben. Diese Maßnahmen müssen ergriffen und nachgewiesen werden, um die Verarbeitung zu sichern und die Rechte der betroffenen Personen zu schützen.^[8] Natürlich sind Forscher, die als Verantwortliche fungieren, daher verpflichtet, nur vertrauenswürdige Auftragsverarbeiter einzusetzen, die nachweisen können, dass sie die Verordnung einhalten.

Wenn die Rechte der betroffenen Person verletzt wurden, d. h. wenn personenbezogene Daten unrechtmäßig verarbeitet wurden und dadurch ein materieller oder immaterieller Schaden entstanden ist, können die betroffenen Personen ihre Rechte gemäß Artikel 16 bis 23 DSGVO geltend machen (siehe Abschnitt über die Rechte der betroffenen Person). Zu diesem Zweck ist der Verantwortliche die „letzte Anlaufstelle“^[9], an die sich die betroffenen Personen wenden können, um ihre Rechte auszuüben. Art. 82 Absatz 1 DSGVO besagt, dass die betroffenen Personen unter solchen Umständen das Recht haben, von dem Verantwortlichen (oder dem Auftragsverarbeiter) Schadenersatz zu erhalten. Darüber hinaus sind die Verantwortlichen für Schäden haftbar, wenn sie gegen die DSGVO verstoßen (Artikel 82 Absatz 2). In Erwägungsgrund 146 heißt es, dass die betroffenen Personen einen wirksamen und vollständigen Ersatz des ihnen entstandenen Schadens erhalten müssen und dass „der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden sollte, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

Checkliste: Wenn Sie eine der folgenden Aussagen mit „Ja“ beantworten, sind Sie wahrscheinlich ein Verantwortlicher

Sie erheben oder verwenden personenbezogene Daten für Ihre eigenen persönlichen oder Forschungszwecke.
Auch wenn eine andere Stelle personenbezogene Daten verarbeitet, bestimmen Sie, warum diese Daten verarbeitet werden sollen.
Sie haben entschieden, welche Kategorien personenbezogener Daten genau erfasst werden sollen und von wem.
Die personenbezogenen Daten, die Sie zu verarbeiten beabsichtigen, betreffen Ihre Mitarbeiter.
Sie haben eine andere Stelle, z. B. ein anderes Unternehmen oder eine Forschungseinrichtung, damit beauftragt, personenbezogene Daten für Sie zu verarbeiten oder zu analysieren.
Sie sind ermächtigt, die Verarbeitung personenbezogener Daten zu beenden

Quellenangaben

¹Art. 4 Absatz 7DSGVO ↑

²Siehe EDSB. eitlinien zu den Begriffen „Verantwortlicher“, „Auftragsverarbeiter“ und „gemeinsam Verantwortliche“ gemäß der Verordnung (EU) 2018/1725, S. 7, basierend auf der Rechtssache C-210/16, Wirtschaftsakademie Schleswig-Holstein, ECLI:EU:C:2018:388, Rn. 40 und Schlussanträge des Generalanwalts Bot in der Rechtssache C-210/16, Wirtschaftsakademie, Rn. 64 und 65. ↑

³Siehe Art. 24 Absatz 1DSGVO ↑

⁴EDSB, Vorläufige Stellungnahme zum Datenschutz und zur wissenschaftlichen Forschung, 6. Januar 2020, S.17. ↑

⁵EDSB, Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung, 2. September 2020, S. 8. ↑

⁶D. Amram, Aufbau des Modells “Accountable Ulysses”. The impact pf DSGVO and national implementations, ethics, and health-data research: Comparative remarks, Computer Law and Security Review, Juli 2020, Vol. 37, S. 2. ↑

⁷Ebd., S. 6. Der Autor dieses Artikels nennt weitere Merkmale, die zu berücksichtigen sind, um ein „akzeptables Maß an Übereinstimmung” zu erreichen. ↑

⁸EDSB, Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung, September 2020, S.4. ↑

⁹https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf S.13 ↑