Verantwortliche

Aus Datenschutz
Zur Navigation springen Zur Suche springen

Wer ist verantwortlich?

  • Verantwortlich ist, wer über Zwecke und Mittel der Datenverarbeitung bestimmt (z. B. Auswahl der Software).
  • Hat ein Dritter Einfluss auf die Datenverarbeitung, ist er Gemeinsam Verantwortlicher.
  • Datenverarbeitende Produkte (Apps, Programme, Webseiten) müssen datenschutzrechtlich aufgebaut werden ("Privacy by Design").
  • Diese Produkte müssen ohne weitere Einstellungen bei Inbetriebnahme datenschutzsicher sein ("Privacy by Default").
  • Hierzu sind alle technischen und organisatorischen Maßnahmen zu ergreifen.

Rechtmäßige Auftragsverarbeitung

Auftragsverarbeiter verarbeiten eigenverantwortlich Daten im Auftrag. Der Auftraggeber fordert ein Ergebnis, hat aber keinen Einfluss auf die Art der Verarbeitung (z. B. die benutzten Programme). Sofern der Auftraggeber einen Einfluss geltend machen kann, handelt es sich bei Auftraggeber und Auftragnehmer um „Gemeinsam Verantwortliche“.

Auch gemeinsam Verantwortliche müssen eine (schriftlichen) Vereinbarung treffen. Die EU-DSGVO schreibt vor, dass dort festgelegt wird, wer welche Pflichten der EU-DSGVO übernimmt. Dies gilt insbesondere gegenüber den Rechten der Betroffenen. Besonders die Informationspflicht gegenüber den Betroffenen auf Auskunft etc. muss klar geregelt sein. Den Betroffenen sind die wesentlichen Regelungen zur Verfügung zu stellen. Die Betroffenen können ihre Rechte aber dennoch gegenüber jedem einzelnen Verantwortlichen geltend machen.

Auswahl des Auftragsverarbeiters: nach Eignung zur Verarbeitung gem. EU-DSGVO

Auftragsverarbeiter müssen danach ausgewählt werden, ob sie hinreichend Garantien dafür bieten, dass sie im Einklang mit der EU-DSGVO verarbeiten. Hierzu sind geeignete technische und organisatorische Maßnahmen notwendig. Kommt es zu einem Verstoß, ist der Auftragsverarbeiter als Verantwortlicher haftbar. Der Verantwortliche muss eine Weisung zur Verarbeitung personenbezogener Daten erteilen.

Vorgeschriebener Vertragsinhalt (A28, EWG 81) ist mindestens:

  • Verarbeitung nur aufgrund dokumentierter Weisung
  • Vertraulichkeitsverpflichtung
  • Sicherheit
  • weitere Auftragsverarbeiter nur mit denselben Pflichten und per Vertrag
  • Support des Verantwortlichen
  • Löschung aller Daten nach dem Ende der Auftragsverarbeitung
  • Inspektionen
  • Weisungsprüfung

Weitere Informationen

Beschäftigtendatenschutz

Im Beschäftigungskontext (also bei Eingehung, Durchführung, Beendigung und Abwicklung eines Beschäftigungsverhältnisses) dürfen personenbezogene Daten von Bewerbern und Beschäftigten natürlich auch verarbeitet werden. Das gilt zum einen, wenn es dafür erforderlich dafür ist und zum anderen natürlich, wenn die Betroffenen eingewilligt haben. Auch eine Ermächtigung durch eine Vorschrift (auch eine Dienstvereinbarung) oder einen Vertrag (auch Tarifvertrag) besteht. Eine Verwendung zur Leistungskontrolle ist nicht erlaubt. Überhaupt dürfen Beurteilungen nicht ausschließlich auf diesen Daten beruhen.

Übermittelt werden dürfen diese Daten außerhalb des öffentlichen (also in den privaten) Bereichs nur, wenn der Empfänger ein rechtliches Interesse daran darlegt. An künftige Dienstherren (Beamte) oder Arbeitgeber (Angestellte) dürfen diese Daten nicht übermittelt werden, es sei denn, es liegt eine entsprechende Einwilligung der Betroffenen dafür vor.

Die Freiwilligkeit der Einwilligung ist im DSG NW für den Beschäftigungskontext besonders geregelt. Abhängigkeiten und Umstände müssen hier (wegen des Rechtsgefälles) besonders betrachtet werden. Von einer Freiwilligkeit ist auszugehen, wenn von Arbeitgeber und Arbeitnehmer „gleichgelagerte“ Interessen verfolgen (z. B. eine Einstellung oder auch eine Aufhebung). Dies gilt auch für das Verhältnis von Bürger und Staat, die sich nur bei einer notwendigen Einwilligung auf Augenhöhe begegnen. Wenn der betroffenen Person ein wirtschaftlicher oder rechtlicher Vorteil gewährt wird, sollte die Einwilligung freiwillig sein. Sie muss in jedem Fall schriftlich erfolgen und über den Zweck der Verarbeitung und das Widerrufsrecht ist aufzuklären.

Bezieht sich die Einwilligung auf besondere personenbezogene Daten, muss in der Einwilligung gesondert darauf hingewiesen werden. Die Verarbeitung ist nur erlaubt, wenn dadurch Rechte und Pflichten, die soziale Sicherheit oder der Sozialschutz ausgeübt werden können und die schutzwürdigen Interessen der Betroffenen nicht überwiegen.


Weitere Informationen

  • Das Zweckentfremden von Daten rechtfertigt eine fristlose Kündigung (15.01.2020).
  • Datenschutzbeauftragter-Info zum Zugriff des Arbeitgebers auf den Dienstrechner.
  • Die E-Mails eines ausgeschiedenen Mitarbeiters auf einem Dienstcomputer dürfen ausgelesen werden, da dort Aufträge oder Termine verborgen sein könnten. Beide liegt im "berechtigten Interesse" des Art. 6 Abs. 1 Bst. f EU-DSGVO.