Ein für die Verarbeitung Verantwortlicher ist eine Person oder Organisation, die die Verarbeitung der Daten verwaltet und für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Der für die Verarbeitung Verantwortliche, unabhängig davon, ob es sich um eine Person oder ein gesamtes Unternehmen handelt, ist für die Erstellung der Datenschutzrichtlinie eines Unternehmens verantwortlich, in der angegeben ist, welche Daten das Unternehmen sammelt, wie es die Daten verwendet und wohin es die Daten sendet. Datenverantwortliche verwalten Datenprozessoren und bestimmen, wie das Unternehmen personenbezogene Daten wie Kontaktinformationen, Adressen und Identifikationsnummern analysiert und verwendet.
Der Begriff Datenverantwortlicher bezieht sich typischerweise auf die Allgemeine Datenschutzverordnung (DSGVO) und ihre Anforderungen an den Datenschutz. Diese Rolle entstand aus europäischen Datenschutzgesetzen. Die DSGVO erforderte für die Verarbeitung Verantwortliche, als sie 2018 strenge Anforderungen für die Verwendung personenbezogener Daten festlegte.
Anforderungen an Datencontroller nach der DSGVO
Die DSGVO, die nicht nur für die gesamte Europäische Union gilt, sondern auch für alle Länder, die Unternehmen oder Kunden in Europa haben, wurde speziell zum Schutz von Personen und deren persönlichen Daten entwickelt. Daher ist es für Organisationen äußerst streng. Unternehmen, einschließlich vieler US-amerikanischer Unternehmen, mussten sich bemühen, die Anforderungen zu erfüllen. Datenverantwortliche haben viele Verantwortlichkeiten. Dies sind nur einige davon.
Die DSGVO verlangt, dass Unternehmen mindestens einen guten Grund haben, personenbezogene Daten von jemandem zu sammeln. Der Datenverantwortliche des Unternehmens muss diesen guten Grund nachweisen können. Die sechs Gründe oder „rechtmäßigen Grundlagen“ für die Erhebung personenbezogener Daten sind:
- Zustimmung, die der Einzelne dem Unternehmen erteilt
- Vertrag, der zwischen einer Organisation und einer Person geschlossen wird und personenbezogene Daten erfordert
- Einhaltung einer gesetzlichen Verpflichtung (gesetzlich vorgeschriebene Übermittlung von Daten an die Regierung)
- Schutz der vitalen Interessen eines Individuums
- Öffentliche Aufgaben, bei denen personenbezogene Daten verarbeitet werden müssen (eine Organisation benötigt eine E-Mail-Adresse, um einen Kunden bezüglich eines bestimmten Dienstes zu kontaktieren).
- Schutz des berechtigten Interesses der Organisation, normalerweise zu rechtlichen Zwecken
Datenverantwortliche müssen außerdem detaillierte Aufzeichnungen über die von ihnen gesammelten Daten führen, wohin sie sie senden und wie sie sie verwenden. Sie müssen diese Aufzeichnungen schriftlich zur Verfügung haben. Wenn sie Daten an Dritte verkaufen, müssen sie genau dokumentieren, wer und zu welchem Zweck. Einzelpersonen (oder, wie die DSGVO sie nennt, betroffene Personen) müssen ebenfalls auf diese Informationen zugreifen können.
Die für die Datenverarbeitung Verantwortlichen müssen ihre Kontaktinformationen auch den betroffenen Personen zur Verfügung stellen, die sich dann mit Fragen zu ihren personenbezogenen Daten und deren Verwendung an den für die Verarbeitung Verantwortlichen wenden können.
Die DSGVO legt Anforderungen an Organisationen fest, um einen Datenschutzbeauftragten zu ernennen. Dies kann in der Verantwortung eines für die Verarbeitung Verantwortlichen liegen. Eine Organisation muss einen Datenschutzbeauftragten ernennen, wenn sie große Mengen sensibler Daten (z. B. eine große medizinische Einrichtung oder ein Finanzinstitut) verarbeitet oder regelmäßig umfangreiche Datenmengen sammelt, einschließlich häufiger Überwachung oder Überwachung.
GDPR-Anforderungen für US-Unternehmen
Ein wichtiger Hinweis für Unternehmen in den USA: Wenn US-Unternehmen EU-Kunden, EU-Niederlassungen, EU-Mitarbeiter oder sogar eine Präsenz in EU-Ländern haben, gelten die GDPR-Bestimmungen tatsächlich auch für sie. Die kalifornische CCPA hat ähnliche Anforderungen. Dies bedeutet, dass die oben genannten Anforderungen für für die Verarbeitung Verantwortliche und möglicherweise für Datenschutzbeauftragte sowohl für US-Unternehmen als auch für Unternehmen mit EU-Kunden gelten. Selbst ein Unternehmen in den USA, das über eine große Online-Präsenz oder eine E-Mail-Marketingkampagne verfügt, wie beispielsweise ein Kaufhaus, unterliegt wahrscheinlich der DSGVO, da wahrscheinlich EU-Kunden online sind.