Externer DSB – Ihr kompetenter externer Datenschutzbeauftragter Willkommen beim Externer DSB Blog! Entdecken Sie fundierte Informationen, praxisnahe Tipps und aktuelle Trends rund um externe Datenschutzbeauftragte, DSGVO-Anforderungen und effektive Datenschutzstrategien – ideal für Unternehmen und Datenschutzinteressierte.
Related Articles
„`html
43 DSGVO: Deine Pflichten
Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten in der Europäischen Union und dem Europäischen Wirtschaftsraum. Als Unternehmen oder Organisation bist du verpflichtet, die Vorschriften der DSGVO zu befolgen, um die Rechte der betroffenen Personen zu wahren. Artikel 43 der DSGVO bezieht sich auf spezifische Pflichten von Verantwortlichen, die in der Datenverarbeitung tätig sind. Im Folgenden werden die wesentlichen Pflichten, die aus Artikel 43 resultieren, detailliert erläutert.
Was regelt Artikel 43 DSGVO?
Artikel 43 der DSGVO beschäftigt sich mit den Anforderungen und Pflichten, die bei der Beauftragung eines Auftragsverarbeiters erfüllt werden müssen. Ein Auftragsverarbeiter ist ein Unternehmen oder eine Organisation, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Artikel 43 beschreibt die Bedingungen und Anforderungen, die erfüllt sein müssen, wenn ein Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten betraut wird.
Wer ist von den Pflichten betroffen?
Die Pflichten aus Artikel 43 betreffen Unternehmen, die personenbezogene Daten verarbeiten und dazu Dritte (Auftragsverarbeiter) einbinden. Dies kann z. B. die Beauftragung eines Cloud-Dienstleisters, eines externen IT-Dienstleisters oder eines externen Callcenters umfassen. Verantwortliche müssen sicherstellen, dass Auftragsverarbeiter alle Anforderungen der DSGVO einhalten.
Pflichten bei der Auswahl eines Auftragsverarbeiters
Bevor ein Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten betraut wird, muss der Verantwortliche sorgfältig prüfen, ob der Auftragsverarbeiter die Anforderungen der DSGVO erfüllt. Dazu gehört die Überprüfung der technischen und organisatorischen Maßnahmen (TOM), die der Auftragsverarbeiter zum Schutz der personenbezogenen Daten ergreift. Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter die Daten nur auf dokumentierte Anweisung des Verantwortlichen verarbeitet und dass die Rechte der betroffenen Personen gewahrt bleiben.
Dokumentation der Vereinbarungen
Eine der wichtigsten Anforderungen von Artikel 43 DSGVO ist, dass die Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter schriftlich (einschließlich elektronischer Form) festgehalten wird. Diese Vereinbarung muss mindestens die folgenden Punkte umfassen:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen
- Die Pflichten und Rechte des Verantwortlichen
- Die spezifischen Anweisungen für den Auftragsverarbeiter
- Die Verpflichtung des Auftragsverarbeiters, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten zu treffen
- Die Verpflichtung zur Rückgabe oder Löschung der personenbezogenen Daten nach der Erfüllung des Auftrags
Die Vereinbarung muss ebenfalls Regelungen zur Subauftragsvergabe und zur Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten zur Datensicherheit und zur Wahrung der Rechte betroffener Personen enthalten.
Auftragsverarbeitung und Subauftragsverarbeiter
Wenn der Auftragsverarbeiter Subauftragsverarbeiter einsetzen möchte, muss dies mit dem Verantwortlichen abgestimmt werden. Der Verantwortliche muss ausdrücklich zustimmen, bevor der Subauftragsverarbeiter in die Datenverarbeitung eingebunden wird. Dies stellt sicher, dass der Verantwortliche auch für die Handlungen der Subauftragsverarbeiter haftet, wenn diese gegen die DSGVO verstoßen.
Rechte der betroffenen Personen und Auftragsverarbeitung
Artikel 43 fordert von den Verantwortlichen, dass sie sicherstellen, dass auch der Auftragsverarbeiter die Rechte der betroffenen Personen respektiert. Dies bedeutet, dass betroffene Personen unter anderem das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch in Bezug auf ihre personenbezogenen Daten geltend machen können. Der Verantwortliche muss in der Lage sein, betroffenen Personen entsprechende Auskünfte zu erteilen, und der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung dieser Anfragen unterstützen.
Verpflichtung zur Zusammenarbeit mit Aufsichtsbehörden
Artikel 43 fordert außerdem eine enge Zusammenarbeit zwischen Verantwortlichen, Auftragsverarbeitern und den zuständigen Aufsichtsbehörden. Wenn eine Datenschutzverletzung auftritt, muss der Verantwortliche in der Lage sein, diese der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden, es sei denn, die Verletzung führt nicht zu einer Gefährdung der Rechte und Freiheiten der betroffenen Personen. In diesem Fall müssen auch Auftragsverarbeiter dem Verantwortlichen unverzüglich alle relevanten Informationen zur Verfügung stellen, um die Meldepflichten zu erfüllen.
Technische und organisatorische Maßnahmen (TOM)
Artikel 43 legt fest, dass der Auftragsverarbeiter verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten. Dazu gehört die Implementierung von Maßnahmen wie Verschlüsselung, Zugangskontrollen und regelmäßigen Audits, um sicherzustellen, dass die Daten vor unbefugtem Zugriff oder Verlust geschützt sind.
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
Der Auftragsverarbeiter ist verpflichtet, auch die Prinzipien des „Datenschutz durch Technik“ (Privacy by Design) und „datenschutzfreundliche Voreinstellungen“ (Privacy by Default) umzusetzen. Diese Prinzipien beinhalten, dass bei der Entwicklung von Technologien und Prozessen die Datenschutzanforderungen von Anfang an berücksichtigt werden und dass personenbezogene Daten nur im notwendigen Umfang verarbeitet werden.
Haftung und Sanktionen
Die Haftung für Verstöße gegen die DSGVO liegt primär beim Verantwortlichen. Sollte ein Auftragsverarbeiter gegen die Bestimmungen der DSGVO verstoßen, haftet dieser jedoch ebenfalls. Insbesondere, wenn der Auftragsverarbeiter ohne die erforderliche Anweisung des Verantwortlichen personenbezogene Daten verarbeitet oder die vertraglich festgelegten Sicherheitsmaßnahmen nicht umsetzt, kann der Verantwortliche haftbar gemacht werden. Es können empfindliche Geldbußen verhängt werden, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können.
Verpflichtungen des Auftragsverarbeiters
Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung der Pflichten gemäß der DSGVO unterstützen. Insbesondere bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA) muss der Auftragsverarbeiter mitwirken und den Verantwortlichen über etwaige Risiken der Verarbeitung personenbezogener Daten informieren. Der Auftragsverarbeiter muss ebenfalls regelmäßig Prüfungen seiner Sicherheitsvorkehrungen durchführen und dem Verantwortlichen entsprechende Nachweise zur Verfügung stellen.
Fazit
Artikel 43 der DSGVO legt klare Pflichten für Unternehmen fest, die personenbezogene Daten verarbeiten und dabei Auftragsverarbeiter einbeziehen. Die Einhaltung dieser Pflichten ist für den Schutz personenbezogener Daten und die Wahrung der Rechte der betroffenen Personen unerlässlich. Unternehmen müssen sicherstellen, dass ihre Auftragsverarbeiter die DSGVO einhalten und dass die vertraglichen Vereinbarungen die notwendigen Sicherheitsmaßnahmen und Regelungen zum Schutz der Daten beinhalten. Nur durch eine sorgfältige Auswahl und kontinuierliche Überprüfung von Auftragsverarbeitern kann das Risiko von Datenschutzverletzungen minimiert werden.
„`
