Verantwortlichkeit für die Verarbeitung personenbezogener Daten

Verantwortlichkeit für die Verarbeitung personenbezogener Daten

Wer ist verantwortlich für die Verarbeitung von personenbezogenen Daten?

Wer personenbezogene Daten verarbeitet, ist auch verantwortlich für die Einhaltung aller in der EU-DSGVO aufgeführten Rechtsgrundsätze, die prinzipiell bereits aus dem NDSG bekannt sind: Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Transparenz, Zweckmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Als "Verantwortlicher" im Sinne der EU-DSGVO gilt dabei die natürliche oder juristische Person, Behörde, Organisationseinheit oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Methoden, bzw. Maßnahmen oder Techniken der Verarbeitung von personenbezogenen Daten entscheidet, letztendlich also die Leitung der TU Braunschweig. Die bzw. der Verantwortliche kann jedoch Aufgaben und Pflichten, die sich für sie oder ihn aus der EU-DSGVO ergeben, ganz oder teilweise auf andere Personen bzw. Stellen übertragen. Dies ist nicht nur sinnvoll, sondern auch zwingend erforderlich, da es die jeweiligen Organisationseinheiten bzw. deren Leiterinnen und Leiter sind, welche im Einzelfall über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Für die TU Braunschweig bedeutet dies als konkrete Umsetzungsmaßnahme:

  • Jede Person oder Stelle/Organisationseinheit der TU Braunschweig, die personenbezogene Daten verarbeitet, hat selbstständig und eigenverantwortlich die Aufgaben und Pflichten zur Einhaltung und Dokumentation der datenschutzrechtlichen Vorgaben nach der EU-DSGVO zu erfüllen und ggf. im Rahmen der Rechenschaftspflicht insbesondere gemäß Art. 5 Abs. 2 EU-DSGVO nachzuweisen. Dabei ist i.d.R. die Leiterin oder der Leiter der Daten verarbeitenden Einrichtung / Organisationseinheit für die Verarbeitungstätigkeit verantwortlich, auch wenn diese Tätigkeit inhaltlich einer Mitarbeiterin oder einem Mitarbeiter der Organisationseinheit zuzuordnen ist. Administratorinnen und Administratoren der Organisationseinheiten wirken zwar insbesondere an technischen (und organisatorischen) Maßnahmen zur Gewährleistung des Datenschutzes mit, sind allerdings i.A. ebenso wie Sekretärinnen oder andere nicht-wissenschaftliche Mitarbeiterinnen und Mitarbeiter nicht verantwortlich für die Zwecke und Mittel einer Verarbeitungstätigkeit.