Kapitel 4 EU-DSGVO: Verantwortlicher und Auftragsverarbeiter
Artikel 24 EU-DSGVO: Verantwortung des für die Verarbeitung Verantwortlichen
Artikel 25 EU-DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 26 EU-DSGVO: Gemeinsam für die Verarbeitung Verantwortliche
Artikel 27 EU-DSGVO: Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
Artikel 28 EU-DSGVO: Auftragsverarbeiter
Artikel 29 EU-DSGVO: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Artikel 30 EU-DSGVO: Verzeichnis von Verarbeitungstätigkeiten
Artikel 31 EU-DSGVO: Zusammenarbeit mit der Aufsichtsbehörde
Artikel 32 EU-DSGVO: Sicherheit der Verarbeitung
Artikel 33 EU-DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Artikel 34 EU-DSGVO: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Artikel 35 EU-DSGVO: Datenschutz-Folgenabschätzung
Artikel 36 EU-DSGVO: Vorherige Konsultation
Artikel 38 EU-DSGVO: Verarbeitung
für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Artikel 39 EU-DSGVO: Aufgaben des Datenschutzbeauftragten
Artikel 40 EU-DSGVO: Verhaltensregeln
Artikel 41 EU-DSGVO: Überwachung der genehmigten Verhaltensregeln
Artikel 42 EU-DSGVO: Zertifizierung
Artikel 43 EU-DSGVO: Zertifizierungsstellen
Kommentar zu Kapitel 4 DSGVO
Kapitel 4 der Datenschutzgrundverordnung (DSGVO) bezieht sich auf die Pflichten von Verantwortlichen und Auftragsverarbeitern und untergliedert sich in insgesamt vier Abschnitte. Hinsichtlich der Allgemeinen Pflichten (Art. 24-31 DSGVO) sind die Verantwortlichen und Auftragsverarbeiter verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, damit es zu keiner Verletzung des Datenschutzes kommt. In Art. 27 DSGVO ist festgelegt, dass auch Verantwortliche und Auftragsverarbeiter, die außerhalb der Europäischen Union (EU) niedergelassen sind, aber in der EU operieren, einen EU-Vertreter in einem Mitgliedsstaat benennen müssen. So soll sichergestellt werden, dass die personenbezogenen Daten von Personen in der EU auch außerhalb der EU geschützt werden. Zudem müssen Verantwortliche und Auftragsverarbeiter gemäß Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anfertigen, in der die Verarbeitung von personenbezogenen Daten umfassend festgelegt ist.
In Abschnitt 2 (Art. 32 bis Art. 34) ist normiert, dass Verantwortliche und Auftragsverarbeiter die Sicherheit personenbezogener Daten garantieren müssen und im Falle einer Datenpanne die zuständigen Behörden binnen 72 Stunden informiert werden müssen.
Abschnitt 3 (Art. 35, 36 DSGVO) bezieht sich auf die Datenschutz-Folgeabschätzung und verlangt, dass Verantwortliche u. U. eine Vorabkontrolle ihrer Verarbeitungstätigkeiten durchführen lassen müssen. So sollen die Notwendigkeit und die Risiken des Betroffenen hinsichtlich der Datenverarbeitung begutachtet werden.
In Abschnitt 4 ist die Benennung des Datenschutzbeauftragten mitsamt seinen Aufgaben geregelt (Art. 37-39 DSGVO).
Abschnitt 5 bezieht sich auf die Verhaltensregeln und Zertifizierung (Art. 40-43 DSGVO). Dies ist eine Form der Selbstregulierung: Das bedeutet, dass Branchenverbände oder Vereine, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern“ verarbeiten, sogenannte Verhaltensregeln in Hinblick auf den Datenschutz anfertigen lassen können und diese zur Anerkennung bei der zuständigen Aufsichtsbehörde vorlegen. In Hinblick auf die Zertifizierung können Verantwortliche und Auftragsverarbeiter die DSGVO-konforme Verarbeitung von personenbezogenen Daten, in Form eines Datenschutzsiegels, verifizieren lassen. Dies kann beispielsweise durch eine Datenschutzaufsichtsbehörde erfolgen.
Kapitel 4 der DSGVO regelt also umfassend, welche Pflichten und Aufgaben Verantwortliche und Auftragsverarbeiter erfüllen müssen, um personenbezogene Daten DSGVO-konform zu verarbeiten und zu schützen.