Datenprozessor definiert

Datenverarbeiter – Definition und Beschreibung

Demo buchen

mitarbeiter,arbeit,modern,studio.produktion,manager,team,arbeiten,neu,projekt.jung,geschäft

Was ist ein Datenverarbeiter?

Der Datenverarbeiter verarbeitet ausschließlich identifizierbare personenbezogene Daten im Auftrag des Datencontroller. Der Datenverarbeiter ist in der Regel ein unternehmensexterner Dritter.

In einem Vertrag oder einem anderen Rechtsakt müssen die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen festgelegt werden, beispielsweise die Information des Verantwortlichen darüber, was mit den personenbezogenen Daten passiert, wenn ein privater Vertrag beendet wird.

Zu den Datenverarbeitern gehören Maschinen, die Vorgänge mit Daten durchführen, wie etwa Taschenrechner oder Computer, und jetzt können Cloud-Dienstanbieter als Datenverarbeiter bezeichnet werden.

Ein externer Datenverarbeiter ist nicht Eigentümer der von ihm verarbeiteten Daten und hat auch keine Kontrolle darüber. Der Datenverarbeiter kann den Zweck der Daten oder deren Verwendung nicht ändern.

Welche Pflichten haben Datenverarbeiter?

Datenverarbeiter führen für ein Unternehmen verschiedene Datenverarbeitungsaufgaben aus, wie z. B. das Speichern von Daten, das Abrufen von Daten, die Durchführung der Lohn- und Gehaltsabrechnung, Marketingaktivitäten oder die Gewährleistung der Datensicherheit.

Zum Thema springen
Wir verschaffen Ihnen einen Vorsprung von 77 % bei Ihrer ISO 27001-Zertifizierung
Sprechen Sie mit einem ISMS-Experten

Was bedeutet Datenverarbeiter?

Unter Verarbeitung versteht man jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung.

Im Allgemeine Datenschutzverordnung (GDPR/DSGVO), haben der Verantwortliche und der Datenverarbeiter ähnliche Verantwortlichkeiten und halten sich gemäß der DSGVO auch an ähnliche Grundsätze. Im Vergleich zum Vorgänger der DSGVO gibt es keine großen Änderungen daran, was ein Datenverarbeiter ist.

Datenverarbeiter müssen die Verantwortlichen unter bestimmten Umständen unterstützen, beispielsweise bei der Meldung einer möglichen Verletzung des Schutzes personenbezogener Daten oder bei der Prüfung eines Datenschutz-Folgenabschätzung (DPIA).

Beispiele für Datenverarbeiter

Der Verantwortliche der Personalabteilung Ihrer Organisation verfügt über Methoden zur Verarbeitung der personenbezogenen Daten von Bewerbern und Mitarbeitern, die es zu schützen gilt. Es ist möglich, dass einige der HR-Datenverarbeitungsaktivitäten von Dritten durchgeführt werden. Ein Auftragsverarbeiter ist ein Unternehmen, an das Sie auslagern.

Ihr Marketingteam verarbeitet personenbezogene Daten potenzieller Kunden und bestehender Kunden. Bei Letzteren handelt es sich um Auftragsverarbeiter, wenn mit einem E-Mail-Marketing-Unternehmen oder einer E-Mail-Marketing-Agentur zusammengearbeitet wird, die diese Daten für Kampagnen nutzt.

Wenn Sie möchten, dass sich ein potenzieller Kunde im Rahmen einer Kampagne im Fernsehen usw. unter einer bestimmten Nummer einwählt, haben Sie möglicherweise die Inbound-Contact-Center-Aktivitäten Ihrer Organisation ausgelagert oder ein Callcenter genutzt.

Betroffene Personen sind die anrufenden Personen und das Contact Center wird zum Auftragsverarbeiter.

Der Verarbeiter ist niemals Eigentümer der personenbezogenen Daten. Der Verantwortliche ist nicht Eigentümer der personenbezogenen Daten seiner Kunden, Interessenten, Mitarbeiter oder anderer Personen. Eigentümer der personenbezogenen Daten ist die natürliche Person.

Erfüllen Sie die individuellen Bedürfnisse Ihrer Organisation

Was ist ein Unterauftragsverarbeiter?

Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter einsetzt, um die Verarbeitung personenbezogener Daten für einen Verantwortlichen zu unterstützen, muss Ihr Datenverarbeiter einen schriftlichen Vertrag mit diesem Unterauftragsverarbeiter haben. Ein Unterauftragsverarbeiter ist in der Regel eine andere Organisation.

Was sollte im Vertrag enthalten sein:

  • Der Verarbeitungsgegenstand.
  • Die Zeit, die die Verarbeitung in Anspruch nimmt.
  • Zweck der Verarbeitung und Art des Prozesses.
  • Die beteiligten Datentypen.
  • Die Kategorien der betroffenen Personen.
  • Die Pflichten und Rechte des Verantwortlichen.

Der Vertrag oder andere Rechtsakt kann Bedingungen oder Klauseln enthalten, wie zum Beispiel:

  • Sofern das Gesetz dies nicht vorschreibt, sind die dokumentierten Weisungen des Verantwortlichen die einzigen Weisungen, nach denen der Auftragsverarbeiter handeln muss.
  • Der Auftragsverarbeiter muss sicherstellen, dass die Personen, die die Daten verarbeiten, einer Verschwiegenheitspflicht unterliegen.
  • Es müssen geeignete Maßnahmen getroffen werden, um die Sicherheit der Verarbeitung zu gewährleisten.
  • Im Rahmen eines schriftlichen Vertrags darf der Auftragsverarbeiter einen Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen beauftragen.
  • Es müssen geeignete Maßnahmen ergriffen werden, um den für die Verarbeitung Verantwortlichen bei der Beantwortung von Anfragen von Einzelpersonen zur Ausübung ihrer Rechte zu unterstützen.
  • Der Datenverantwortliche benötigt die Hilfe des Auftragsverarbeiters bei der Erfüllung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Verstößen gegen den Schutz personenbezogener Daten und die Folgenabschätzungen zum Datenschutz.
  • Bei Vertragsende muss der Auftragsverarbeiter alle personenbezogenen Daten an den Verantwortlichen zurückgeben. Wenn das Gesetz dies vorschreibt, muss der Auftragsverarbeiter auch vorhandene personenbezogene Daten vernichten, es sei denn, es wird ausdrücklich darauf hingewiesen, dass Daten gespeichert werden müssen.
  • Der Auftragsverarbeiter ist zur Vorlage von Audits und Inspektionen verpflichtet. Der Auftragsverarbeiter muss dem Verantwortlichen sämtliche Informationen zur Verfügung stellen stellen Sie sicher, dass sie ihren Verpflichtungen nachkommen im Einklang mit ihren Verpflichtungen gemäß Artikel 28 DSGVO.

Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.

Peter Risdon
CISO, Lebenswichtig

Buchen Sie Ihre Demo

Unsere DSGVO-Erfahrung steht Ihnen gerne zur Seite
Mehr erfahren

DSGVO-Konformität und Datenverarbeiter

Persönliche Verantwortlichkeiten des Datenverarbeiters

Es gibt zum Beispiel viele Mitarbeiter in der Brauerei. Das Unternehmen schließt einen Vertrag mit einem Lohn- und Gehaltsabrechnungsunternehmen über die Zahlung der Löhne ab.

Wenn ein Mitarbeiter eine Gehaltserhöhung erhält oder ausscheidet, teilt die Brauerei der Lohn- und Gehaltsabrechnungsfirma mit, wann der Lohn ausgezahlt werden soll und wann nicht.

Die Brauerei ist der Datenverantwortliche und das Lohn- und Gehaltsabrechnungsunternehmen ist der Datenverarbeiter.

Sind Sie ein Datenverarbeiter?

  • Sie befolgen die Anweisungen zur Verarbeitung personenbezogener Daten.
  • Welche Daten Sie erfassen sollen, wurde Ihnen vom Kunden oder einem Dritten mitgeteilt.
  • Sie entscheiden sich nicht dafür, personenbezogene Daten von Einzelpersonen zu sammeln.
  • Sie haben keinen Einfluss darauf, welche personenbezogenen Daten von Einzelpersonen erfasst werden.
  • Du entscheidest nicht darüber Rechtsgrundlage für die Nutzung dieser Daten.
  • Sie entscheiden nicht, für welchen Zweck die Daten verwendet werden.
  • Sie entscheiden nicht, ob und an wen die Daten weitergegeben werden sollen.
  • Sie haben keine Entscheidung darüber, wie lange die Daten aufbewahrt werden sollen.
  • Sie können einige Entscheidungen darüber treffen, wie Daten verarbeitet werden, jedoch nur, wenn Sie einen Vertrag mit einer anderen Person haben.
  • Das Endergebnis der Verarbeitung interessiert Sie nicht.

Es ist wichtig, Ihre Rolle bei der Einhaltung der DSGVO zu verstehen

In der Datenschutz-Grundverordnung sind die unterschiedlichen Rollen und Verantwortlichkeiten festgelegt, die von einem Datenverantwortlichen oder einem Datenverarbeiter erwartet werden.

Sie können sicher sein, dass Sie alles getan haben, was Ihrerseits getan werden muss, indem Sie sicherstellen, dass Sie sich an die Gesetze halten.

Datenverarbeitungspflichten – Kritische DSGVO-Artikel

Auftragsverarbeiter haben eine geringere Unabhängigkeit hinsichtlich der von ihnen verarbeiteten Daten, haben jedoch nach dem britischen DSGVO-Gesetz eine rechtliche Verantwortung und unterliegen der Regulierung durch die Behörden.

Wenn Sie ein Auftragsverarbeiter sind, haben Sie einige Verantwortlichkeiten und Pflichten, wie zum Beispiel:

Rechenschaftspflichten

Sie müssen Aufzeichnungen führen und einen verwalten und ernennen Datenschutzbeauftragter zur Einhaltung bestimmter DSGVO Rechenschaftspflichten.

Internationale Überweisungen

Das im Vereinigten Königreich erlassene Verbot der Übermittlung personenbezogener Daten an andere Personen steht im Einklang mit dem Verbot der EU, personenbezogene Daten an andere Personen zu übermitteln. Sie müssen sicherstellen, dass jede Übertragung außerhalb des Vereinigten Königreichs vom Verantwortlichen genehmigt wird und den Übertragungsbestimmungen der britischen DSGVO entspricht.

Zusammenarbeit mit Aufsichtsbehörden

Sie sind verpflichtet, die Behörden bei der Erfüllung ihrer Aufgaben zu unterstützen, indem Sie mit ihnen zusammenarbeiten, z Büro des Informationskommissars (ICO).

Datenverantwortliche müssen sicherstellen, dass sie mit Datenverarbeitern zusammenarbeiten, die Garantien hinsichtlich ihrer Fähigkeit zur Verarbeitung personenbezogener Daten und zur Einhaltung der DSGVO sowie zum Schutz der Rechte der betroffenen Person bieten.

Für wen gilt die britische DSGVO?

Die britische DSGVO gilt für die Datenverarbeitung durch Organisationen im Vereinigten Königreich. Sie gilt für Organisationen außerhalb des Vereinigten Königreichs, die Waren oder Dienstleistungen für Einzelpersonen im Vereinigten Königreich anbieten.

Nach der DSGVO unterliegen bestimmte Aktivitäten nicht dem Datenschutzrecht, einschließlich der Verarbeitung für Zwecke der nationalen Sicherheit, der Verarbeitung durch Einzelpersonen ausschließlich für persönliche/haushaltsbezogene Aktivitäten und der Verarbeitung, die unter die DSGVO fällt Richtlinie zur Strafverfolgung.

Die Brexit-Übergangsfrist endete im Dezember 2020. Britische Organisationen, die personenbezogene Daten verarbeiten, müssen Folgendes einhalten:

  • Das DPA (Datenschutzgesetz) 2018.
  • UK DSGVO (wenn sie nur inländische personenbezogene Daten verarbeiten).

Es gibt minimale Unterschiede zwischen der britischen DSGVO und dem EU-Äquivalent. Die Struktur der EU wurde vom Vereinigten Königreich aufgehoben und in die Gesetze des Landes übernommen.

Sehen Sie unsere Plattformfunktionen in Aktion

Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen

Buchen Sie Ihre Demo

Gehen Sie mit ISMS.online den richtigen Weg zur DSGVO
Buchen Sie Ihre Demo

Ihr Unternehmen und Ihr Datenschutzsystem

Wer überwacht die Verarbeitung personenbezogener Daten innerhalb einer Organisation?

Auftragsverarbeiter haben weniger Verpflichtungen, müssen jedoch darauf achten, personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen zu verarbeiten.

Ihre Organisation ist verpflichtet, einen Datenschutzbeauftragten zu benennen

Das Datenschutz Der vom Unternehmen benannte Beauftragte ist für die Überwachung der Verarbeitung personenbezogener Daten sowie für die Benachrichtigung und Beratung der Mitarbeiter, die personenbezogene Daten verarbeiten, verantwortlich.

Der DSB kommuniziert und kooperiert auch mit dem Datenschutz Behörde (DPA).

Ihr Unternehmen muss einen DSB ernennen, wenn:

  • Sie überwachen regelmäßig Personen und verarbeiten Kategorien von Daten.
  • Die Datenverarbeitung ist eine Kerntätigkeit des Unternehmens.
  • Die Organisation verarbeitet Daten in großem Umfang.

Der Datenschutzbeauftragte kann ein Mitglied Ihrer Organisation sein oder auf der Grundlage eines Dienstleistungsvertrags unter Vertrag stehen.

Sind Mitarbeiter als Datenverarbeiter einzustufen?

Ein Datenverarbeiter ist eine natürliche Person, Agentur, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Ihre Mitarbeiter verarbeiten die Daten gemäß Ihren Anweisungen. Ihr Team gilt nicht als Dritter im rechtlichen Sinne und daher ist jede von ihm durchgeführte Verarbeitung Teil der Tätigkeit eines Datenverantwortlichen.

Wenn Sie Personal einsetzen, haben Sie keinen direkten Arbeitsvertrag mit z. B. Leiharbeitskräften, die von der Agentur bezahlt werden. Die Agentur fungiert als Datenverarbeiter.

Ein Beispiel und Aufgaben eines Datenverarbeiters

Die folgende Liste erläutert die typischen Aufgaben eines Datenverarbeiters:

  • Es würden IT-Prozesse und -Systeme entworfen, erstellt und implementiert, die es dem Datenverantwortlichen ermöglichen, personenbezogene Daten zu sammeln.
  • Nutzen Sie Tools und Techniken, mit denen personenbezogene Daten erfasst werden können.
  • Zum Schutz personenbezogener Daten können Sicherheitsmaßnahmen getroffen werden.
  • Die vom Verantwortlichen erhobenen personenbezogenen Daten können gespeichert werden.
  • Daten werden vom Datenverantwortlichen an eine andere Organisation übertragen – umgekehrt.

Ein Beispiel für einen Datenverarbeiter am Arbeitsplatz

Ihr Marketingteam sammelt personenbezogene Daten potenzieller und bestehender Kunden. Wenn Ihre Organisation mit einem E-Mail-Marketing-Unternehmen oder einer E-Mail-Marketing-Agentur zusammenarbeitet, die diese Daten verwendet, handelt es sich bei letzteren um Auftragsverarbeiter.

ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.

Peter Risdon
CISO, Lebenswichtig

Buchen Sie Ihre Demo

Verarbeitung personenbezogener Daten, Aufbewahrung von Aufzeichnungen und sichere Verarbeitungsarchitektur

Artikel 5 der DSGVO-Grundsätze legt klar dar, was eine betroffene Person bei der Verarbeitung ihrer personenbezogenen Daten erwarten würde.

Persönlich identifizierbare Daten sind alle Informationen, die zur Identifizierung einer Person genutzt werden können. Dazu gehören Namen, Adressen, Telefonnummern, Kreditkartendaten und Ähnliches.

Was eine Person identifiziert, kann ein einfacher Name oder eine Nummer sein oder andere Faktoren wie eine Internetprotokolladresse oder eine Cookie-ID umfassen.

Wenn Sie eine Person direkt anhand der von Ihnen verarbeiteten Informationen identifizieren können, kann es sich bei diesen Informationen um personenbezogene Daten handeln.

Sie müssen darüber nachdenken, ob die Person noch identifizierbar ist, wenn Sie sie nicht direkt identifizieren können. Es sollten alle Ressourcen berücksichtigt werden, die mit hinreichender Wahrscheinlichkeit zur Identifizierung dieser Person verwendet werden können, zusammen mit den Informationen, die Sie verarbeiten.

Bei der Überlegung, ob sich Informationen auf eine Person „beziehen“, müssen Sie eine Vielzahl von Faktoren berücksichtigen, darunter den Inhalt der Daten, den Zweck oder die Zwecke, zu denen Sie sie verarbeiten, und die wahrscheinlichen Auswirkungen dieser Verarbeitung auf die Person .

Können Datenverantwortliche über unterschiedliche identifizierbare Informationen verfügen?

Es ist möglich, dass dieselben Informationen für die Zwecke eines Verantwortlichen persönlich identifizierbar sind, für die Zwecke eines anderen Verantwortlichen jedoch nicht persönlich identifizierbar sind.

Informationen, die entfernt oder ersetzt wurden, um die Daten zu verbergen, sind weiterhin personenbezogene Daten im Sinne der britischen DSGVO.

Wirklich anonyme Informationen fallen nicht unter die Datenschutz-Grundverordnung des Vereinigten Königreichs.

Informationen, die sich scheinbar auf eine bestimmte Person beziehen, sind immer noch personenbezogene Daten, da sie sich auf diese Person beziehen, auch wenn sie nicht korrekt sind.

Führen Sie ein Aktivitätsprotokoll

Es ist von entscheidender Bedeutung, sicherzustellen, dass Ihr Unternehmen DSGVO-konform ist. Ein hervorragender Einstieg hierfür ist die Durchführung einer Informationsprüfung und/oder Datenkartierung, um sicherzustellen, dass Sie wissen, welche personenbezogenen Daten Ihr Unternehmen wo speichert.

Dem Unternehmen drohen Bußgelder, wenn es keine Aufzeichnungen über die Verarbeitungstätigkeiten führt oder den Behörden kein vollständiges Verzeichnis vorlegt. Dies entspricht Artikel 83.4.a der DSGVO-Verordnung.

Laden Sie Ihre Broschüre herunter

Transformieren Sie Ihr bestehendes ISMS

Laden Sie Ihren kostenlosen Leitfaden herunter
um Ihre Infosec zu optimieren

Holen Sie sich Ihren kostenlosen Ratgeber

Häufig gestellte Fragen

Kontakt

Was ist der Unterschied zwischen Datenverantwortlichem und Datenverarbeiter?

Gemäß dem DSGVO-Rahmen besteht ein klarer Unterschied zwischen einem Datenverantwortlichen und einem Datenverarbeiter. Gemäß der Verordnung tragen nicht alle Organisationen, die an der Verarbeitung personenbezogener Daten beteiligt sind, das gleiche Maß an Verantwortung.

Unterschiede zwischen den Datenverantwortlichen:

  • Die individuellen Informationen Ihrer Kunden, Website-Besucher und anderer Zielgruppen sollten erfasst werden. Dazu müssen Sie rechtlich befugt sein.
  • Sie können die Ihnen vorliegenden Daten ändern oder modifizieren.
  • Wie werden die Daten verwendet und zu welchem ​​Zweck werden sie verwendet?
  • Sollen die Daten intern gespeichert oder an Dritte weitergegeben werden? Sie müssen herausfinden, mit wem Sie die Informationen teilen möchten.
  • Wann sind die Daten zu entsorgen und wie lange sollten sie aufbewahrt werden?

Unterschiede zwischen Datenprozessoren:

  • Entwerfen, erstellen und implementieren Sie Systeme, die es dem Datenverantwortlichen ermöglichen, personenbezogene Daten zu sammeln.
  • Welche Strategien und Tools verwendet Ihre Organisation zur Erhebung personenbezogener Daten?
  • Welche Sicherheitsmaßnahmen können zum Schutz personenbezogener Daten ergriffen werden?
  • Welche personenbezogenen Daten werden vom Verantwortlichen erhoben?
  • Wie Sie Daten vom Datenverantwortlichen an verschiedene Organisationen übertragen und umgekehrt.

Was muss in einem Vertrag zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter enthalten sein?

Wenn ein Datenverantwortlicher einen Datenverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt und einen anderen Verarbeiter (Unterauftragsverarbeiter) einsetzt, ist ein Vertrag gemäß Artikel 28.3 der DSGVO-Verordnung erforderlich. Der Vertrag regelt die Verantwortlichkeiten und Verbindlichkeiten der Parteien und ist daher von wesentlicher Bedeutung.

« Was ist ein Datenverantwortlicher?

Was passiert mit dem Datenschutzabkommen zwischen Großbritannien und den USA?  »

Erleben Sie die ISMS.online-Plattform in Aktion
Buchen Sie Ihre Demo

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren