Laut Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (DSGVO) ist der Verantwortliche die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Das bedeutet, dass der Verantwortliche die Kontrolle darüber hat, warum (Zweck) und wie (Mittel) personenbezogene Daten verarbeitet werden. Er ist dafür verantwortlich, dass die Verarbeitung im Einklang mit der DSGVO erfolgt, und muss sicherstellen, dass alle datenschutzrechtlichen Prinzipien, wie zum Beispiel Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Sicherheit der Verarbeitung, eingehalten werden.
Der Verantwortliche hat auch die Pflicht, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Er muss zudem die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, gewährleisten und Anfragen in diesem Zusammenhang bearbeiten.
Wenn mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, spricht man von gemeinsamer Verantwortlichkeit. In solchen Fällen müssen die Verantwortlichen in einer Vereinbarung transparent festlegen, wer von ihnen welche Verpflichtungen nach der DSGVO erfüllt. Diese Vereinbarung muss insbesondere das Wesentliche der Verantwortlichkeiten festlegen und für die betroffenen Personen zugänglich sein.
Abgrenzung Auftragsverarbeiter
Im Umkehrschluss heißt dies, dass derjenige Verantwortlicher ist, der über den Zweck und die Maßnahmen bestimmt, immer Verantwortlicher ist.
Sie speichern Rechnungen oder Bestelldaten in ihrem Cloudspeicher. Sie selbst bestimmen über die Dauer der Aufbewahrung und die Offenlegung (z.b. über den Teilen-button. Somit sind sie Verantwortlicher und der Cloudanbieter ist Auftragsverarbeiter.
Ein Gegenbeispiel:
Sie versenden ein Paket an ihren Kunden. Ein Paketdienstleister erhält die Kundendaten, um die Auslieferung zu gewährleisten. Der Paketdienst ist selbstständig dafür verantwortlich, nicht benötigte Daten (Adresse und Name) aus den Systemen zu entfernen, sobald sie nicht mehr benötigt werden. Der Paketdienstleister wird damit zum Verantwortlichen.