Welche Rollen/Verantwortlichkeiten gelten datenschutzrechtlich?

Die datenschutzrechtlichen Rollen und Verantwortlichkeiten sind im Datenintermediär klar definiert und richten sich nach der konkreten Nutzungssituation sowie den jeweils abgeschlossenen Vereinbarungen.

Verantwortliche und Zwecke der Verarbeitung

Dateninhaber und Datennutzer sind in der Regel als datenschutzrechtlich Verantwortliche tätig, da sie über Zwecke und Mittel der Verarbeitung entscheiden, insbesondere darüber, welche Daten bereitgestellt, genutzt oder weiterverarbeitet werden.

Rolle des Datenintermediärs

Der Datenintermediär agiert grundsätzlich neutral und übernimmt keine eigenständige Zweckbestimmung für die Datenverarbeitung. Je nach Ausgestaltung kann der Intermediär als Auftragsverarbeiter oder als eigenständig Verantwortlicher für klar abgegrenzte technische und organisatorische Verarbeitungsschritte tätig sein.

Serviceanbieter und nachgelagerte Verarbeitung

Serviceanbieter handeln je nach Anwendungsfall entweder als eigenständig Verantwortliche oder als Auftragsverarbeiter, sofern sie Daten im Auftrag von Dateninhabern oder Datennutzern verarbeiten. Die jeweilige Rolle wird im Rahmen der Servicevereinbarungen eindeutig festgelegt.

Vertragliche Festlegung der Rollen

Die datenschutzrechtlichen Rollen und Pflichten werden in den jeweiligen Verträgen, insbesondere in Datenvereinbarungen, Servicevereinbarungen und ergänzenden Datenschutzregelungen, klar dokumentiert und für alle Beteiligten transparent gemacht.

Gemeinsame Verantwortlichkeit

Sofern mehrere Parteien gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, wird eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vertraglich geregelt und die Zuständigkeiten für Betroffenenrechte eindeutig festgelegt.

Wahrung der Betroffenenrechte

Unabhängig von der Rollenverteilung stellen alle Beteiligten sicher, dass die Rechte betroffener Personen gemäß DSGVO gewahrt werden und entsprechende Anfragen effizient und koordiniert bearbeitet werden können.