- Verantwortlicher: entscheidet, warum und wie personenbezogene Daten verarbeitet werden – trägt primäre DSGVO Verantwortung
- Prozessor: verarbeitet Daten im Auftrag eines für die Verarbeitung Verantwortlichen, unter dokumentierten Anweisungen
- Sie können sowohl Controller als auch Prozessor für verschiedene Datensätze gleichzeitig sein
- Controller müssen Datenverarbeitungsvereinbarungen mit allen Prozessoren geschrieben haben
Die Unterscheidung zwischen Controller und Prozessor ist eines der grundlegendsten Konzepte in der DSGVO – und eines der am häufigsten missbräuchlichsten. Unrecht zu erhalten bedeutet entweder überfällige Verpflichtungen, die Sie nicht haben, oder Verpflichtungen, die Sie tun. Beide schaffen Compliance Lücken.
Verwandter HubSecure-Kaufpfad
Leitfaden zu Alternativen und Vergleichen Google Workspace-Alternative HubSecure Modulvergleich Bibliothek Workspace-Alternativen Leitfaden Bibliothek Buchen Sie eine Workflow-Demo
Beste Passform und nicht beste Passform
| Am besten für | Nicht optimal für |
|---|---|
| Regulierte Teams, die Kundendatensätze, sichere Dateien, Workflow-Eigentum, RBAC und Audit-Verlauf gemeinsam benötigen. | Teams, die nur ein Einzweck-Tool benötigen und keine geregelten Kundenabläufe oder Compliance-Nachweise benötigen. |
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Der Datencontroller
Ein Datenverantwortlicher ist die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Im Klartext: Sie entscheiden, warum Sie Daten erheben und wie diese verarbeitet werden. Die Entscheidungsbefugnis über die Daten liegt bei Ihnen.
Die meisten Unternehmen, die über Kundendaten verfügen, sind für diese Daten verantwortlich. Eine Anwaltskanzlei, die KYC-Dateien von Mandanten verwaltet, ist ein für die Verarbeitung Verantwortlicher. Eine Wirtschaftsprüfungsgesellschaft, die Finanzinformationen ihrer Kunden verarbeitet, ist ein für die Verarbeitung Verantwortlicher. Die entscheidende Frage ist: Wer hat beschlossen, diese Daten zu welchem Zweck zu sammeln?
Der Datenprozessor
Ein Datenverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag eines Verantwortlichen und nach dessen Weisungen verarbeitet. Der Auftragsverarbeiter entscheidet nicht darüber, warum die Daten erhoben werden oder wie sie verwendet werden, sondern führt lediglich definierte Verarbeitungsaufgaben weisungsgemäß aus.
Cloud-Dienstanbieter, Lohn- und Gehaltsabrechnungsbüros, IT-Managed-Services-Unternehmen und SaaS-Plattformen (einschließlich HubSecure, wenn sie zur Verarbeitung von Kundendaten verwendet werden) sind Auftragsverarbeiter. Sie verarbeiten Daten, deren Speicherung die Verantwortlichen beschlossen haben, im Rahmen von Verträgen, die festlegen, was sie damit tun dürfen und was nicht.
Die wichtigsten Unterschiede
Verantwortlichkeiten des Controllers
- Bestimmen Sie die Rechtsgrundlage für die Verarbeitung
- Veröffentlichen Sie eine Datenschutzerklärung für betroffene Personen
- Führen Sie ein Verzeichnis der Verarbeitungsaktivitäten
- Beantworten Sie Anfragen zu den Rechten betroffener Personen
- Melden Sie Datenschutzverletzungen innerhalb von 72 Stunden der Aufsichtsbehörde
- Führen Sie DSFAs für Verarbeitungen mit hohem Risiko durch
- Benennen Sie bei Bedarf einen Datenschutzbeauftragten
- Geben Sie DPAs mit allen Auftragsverarbeitern ein
Verantwortlichkeiten des Auftragsverarbeiters
- Verarbeiten Sie Daten nur auf dokumentierte Anweisungen des Verantwortlichen
- Führen Sie Aufzeichnungen über Verarbeitungskategorien
- Implementieren Sie geeignete Sicherheitsmaßnahmen
- Benachrichtigen Sie den Verantwortlichen unverzüglich über Datenschutzverletzungen
- Beauftragen Sie keine Unterauftragsverarbeiter ohne die Genehmigung des Verantwortlichen
- Daten am Ende des Dienstes löschen oder zurückgeben
- Unterstützen Sie den Verantwortlichen bei Anfragen zu Themenrechten
- Stellen Sie dem Controller Compliance-Informationen zur Verfügung
Gemeinsame Steuerungen
Zwei oder mehr Organisationen können gemeinsam für die Verarbeitung Verantwortliche sein, wenn sie gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Dies ist häufig bei Geschäftspartnerschaften der Fall, bei Gruppenunternehmen, die HR-Daten teilen, oder bei Plattformen und ihren kommerziellen Partnern, die mitentscheiden, wie Benutzerdaten verwendet werden. Gemeinsam für die Verarbeitung Verantwortliche müssen über eine transparente Vereinbarung verfügen, in der ihre jeweiligen Verantwortlichkeiten dargelegt sind – und die betroffenen Personen müssen über den Kern dieser Vereinbarung informiert werden.
Datenverarbeitungsvereinbarungen (DPA)
Wenn ein Verantwortlicher einen Auftragsverarbeiter beauftragt, ist eine schriftliche Datenverarbeitungsvereinbarung gemäß Artikel 28 obligatorisch. Die Datenschutzbehörde muss Folgendes angeben:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Die Art der personenbezogenen Daten und Kategorien der betroffenen Personen
- Pflichten und Rechte des Verantwortlichen
- Dass der Auftragsverarbeiter nur nach dokumentierten Weisungen handelt
- Geheimhaltungspflichten für Auftragsverarbeiter
- Sicherheitsmaßnahmen erforderlich
- Regeln zur Unterverarbeitung
- Mitwirkungspflichten bei Audits und Rechteanfragen
- Löschung/Rückgabe der Daten nach Ende des Dienstes
Ist eine SaaS-Plattform immer ein Prozessor?
Normalerweise ja. Wenn Sie eine SaaS-Plattform zur Speicherung oder Verarbeitung von Kundendaten nutzen, ist der Plattformanbieter in der Regel ein Auftragsverarbeiter, der auf Ihre Weisung hin handelt. Die Plattform entscheidet über die technische Infrastruktur; Sie haben sich entschieden, diese Kundendaten überhaupt aufzubewahren.
Kann ein Auftragsverarbeiter zum Verantwortlichen werden?
Ja – wenn ein Auftragsverarbeiter beginnt, selbstständig Entscheidungen über die Daten zu treffen (z. B. Kundendaten für eigene Analysen oder Marketing ohne Anweisung des Verantwortlichen zu verwenden), wird er zum Verantwortlichen für diese zusätzliche Verarbeitung. Dies stellt einen Verstoß gegen die DSGVO dar und führt zu einer eigenständigen DSGVO-Haftung.
HubSecure verarbeitet Ihre Clientdaten als Prozessor
Unsere DPA deckt alle über die HubSecure Plattform verarbeiteten Daten ab. Singapur-gehostete Infrastruktur, dokumentierte Anweisungen und vollständige Audit-Strecken – bereit für Ihr Compliance-Team zu überprüfen.
Sehen Sie sich unsere DPA anBewertet für regulierte Teams
Gefertigt durch das redaktionelle Team HubSecure für Operatoren, Compliance-Führer und IT-Bewerter, die eine sichere Client-Betriebssoftware bewerten.
Autoren · Reviewer · Redaktion