Artikel 22 DSGVO-EU: Pflichten des für die Verarbeitung Verantwortlichen

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er den Nachweis dafür erbringen kann.

2. Die in Absatz 1 genannten Maßnahmen umfassen insbesondere (f) die Dokumentation nach Maßgabe von Artikel 28; (g) die Umsetzung der in Artikel 30 vorgesehenen Vorkehrungen für die Datensicherheit; (h) die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 33; (i) die Umsetzung der nach Artikel 34 Abätze 1 und 2 geltenden Anforderungen in Bezug auf die vorherige Genehmigung oder Zurateziehung der Aufsichtsbehörde; (j) die Benennung eines Datenschutzbeauftragten gemäß Artikel 35 Absatz 1.

3. Der für die Verarbeitung Verantwortliche setzt geeignete Verfahren zur Überprüfung der Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen ein. Die Überprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies angemessen ist.

4. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere, in Absatz 2 nicht genannte Kriterien und Anforderungen für die in Absatz 1 genannten Maßnahmen, die Bedingungen für die in Absatz 3 genannten Überprüfungs- und Auditverfahren und die Kriterien für die in Absatz 3 angesprochene Angemessenheitsprüfung festzulegen und spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen zu prüfen.

Entwurf!

Begründung:

(3.4. Erläuterung des Vorschlags im Einzelnen)

"Artikel 22, in den die Diskussion über den Grundsatz der Rechenschaftspflicht eingeflossen ist, enthält eine detaillierte Beschreibung der dem für die Verarbeitung Verantwortlichen obliegenden Verpflichtung, für die Einhaltung der Verordnung zu sorgen und dies nachzuweisen, unter anderem durch die Einführung hierzu geeigneter interner Maßnahmen und Verfahren."

Erwägungsgründe:

"(60) Die Verantwortung und Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Auftrag erfolgende Verarbeitung personenbezogener Daten sollte umfassend geregelt werden. Insbesondere sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass jeder Verarbeitungsvorgang im Einklang mit dieser Verordnung steht, und er sollte dies auch nachweisen müssen."

Quelle: Europäischen Kommission: "Vorschlag für Verordnung des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) /* KOM/2012/011 endgültig - 2012/0011 (COD) */" vom 25.01.2012.