{"id":6744,"date":"2021-06-11T10:51:54","date_gmt":"2021-06-11T10:51:54","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/?p=6744"},"modified":"2026-06-16T14:20:05","modified_gmt":"2026-06-16T14:20:05","slug":"rolle-des-verantwortlichen","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/de\/fachgebiete\/technik-und-digital\/datenschutz-daten-und-cybersicherheit\/rolle-des-verantwortlichen\/","title":{"rendered":"Rolle des Verantwortlichen"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"6744\" class=\"elementor elementor-6744\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-221ed81d elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"221ed81d\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-47584c18\" data-id=\"47584c18\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-13e9ee23 elementor-widget elementor-widget-text-editor\" data-id=\"13e9ee23\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-start=\"72\" data-end=\"1761\">Der Verantwortliche f\u00fcr die Datenverarbeitung bildet innerhalb der Datenschutz-Grundverordnung den normativen, organisatorischen und operativen Schwerpunkt jeder Verarbeitung personenbezogener Daten. Es handelt sich nicht um eine blo\u00df formale Qualifikation, sondern um die Stelle, die die Verarbeitung steuert, ihre Zwecke bestimmt, die wesentlichen Mittel ausw\u00e4hlt und die Verantwortung f\u00fcr die Rechtm\u00e4\u00dfigkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, Transparenz und Beherrschbarkeit des gesamten Verarbeitungsvorgangs tr\u00e4gt. Werden personenbezogene Daten in digitalen Ketten, Plattformumgebungen, Cloud-Infrastrukturen, Kundenportalen, internen Registern, Marketingdatenbanken, Compliance-Systemen oder Prozessen zur Betrugspr\u00e4vention verarbeitet, ist die Frage, wer als Verantwortlicher handelt, unmittelbar mit der Frage verbunden, wer auf Governance-Ebene f\u00fcr Konzeption, Durchf\u00fchrung und Kontrolle dieser Verarbeitung einsteht. Die Qualifikation als Verantwortlicher betrifft daher nicht nur datenschutzrechtliche Pflichten, sondern ebenso Governance, Risikomanagement, Vertragsgestaltung, Auditierbarkeit, Beziehungen zu Aufsichtsbeh\u00f6rden, Reputationsschutz und die strategische Steuerung digitaler Integrit\u00e4t. Eine Organisation, die Zwecke und Mittel der Verarbeitung bestimmt, kann sich nicht auf prozedurale Compliance oder standardisierte Dokumentation beschr\u00e4nken; sie muss erkl\u00e4ren k\u00f6nnen, weshalb personenbezogene Daten verarbeitet werden, weshalb diese Verarbeitung erforderlich ist, wie die gew\u00e4hlte Vorgehensweise zu den Rechten der betroffenen Personen steht und welche Garantien eingerichtet wurden, um Missbrauch, \u00fcberm\u00e4\u00dfige Verarbeitung, Unklarheit und Kontrollverlust zu verhindern.<\/p>\n<p data-start=\"1763\" data-end=\"3132\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t erh\u00e4lt die Rolle des Verantwortlichen eine noch weitergehende Bedeutung, weil personenbezogene Daten h\u00e4ufig nicht nur f\u00fcr den gew\u00f6hnlichen Gesch\u00e4ftsbetrieb verarbeitet werden, sondern auch f\u00fcr Risikobewertungen, Kundenannahme, Transaktions\u00fcberwachung, Betrugsuntersuchungen, interne Meldungen, Incident-Analysen, Sanktionsscreening, Cybersicherheitsdetektion, Streitfallbearbeitung und Entscheidungen auf Governance-Ebene. Solche Verarbeitungsvorg\u00e4nge bewegen sich an der Schnittstelle von Compliance, Sicherheit, Integrit\u00e4t, Datenschutz und digitaler Resilienz. Daraus folgt ein gesteigertes Erfordernis, die Rolle des Verantwortlichen pr\u00e4zise zu bestimmen und substantiell wahrzunehmen. Risiken digitaler Kriminalit\u00e4t k\u00f6nnen nicht wirksam gesteuert werden, wenn unklar bleibt, wer die Zwecke festlegt, wer \u00fcber den Einsatz von Systemen entscheidet, wer f\u00fcr die Verh\u00e4ltnism\u00e4\u00dfigkeit der Datenverarbeitung verantwortlich ist, wer betroffene Personen informiert und wer bei Beschwerden, Anfragen von Aufsichtsbeh\u00f6rden oder Vorf\u00e4llen Rechenschaft abzulegen hat. Die Verantwortlichenrolle wirkt damit als rechtlicher und organisatorischer Ankerpunkt: Sie bestimmt, wo Verantwortung beginnt, wie diese intern zu organisieren ist und auf welche Weise sie nach au\u00dfen gerechtfertigt werden k\u00f6nnen muss.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-9466d42 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"9466d42\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-72c3b1c\" data-id=\"72c3b1c\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-20ee0b8 elementor-widget elementor-widget-text-editor\" data-id=\"20ee0b8\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p><strong><\/strong><\/p>\n<h4 data-start=\"3134\" data-end=\"3188\">Bestimmung der Zwecke und Mittel der Verarbeitung<\/h4>\n<p class=\"wp-block-paragraph\" data-start=\"3190\" data-end=\"4375\">Der Kern der Verantwortlichenrolle liegt in der Bestimmung der Zwecke und Mittel der Verarbeitung. Der Verantwortliche entscheidet, weshalb personenbezogene Daten verarbeitet werden und innerhalb welcher funktionalen, organisatorischen und technischen Parameter diese Verarbeitung stattfindet. Dies bedeutet, dass die Beurteilung nicht allein darauf abstellt, wer tats\u00e4chlich Zugriff auf Daten hat oder wer ein System administriert, sondern vor allem darauf, wer den entscheidenden Einfluss auf den Zweck der Verarbeitung und auf die wesentlichen Entscheidungen zur Art und Weise ihrer Durchf\u00fchrung aus\u00fcbt. Die Fragen, weshalb Daten erhoben werden, wie sie verwendet werden, welche Datenkategorien erforderlich sind, welche betroffenen Personen ber\u00fchrt werden, wie lange Daten gespeichert bleiben und mit wem sie geteilt werden, geh\u00f6ren zum innersten Kern der Funktion des Verantwortlichen. Eine Organisation, die diese Entscheidungen trifft, kann sich nicht hinter ausf\u00fchrenden Parteien, Technologieanbietern oder internen Abteilungen verbergen, die lediglich einzelne Bestandteile des Prozesses \u00fcbernehmen. Die rechtliche Verantwortung folgt der tats\u00e4chlichen inhaltlichen Kontrolle.<\/p>\n<p data-start=\"4377\" data-end=\"5433\">In digitalen Umgebungen wird diese Beurteilung h\u00e4ufig komplexer, weil Datenverarbeitung \u00fcber mehrere Systeme, Abteilungen und externe Dienstleister hinweg erfolgt. Eine Vertriebsabteilung kann den Zweck einer Kundenprofilierung formulieren, eine IT-Abteilung kann die technische Konfiguration bestimmen, eine Compliance-Funktion kann Risikomodelle speisen, und ein externer Anbieter kann die Plattform betreiben, auf der die Verarbeitung tats\u00e4chlich stattfindet. Dennoch bleibt die zentrale Frage, wer die ma\u00dfgeblichen Entscheidungen \u00fcber das Warum und das Wie der Verarbeitung trifft. Entscheidet eine Organisation, dass personenbezogene Daten f\u00fcr Kundensegmentierung, Betrugserkennung, Transaktions\u00fcberwachung oder Risikoklassifizierung genutzt werden, ist diese Organisation in der Regel Verantwortlicher f\u00fcr diesen Verarbeitungsvorgang, auch wenn ein Dritter die technische Ausf\u00fchrung \u00fcbernimmt. Die blo\u00dfe Auslagerung operativer T\u00e4tigkeiten ver\u00e4ndert die rechtliche Stellung nicht, wenn die Kontrolle \u00fcber Zwecke und Mittel beim Auftraggeber verbleibt.<\/p>\n<p data-start=\"5435\" data-end=\"6641\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist diese Qualifikation von besonderer Bedeutung, weil viele Verarbeitungsvorg\u00e4nge mit Sicherheit, Integrit\u00e4t oder Risikosteuerung begr\u00fcndet werden, zugleich aber erheblich in die Privatsph\u00e4re betroffener Personen eingreifen k\u00f6nnen. Zu denken ist etwa an die Erfassung von Anzeichen ungew\u00f6hnlichen Verhaltens, die Kombination von Daten aus unterschiedlichen Quellen, die Bewertung von Kunden anhand von Risikoprofilen oder die Analyse digitaler Spuren nach einem Vorfall. In solchen Situationen muss der Verantwortliche vorab bestimmen, welcher Zweck verfolgt wird, welche Daten erforderlich sind, welche Analysemethoden zul\u00e4ssig erscheinen und welche Grenzen f\u00fcr eine sp\u00e4tere Weiterverwendung gelten. Fehlt eine klare Zweckbestimmung, entsteht das Risiko, dass Daten, die f\u00fcr einen integrit\u00e4tsbezogenen Zweck erhoben wurden, sp\u00e4ter f\u00fcr weitergehende kommerzielle, disziplinarische oder investigative Zwecke genutzt werden, ohne dass eine tragf\u00e4hige Rechtsgrundlage oder ausreichende Transparenz besteht. Die Bestimmung von Zwecken und Mitteln ist daher keine technische Vorfrage, sondern eine grundlegende Governance-Entscheidung.<\/p>\n<h4 data-start=\"6643\" data-end=\"6721\">\u00dcbernahme der prim\u00e4ren Verantwortung nach der Datenschutz-Grundverordnung<\/h4>\n<p data-start=\"6723\" data-end=\"7694\">Der Verantwortliche tr\u00e4gt die prim\u00e4re Verantwortung f\u00fcr die Einhaltung der Datenschutz-Grundverordnung. Diese Verantwortung beschr\u00e4nkt sich nicht auf die Erf\u00fcllung einzelner Pflichten, sondern umfasst auch die F\u00e4higkeit, nachzuweisen, dass die Verarbeitung insgesamt rechtm\u00e4\u00dfig, fair, transparent und beherrschbar gestaltet wurde. Das Prinzip der Rechenschaftspflicht verlangt, dass der Verantwortliche nicht erst nachtr\u00e4glich zu rekonstruieren versucht, weshalb bestimmte Daten verarbeitet wurden, sondern bereits im Voraus eine belastbare Position zur Rechtsgrundlage, Zweckbindung, Erforderlichkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, Sicherheit, Speicherdauer, zu den Rechten betroffener Personen und zur internen Entscheidungsfindung festlegt. Es geht um nachweisbare Verantwortung: Ma\u00dfgeblich ist nicht allein die Absicht, sorgf\u00e4ltig zu handeln, sondern das Vorhandensein konkreter Ma\u00dfnahmen, klarer Dokumentation, Einbindung der Governance und wirksamer Kontrollmechanismen.<\/p>\n<p data-start=\"7696\" data-end=\"8671\">Diese prim\u00e4re Verantwortung hat weitreichende Folgen f\u00fcr die interne Organisation. Der Verantwortliche muss sicherstellen, dass datenschutzrechtliche Pflichten nicht zwischen Rechtsabteilungen, IT-Teams, Compliance-Funktionen, Gesch\u00e4ftseinheiten und externen Anbietern zersplittern, ohne dass eine klare Endverantwortung besteht. Werden personenbezogene Daten verarbeitet, muss feststehen, welche Funktion f\u00fcr die Rechtm\u00e4\u00dfigkeitspr\u00fcfung verantwortlich ist, wer die Durchf\u00fchrung \u00fcberwacht, wer die Datenqualit\u00e4t sicherstellt, wer Antr\u00e4ge betroffener Personen bearbeitet, wer Speicherfristen kontrolliert und wer bei Vorf\u00e4llen oder Anfragen von Aufsichtsbeh\u00f6rden Entscheidungen trifft. Die Datenschutz-Grundverordnung verlangt keine blo\u00df dokumentarische Verantwortung, sondern ein funktionsf\u00e4higes System der Steuerung und Rechenschaft, in dem die rechtliche Stellung des Verantwortlichen konkret in Verfahren, Zust\u00e4ndigkeiten, Kontrollen und Berichtslinien \u00fcbersetzt wird.<\/p>\n<p data-start=\"8673\" data-end=\"9677\">Im Kontext des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t gewinnt diese prim\u00e4re Verantwortung zus\u00e4tzliches Gewicht, weil Integrit\u00e4ts- und Kriminalit\u00e4tsrisiken h\u00e4ufig intensive Datenverarbeitungen ausl\u00f6sen. Betrugssignale, interne Meldungen, forensische Analysen, Sanktionspr\u00fcfungen, Zugriffsprotokolle, Kommunikationsdaten und Kundenakten k\u00f6nnen sensible Informationen enthalten und erhebliche Folgen f\u00fcr betroffene Personen haben. Der Verantwortliche muss daher nicht nur erkl\u00e4ren k\u00f6nnen, dass die Verarbeitung f\u00fcr das Risikomanagement erforderlich war, sondern auch nachweisen k\u00f6nnen, dass die gew\u00e4hlte Verarbeitung verh\u00e4ltnism\u00e4\u00dfig, sorgf\u00e4ltig begrenzt und \u00fcberpr\u00fcfbar war. Risiken digitaler Kriminalit\u00e4t d\u00fcrfen nicht zu einer allgemeinen Erm\u00e4chtigung f\u00fcr unbegrenzte Datenerhebung oder undurchsichtige Entscheidungsprozesse werden. Die prim\u00e4re Verantwortung des Verantwortlichen besteht darin, Risikosteuerung und rechtlichen Schutz betroffener Personen gleichzeitig sicherzustellen.<\/p>\n<h4 data-start=\"9679\" data-end=\"9743\">Auswahl einer g\u00fcltigen Rechtsgrundlage f\u00fcr die Verarbeitung<\/h4>\n<p data-start=\"9745\" data-end=\"10752\">F\u00fcr jede Verarbeitung personenbezogener Daten muss sich der Verantwortliche auf eine g\u00fcltige Rechtsgrundlage st\u00fctzen k\u00f6nnen. Diese Rechtsgrundlage bildet das rechtliche Eingangstor zur Verarbeitung und bestimmt in erheblichem Umfang, welche Voraussetzungen, Beschr\u00e4nkungen und Begr\u00fcndungspflichten gelten. Einwilligung, Vertragserf\u00fcllung, Erf\u00fcllung einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen, Wahrnehmung einer Aufgabe im \u00f6ffentlichen Interesse und berechtigtes Interesse besitzen jeweils einen eigenen Anwendungsbereich und eine eigene Nachweislast. Der Verantwortliche darf daher nicht lediglich eine Rechtsgrundlage benennen; er muss erl\u00e4utern k\u00f6nnen, weshalb diese Grundlage zum konkreten Zweck, zur Art der Daten, zur Stellung der betroffenen Person und zum Kontext der Verarbeitung passt. Ein allgemeiner Verweis auf Gesch\u00e4ftsinteressen, Sicherheit oder Compliance reicht nicht aus, wenn unklar bleibt, welcher konkrete Verarbeitungsvorgang durch diese Grundlage getragen wird.<\/p>\n<p data-start=\"10754\" data-end=\"11794\">Die Wahl der Rechtsgrundlage verlangt eine substanzielle Pr\u00fcfung im Voraus. Bei einer Einwilligung ist festzustellen, ob sie freiwillig, spezifisch, informiert und eindeutig erteilt wurde und ob ein Widerruf praktisch umgesetzt werden kann. Bei einer vertraglichen Grundlage ist zu pr\u00fcfen, ob die Verarbeitung zur Vertragserf\u00fcllung erforderlich ist und nicht lediglich n\u00fctzlich oder wirtschaftlich w\u00fcnschenswert erscheint. Bei einer rechtlichen Verpflichtung muss die gesetzliche Grundlage hinreichend konkret sein. Beim berechtigten Interesse ist eine Abw\u00e4gung zwischen dem Interesse der Organisation und den Rechten und Freiheiten der betroffenen Personen vorzunehmen. Diese Abw\u00e4gung muss ernsthaft, spezifisch und \u00fcberpr\u00fcfbar sein. Insbesondere bei Verarbeitungen im Zusammenhang mit Sicherheit, Betrugspr\u00e4vention, internen Untersuchungen oder Monitoring kann das berechtigte Interesse relevant sein, doch entbindet dies nicht von der Pflicht, Erforderlichkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, Subsidiarit\u00e4t und Transparenz sorgf\u00e4ltig zu begr\u00fcnden.<\/p>\n<p data-start=\"11796\" data-end=\"12987\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist die Wahl der Rechtsgrundlage h\u00e4ufig eines der sensibelsten Elemente der Verantwortlichkeit. Verarbeitungsvorg\u00e4nge im Zusammenhang mit Risiken digitaler Kriminalit\u00e4t k\u00f6nnen legitim und erforderlich sein, betreffen jedoch oft Daten \u00fcber Verhalten, Kommunikation, Transaktionen, Standort, Zugriffe, Identit\u00e4t oder Verdachtsmomente von Unregelm\u00e4\u00dfigkeiten. Der Verantwortliche muss daher verhindern, dass Kriminalit\u00e4tskontrolle als generische Rechtfertigung f\u00fcr weitreichende Datenverarbeitungen genutzt wird. Jede Verarbeitung muss auf einen konkreten Zweck und eine passende Rechtsgrundlage zur\u00fcckgef\u00fchrt werden. Dies gilt etwa f\u00fcr Phishing-Untersuchungen, die Erkennung ungew\u00f6hnlicher Login-Muster, die Analyse von Malware-Vorf\u00e4llen, die Untersuchung interner Datenschutzverletzungen oder die Bewertung von Betrugsrisiken im Kundenkontext. Eine verteidigungsf\u00e4hige Rechtsgrundlage besteht erst dann, wenn klar ist, weshalb die Verarbeitung erforderlich ist, weshalb weniger eingriffsintensive Mittel nicht ausreichen und welche Garantien gegen Missbrauch oder eine unzul\u00e4ssige Ausweitung der Verarbeitung bestehen.<\/p>\n<h4 data-start=\"12989\" data-end=\"13030\">Information der betroffenen Personen<\/h4>\n<p data-start=\"13032\" data-end=\"13902\">Transparenz ist eine zentrale Pflicht des Verantwortlichen. Betroffene Personen m\u00fcssen klar, verst\u00e4ndlich und zug\u00e4nglich \u00fcber die Verarbeitung ihrer personenbezogenen Daten informiert werden. Diese Information umfasst unter anderem die Identit\u00e4t des Verantwortlichen, die Zwecke der Verarbeitung, die einschl\u00e4gigen Rechtsgrundlagen, die Kategorien personenbezogener Daten, Empf\u00e4nger oder Kategorien von Empf\u00e4ngern, Speicherfristen, Rechte der betroffenen Personen, etwaige \u00dcbermittlungen au\u00dferhalb des Europ\u00e4ischen Wirtschaftsraums sowie relevante Informationen \u00fcber automatisierte Entscheidungsfindung. Diese Informationspflicht dient nicht der Erf\u00fcllung einer rein formalen oder textlichen Anforderung; sie soll betroffenen Personen ein tats\u00e4chliches Verst\u00e4ndnis davon erm\u00f6glichen, was mit ihren Daten geschieht und welche M\u00f6glichkeiten sie haben, Kontrolle auszu\u00fcben.<\/p>\n<p data-start=\"13904\" data-end=\"14906\">Die Qualit\u00e4t der Transparenz bemisst sich nicht nach der L\u00e4nge der Datenschutzdokumentation, sondern danach, ob die bereitgestellten Informationen verst\u00e4ndlich, konkret und nutzbar sind. Generische Formulierungen, zu weit gefasste Zweckbeschreibungen, unpr\u00e4zise Empf\u00e4ngerkategorien oder vage Speicherfristen schw\u00e4chen die Funktion der Informationspflicht. Eine betroffene Person muss verstehen k\u00f6nnen, welche Daten verarbeitet werden, weshalb dies geschieht und welche Folgen die Verarbeitung haben kann. Dies verlangt, dass der Verantwortliche Datenschutzhinweise, interne Mitteilungen, Cookie-Informationen, Kundenkommunikation und Prozessinformationen mit der tats\u00e4chlich stattfindenden Verarbeitung in Einklang bringt. Entspricht die externe Information nicht der internen Praxis, entsteht ein erhebliches Governance-Problem: Die Organisation erkl\u00e4rt dann etwas anderes, als sie tats\u00e4chlich tut. Transparenz ist daher nicht nur eine Kommunikationsfrage, sondern auch ein Test interner Beherrschung.<\/p>\n<p data-start=\"14908\" data-end=\"15963\">Im Bereich des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t kann Transparenz Spannungen erzeugen, weil bestimmte Verarbeitungsvorg\u00e4nge Sicherheit, Detektion, Untersuchungen oder Missbrauchspr\u00e4vention betreffen. Nicht jede operative Ma\u00dfnahme kann im Detail offengelegt werden, ohne die Wirksamkeit von Sicherheit oder Ermittlungen zu beeintr\u00e4chtigen. Dies beseitigt jedoch nicht die Pflicht des Verantwortlichen, klare Informationen \u00fcber Verarbeitungskategorien, Zwecke, Rechtsgrundlagen, Rechte und Garantien bereitzustellen. Bei Monitoring, Betrugspr\u00e4vention, Zugriffskontrolle, Risikoklassifizierung oder Incident-Untersuchungen muss das Verh\u00e4ltnis zwischen Transparenz und Wirksamkeit im Voraus gepr\u00fcft werden. Die Steuerung digitaler Kriminalit\u00e4t verliert ihre Legitimit\u00e4t, wenn betroffene Personen vollst\u00e4ndig im Unklaren \u00fcber strukturelle Formen der Datenverarbeitung bleiben, die sie betreffen k\u00f6nnen. Der Verantwortliche muss daher einen Transparenzrahmen anwenden, der klar ist, ohne die operative Sicherheit unn\u00f6tig zu schw\u00e4chen.<\/p>\n<h4 data-start=\"15965\" data-end=\"16016\">Gew\u00e4hrleistung der Rechte betroffener Personen<\/h4>\n<p data-start=\"16018\" data-end=\"16944\">Der Verantwortliche muss sicherstellen, dass betroffene Personen ihre Rechte nach der Datenschutz-Grundverordnung tats\u00e4chlich aus\u00fcben k\u00f6nnen. Die Rechte auf Auskunft, Berichtigung, L\u00f6schung, Einschr\u00e4nkung der Verarbeitung, Daten\u00fcbertragbarkeit, Widerspruch und Schutz vor ausschlie\u00dflich automatisierten Entscheidungen bilden den praktischen Kern des Datenschutzes. Diese Rechte sind nur wirksam, wenn die Organisation in der Lage ist, personenbezogene Daten zu lokalisieren, zu verstehen, zu bewerten und innerhalb der gesetzlichen Fristen angemessen zu beantworten. Ein formaler Kanal zur Entgegennahme von Antr\u00e4gen gen\u00fcgt nicht, wenn im Hintergrund keine \u00dcbersicht \u00fcber Systeme, Akten, Datenfl\u00fcsse, Speicherfristen, zust\u00e4ndige Funktionen und Ausnahmetatbest\u00e4nde besteht. Der Verantwortliche muss die Aus\u00fcbung der Rechte daher als integrierten Prozess organisieren und nicht als punktuelle Reaktion auf einzelne Anfragen.<\/p>\n<p data-start=\"16946\" data-end=\"17893\">Die Bearbeitung von Antr\u00e4gen betroffener Personen erfordert rechtliche Pr\u00e4zision und operative Disziplin. Bei einem Auskunftsersuchen muss klar sein, welche personenbezogenen Daten verarbeitet werden, welche Zwecke verfolgt werden, an wen Daten \u00fcbermittelt wurden und wie lange sie gespeichert bleiben. Bei einer Berichtigung ist zu pr\u00fcfen, ob Daten sachlich unrichtig, unvollst\u00e4ndig oder irref\u00fchrend sind. Bei einer L\u00f6schung ist festzustellen, ob eine weitere Speicherung noch erforderlich ist oder ob gesetzliche Aufbewahrungspflichten, Rechtsanspr\u00fcche oder \u00fcberwiegende Interessen eine Fortsetzung der Speicherung rechtfertigen. Bei einem Widerspruch ist eine konkrete Interessenabw\u00e4gung vorzunehmen. Der Verantwortliche muss vermeiden, Antr\u00e4ge routinem\u00e4\u00dfig mit allgemeinen Verweisen auf Gesch\u00e4ftsinteressen, Sicherheit oder administrative Komplexit\u00e4t zur\u00fcckzuweisen. Jede Entscheidung muss spezifisch, verst\u00e4ndlich und verteidigungsf\u00e4hig sein.<\/p>\n<p data-start=\"17895\" data-end=\"19019\" data-is-last-node=\"\" data-is-only-node=\"\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t sind die Rechte betroffener Personen besonders sensibel, weil Verarbeitungsvorg\u00e4nge h\u00e4ufig in Kontexten stattfinden, in denen widerstreitende Interessen aufeinandertreffen. Eine betroffene Person kann Auskunft \u00fcber Daten verlangen, die mit Betrugspr\u00e4vention, internen Meldungen, Sicherheitsprotokollen, Incident-Untersuchungen, Zugriffsregistrierungen oder Risikobewertungen verbunden sind. Eine vollst\u00e4ndige Offenlegung kann mitunter Rechte Dritter, Untersuchungsinteressen oder Sicherheitsma\u00dfnahmen beeintr\u00e4chtigen, doch jede Einschr\u00e4nkung von Rechten muss stets rechtlich begr\u00fcndet und verh\u00e4ltnism\u00e4\u00dfig angewandt werden. Der Verantwortliche muss unterscheiden k\u00f6nnen zwischen Daten, die offengelegt werden k\u00f6nnen, Passagen, die zu schw\u00e4rzen sind, und Informationen, die aufgrund \u00fcberwiegender Interessen vor\u00fcbergehend oder teilweise beschr\u00e4nkt werden d\u00fcrfen. Risiken digitaler Kriminalit\u00e4t machen diese Bewertung komplexer, entbinden den Verantwortlichen jedoch nicht von der Pflicht, Rechte ernsthaft, sorgf\u00e4ltig und nachvollziehbar zu behandeln.<\/p>\n<h4 data-start=\"0\" data-end=\"48\">\u00dcberwachung geeigneter Sicherheitsma\u00dfnahmen<\/h4>\n<p data-start=\"50\" data-end=\"1162\">Der Verantwortliche f\u00fcr die Datenverarbeitung tr\u00e4gt die Verantwortung daf\u00fcr, dass personenbezogene Daten durch geeignete technische und organisatorische Ma\u00dfnahmen gesch\u00fctzt werden. Diese Pflicht reicht weit \u00fcber das blo\u00dfe Vorhandensein von Sicherheitsrichtlinien, Passwortvorgaben oder allgemeinen IT-Kontrollen hinaus. Ihr Kern liegt in der Frage, ob die getroffenen Ma\u00dfnahmen tats\u00e4chlich der Art der personenbezogenen Daten, der Sensibilit\u00e4t der Verarbeitung, dem Umfang der betroffenen Datens\u00e4tze, der Schutzbed\u00fcrftigkeit der betroffenen Personen, der eingesetzten Technologie, den Bedrohungen in der digitalen Umgebung und den m\u00f6glichen Folgen von Verlust, unbefugtem Zugriff, Manipulation oder rechtswidriger Verarbeitung entsprechen. Sicherheit ist daher kein technischer Bereich, der neben dem Datenschutz steht, sondern ein wesentlicher Bestandteil der Rechtm\u00e4\u00dfigkeit und Verl\u00e4sslichkeit der Verarbeitung. Ein Verantwortlicher, der personenbezogene Daten ohne angemessene Sicherheit verarbeitet, gef\u00e4hrdet nicht nur Vertraulichkeit und Integrit\u00e4t, sondern auch die Legitimit\u00e4t der Verarbeitung insgesamt.<\/p>\n<p data-start=\"1164\" data-end=\"2333\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t steht diese Sicherheitspflicht in unmittelbarem Zusammenhang mit Risiken digitaler Kriminalit\u00e4t. Phishing, Ransomware, Malware, Identit\u00e4tsdiebstahl, Social Engineering, interner Missbrauch, Datendiebstahl, unbefugter Zugriff, Kompromittierung von Lieferketten und Manipulation digitaler Umgebungen k\u00f6nnen dazu f\u00fchren, dass personenbezogene Daten offengelegt, ver\u00e4ndert, zerst\u00f6rt oder f\u00fcr weitere kriminelle Handlungen verwendet werden. Der Verantwortliche darf daher nicht lediglich auf Vorf\u00e4lle reagieren, sondern muss im Voraus beurteilen, welche Bedrohungen f\u00fcr die konkrete Verarbeitung relevant sind und welche Ma\u00dfnahmen erforderlich sind, um diese Bedrohungen zu reduzieren. Dazu k\u00f6nnen Zugriffsmanagement, Protokollierung, Verschl\u00fcsselung, Netzwerksegmentierung, Backup-Strategien, Schwachstellenmanagement, Lieferantenkontrolle, Berechtigungsmodelle, Monitoring, Sensibilisierung, Incident-Response-Verfahren und regelm\u00e4\u00dfige Tests geh\u00f6ren. Entscheidend ist stets, ob eine Ma\u00dfnahme nicht nur auf dem Papier besteht, sondern in der tats\u00e4chlichen digitalen Praxis nachweisbar funktioniert.<\/p>\n<p data-start=\"2335\" data-end=\"3429\">Die Governance-Dimension der Sicherheit verdient besondere Aufmerksamkeit. Der Verantwortliche kann Sicherheit nicht vollst\u00e4ndig an IT-Abteilungen, externe Anbieter oder Cybersicherheitsspezialisten delegieren und sich zugleich der Verantwortung f\u00fcr Risikentscheidungen, Priorit\u00e4ten, Budgets, Governance und Kontrolle entziehen. Werden personenbezogene Daten in kritischen Gesch\u00e4ftsprozessen, Kundenumgebungen, Compliance-Systemen oder forensischen Untersuchungskontexten verarbeitet, muss Sicherheit in Entscheidungen \u00fcber Konzeption, Beschaffung, Implementierung, Nutzung, \u00dcberwachung und Beendigung von Systemen integriert sein. Eine Organisation, die das Integrierte Risikomanagement f\u00fcr digitale Kriminalit\u00e4t ernst nimmt, behandelt Sicherheit nicht als nachgelagerten Aspekt, sondern als Voraussetzung digitaler Integrit\u00e4t. Der Verantwortliche muss nachweisen k\u00f6nnen, dass Sicherheitsma\u00dfnahmen auf einer Risikoanalyse beruhen, regelm\u00e4\u00dfig bewertet werden, aktuellen Bedrohungen entsprechen und angepasst werden, wenn sich Technologie, Bedrohungslage oder Verarbeitungskontext ver\u00e4ndern.<\/p>\n<h4 data-start=\"3431\" data-end=\"3482\">Auswahl und Steuerung von Auftragsverarbeitern<\/h4>\n<p data-start=\"3484\" data-end=\"4457\">Beauftragt ein Verantwortlicher einen Auftragsverarbeiter, verbleibt die prim\u00e4re Verantwortung f\u00fcr die Verarbeitung beim Verantwortlichen. Die Auslagerung technischer oder operativer T\u00e4tigkeiten bedeutet nicht, dass die rechtliche Verantwortung f\u00fcr Rechtm\u00e4\u00dfigkeit, Transparenz, Sicherheit, Rechte betroffener Personen und Rechenschaftspflicht \u00fcbertragen wird. Der Verantwortliche muss daher sorgf\u00e4ltig pr\u00fcfen, ob der Auftragsverarbeiter hinreichende Garantien in Bezug auf Fachkunde, Sicherheit, Zuverl\u00e4ssigkeit, Kontinuit\u00e4t, Steuerung von Unterauftragsverarbeitern, Datenstandort, Incident Response und Einhaltung von Weisungen bietet. Diese Pr\u00fcfung darf sich nicht auf wirtschaftliche Eignung, Preis, Funktionalit\u00e4t oder Marktreputation beschr\u00e4nken. Die zentrale Frage lautet, ob der Auftragsverarbeiter in der Lage ist, die Verarbeitung innerhalb des rechtlichen, technischen und organisatorischen Rahmens durchzuf\u00fchren, den die Datenschutz-Grundverordnung verlangt.<\/p>\n<p data-start=\"4459\" data-end=\"5552\">Diese Verantwortung beginnt vor Vertragsschluss und dauert w\u00e4hrend der gesamten Zusammenarbeit fort. Der Verantwortliche muss klare Weisungen dazu erteilen, welche personenbezogenen Daten verarbeitet werden d\u00fcrfen, zu welchen Zwecken, unter welchen Sicherheitsbedingungen, mit welchen Aufbewahrungsfristen, welche Unterauftragsverarbeiter eingesetzt werden d\u00fcrfen, wie Datenschutzverletzungen zu melden sind, wie Antr\u00e4ge betroffener Personen zu unterst\u00fctzen sind und was bei Beendigung der Dienstleistungen zu geschehen hat. Der Vertrag \u00fcber die Auftragsverarbeitung darf kein standardisierter Anhang sein, der von der tats\u00e4chlichen Leistungserbringung losgel\u00f6st ist, sondern muss ein operativ brauchbares Instrument darstellen, das die tats\u00e4chlichen Datenfl\u00fcsse, Systeme, Rollen und Risiken abbildet. Bleiben vertragliche Regelungen abstrakt, entsteht das Risiko, dass der Auftragsverarbeiter in der Praxis einen gr\u00f6\u00dferen Handlungsspielraum einnimmt, als rechtlich zul\u00e4ssig ist, oder dass der Verantwortliche unzureichende Kontrolle \u00fcber Verarbeitung, Sicherheit und Incident Response beh\u00e4lt.<\/p>\n<p data-start=\"5554\" data-end=\"6733\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist die Steuerung von Auftragsverarbeitern besonders bedeutsam, weil Risiken digitaler Kriminalit\u00e4t h\u00e4ufig in Abh\u00e4ngigkeitsketten entstehen. Cloud-Anbieter, Softwarelieferanten, Managed-Service-Provider, Marketingplattformen, Zahlungsdienstleister, Ermittlungsunternehmen, IT-Administratoren und Datenplattformen k\u00f6nnen Zugang zu gro\u00dfen Mengen personenbezogener Daten oder zu kritischer digitaler Infrastruktur haben. Eine Schwachstelle bei einem Auftragsverarbeiter kann daher unmittelbar zu Datenschutzverletzungen, Betriebsunterbrechungen, Reputationssch\u00e4den und Anfragen der Aufsichtsbeh\u00f6rde gegen\u00fcber dem Verantwortlichen f\u00fchren. Der Verantwortliche darf sich daher nicht ausschlie\u00dflich auf Zertifizierungen oder vertragliche Garantien verlassen, sondern muss regelm\u00e4\u00dfig \u00fcberpr\u00fcfen, ob der Auftragsverarbeiter tats\u00e4chlich weisungsgem\u00e4\u00df handelt und geeignete Ma\u00dfnahmen aufrechterh\u00e4lt. Lieferantenmanagement wird damit Teil der Steuerung digitaler Kriminalit\u00e4t: Die Kette ist nur so belastbar wie das schw\u00e4chste Glied, das personenbezogene Daten verarbeitet, verwaltet oder technisch zug\u00e4nglich macht.<\/p>\n<h4 data-start=\"6735\" data-end=\"6790\">F\u00fchrung von Dokumentation und Rechenschaftspflicht<\/h4>\n<p data-start=\"6792\" data-end=\"7785\">Die Rechenschaftspflicht bildet ein tragendes Prinzip der Verantwortlichenrolle. Der Verantwortliche muss die Datenschutz-Grundverordnung nicht nur einhalten, sondern diese Einhaltung auch nachweisen k\u00f6nnen. Dies erfordert eine sorgf\u00e4ltig strukturierte Dokumentationspraxis, in der Verarbeitungst\u00e4tigkeiten, Zwecke, Rechtsgrundlagen, Kategorien personenbezogener Daten, Empf\u00e4nger, Aufbewahrungsfristen, Sicherheitsma\u00dfnahmen, Risikobewertungen, Datenschutz-Folgenabsch\u00e4tzungen, Beziehungen zu Auftragsverarbeitern, \u00dcbermittlungen, Vorf\u00e4lle und Entscheidungsprozesse nachvollziehbar festgehalten werden. Dokumentation erf\u00fcllt dabei keine blo\u00df administrative Funktion. Sie bildet den Nachweis von Governance-Kontrolle, rechtlicher Begr\u00fcndung und operativer Beherrschung. Ohne hinreichende Dokumentation wird Compliance angreifbar, weil sp\u00e4ter nicht belegt werden kann, weshalb bestimmte Entscheidungen getroffen wurden, welche Risiken bewertet wurden und welche Garantien eingerichtet wurden.<\/p>\n<p data-start=\"7787\" data-end=\"8743\">Ein wirksamer Rahmen der Rechenschaftspflicht setzt voraus, dass die Dokumentation aktuell, koh\u00e4rent und sachlich zutreffend ist. Viele Organisationen verf\u00fcgen \u00fcber Register, Richtlinien und Vorlagen, verlieren jedoch die Verbindung zwischen Dokumentation und Praxis, wenn Prozesse ge\u00e4ndert, neue Systeme eingef\u00fchrt, Lieferanten ersetzt, Datenfl\u00fcsse erweitert oder neue Nutzungszwecke entwickelt werden. Der Verantwortliche muss daher sicherstellen, dass das Verzeichnis der Verarbeitungst\u00e4tigkeiten kein statisches Dokument ist, sondern ein Governance-Instrument, das sich mit dem digitalen Betrieb weiterentwickelt. Auch Risikobewertungen, Datenschutz-Folgenabsch\u00e4tzungen, Interessenabw\u00e4gungen, Aufbewahrungspl\u00e4ne und Datenschutzhinweise m\u00fcssen \u00fcberpr\u00fcft werden, wenn sich die Verarbeitung ver\u00e4ndert. Rechenschaftspflicht verlangt Disziplin bei Versionskontrolle, Entscheidungsdokumentation, interner Zust\u00e4ndigkeitszuweisung und regelm\u00e4\u00dfiger \u00dcberpr\u00fcfung.<\/p>\n<p data-start=\"8745\" data-end=\"9807\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t kommt der Dokumentation gesteigerte Bedeutung zu, weil Verarbeitungen zu Zwecken der Integrit\u00e4t, Sicherheit und Kriminalit\u00e4tssteuerung h\u00e4ufig intensiv, sensibel und kontextabh\u00e4ngig sind. Bei Betrugserkennung, internen Untersuchungen, Sanktionsscreening, Analyse von Cybervorf\u00e4llen, Zugriffsmonitoring oder forensischer Datenerhebung muss klar sein, welche Daten verarbeitet wurden, weshalb dies erforderlich war, wer Zugriff hatte, welche Begrenzungen galten, wie lange die Daten aufbewahrt werden und welche Abw\u00e4gungen zwischen Risikomanagement und den Rechten betroffener Personen vorgenommen wurden. Risiken digitaler Kriminalit\u00e4t gehen h\u00e4ufig mit Druck, Dringlichkeit und Unsicherheit einher, doch diese Umst\u00e4nde mindern die Bedeutung der Dokumentation nicht. Im Gegenteil: Entstehen Pr\u00fcfungen, Beschwerden, zivilrechtliche Verfahren oder strafrechtlich relevante Fragen, ist die Qualit\u00e4t der Akte h\u00e4ufig entscheidend f\u00fcr die Verteidigungsf\u00e4higkeit des Handelns des Verantwortlichen.<\/p>\n<h4 data-start=\"9809\" data-end=\"9863\">Meldung und Steuerung von Datenschutzverletzungen<\/h4>\n<p data-start=\"9865\" data-end=\"10820\">Der Verantwortliche muss Datenschutzverletzungen erkennen, bewerten, steuern und, soweit erforderlich, rechtzeitig der Aufsichtsbeh\u00f6rde melden sowie betroffene Personen informieren. Eine Datenschutzverletzung beschr\u00e4nkt sich nicht auf massenhaften Datendiebstahl oder \u00f6ffentliche Offenlegung von Daten. Auch der Verlust eines Ger\u00e4ts, die \u00dcbermittlung an einen falschen Empf\u00e4nger, unbefugter Zugriff, Verschl\u00fcsselung durch Ransomware, versehentliche Ver\u00f6ffentlichung, ein interner Berechtigungsfehler, eine fehlerhafte Cloud-Konfiguration oder die Manipulation personenbezogener Daten k\u00f6nnen eine Datenschutzverletzung darstellen. Der Verantwortliche muss daher \u00fcber einen Prozess verf\u00fcgen, durch den Vorf\u00e4lle rasch identifiziert, tats\u00e4chlich untersucht, rechtlich bewertet und operativ nachverfolgt werden. Gesetzliche Meldefristen verlangen Schnelligkeit, doch Schnelligkeit darf nicht zulasten sorgf\u00e4ltiger Analyse und klarer Entscheidungsfindung gehen.<\/p>\n<p data-start=\"10822\" data-end=\"11926\">Die Bewertung einer Datenschutzverletzung erfordert eine konkrete Risikoanalyse. Der Verantwortliche muss feststellen, welche personenbezogenen Daten betroffen sind, wie viele betroffene Personen involviert sind, welche Datenkategorien ber\u00fchrt werden, ob Daten eingesehen, kopiert, ver\u00e4ndert oder zerst\u00f6rt wurden, welche Sicherheitsma\u00dfnahmen vorhanden waren, welche Folgen eintreten k\u00f6nnen und welche schadensmindernden Ma\u00dfnahmen ergriffen wurden. Zudem ist zu bewerten, ob eine Meldung an die Aufsichtsbeh\u00f6rde verpflichtend ist und ob betroffene Personen unmittelbar informiert werden m\u00fcssen, weil voraussichtlich ein hohes Risiko f\u00fcr ihre Rechte und Freiheiten besteht. Eine mangelhafte Bewertung kann zu versp\u00e4teter Meldung, ungerechtfertigter Nichtmeldung oder unzureichender Kommunikation mit betroffenen Personen f\u00fchren. Der Verantwortliche muss daher nicht nur Incident Response organisieren, sondern auch eine rechtliche Entscheidungsstruktur schaffen, in der Datenschutz, Sicherheit, Governance, Kommunikation und erforderlichenfalls externe Expertise zum richtigen Zeitpunkt eingebunden werden.<\/p>\n<p data-start=\"11928\" data-end=\"13100\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist die Steuerung von Datenschutzverletzungen unmittelbar mit der Steuerung digitaler Kriminalit\u00e4t verbunden. Viele Datenschutzverletzungen entstehen nicht durch administrative Fehler, sondern durch gezielte digitale Angriffe, Kontomissbrauch, Malware, Phishing, Ransomware, internes Fehlverhalten oder die Kompromittierung von Lieferanten. In solchen F\u00e4llen darf sich der Verantwortliche nicht darauf beschr\u00e4nken, Meldepflichten zu erf\u00fcllen, sondern muss den Angriffsvektor verstehen, weiteren Schaden begrenzen, Beweise sichern, betroffene Systeme wiederherstellen, Kommunikation koordinieren und eine Wiederholung des Vorfalls verhindern. Die Steuerung von Datenschutzverletzungen ist daher kein isoliertes Datenschutzverfahren, sondern ein integrierter Bestandteil von Incident Response, Cybersicherheit, rechtlicher Kontrolle und Reputationsmanagement. Der Verantwortliche muss nachweisen k\u00f6nnen, dass nicht nur eine Meldung erfolgt ist, sondern dass der Vorfall auf Governance-Ebene verstanden, technisch nachverfolgt und strukturell zur St\u00e4rkung von Sicherheit und Governance genutzt wurde.<\/p>\n<h4 data-start=\"13102\" data-end=\"13175\">Integration des Datenschutzes in Governance und Entscheidungsfindung<\/h4>\n<p data-start=\"13177\" data-end=\"14125\">Die Verantwortung des Verantwortlichen erreicht ihre volle Tragweite, wenn Datenschutz in Governance und Entscheidungsfindung integriert wird. Datenschutz kann nicht wirksam als separate Compliance-Schicht funktionieren, die erst nach dem Erwerb von Systemen, der Gestaltung von Prozessen oder der Umsetzung gesch\u00e4ftlicher Entscheidungen konsultiert wird. Die Datenschutz-Grundverordnung verlangt, dass Datenschutz bereits in den fr\u00fchen Phasen von Strategie, Produktentwicklung, Lieferantenauswahl, Prozessgestaltung, Datennutzung, Risikobewertung und Governance-Entscheidungen ber\u00fccksichtigt wird. Dies bedeutet, dass der Verantwortliche klare Rollen, Entscheidungsbefugnisse, Eskalationslinien, Berichte, Pr\u00fcfpunkte und eine Governance-Aufmerksamkeit f\u00fcr Datenschutz sicherstellen muss. Datenschutz muss in der Art und Weise sichtbar sein, wie die Organisation Entscheidungen trifft, nicht nur in Dokumenten, die nachtr\u00e4glich erstellt werden.<\/p>\n<p data-start=\"14127\" data-end=\"15168\">Diese Integration erfordert ein Governance-Modell, in dem rechtliche, technische, operative und strategische Erw\u00e4gungen miteinander verbunden werden. Neue digitale Produkte, datengetriebenes Marketing, Anwendungen k\u00fcnstlicher Intelligenz, Kundenscreening, Betrugspr\u00e4vention, Cloud-Migrationen, Kooperationen mit Dritten und internationale Datenfl\u00fcsse m\u00fcssen im Voraus im Hinblick auf Rechtsgrundlage, Verh\u00e4ltnism\u00e4\u00dfigkeit, Datenminimierung, Transparenz, Sicherheit, Aufbewahrungsfristen, Rechte betroffener Personen und Reaktionsf\u00e4higkeit gegen\u00fcber Erwartungen der Aufsichtsbeh\u00f6rde bewertet werden. Der Verantwortliche muss verhindern, dass Datenschutz auf Einwilligungstexte, Cookie-Banner oder Standardklauseln reduziert wird. Die eigentliche Frage lautet, ob die Organisation personenbezogene Daten nur dann verarbeitet, wenn eine klare Erforderlichkeit, eine g\u00fcltige Rechtsgrundlage, ein begrenzter Zweck und angemessene Garantien bestehen. Governance macht diese Pr\u00fcfung strukturell, wiederholbar und auf Entscheidungsebene durchsetzbar.<\/p>\n<p data-start=\"15170\" data-end=\"16294\" data-is-last-node=\"\" data-is-only-node=\"\">Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist die Integration des Datenschutzes unverzichtbar, weil Risiken digitaler Kriminalit\u00e4t, Datenschutz, Cybersicherheit, Compliance und Governance-Verantwortung fortlaufend ineinandergreifen. Eine Organisation, die Kriminalit\u00e4tsrisiken steuern will, ben\u00f6tigt Daten f\u00fcr Detektion, Analyse, Monitoring und Reaktion, muss jedoch zugleich verhindern, dass Risikomanagement in unverh\u00e4ltnism\u00e4\u00dfige \u00dcberwachung, unklare Profilbildung, \u00fcberm\u00e4\u00dfige Speicherung oder undurchsichtige Entscheidungsprozesse m\u00fcndet. Der Verantwortliche muss daher ein Gleichgewicht herstellen zwischen dem Schutz der Organisation, dem Schutz betroffener Personen und dem Schutz der Integrit\u00e4t digitaler Prozesse. Datenschutz innerhalb der Governance bedeutet, dass diese Spannung nicht punktuell oder ad hoc aufgel\u00f6st wird, sondern strukturell in Strategie, Richtlinien, Systementscheidungen, Risikoberichte und Rechenschaft auf Governance-Ebene integriert wird. Dadurch wird die Rolle des Verantwortlichen zu einer wesentlichen Funktion verantwortungsvoller digitaler Organisation.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-8143ea2 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"8143ea2\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-c2c877d\" data-id=\"c2c877d\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-751d8ce elementor-widget elementor-widget-spacer\" data-id=\"751d8ce\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"spacer.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<div class=\"elementor-spacer\">\n\t\t\t<div class=\"elementor-spacer-inner\"><\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-d382bfd elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"d382bfd\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-56abc9e\" data-id=\"56abc9e\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-fd1132b elementor-widget elementor-widget-post-grid\" data-id=\"fd1132b\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"post-grid.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\r\n\r\n<div class=\"blog-container blog-container-grid\">\r\n    \r\n    <div class=\"wi-blog fox-blog blog-grid fox-grid blog-card-has-shadow blog-card-normal column-3 spacing-normal\">\r\n    \r\n    \n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10351 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/pravention\/\" rel=\"bookmark\">        \r\n        Pr\u00e4vention\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10353 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/erkennung\/\" rel=\"bookmark\">        \r\n        Erkennung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10355 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/untersuchung\/\" rel=\"bookmark\">        \r\n        Untersuchung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10357 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/reaktion\/\" rel=\"bookmark\">        \r\n        Reaktion\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10359 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/beratung\/\" rel=\"bookmark\">        \r\n        Beratung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-21689 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/prozessfuehrung\/\" rel=\"bookmark\">        \r\n        Prozessf\u00fchrung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-21691 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/verhandlung\/\" rel=\"bookmark\">        \r\n        Verhandlung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->        \r\n            \r\n    <\/div><!-- .fox-blog -->\r\n    \r\n        \r\n<\/div><!-- .fox-blog-container -->\r\n\r\n    \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Der Verantwortliche f\u00fcr die Datenverarbeitung bildet innerhalb der Datenschutz-Grundverordnung den normativen, organisatorischen und operativen Schwerpunkt jeder Verarbeitung personenbezogener Daten. Es handelt sich nicht um eine blo\u00df formale Qualifikation, sondern um die Stelle, die die Verarbeitung steuert, ihre Zwecke bestimmt, die wesentlichen Mittel ausw\u00e4hlt und die Verantwortung f\u00fcr die Rechtm\u00e4\u00dfigkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, Transparenz und Beherrschbarkeit des gesamten Verarbeitungsvorgangs tr\u00e4gt. Werden personenbezogene Daten in digitalen Ketten, Plattformumgebungen, Cloud-Infrastrukturen, Kundenportalen, internen Registern, Marketingdatenbanken, Compliance-Systemen oder Prozessen zur Betrugspr\u00e4vention verarbeitet, ist die Frage, wer als Verantwortlicher handelt, unmittelbar mit der Frage verbunden, wer auf Governance-Ebene f\u00fcr Konzeption, Durchf\u00fchrung und Kontrolle dieser Verarbeitung einsteht. Die Qualifikation<\/p>\n","protected":false},"author":2,"featured_media":34734,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[184],"tags":[],"class_list":["post-6744","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz-daten-und-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6744","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/comments?post=6744"}],"version-history":[{"count":16,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6744\/revisions"}],"predecessor-version":[{"id":34806,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6744\/revisions\/34806"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media\/34734"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media?parent=6744"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/categories?post=6744"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/tags?post=6744"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}