Auftragsverarbeitung - Entscheidungsträger
Verarbeiter entscheidet über Zwecke und Mittel der Verarbeitung
Mit den Begriffsbestimmungen in Art. 4 Nr. 7 definiert die DSGVO für die Verarbeitung personenbezogener Daten den Verantwortlichen als die Stelle, die über die Mittel und die Zwecke dieser Verarbeitung entscheidet. Mit diesem Begriff des Entscheidens setzen wir uns in diesem Beitrag auseinander, weil er eine wichtige Komponente der Bestimmung des Verantwortlichen ist: Der Verantwortliche hat die Entscheidungsbefugnis über wesentliche Elemente der Verarbeitung. Das kann von der Gesetzgebung so vorgegeben sein. Es kann sich aber auch aus dem im Einzelfall vorliegenden Sachverhalt ergeben. Im Fokus muss stehen, sich mit der konkreten Verarbeitung auseinanderzusetzen und folgende Fragen zu beantworten: Erstens: Warum wird die Verarbeitung durchgeführt? Zweitens: Welche Stelle hat entschieden, dass die Verarbeitung für den jeweiligen Zweck durchgeführt wird?
Funktionales Konzept erfordert Prüfung der Sachverhalte
Das Konzept des Verantwortlichen ist funktional. Daher gilt es, den Sachverhalt zu analysieren, statt formale Aspekte zu untersuchen. Erfahrungswerte und praxisbezogene Vermutungen können hilfreich sein, um die Stelle, die entscheidungsbefugt ist, zu identifizieren. Letztlich sind sowohl bestimmte tatsächliche beziehungsweise rechtliche Fakten zu berücksichtigen – woraus sich wiederum ein faktischer Einfluss ableiten lässt. Damit hätten wir auch schon zwei Optionen:
- Verantwortlichkeit aufgrund von Rechtsvorschriften
- Verantwortlichkeit aufgrund eines faktischen Einflusses
Verantwortlichkeit aufgrund von Rechtsvorschriften
Art. 4 Nr. 7 DSGVO definiert, dass der Verantwortliche nach dem Recht der Union oder der Mitgliedstaaten bestimmt werden kann. Gleiches kann für bestimmte Kriterien gelten, die der Benennung zugrunde liegen. Nach Meinung des Europäischem Datenschutzausschusses – kurz EDSA – kann es laut Datenschutzgrundverordnung auch mehrere Verantwortliche geben, die sogar gemeinsam verantwortlich sind. Legt eine gesetzliche Grundlage den Verantwortlichen fest, ist dies die maßgebliche Vorgabe.
Wobei diese Festlegung voraussetzt, dass die Stelle vom Gesetzgeber zum Verantwortlichen gewählt wird, die auch fähig ist, diese Kontrollfunktion faktisch auszuführen. Einige Nationen sehen vor, dass es die Behörden sind, die – im Rahmen der von ihnen übernommenen Aufgaben – zuständig für die Verarbeitung von personenbezogenen Daten sind.
Rechtliche Grundlage kann Benennung ersetzen
Normalerweise wird der Verantwortliche aber nicht benannt. Auch werden in der Regel nicht die Kriterien für diese Benennung festgelegt. Vielmehr wird meist eine Rechtsvorschrift die Verantwortlichkeit einer bestimmten Stelle zuweisen oder diese zur Datenerhebung und -verarbeitung verpflichten. Dann ist oft auch schon der Verarbeitungszweck gesetzlich definiert. Die Stelle, die für diese Zweckerreichung beziehungsweise die Erfüllung dieser öffentlichen Aufgabe zuständig ist, ist normalerweise auch Verantwortlicher für die Datenverarbeitung und den Datenschutz. Das ist insbesondere dann der Fall, wenn eine öffentliche Stelle ihre Aufgabe ohne die Erhebung und Verarbeitung personenbezogener Daten gar nicht erfüllen könnte.
Das Gesetz legt also den Verantwortlichen mit einer Rechtsvorschrift fest. Sowohl öffentliche als auch private Stellen können zur Speicherung und Bereitstellung bestimmter Daten verpflichtet werden. Es ist üblich, dass diese Stellen insoweit als Verantwortliche für die Datenverarbeitung gelten, wie diese zur Erfüllung der auferlegten Pflicht nötig ist.
Verantwortlichkeit aufgrund eines faktischen Einflusses
Liegt eine Verantwortlichkeit in datenschutzrechtlicher Hinsicht aufgrund von Rechtsvorschriften nicht vor, müssen die tatsächlichen, relevanten Fakten des Einzelfalls herangezogen werden, um zu beurteilen, welche Stelle Verantwortlicher für die jeweilige Verarbeitung ist. Insbesondere muss festgestellt werden, welche Stelle die Verarbeitung im Einzelfall maßgeblich bestimmt.
Jede Datenverarbeitung getrennt beurteilen
Dass diese Beurteilung nötig ist, lässt erkennen, dass mit der Art der datenverarbeitenden Organisation nicht schon automatisch über die Rolle der Verantwortlichen entschieden ist, sondern dass dazu die im Einzelfall tatsächlich ausgeführten Tätigkeiten des Einzelfalls betrachtet werden müssen. Folglich kann zwar eine einzige Organisation zur gleichen Zeit Verantwortlicher für eine Art von Verarbeitungen sein und trotzdem parallel Auftragsverarbeiter für andere Datenverarbeitungen. Was jeweils der Fall ist, ist für die jeweiligen Datenverarbeitungsvorgänge gesondert zu bewerten.
Praxisbezogene Bestimmung der Verantwortlichkeiten
Sehr häufig sind bestimmte Verarbeitungstätigkeiten mit den Aufgaben oder der Rolle einer Organisation verbunden, die zu den entsprechenden Verantwortlichkeiten im Sinne des Datenschutzes führen. Dem können sowohl gesetzliche Regelungen als auch die gelebte Rechtspraxis – etwa im Handelsrecht oder im Arbeitsrecht – zugrunde liegen. Dann weisen berufliche Kompetenz oder tradierte Rollen die Richtung, um die Verantwortlichen zu ermitteln. So kann man davon ausgehen, dass Vereine die Daten ihrer Mitglieder und Arbeitgeber die ihrer Mitarbeitenden verarbeiten. In solchen Fällen verarbeiten diese Organisationen die personenbezogenen Daten in der direkten Interaktion mit beispielsweise ihren Mitgliedern oder Mitarbeitenden und bestimmen normalerweise auch Zweck und Mittel der Verarbeitung. Somit sind sie nach der Datenschutzgrundverordnung auch die Verantwortlichen.
Vertragliche Bestimmungen
Hilfreich bei der Identifikation der Verantwortlichen sind vielfach auch Verträge, die die Beteiligten geschlossen haben. Selbst wenn diese den für die Datenverarbeitung Verantwortlichen nicht direkt benennen, so gibt es doch häufig ausreichend Anhaltspunkte dazu, auf welcher Seite die Verantwortlichkeit liegt, wer also über Mittel und Zweck der Verarbeitung entscheidet. Enthält ein Vertrag eine explizite Aussage dazu, wer für die Verarbeitung verantwortlich ist, spricht nichts dagegen, dem Inhalt des Vertrags Folge zu leisten. Es kann aber auch sein, dass die vertraglichen Vorgaben hinterfragt werden, weil die Vertragsparteien sonst die Verantwortlichkeit einer Partei ganz nach Gusto zuweisen könnten – unabhängig von den Fakten des Einzelfalls. Auf diese Weise könnte man sich sonst nämlich durch die gezielte Vertragsgestaltung auch der Verantwortlichkeit entziehen.
Die Tatsachen entscheiden
Ist eine Partei faktisch diejenige, die über Zwecke und Mittel der Datenverarbeitung entscheidet, dann ist sie auch der Verantwortliche hierfür. Selbst dann, wenn sie in dem Vertrag als Auftragsverarbeiter benannt wird. Auch wenn beispielsweise eine Stelle in einem Handelsvertrag als Unterauftragnehmer bezeichnet wird, bedeutet das nicht, dass sie aus der Perspektive des Datenschutzes Auftragsverarbeiter ist.
Es entspricht der faktischen Betrachtungsweise, dass diejenige Organisation, die über die Zwecke und die Mittel der Datenverarbeitung tatsächlich entscheidet, auch der für die Verarbeitung Verantwortliche ist. Wird – wie vorgesehen und üblich – ein Auftragsverarbeitungsvertrag geschlossen, der festliegt, wer Verantwortlicher und wer Auftragsverarbeiter ist, muss der Auftragsverarbeiter dem Verantwortlichen eine Beschreibung seiner Dienstleistung übergeben. Und zwar auch dann, wenn diese Dienstleistung schon im Vorfeld beschrieben wurde. Es ist der Verantwortliche, der zu entscheiden hat, ob und in welcher Weise die Verarbeitung erfolgen soll und der bei Bedarf Änderungen der Verarbeitung fordern kann. Hinzu kommt, dass der Auftragsverarbeiter seinerseits die Art und Weise der Verarbeitung nach Vertragsschluss ohne das Einverständnis des Verantwortlichen nicht ändern darf.
Sie haben Fragen zu diesem Thema?
Dann kommen Sie bitte gern auf uns zu und vereinbaren Sie einen Beratungstermin. Entweder unter Telefon 09122 6937302 oder mit Ihrer Nachricht an unser Team. Wir freuen uns, Sie und Ihr Unternehmen oder Ihre Organisation kennenzulernen!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Rechenschaftspflicht: DSGVO setzt neue Rahmenbedingungen
- Verantwortlicher: Wie definiert die Datenschutzgrundverordnung diese Rolle?
- Zwecke und Mittel der Datenverarbeitung unterliegen der Entscheidung des Verantwortlichen
- Verarbeitung personenbezogener Daten: Verantwortlicher für ein oder mehrere Verarbeitungsvorgänge
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
