Auftragsverarbeitung - Verantwortlicher
Wie definiert die Datenschutzgrundverordnung diese Rolle?
In Art. 4 Nr. 7 definiert die DSGVO für den Datenschutz Verantwortliche als juristische oder natürliche Person, als Einrichtung, Behörde beziehungsweise andere Stelle, die über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Das können Verantwortliche allein oder gemeinsam tun. Gibt das Recht der Europäischen Union oder der Mitgliedstaaten den Zweck und die Mittel der Verarbeitung bereits vor, dann kann auch der Verantwortliche nach diesem Recht bestimmt sein – oder aber die Kriterien, nach denen er benannt wird.
Fünf wesentliche Komponenten
Hinter dieser Definition des Verantwortlichen stehen in der Hauptsache fünf Komponenten, auf die wir im Folgenden eingehen werden:
- juristische Person, natürliche Person, Einrichtung, Behörde, andere Stelle
- gemeinsam mit anderen oder allein
- entscheiden
- Zwecke und Mittel
- Verarbeitung personenbezogener Daten
Juristische Person, natürliche Person, Einrichtung, Behörde, andere Stelle?
In diesem Beitrag befassen wir uns zunächst mit der Frage, wer überhaupt als Verantwortlicher für die Verarbeitung personenbezogener Daten gelten kann und werden schließlich auch kurz darauf zu sprechen zu kommen, wie sich die gemeinsame Verantwortlichkeit mehrerer Verantwortlicher darstellen kann. Mit den anderen Komponenten befassen wir uns in gesonderten Beiträgen. Doch zurück zur ersten der oben genannten Hauptkomponenten. Sie definiert die Einrichtung, die als Verantwortlicher agieren kann. Dabei sieht die DSGVO juristische Personen, natürliche Personen, Einrichtungen, Behörden und andere Stellen vor. Eine Beschränkung der Ausprägung der Stelle gibt es nicht. Sowohl Einzelpersonen, Gruppen von Einzelpersonen als auch Organisationen können als Verantwortliche handeln. Es sind in der Praxis regelmäßig die Organisationen selbst, die im Sinne der DSGVO als Verantwortliche handeln. Dass in der Organisation eine natürliche Person – etwa Angestellte, Mitglieder der Geschäftsleitung, Geschäftsführer – als Verantwortlicher fungiert, ist nicht üblich. Bei Unternehmensgruppen ist zu beachten, ob Niederlassungen Daten beispielsweise im Auftrag der Konzernmutter – als Auftragsverarbeiter – verarbeiten oder ob diese Niederlassungen selbst als Verantwortliche handeln.
Sachlage bei der Benennung natürlicher Personen als Verantwortliche
Selbst wenn von einer öffentlichen Stelle oder einem Unternehmen ganz konkret eine natürliche Person benannt wird, die verantwortlich für die Verarbeitungstätigkeit ist und die sicherzustellen hat, dass die Vorschriften des Datenschutzes eingehalten werden, so ist diese Person nicht der Verantwortliche für die Datenverarbeitung. Vielmehr handelt sie für die öffentliche Stelle oder das Unternehmen, also für die juristische Person, welche als Verantwortlicher für Datenschutzverstöße geradestehen muss. Analog gilt dies auch für bestimmte Einheiten oder Abteilungen, die in einer Organisation auf operativer Ebene die Verantwortung dafür tragen können, dass die Vorschriften des Datenschutzes eingehalten werden. Auch diese Einheiten und Abteilungen sind aufgrund dessen nicht Verantwortlicher und müssen nicht für Verstöße haften. Dem entsprechend sind es in der Praxis regelmäßig die Organisationen selbst, die im Sinne der DSGVO als Verantwortliche handeln. Dass in der Organisation eine natürliche Person – etwa Angestellte, Mitglieder der Geschäftsleitung, Geschäftsführer – oder bestimmte Einheiten oder Abteilungen als Verantwortliche fungieren, ist nicht üblich.
Missbräuchlicher Verarbeitung vorbeugen
Zum Hintergrund: Verarbeiten Mitarbeiterinnen und Mitarbeiter im Bereich einer Organisation personenbezogene Daten, so ist davon auszugehen, dass dies im Kontrollbereich der Organisation geschieht. Denkbar wäre eine abweichende Situation in Fällen, in denen Mitarbeitende personenbezogene Daten für sich selbst nutzen. Damit würden diese Mitarbeitenden ihre Befugnisse überschreiten, was nicht rechtmäßig wäre. Um solche Vorkommnisse von vornherein zu verhindern, sollten Organisationen geeignete organisatorische und technische Maßnahmen treffen, damit die DSGVO eingehalten wird.
Gemeinsame Verantwortlichkeit
Art. 4 Nr. 7 DSGVO sieht auch vor, dass mehr als ein Akteur der Datenverarbeitung entscheiden kann. Denn, so heißt es, verantwortlich sei der Akteur, der entweder allein oder aber gemeinsam mit anderen über die Zwecke und die Mittel entscheide. Wenn es so ist, dass mehrere Stellen als Verantwortliche handeln, dann unterliegt jede dieser Stellen den gültigen rechtlichen Vorgaben zum Datenschutz. Folglich ist es nur logisch, dass eine Organisation selbst dann der Verantwortliche sein kann, wenn nicht sämtliche Entscheidungen von der Organisation getroffen werden.
Mehr Infos zur Rolle der Verantwortlichen …
… geben wir Ihnen gern im persönlichen Gespräch. Rufen Sie uns doch einfach unter Telefon 09122 6937302 an oder senden Sie uns eine kurze Nachricht. Wir beraten Sie ebenso gern wie umfassend!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Rechenschaftspflicht: DSGVO setzt neue Rahmenbedingungen
- Entscheidungsträger: Verarbeiter entscheidet über Zwecke und Mittel der Verarbeitung
- Zwecke und Mittel der Datenverarbeitung unterliegen der Entscheidung des Verantwortlichen
- Verarbeitung personenbezogener Daten: Verantwortlicher für ein oder mehrere Verarbeitungsvorgänge
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
