Sie befinden sich hier:

Wer ist Verantwortlicher im Sinne der DSGVO?

Gemäß Art. 4 Nr. 7 DSGVO ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Die Definition des Begriffs „Verantwortlicher“ umfasst somit fünf Hauptkomponenten. Dabei handelt es sich um folgende Elemente:

  • ­„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“
  • ­„entscheidet“
  • ­„allein oder gemeinsam mit anderen“
  • ­„Zwecke und Mittel“
  • ­„der Verarbeitung personenbezogener Daten“

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle

Die erste Komponente bezieht sich auf die Art der Einrichtung, die Verantwortlicher sein kann. Gemäß DSGVO kann Verantwortlicher „eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle“ sein. Das bedeutet, dass es grundsätzlich keine Beschränkung hinsichtlich der Art der Stelle gibt, die als Verantwortlicher auftreten kann. Es kann sich dabei um eine Organisation, aber auch um eine Einzelperson oder eine Gruppe von Einzelpersonen handeln. In der Praxis ist es jedoch in der Regel die Organisation als solche und nicht eine natürliche Person innerhalb der Organisation (wie der Geschäftsführer, ein Angestellter oder ein Mitglied des Leitungsorgans), die als Verantwortlicher im Sinne der DSGVO fungiert. Bei der Datenverarbeitung innerhalb einer Unternehmensgruppe ist besonders darauf zu achten, ob eine Niederlassung als Verantwortlicher oder als Auftragsverarbeiter tätig werden kann, z. B. bei der Verarbeitung von Daten im Auftrag des Mutterunternehmens.

Manchmal benennen Unternehmen und öffentliche Stellen eine bestimmte Person, die für die Durchführung der Verarbeitungstätigkeit verantwortlich ist. Selbst wenn eine bestimmte natürliche Person benannt wird, die die Einhaltung der Datenschutzvorschriften sicherstellen soll, wird diese Person nicht Verantwortlicher sein, sondern im Namen der juristischen Person (Unternehmen oder öffentliche Stelle) handeln, die im Falle eines Verstoßes gegen die Vorschriften in ihrer Eigenschaft als Verantwortlicher letztlich verantwortlich ist. Auch wenn eine bestimmte Abteilung oder Dienststelle einer Organisation die operative Verantwortung für die Einhaltung der Vorschriften bei bestimmten Verarbeitungsvorgängen trägt, bedeutet dies nicht, dass diese Abteilung oder Dienststelle (und nicht die Organisation als Ganzes) zum Verantwortlichen wird.

Grundsätzlich kann davon ausgegangen werden, dass jede Verarbeitung personenbezogener Daten durch Mitarbeiter im Tätigkeitsbereich einer Organisation unter der Kontrolle dieser Organisation erfolgt. Unter außergewöhnlichen Umständen kann es jedoch vorkommen, dass ein Beschäftigter beschließt, personenbezogene Daten für seine eigenen Zwecke zu verwenden, wodurch die ihm erteilte Befugnis unrechtmäßig überschritten wird. (z. B. Gründung eines eigenen Unternehmens o. ä.). Daher hat die Organisation als Verantwortlicher dafür zu sorgen, dass angemessene technische und organisatorische Maßnahmen, wie z. B. Schulungen und Informationen für Mitarbeiter, ergriffen werden, um die Einhaltung der DSGVO sicherzustellen.

Entscheidet

Die Leitung der jeweiligen öffentlichen oder nicht-öffentlichen Stelle trägt die Verantwortung für den Datenschutz in ihrem Zuständigkeitsbereich und ist für die Einhaltung der datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung verantwortlich. Dem Verantwortlichen obliegt es somit, die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten.

Die zweite Komponente des Konzepts des Verantwortlichen bezieht sich daher auf den Einfluss des Verantwortlichen auf die Verarbeitung im Wege der Ausübung von Entscheidungsbefugnis.

Ein Verantwortlicher ist eine Stelle, die über bestimmte Schlüsselelemente der Verarbeitung entscheidet. Die Verantwortlichkeit kann im Gesetz geregelt sein oder sich aus einer Analyse des Sachverhalts und der Umstände des Falls ergeben. Es geht darum, sich mit den betreffenden konkreten Verarbeitungsvorgängen zu befassen und in Erfahrung zu bringen, wer über sie bestimmt, indem zunächst folgende Fragen geprüft werden: „Warum findet diese Verarbeitung statt?“ und „Wer hat beschlossen, dass die Verarbeitung für einen bestimmten Zweck erfolgen sollte?

Da es sich bei dem Begriff des Verantwortlichen um ein funktionales Konzept handelt, stützt er sich eher auf eine Analyse des Sachverhalts und nicht formaler Aspekte. Um die Analyse zu erleichtern, können bestimmte Faustregeln und praktische Vermutungen herangezogen werden, um das Verfahren zu lenken und zu vereinfachen. In den meisten Fällen lässt sich die „Entscheidungen treffende Stelle“ anhand bestimmter rechtlicher und/oder tatsächlicher Umstände, aus denen normalerweise ein „Einfluss“ abgeleitet werden kann, leicht und eindeutig identifizieren, es sei denn, andere Anhaltspunkte deuten auf das Gegenteil hin.

Allein oder gemeinsam mit anderen

In Art. 4 Abs. 7 wird eingeräumt, dass über die „Zwecke und Mittel“ der Verarbeitung von mehr als einem Akteur entschieden werden kann. Dort heißt es, dass der Verantwortliche der Akteur ist, der „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung entscheidet. Dies bedeutet, dass mehrere verschiedene Stellen bei ein und derselben Verarbeitung als Verantwortliche auftreten können, wobei jede von ihnen dann den geltenden Datenschutzbestimmungen unterliegt. Dementsprechend kann eine Organisation auch dann Verantwortlicher sein, wenn sie nicht alle Entscheidungen über die Zwecke und Mittel trifft. Die Kriterien für die gemeinsame Verantwortlichkeit und das Ausmaß, in dem zwei oder mehr Akteure gemeinsam die Kontrolle ausüben, können unterschiedliche Formen annehmen, auf die aber in diesem Beitrag nicht weiter eingegangen wird.

Zwecke und Mittel

Die vierte Hauptkomponente der Definition des Verantwortlichen bezieht sich auf den Gegenstand des Einflusses des Verantwortlichen, nämlich die „Zwecke und Mittel“ der Verarbeitung. Sie macht das Wesentliche des Konzepts des Verantwortlichen aus, nämlich: Worüber muss eine Partei entscheiden, um als Verantwortlicher zu gelten?

Ein Verantwortlicher legt die Zwecke und Mittel der Verarbeitung fest, d. h. die Gründe und Modalitäten der Verarbeitung. Der Verantwortliche muss sowohl über die Zwecke als auch über die Mittel entscheiden. Einige eher praktische Aspekte der Umsetzung („nicht wesentliche Mittel“) können jedoch im Falle einer Auftragsverarbeitung dem Auftragsverarbeiter überlassen werden. Es ist nicht erforderlich, dass der Verantwortliche tatsächlich Zugang zu den Daten in der Verarbeitung hat, um als Verantwortlicher eingestuft zu werden.

In Wörterbüchern wird der Begriff „Zweck“ definiert als „ein erwartetes Ergebnis, an dem sich Ihre geplanten Maßnahmen ausrichten“ und „wie ein Ergebnis erzielt wird oder ein Ende erreicht wird“.

Nach der DSGVO dürfen personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Bestimmung der „Zwecke“ der Verarbeitung und der „Mittel“ zu ihrer Erreichung ist daher von besonderer Bedeutung.

Die Festlegung der Zwecke und der Mittel läuft darauf hinaus, zu entscheiden „warum“ und „auf welche Weise“ die Verarbeitung erfolgt: Bei einer bestimmten Verarbeitung ist der Verantwortliche der Akteur, der entschieden hat, warum die Verarbeitung erfolgt (also „mit welchem Ziel“ oder „wozu“), und auf welche Weise dieses Ziel erreicht werden soll (also welche Mittel eingesetzt werden, um das Ziel zu erreichen). Eine natürliche oder juristische Person, die einen solchen Einfluss auf die Verarbeitung personenbezogener Daten nimmt, ist somit gemäß der Definition in Artikel 4 Absatz 7 DSGVO an der Festlegung der Zwecke und Mittel dieser Verarbeitung beteiligt.

Der Verantwortliche muss sowohl über den Zweck als auch über die Mittel der Verarbeitung entscheiden. Folglich kann der Verantwortliche nicht nur den Zweck bestimmen. Er muss auch Entscheidungen bezüglich der Mittel der Verarbeitung treffen.

Verarbeitung personenbezogener Daten

Die vom Verantwortlichen festgelegten Zwecke und Mittel müssen mit der „Verarbeitung personenbezogener Daten“ zu tun haben. In Art. 4 Nr. 2 DSGVO wird die Verarbeitung personenbezogener Daten definiert als „jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ (siehe unter a). Folglich kann das Konzept eines Verantwortlichen entweder mit einem einzigen Verarbeitungsvorgang oder mit einer Reihe von Vorgängen verknüpft werden. In der Praxis kann dies bedeuten, dass sich die Kontrolle durch eine bestimmte Organisation auf die gesamte fragliche Verarbeitung erstrecken, sich aber auch auf einen bestimmten Verarbeitungsschritt beschränken kann.

In der Praxis kann die Verarbeitung personenbezogener Daten, an der mehrere Akteure beteiligt sind, in mehrere kleinere Verarbeitungsvorgänge unterteilt werden, bei denen davon ausgegangen werden könnte, dass jeder Akteur den Zweck und die Mittel individuell bestimmt. Andererseits kann eine Abfolge oder Reihe von Verarbeitungsvorgängen, an denen mehrere Akteure beteiligt sind, auch für denselben Zweck oder dieselben Zwecke erfolgen; in diesem Fall ist es möglich, dass an der Verarbeitung ein oder mehrere gemeinsam Verantwortliche beteiligt sind. Es ist also mit anderen Worten möglich, dass auf „Mikroebene“ die verschiedenen Verarbeitungsvorgänge der Kette als unzusammenhängend erscheinen, da jeder von ihnen einen anderen Zweck haben kann. Es muss jedoch gegengeprüft werden, ob diese Verarbeitungsvorgänge auf „Makroebene“ nicht als „Vorgangsreihe“ betrachtet werden sollten, mit der ein gemeinsamer Zweck mit gemeinsam festgelegten Mitteln verfolgt wird.

Wer beschließt, Daten zu verarbeiten, muss prüfen, ob dazu auch personenbezogene Daten gehören und, wenn ja, welche Verpflichtungen gemäß DSGVO bestehen. Ein Akteur gilt als „Verantwortlicher“, auch wenn er nicht absichtlich auf personenbezogene Daten abgehoben hat oder fälschlicherweise befunden hat, dass er keine personenbezogenen Daten verarbeitet.1)

Fundstelle:

1) Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO des Europäischen Datenschutzausschusses – abrufbar im Internet beispielsweise unter https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf

nach oben