Rz. 2
Normadressat der DSGVO ist der "Verantwortliche", denn er ist es, der die sich aus der DSGVO ergebenden Verpflichtungen zu beachten hat. Art. 4 Nr. 7 DSGVO definiert den Verantwortlichen als "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet" und orientiert sich damit nahezu wörtlich, an der vormals in Art. 2 lit. d der Richtlinie 95/46/EG vorgegebenen Legaldefinition. Verantwortlicher ist dementsprechend derjenige, der (eigenständig) über den Zweck und die Mittel der Datenverarbeitung entscheidet. Eine nähere Ausgestaltung erfährt diese, zugegebenermaßen recht offene, begriffliche Definition in Kapitel IV, Abschnitt 1, Art. 24 DSGVO. Dessen Abs. 1 normiert den Verantwortlichen als denjenigen, der Art, Umfang und Umstände der Datenverarbeitung festlegt und in diesem Sinne über die Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten zur Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche im Sinne des Datenschutzrechtes ist derjenige, der "das Heft in der Hand" hält. Die Art. 29-Datenschutzgruppe führt hierzu aus:
Zitat
"Eine Definition von "Zweck" lautet "erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet", und eine Definition von "Mittel" lautet "Art und Weise, wie ein Ergebnis oder Ziel erreicht wird.""
Rz. 3
Der "Verantwortliche" entscheidet daher über das "Warum" und das "Wie" der Datenverarbeitung. Insbesondere der Begriff des Mittels ("Wie") ist dabei sehr vielschichtig und bezeichnet
Zitat
"nicht nur die technischen Methoden für die Verarbeitung personenbezogener Daten, sondern auch das "Wie" der Verarbeitung; dazu gehören Fragen wie "Welche Daten werden verarbeitet?", "Welche Dritte haben Zugang zu diesen Daten?", "Wann werden Daten gelöscht?" usw. Die Entscheidung über die "Mittel" beinhaltet daher einerseits technische und organisatorische Fragen (wie z.B. "Welche Hardware oder Software wird verwendet?"), und andererseits wesentliche Elemente, […] wie z.B. "Welche Daten werden verarbeitet?", "Wie lange werden sie verarbeitet?", Wer hat Zugang zu ihnen?" usw. Daher gilt, dass die Entscheidung über die Zwecke der Verarbeitung stets eine Einstufung als für die Verarbeitung Verantwortlicher bedingt, wohingegen die Entscheidung über die Mittel nur dann die Verantwortung für die Verarbeitung impliziert, wenn über wesentliche Aspekte der Mittel entschieden wird. Vor diesem Hintergrund ist es durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die technischen und organisatorischen Mittel entscheidet.“
Verantwortlicher ist daher derjenige, der über die wesentlichen Aspekte der Mittel entscheidet.
Rz. 4
Kann in diesem Sinne nur eine Person, Behörde oder sonstige Einrichtung ausgemacht werden, die über die vorgenannten Kriterien alleinverantwortlich entscheidet, so gilt nur diese Person, Behörde oder sonstige Einrichtung im Sinne der DSGVO als Verantwortlicher. Probleme bereitet dies, soweit die Verordnung in Art. 4 Nr. 7 normiert, dass es grundsätzlich auch Situationen einer gemeinsamen Verantwortlichkeit geben könne. Gemäß Art. 82 Abs. 4 DSGVO, sollen diese "gemeinsamen Verantwortlichen" grundsätzlich auch gemeinsam für die jeweils erfolgende Verarbeitung einstehen müssen. Dies bedeutet indes nicht, dass mehrere Stellen, die gemeinsam "dieselben Daten" eines Betroffenen verarbeiten, im datenschutzrechtlichen Sinne als eine "einzige" neue verantwortliche Stelle behandelt werden würden. Vielmehr behält jede Einrichtung auch im Rahmen der gemeinsamen Verarbeitung personenbezogener Daten ihre rechtliche Eigenständigkeit; sie muss sich jedoch Handlungen der jeweils anderen verantwortlichen Stelle – auch soweit diese ihr nicht zu Gute kommen – wie eigene Handlungen zurechnen lassen. Die gemeinsame Verarbeitung soll sich gemäß Art. 26 Abs. 1 DSGVO dadurch kennzeichnen, dass zwei oder mehr Personen, Behörden oder sonstige Einrichtungen gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. In diesem Fall, soll es sich um "gemeinsam Verantwortliche" handeln. Wollen zwei oder mehr Personen, Behörden oder sonstige Einrichtungen im vorgenannten Sinne "gemeinsam" Daten betroffener Personen verarbeiten, so normiert die DSGVO zusätzliche Verpflichtungen, die insbesondere die Transparenz der Datenverarbeitung sicherstellen sollen. So setzt eine "gemeinsame Verantwortlichkeit" eine (schriftliche) Festlegung der wechselseitigen Verantwortlichkeiten innerhalb der Verarbeitungsprozesse voraus, in deren Rahmen die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen detailliert dargelegt sind. Die wesentlichen Inhalte derartiger Vereinbarungen sind den betroffenen Personen und den Datenschutzbehörden zur Verfügung zu stellen. Der ursprüngliche Entwurf der DSGVO aus dem Jahre 2012 (Hinweis) sah ursprünglich die Möglic...