Wer ist Verantwortlicher im Sinne der DSGVO?
Die Regelungen der DSGVO richten sich in weiten Teilen an den sogenannten „Verantwortlichen“. Wer Verantwortlicher ist, definiert Art. 4 Nr. 7 DSGVO. Demnach ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Maßgeblich ist also die Entscheidungsgewalt über Zwecke und Mittel der Verarbeitung, nicht dagegen etwa die innere Organisationsstruktur des verarbeitenden Unternehmens. So ist auch in Konzernen die jeweils verarbeitende Konzerneinheit und nicht der gesamte Konzern als Verantwortlicher anzusehen.
Was bedeutet gemeinsame Verantwortlichkeit?
Insbesondere bei komplexen Datenverarbeitungsprozessen kommt es häufig vor, dass nicht nur eine Stelle isoliert über die Zwecke und Mittel der Datenverarbeitung entscheidet, sondern dass mehrere Stellen in die Datenverarbeitung eingebunden sind. Entscheiden diese Stellen gemeinsam über die Zwecke und Mittel der Datenverarbeitung, handelt sich nach der DSGVO um eine „gemeinsame Verantwortlichkeit“.
Hierbei muss der Einfluss der Verantwortlichen keinesfalls stets gleich groß sein: Jedes Mitwirken in einer beliebigen Phase der Entscheidungsfindung reicht für das Entstehen einer gemeinsamen Verantwortlichkeit aus, falls die Beteiligten jeweils aus eigenem Interesse handeln. So sind Akteure etwa gemeinsam verantwortlich, wenn eine Stelle die gemeinsame Datenverarbeitung auslöst bzw. ermöglicht und am weiteren Prozess der Datenübermittlung unbeteiligt ist. Es ist zudem nicht erforderlich, dass alle Stellen einen Zugang zu den betroffenen Daten haben. Dieses weite Anwendungsfeld wird durch die Rechtsprechung des EuGH eingeschränkt, indem die konkreten Verarbeitungsvorgänge jeweils einzeln zu beurteilen sind. In diesem Sinne sind für eine nachfolgende separate Weiterverarbeitung der Daten solche Akteure, die nur Einfluss auf die ursprüngliche Datenverarbeitung hatten, nicht (mehr) mitverantwortlich.
Liegt gemeinsame Verantwortlichkeit vor, müssen die Beteiligten nach Art. 26 Abs. 1 DSGVO eine Vereinbarung treffen, in der sie die Zuständigkeiten für die Erfüllung datenschutzrechtlicher Pflichten untereinander aufteilen. Für die Betroffenen muss aus dieser Vereinbarung erkennbar sein, welche Stelle für welche Aufgaben verantwortlich ist. Eine fehlende Vereinbarung entbindet die Stellen hierbei nicht von ihrer gemeinsamen Verantwortlichkeit, sondern kann ebenfalls zu einem Bußgeld führen (Art. 83 Abs. 4 lit. a) DSGVO). Macht sich einer der Verantwortlichen nach der DSGVO schadensersatzpflichtig, kann der Geschädigte sich mit seinem Anspruch in voller Höhe an alle gemeinsam Verantwortlichen wenden. In welchen Anteilen die Verantwortlichen für den Schadensersatz aufkommen müssen, wird intern durch die gemeinsame Vereinbarung geregelt.
Auch andere Rechte wie Auskunft oder Löschung von Daten kann der Betroffene jeweils einzeln gegenüber allen gemeinsam Verantwortlichen geltend machen.
Was ist und wer ist ein Auftragsdatenverarbeiter?
Liegt keine gemeinsame Verantwortlichkeit vor, weil die beteiligten Stellen nicht gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden, ist an das Vorliegen einer Auftragsdatenverarbeitung zu denken: Der Auftragsdatenverarbeiter agiert als „verlängerter Arm“ des Verantwortlichen. Der Auftragsverarbeiter verarbeitet Daten also weisungsgebunden ohne eigenen Entscheidungsspielraum hinsichtlich Zwecken und Mitteln der Verarbeitung. Der klassische Fall der Auftragsdatenverarbeitung ist das Outsourcing bestimmter Verarbeitungsvorgänge an externe Dienstleister. Da der Auftragsdatenverarbeiter nur als „verlängerter Arm“ des Verantwortlichen agiert, muss sich der Verantwortliche die Handlungen des Auftragsdatenverarbeiters in der Regel so zurechnen lassen, als wären es seine eigenen Handlungen. Ferner muss der Verantwortliche darauf achten, den Auftragsdatenverarbeiter sorgfältig auszuwählen und ggf. auch zu kontrollieren.
Darüber hinaus treffen den Auftragsdatenverarbeiter eine Reihe eigener Pflichten. So muss der Auftragsverarbeiter etwa ein Verzeichnis von Verarbeitungstätigkeiten führen (vgl. Art. 30 Abs. 2 DSGVO) und haftet bei Datenschutzverstößen unter Umständen (auch) direkt gegenüber den Betroffenen (vgl. Art. 82 DSGVO).
Welche Pflichten treffen Verantwortliche (Auswahl)?
a. Informationspflichten (Art. 12 ff. DSGVO)
Der Verantwortliche hat dem Betroffenen im Falle einer Verarbeitung ihn betreffender personenbezogener Daten bestimmte Informationen zur Verfügung zu stellen. Dabei unterscheiden sich die Informationspflichten in Abhängigkeit davon, ob die Daten direkt beim Betroffenen oder aber bei einem Dritten erhoben werden.
Liegt eine Direkterhebung beim Betroffenen vor, richtet sich der Inhalt der Informationspflichten nach dem umfassenden Katalog in Art. 13 DSGVO. Der Betroffene ist demnach unverzüglich zu informieren. Liegt keine Direkterhebung vor, so hat der Verantwortliche dem Betroffenen die in Art. 14 DSGVO aufgelisteten Informationen zur Verfügung zu stellen. Dabei reicht es aus, wenn die Information innerhalb einer angemessenen Frist, spätestens aber nach einem Monat erfolgt.
In welcher Art und Weise die jeweiligen Informationen erteilt werden müssen, regelt für beide Konstellationen jeweils Art. 12 DSGVO. Hiernach ist den Informationspflichten in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Eine bestimmte Übermittlungsweise ist dabei nicht vorgeschrieben – ausreichen kann zum Beispiel eine schriftliche, aber auch eine elektronische Mitteilung.
b. Datenschutzbeauftragter (Art. 37 ff. DSGVO)
Unter bestimmten Voraussetzungen müssen Verantwortliche zudem einen Datenschutzbeauftragten bestellen, der die Einhaltung der datenschutzrechtlichen Vorgaben im Betrieb überwacht und koordiniert. Erforderlich wird die Bestellung eines Datenschutzbeauftragten jedenfalls in zwei Konstellationen:
- Erstens schreibt Art. 37 Abs. 1 DSGVO in bestimmten Fällen die Bestellung vor, zum Beispiel wenn es sich bei der verarbeitenden Stelle um eine Behörde handelt oder die Kerntätigkeit des Verantwortlichen in der Verarbeitung besonders sensibler Daten besteht.
- Zweitens – und deutlich praxisrelevanter – muss gemäß § 38 Abs. 1 BDSG ein Datenschutzbeauftragter ernannt werden, wenn in der Regel mindestens 20 Personen im Betrieb ständig mit automatisierten Verarbeitungsvorgängen beschäftigt sind. Neben dieser zentralen Bestimmung schreibt § 38 BDSG die Benennung ferner vor, wenn besonders risikoreiche Verarbeitungen vorgenommen werden oder Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt oder Meinungsforschung verarbeitet werden.
c. Meldepflichten (Art. 33 f. DSGVO)
Die DSGVO sieht in den Art. 33 f. eine Verschärfung der Meldepflicht des Verantwortlichen bei Datenpannen vor, was dem Betroffenenschutz dient.
Art. 33 DSGVO regelt dabei die Meldung gegenüber der Aufsichtsbehörde: Die Aufsichtsbehörde soll über potentielle Gefahren Kenntnis erlangen, um ggf. Gegenmaßnahmen ergreifen oder Sanktionen verhängen zu können. Deshalb hat eine Meldung grundsätzlich bei jedem Datenschutzverstoß unabhängig von dessen Art oder Ausmaß zu erfolgen, es sei denn, die Verletzung führt (ausnahmsweise) voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Soweit möglich, hat die Meldung innerhalb von 72 Stunden ab Bekanntwerden der Verletzung zu erfolgen. Welche Informationen der Behörde mitgeteilt werden müssen, wird in Art. 33 Abs. 3 DSGVO präzisiert.
Die Meldepflicht gegenüber Betroffenen ist in Art. 34 DSGVO niedergelegt. Hiernach hat eine Meldung nur zu erfolgen, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Dabei kann die Meldepflicht durch eine öffentliche Bekanntmachung ersetzt werden, wenn die direkte Meldung unverhältnismäßig aufwendig wäre (Art. 34 Abs. 3 lit. c) DSGVO). Insgesamt ist hier also das Regel-Ausnahme-Verhältnis im Vergleich zu Art. 33 DSGVO umgekehrt: Während gegenüber der Aufsichtsbehörde in der Regel jeder Verstoß zu melden ist, müssen gegenüber dem Betroffenen zusätzliche Voraussetzungen hinzukommen, um eine Meldepflicht zu begründen.