Verantwortlicher

 

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) richtet sich in vielen Fällen an den Verantwortlichen einer Datenverarbeitung. Doch wer ist überhaupt der Verantwortliche für eine Datenverarbeitung? Wer ist in der Verantwortung gesetzliche Regeln zu befolgen oder haftet für eine Datenverarbeitung?

Art. 4 Nr. 7 DS-GVO:

Verantwortlicher ist „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; […]“

Damit ist Verantwortlicher jeder, der über Zwecke und Mittel einer Verarbeitung von personenbezogen Daten entscheidet. Davon ausgenommen sind hiervon natürliche Personen, die Daten ausschließlich für persönliche oder familiäre Tätigkeiten verarbeiten (Art. 2 DS-GVO) oder natürliche und juristische Personen, die im Ausland sitzen und nur Daten von nicht EU-Bürgern verarbeiten.

Zweck einer Datenverarbeitung

Der Zweck einer Datenverarbeitung definiert das „Warum und Weshalb“. Verantwortlicher ist, wer das Ziel einer Verarbeitung personenbezogener Daten vorgibt.

Die Artikel-29-Datenschutzgruppe der EU definierte im Working Paper (WP) 169 „Zweck“ als „erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“.

Mittel einer Datenverarbeitung

Die Mittel einer Datenverarbeitung definiert das „Wie“. Die Artikel-29-Datenschutzgruppe der EU definierte im WP 169 Mittel als die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“.

Gewichtung Zweck und Mittel

In manchen Fällen besteht ein Ungleichgewicht zwischen Zweck und Mittel einer Datenverarbeitung – und damit ist unklar, wer der Verantwortliche ist. Ein Vergleich mit den Vorgaben für eine Auftragsverarbeitung hilft, diese Frage zu klären. Ein Auftragsverarbeiter darf zwar im Rahmen seines Vertragsverhältnisses und den bestehenden Weisungen über die eingesetzten Mittel zur Zielerreichung entscheiden, aber nicht über die Zwecke. Daher empfiehlt es sich bei der Prüfung, ob das Unternehmen Verantwortlicher im Sinne der DS-GVO ist, sich vorrangig auf den Zweck zu konzentrieren. Wenn aber Zwecke selbst festgelegt werden, ist von einer Verantwortlichkeit auszugehen.

Bin ich Verantwortlicher?

Die genannten Kriterien helfen zur Orientierung wer der Verantwortliche ist. Es bedarf jedoch in jedem Fall einer Einzelfallbetrachtung durch eine Fachperson (z.B. ihres Datenschutzbeauftragten)

Hilfreiche Links:

Working Paper 169 der Artikel 29-Gruppe

Verfasser: Michael Konitzer, 09.04.2020