DSGVO – Verantwortlicher und welche Verantwortung

Wer ist verantwortlich bei der Verarbeitung personenbezogener Daten im Sinne der DSGVO? Wer wird zur Verantwortlichkeit bestimmt? In der Realität gibt es oft Unsicherheiten. Die Antwort finden Sie hier erklärt, was mit dem Verantwortlichen gemeint ist und welche Verantwortung übernommen wird.

Verantwortlicher, wer ist gemeint?

Der Artikel 4 Nr. 7 DSGVO definiert, die Bezeichnung der Verantwortlichkeit. Was man unter einem Verantwortlichen versteht, findet man in Artikel 4 Nr.7 DSGVO Datenschutzgrundverordnung.

 

Artikel 4 Nr.7 DSGVO: „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Artikel 4 Nr.8 DSGVO: „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

 

Die Verantwortung obliegt also nicht unbedingt in den Händen einer Person, egal ob juristische oder natürliche Person und auch nicht zwingend in den Händen einer Stelle, Behörde oder Einrichtung. Sind mehrere Stellen oder Personen an der Verarbeitung personenbezogener Daten beteiligt, können sich auch mehrere die Verantwortung teilen.

Damit in diesem Fall alle Verpflichtungen des Datenschutzrechtes erfüllt werden, ist die Regelung der gemeinsamen Verantwortlichkeit in Artikel 26 DSGVO festgelegt. In einer gemeinsamen Vereinbarung ist genau festzulegen, wer welche Verpflichtung (Informationspflicht Artikel 13 und Betroffenenrechte Art. 12-23) der DSGVO erfüllt.

 

TIPP: Informationspflicht, was ist enthalten?

PDF kostenfrei Broschüre –  hilfreiche Lektüre und Normtexte:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-transparenzgrundsatz-enthalten/

 

Warum gibt es die gemeinsame Verantwortlichkeit?

Diese Frage erläutert der Gesetzgeber im Erwägungsgrund Nr. 79 zur DSGVO. Die DSGVO listet Gesamt 173 Erwägungsgründe.

 

Erwägungsgrund Nr. 79: „Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.“

 

Bei der Frage der Verantwortlichkeit soll die betroffene Person nicht zum Tennisball werden, wenn es zwischen den Verantwortlichen oder weiteren Stellen, in dem auf den Vertragspartner hingewiesen wird. Gerad für die betroffene Person darf die Nachvollziehbarkeit und Transparenz der Datenverarbeitung nicht verloren gehen.

Damit besonders die Rechte und Freiheiten der betroffenen Personen geschützt sind, nimmt der Gesetzgeber hier die Schwierigkeit der Abgrenzung in Kauf. Da mehrere Verantwortliche an verschiedenen Verarbeitungsmöglichkeiten beteiligt sein können, ist immer zu vermeiden, dass es einen Bereich gibt, in welchem keine Verantwortung definiert ist.

 

Facebook: Laut EuGH jetzt gemeinsame Verantwortlichkeit mit Fanpage-Betreiber

Social-Media-Kanäle sind heute die große Werbeplattform. Auch die Facebook-Fanpage ist eine Kommunikationsplattform zum direkten Kontakt mit den Kunden sowie als Online-Werbung.

Eine Facebook-Fanpage ist eine gute Möglichkeit das Unternehmen online zu präsentieren. Eine solche Fanpage gibt die Chance auf ganz andere Art mit den Kunden zu kommunizieren. Dabei hat das Unternehmen nicht nur die Plattform, auf der es sich darstellen kann, sondern ebenfalls verschiedene Möglichkeiten auszuwerten, wie effektiv die Fanpage ist.

Zahlreiche Nutzerdaten sind die Grundlage für die Auswertung.
In früherer Zeit, sah man die Verantwortlichkeit, was die Erhebung und die Auswertung der Daten betrifft, bei der anbietenden Plattform, welche die Daten erhebt und auswertet.

Der EuGH hat kürzlich neu entschieden, wer für die Verarbeitung der personenbezogenen Daten, also der Daten der Fanpagebesucher, verantwortlich ist. Der EuGH sieht eine gemeinsame Verantwortlichkeit, zwischen dem Plattformanbieter und dem Fanpagebetreiber.

Dabei sieht das EuGH, dass auf die Verarbeitungsmöglichkeit der personenbezogenen Daten beidseitig gleichwertig erfolgen kann. Nach dem neuen Urteil sieht das EuGH die Verantwortlichkeit nun auch beim Betreiber der Fanpage, da dieser mit seinen Einstellungsmöglichkeiten darauf Einfluss nehmen kann, welche Daten ausgewertet und übermittelt werden. Diesbezüglich kann eine gemeinsame Verantwortlichkeit laut EuGH begründet werden.

 

Betriebsrat: eigener Verantwortlicher? oder Bestandteil des Unternehmens?

Die Rechtsprechung des BAG sah den Betriebsrat bisher als Bestandteil der verantwortlichen Stelle, aber nicht im Sinne des Datenschutzrechtes. Ob diese Ansicht noch seit dem 25. Mai 2018 gilt, ist umstritten. Bis zu diesem Datum galten natürliche und juristische Personen, Gesellschaften und andere Personengesellschaften des privaten Rechts als verantwortliche Stelle (§ 2 Abs. 4 BDSG a.F.). Darunter fällt der Betriebsrat nicht. Durch die Datenschutzgrundverordnung wurde die Definition geändert. Damit ist es strittig, ob der Betriebsrat selbst eine verantwortliche Stelle ist oder Bestandteil des verantwortlichen Unternehmens ist.

Es gibt zu dieser Frage noch keine gerichtliche Entscheidung, aber Äußerungen der Aufsichtsbehörden. Eine deutliche Position gibt es von dem Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württembergs. Er beantwortet die Frage in seinem Tätigkeitsbericht Datenschutz 2018 und vertritt die Auffassung, dass es ein eigener Verantwortlicher im Sinne von Artikel 4 DSGVO Nr. 7 ist.

 

Information Commissioner’s Office – Leitfaden der englischen Aufsichtsbehörde mit Abgrenzungskriterien zur Klärung der gemeinsamen Verantwortlichkeit.

Die englische Aufsichtsbehörde hat einen Leitfaden veröffentlicht, welcher der Fragen zur gemeinsamen Verantwortlichkeit behilflich sein kann. Die Eignung dieser Kriterien zur 100%igen Vereinfachung der Entscheidung ist noch offen.

  • Gemeinsames Ziel beider Unternehmen zur Verarbeitung personenbezogener Daten
  • Beide Verantwortliche Unternehmen verarbeiten personenbezogenen Daten mit gleichem Zweck
  • Zugriff auf die gleichen personenbezogenen Daten wie z.B. über eine Datenbank
  • Gemeinsame Kampagne oder Konzept mit Abstimmung zur Verarbeitung der personenbezogenen Daten.
  • Abstimmung beider Unternehmen in den Betroffenenrechten und der Informationspflicht

 

Fazit

Eine genaue Begutachtung und Entscheidung, in welchem Verhältnis die unterschiedlichen Beteiligten zueinanderstehen, ist unbedingt notwendig. Alle anfallenden Pflichten sind genau aufzulisten und aufzuteilen. Zur Bußgeldvermeidung ist eine Klärung der Haftungsfrage in jedem Bereich zu klären.

 

Weitere News zur DSGVO:

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/