Haftung und Verantwortung: Die verantwortliche Stelle im Datenschutz
In der DSGVO und im Datenschutz ist neben personenbezogenen Daten auch stets von der verantwortlichen Person die Rede. Weniger mit dem Datenschutz vertraute Personen sind sich jedoch nicht immer sicher wer - in welchem Fall - tatsächlich der/die Verantwortliche ist. Dieser Artikel soll bei der Bestimmung des bzw. der Verantwortlichen helfen.
Wer ist verantwortlich für Datenschutz?
Die DSGVO bietet hierzu in Art. 4 Abs. 1 Nr. 7 DSGVO eine umfangreiche Begriffsbestimmung.
Insbesondere der zweite Teil der unten genannten Begriffsbestimmung bereitet Verständnisprobleme. "Gemeinsam" bedeutet in diesem Fall, dass es nicht nur einen Verantwortlichen, sondern sogar mehrere Verantwortliche gleichzeitig geben kann. Aus diesem Grund wurden in Art. 26 DSGVO auch besondere Regelungen für "gemeinsam Verantwortliche" getroffen.
In Abgrenzung hierzu gibt es noch die Betroffenen und die Auftragsverarbeiter:innen. Betroffene sind die "Inhaber" der personenbezogenen Daten zu denen ein Personenbezug hergestellt werden kann (z. B. Kund:innen und Webseitenbesucher:innen). Auftragsverarbeiter:innen hingegen werden von Verantwortlichen (z. B. Unternehmen) damit beauftragt bestimmte Leistungen zu erbringen und Daten zu verarbeiten (z. B. Webhosting, E-Mail Postfach).
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet [...]
Verantwortliche Stelle bzw. Verantwortliche:r ist demnach immer die Behörde bzw. das Unternehmen welches die **Daten verarbeitet **und über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es kann sich bei einer verantwortlichen Stelle aber auch um eine natürliche Person handeln.
Diese Unterscheidung ist wichtig, denn so sind z. B. Auftragsverarbeiter keine Verantwortlichen im Sinne der DSGVO. Bei echten Auftragsverarbeitungstätigkeiten entscheidet der/die Verantwortliche wie und zu welchem Zweck die Daten verarbeitet werden - daher entscheidet der/die Verantwortliche alleine über die Zwecke und Mittel der Verarbeitung (s. o.).
Sollte ein:e Auftragsverarbeiter:in jedoch damit beginnen personenbezogene Daten (welche er/sie von Verantwortlichen erhalten hat) zu eigenen Zwecken zu verarbeiten, liegt keine Auftragsdatenverarbeitung mehr vor. In solchen Fällen handelt es sich dann um zwei Verantwortliche.
Vereinfachung
Verantwortliche im Sinne der DSGVO sind alle Stellen welche über die Zwecke und Mittel der Datenverarbeitung entscheiden (können).
Folgen und Haftung
Dies hat weitreichende Folgen, denn gemeinsam Verantwortliche haften in der Regel auch gemeinsam. Sollten demnach z. B. zwei Unternehmen im Rahmen einer Partnerschaft gemeinsam Neukunden gewinnen und diese Kund:innendaten teilen, haften beide Unternehmen gemeinsam.
Eine unerlaubte Weitergabe der Kund:innendaten durch Unternehmen B kann also auch Unternehmen A betreffen. Die DSGVO versucht hierdurch die gemeinsamen Verantwortlichen bei solchen geteilten Verarbeitungstätigkeiten weitgehend zu verstricken. Das erhöhte Risiko soll den Druck auf die Verantwortlichen - die einzelnen Verarbeitungsvorgänge zu dokumentieren und ein gutes Datenschutzmanagement zu betreiben - deutlich erhöhen.
Auch haften Verantwortliche für unerlaubte Verarbeitungstätigkeiten von Auftragsverarbeitern, sofern diese Ihre Auswahl- und Überwachungspflichten vernachlässigt haben.
Datenschutz Verantwortliche Beispiele
Private Verarbeitung
Hans feiert zusammen mit Maria seine Hochzeit und bittet alle Hochzeitsgäste sich für seinen privaten Newsletter zu registrieren.
Hans ist nicht Verantwortlicher im Sinne der DSGVO, da die DSGVO bei rein privaten oder familiären Tätigkeiten nicht anzuwenden ist.
Auftragsverarbeitung (Regelfall)
Unternehmen A betreibt eine Webseite mit einem Kontaktformular beim Hostinganbieter B.
Unternehmen A ist Verantwortlicher und Hostinganbieter B ist Auftragsverarbeiter.
Auftragsverarbeitung (Verschlüsselung)
Unternehmen A erstellt im Unternehmen Backups und verschlüsselt diese. Die verschlüsselten Daten werden an den Cloudspeicher C übertragen.
Unternehmen A ist Verantwortlicher und Cloudspeicher C ist Auftragsverarbeiter, dies gilt auch dann wenn C nur verschlüsselte Daten speichert.
Gemeinsam Verantwortliche (Regelfall)
Unternehmen A startet zusammen mit Unternehmen B ein Gewinnspiel. Die Unternehmen betreiben zusammen eine Plattform zur Registrierung für dieses Gewinnspiel beim Hostinganbieter C.
Unternehmen A und B sind gemeinsam Verantwortliche. Hostinganbieter C ist Auftragsverarbeiter.
Gemeinsam Verantwortliche (Verstrickung)
Unternehmen A und Unternehmen B arbeiten zusammen am Projekt X. Projekt X bietet Endkund:innen Beratung im Bereich Z an. Die Endkund:innen suchen zur Beratung nur Unternehmen A auf und die Beratung findet auch nur in den Räumlichkeiten von A statt. Unternehmen B entsendet jedoch einen Mitarbeiter C zum Standort des Unternehmens A, um dieses bei der Durchführung des Projekts X zu unterstützen.
Da nicht auszuschließen ist das Mitarbeiter C personenbezogene Daten verarbeiten wird oder ihm diese zur Kenntnis gelangen liegt eine gemeinsame Verantwortung vor. Dabei spielt es keine Rolle, ob die Verarbeitungstätigkeiten nur in den Räumlichkeiten eines oder beider Unternehmen durchgeführt werden.
Unsere Lösungen für zuverlässige und skalierbare Infrastruktur
Skalieren Sie Ihre IT-Infrastruktur mühelos und betreiben Sie Ihre Anwendungen schnell und sicher mit unseren cloudbasierten Technologielösungen.
Testen Sie Glasskube kostenlos
Ihre Cloud Native Experten für zuverlässe IT-Infrastrukturlösungen und den automatisieren Betrieb von Open Source tools.