Wer ist DSGVO-Verantwortlicher: Definition und Haftung

Bei der Datenverarbeitung bedienen sich Unternehmen regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit ergibt sich die Frage, welche der beteiligten Akteure welche Datenschutzvorgaben zu beachten haben.

Wer ist Verantwortlicher im Sinne der DSGVO?

Die Regelungen der DSGVO richten sich in weiten Teilen an den sogenannten „Verantwortlichen“. Wer Verantwortlicher ist, definiert Art. 4 Nr. 7 DSGVO. Demnach ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Maßgeblich ist also die Entscheidungsgewalt über Zwecke und Mittel der Verarbeitung, nicht etwa die innere Organisationsstruktur des verarbeitenden Unternehmens. So ist auch in Konzernen die jeweils verarbeitende Konzerneinheit und nicht etwa der gesamte Konzern als Verantwortlicher anzusehen.

Was bedeutet gemeinsame Verantwortlichkeit?

Insbesondere in komplexen wirtschaftlichen Prozessen kommt es häufig vor, dass nicht nur eine Stelle isoliert über die Zwecke und Mittel der Datenverarbeitung entscheidet, sondern dass mehrere Stellen in die Datenverarbeitung eingebunden sind. Entscheiden diese Stellen gemeinsam über Zwecke und Mittel der Datenverarbeitung, spricht die DSGVO von „gemeinsamer Verantwortlichkeit“. Hierbei muss der Einfluss der Verantwortlichen auf die Entscheidungsfindung keinesfalls stets gleich groß sein. Liegt gemeinsame Verantwortlichkeit vor, müssen die Beteiligten nach Art. 26 Abs. 1 DSGVO eine Vereinbarung treffen, in der sie die Zuständigkeiten für die Erfüllung datenschutzrechtlicher Pflichten untereinander aufteilen. Macht sich einer der Verantwortlichen nach der DSGVO schadensersatzpflichtig, kann der Geschädigte sich allerdings mit seinem Anspruch in voller Höhe an alle gemeinsam Verantwortlichen wenden.

Was ist und wer ist ein Auftragsdatenverarbeiter?

Liegt keine gemeinsame Verantwortlichkeit vor, weil die beteiligten Stellen nicht gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, ist an das Vorliegen einer Auftragsdatenverarbeitung zu denken: Der Auftragsdatenverarbeiter agiert als „verlängerter Arm“ des Verantwortlichen. Er verarbeitet Daten also weisungsgebunden ohne eigenen Entscheidungsspielraum hinsichtlich Zwecken und Mitteln der Verarbeitung. Der klassische Fall der Auftragsdatenverarbeitung ist das Outsourcing bestimmter Verarbeitungsvorgänge an externe Dienstleister. Da der Auftragsdatenverarbeiter nur als „verlängerter Arm“ des Verantwortlichen agiert, muss sich der Verantwortliche die Handlungen des Auftragsdatenverarbeiters in der Regel so zurechnen lassen, als wären es seine eigenen Handlungen. Ferner muss der Verantwortliche darauf achten, den Auftragsdatenverarbeiter sorgfältig auszuwählen und ggf. zu kontrollieren. Darüber hinaus treffen den Auftragsdatenverarbeiter auch eine Reihe eigener Pflichten. So muss er etwa ein Verzeichnis von Verarbeitungstätigkeiten führen (vgl. Art. 30 Abs. 2 DSGVO) und haftet bei Datenschutzverstößen unter Umständen (auch) direkt gegenüber den Betroffenen (vgl. Art. 82 DSGVO).

Welche Pflichten treffen Verantwortliche (Auswahl)?

Die DSGVO normiert eine Reihe von Pflichten, denen der Verantwortliche im Falle einer Verarbeitung personenbezogener Daten nachzukommen hat. Im Folgenden werden einige wichtige Pflichten beispielhaft aufgeführt.

a. Informationspflichten (Art. 12 ff. DSGVO)

Der Verantwortliche hat dem Betroffenen im Falle einer Verarbeitung ihn betreffender personenbezogener Daten bestimmte Informationen zur Verfügung zu stellen. Dabei unterscheiden sich die Informationspflichten in Abhängigkeit davon, ob die Daten direkt beim Betroffenen oder aber bei einem Dritten erhoben werden.

Liegt eine Direkterhebung beim Betroffenen vor, richtet sich der Inhalt der Informationspflichten nach dem umfassenden Katalog in Art. 13 DSGVO. Der Betroffene ist demnach unverzüglich zu informieren. Liegt keine Direkterhebung vor, so hat der Verantwortliche dem Betroffenen die in Art. 14 DSGVO aufgelisteten Informationen zur Verfügung zu stellen. Dabei reicht es aus, wenn die Information innerhalb einer angemessenen Frist, spätestens aber nach einem Monat erfolgt.

In welcher Art und Weise die jeweiligen Informationen erteilt werden müssen, regelt für beide Konstellationen Art. 12 DSGVO. Hiernach ist den Informationspflichten in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Eine bestimmte Übermittlungsweise ist dabei nicht vorgeschrieben – ausreichen kann zum Beispiel eine schriftliche, aber auch eine elektronische Mitteilung.

b. Datenschutzbeauftragter (Art. 37 ff. DSGVO)

Unter bestimmten Voraussetzungen müssen Verantwortliche zudem einen Datenschutzbeauftragten bestellen, der die Einhaltung der datenschutzrechtlichen Vorgaben im Betrieb überwacht und koordiniert. Erforderlich wird die Bestellung eines Datenschutzbeauftragten jedenfalls in zwei Konstellationen:

  • Erstens schreibt Art. 37 Abs. 1 DSGVO in bestimmten Fällen die Bestellung vor, zum Beispiel wenn es sich bei der verarbeitenden Stelle um eine Behörde handelt oder die Kerntätigkeit des Verantwortlichen in der Verarbeitung besonders sensibler Daten besteht.
  • Zweitens – und deutlich praxisrelevanter – muss gemäß § 38 Abs. 1 BDSG ein Datenschutzbeauftragter ernannt werden, wenn in der Regel mindestens 20 Personen im Betrieb ständig mit automatisierten Verarbeitungsvorgängen beschäftigt sind. Neben dieser zentralen Bestimmung schreibt § 38 BDSG die Benennung ferner vor, wenn besonders risikoreiche Verarbeitungen vorgenommen werden oder Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt oder Meinungsforschung verarbeitet werden.

c. Meldepflichten (Art. 33 f. DSGVO)

Die DSGVO sieht in den Art. 33 f. eine Verschärfung der Meldepflicht des Verantwortlichen bei Datenpannen vor, was dem Betroffenenschutz dient.

Art. 33 DSGVO regelt dabei die Meldung gegenüber der Aufsichtsbehörde: Die Aufsichtsbehörde soll über potentielle Gefahren Kenntnis erlangen, um ggf. Gegenmaßnahmen ergreifen oder Sanktionen verhängen zu können. Deshalb hat eine Meldung grundsätzlich bei jedem Datenschutzverstoß unabhängig von dessen Art oder Ausmaß zu erfolgen, es sei denn, die Verletzung führt (ausnahmsweise) voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Soweit möglich, hat die Meldung innerhalb von 72 Stunden ab Bekanntwerden der Verletzung zu erfolgen. Welche Informationen der Behörde genau mitgeteilt werden müssen, wird in Art. 33 Abs. 3 DSGVO präzisiert.

Die Meldepflicht gegenüber Betroffenen ist in Art. 34 DSGVO niedergelegt. Hiernach hat eine Meldung nur zu erfolgen, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Dabei kann die Meldepflicht durch eine öffentliche Bekanntmachung ersetzt werden, wenn die direkte Meldung unverhältnismäßig aufwendig wäre (Art. 34 Abs. 3 lit. c) DSGVO). Insgesamt ist hier also das Regel-Ausnahme-Verhältnis im Vergleich zu Art. 33 DSGVO umgekehrt: Während gegenüber der Aufsichtsbehörde in der Regel jeder Verstoß zu melden ist, müssen gegenüber dem Betroffenen zusätzliche Voraussetzungen hinzukommen, um eine Meldepflicht zu begründen.