Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Datenschutzberatung helfen wir Ihnen dabei, die Vorgaben der DSGVO, sowie den Anforderung des BDSG-Gesetzes pragmatisch umzusetzen.

Bestimmung der Verantwortlichkeit im Sinne der DSGVO

Bestimmung der Verantwortlichkeit im Sinne der DSGVO

In der Praxis besteht eine gewisse Unsicherheit bzgl. der Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Dieser Beitrag erläutert den Begriff des Verantwortlichen allgemein und setzt ihn in Kontext praxisrelevanter Konstellationen.

Wer ist Verantwortlicher?

Der Begriff der Verantwortlichkeit wird, wie viele weitere Begriffe, in Art. 4 DSGVO definiert. Genau genommen findet sich die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO. Verantwortlicher ist demnach die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Hierbei lässt sich schon erkennen, dass sich der Begriff des Verantwortlichen nicht auf eine einzige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezieht. Verantwortlicher im Sinne der DSGVO können auch mehrere Stellen sein, wenn sie gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Damit die Wahrung der bestehenden datenschutzrechtlichen Verpflichtungen auch im Falle einer gemeinsamen Verantwortlichkeit sichergestellt ist, finden sich weitere Regelungen zur gemeinsamen Verantwortlichkeit in Art. 26 DSGVO. Insbesondere haben die gemeinsam Verantwortlichen in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtungen gemäß der DSGVO erfüllt (insbesondere im Hinblick auf die Informationspflichten und die Betroffenenrechte).

Zweck der gemeinsamen Verantwortlichkeit

Warum bedarf es der Figur der gemeinsamen Verantwortlichkeit? Auf diese Frage geht der Gesetzgeber insbesondere in Erwägungsgrund 79 zur DSGVO ein. Dort heißt es:

„Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.“

Insbesondere für die betroffenen Personen sollen die Verantwortlichkeiten bei der Verarbeitung ihrer personenbezogenen Daten transparent und nachvollziehbar sein. Bei zunehmend komplexeren Verarbeitungskonstellationen, bei denen zahlreiche Personen und Stellen an der Verarbeitung personenbezogener Daten beteiligt sind, soll ein Raum der Verantwortungslosigkeit auf jeden Fall vermieden werden. Die von einer Datenverarbeitung betroffenen Personen sollen nicht zum Spielball von Unternehmen oder sonstigen Stellen werden, die bei der Frage nach der Verantwortlichkeit stets auf eine weitere Stelle verweisen. Sich aus den bestehenden Regelungen ggf. ergebende Abgrenzungsschwierigkeiten werden zum Schutze der betroffenen Personen in Kauf genommen.

Die Verantwortlichkeit mit Facebook

Unternehmen verwenden für ihr medialen Außendarstellung regelmäßig auch Social-Media-Kanäle. Weit bekannt sind dabei Facebook-Fanpages.

Unternehmen nutzen Facebook-Fanpages, um ihr Unternehmen Online zu repräsentieren. Über die Fanpage ist es möglich mit den Kunden zu kommunizieren und eine gewisse Beziehung aufzubauen. Facebook stellt interessierten Unternehmen dabei nicht nur seine Plattform zur Verfügung, sondern auch eine Reihe von Auswertungsmöglichkeiten zur Effektivität der Fanpage. Grundlage für die Auswertungen sind zahlreiche Nutzerdaten. In der Vergangenheit wurde die Verantwortlichkeit für die Erhebung und Auswertung von Nutzerdaten eher pauschal bei Facebook gesehen, da letztendlich auch nur Facebook entsprechende Daten erhebt und auswertet.

Die Frage, wer bei einer Nutzung von Facebook-Fanpages für die Verarbeitung der personenbezogenen Daten der Fanpage-Besucher verantwortlich ist, ist vor kurzem vom EuGH entschieden worden. Gemäß der Entscheidung des EuGH sind sowohl Facebook als auch das jeweilige Unternehmen oder die jeweilige Einrichtung, die eine Facebook-Fanpage betreiben, gemeinsam für die Verarbeitung der personenbezogenen Daten der Nutzer verantwortlich. Gemäß der Entscheidung des EuGH ist es für eine gemeinsame Verantwortlichkeit nicht relevant, dass jeder Beteiligte in gleichwertiger Art und Weise Einfluss auf die Zwecke und Mittel der Verarbeitung personenbezogener Daten hat. Im Falle von Facebook-Fanpages sei ausreichend, dass der jeweilige Betreiber einer Facebook-Fanpage über bestimmte Einstellungen beeinflussen und entscheiden kann, welche Auswertung erstellt und übermittelt werden. Nach Auffassung des EuGH ist das ausreichend, um eine gemeinsame Verantwortung zu begründen. Hierzu hatten wir in der Vergangenheit bereits detaillierter berichtet.

Der Betriebsrat als Verantwortlicher

Gemäß der Rechtsprechung des BAG wurde der Betriebsrat bisher stets als Bestandteil der verantwortlichen Stelle angesehen und nicht selbst als Verantwortlicher im datenschutzrechtlichen Sinne bewertet. Ob diese Einschätzung auch für die Rechtslage seit dem 25. Mai 2018 übernommen werden kann, ist umstritten. Gemäß der Rechtslage bis zum 25. Mai 2018 kamen als verantwortliche Stellen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts in Betracht (§ 2 Abs. 4 BDSG a.F.). Betriebsräte unterfallen keiner dieser Stellen. Da sich die Definition des Verantwortlichen mit der Einführung der DSGVO geändert hat, lässt sich auch wieder darüber streiten, ob Betriebsräte selbst verantwortliche Stellen sind oder weiterhin als Bestandteil eines anderen verantwortlichen (des jeweiligen Unternehmens) zu werten sind.

Die Frage ist bisher nicht gerichtlich entschieden. Die Aufsichtsbehörden haben sich jedoch teilweise bereits zu der Frage geäußert. Beispielsweise positioniert sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württembergs in seinem Tätigkeitsbericht Datenschutz 2018 deutlich zu dieser Frage – nach Auffassung der Aufsichtsbehörde aus Baden-Württemberg ist der Betriebsrat als eigener verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVOeinzustufen.

Abgrenzungskriterien gemäß der Englischen Aufsichtsbehörde (Information Commissioner’s Office)

In einem Leitfaden zur Datenschutz-Grundverordnung hat die Englische Aufsichtsbehörde Abgrenzungskriterien veröffentlicht, mit deren Hilfe die Frage beantwortet werden soll, ob eine gemeinsame Verantwortlichkeit vorliegt.

  • Das Unternehmen hat mit einem anderen Unternehmen ein gemeinsames Ziel im Rahmen der Verarbeitung personenbezogener Daten.
  • Das Unternehmen verarbeitet die personenbezogenen Daten für den gleichen Zweck wie ein anderer Verantwortlicher.
  • Das Unternehmen verwendet für diese Verarbeitung die gleichen personenbezogenen Daten (z.B. eine Datenbank) wie ein anderes Unternehmen.
  • Das Unternehmen hat sich bezüglich der Verarbeitung der personenbezogenen Daten mit einem anderen Unternehmen abgestimmt (gemeinsames Konzept/Kampagne).
  • Das Unternehmen hat sich bezüglich der Informationspflichten/Wahrnehmung der Betroffenenrechte gemeinsam mit einem anderen Unternehmen abgestimmt.

Inwieweit diese Kriterien geeignet sind, die Bestimmung einer gemeinsamen Verantwortlichkeit zu vereinfachen, wird sich noch zeigen.

Klar identifizieren und differenzieren

Ob gemeinsame oder eigene Verantwortlichkeit, in der Praxis ist stets zu prüfen in welchem Verhältnis sich Unternehmen befinden. Mit der Verantwortlichkeit gehen Pflichten einher, welche klar aufgeteilt werden müssen. Ebenfalls können Bußgelder verhängt werden, sodass auch Haftungsfragen im Innen- als auch im Außenverhältnis geklärt werden sollten.

René Glaubert

Schreibe einen Kommentar