In der Praxis besteht eine gewisse Unsicherheit bzgl. der Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung (DSGVO). Dieser Beitrag erläutert den Begriff des Verantwortlichen allgemein und setzt ihn in Kontext praxisrelevanter Konstellationen.
Der Inhalt im Überblick
Wer ist Verantwortlicher?
Der Begriff der Verantwortlichkeit wird, wie viele weitere Begriffe, in Art. 4 DSGVO definiert. Genau genommen findet sich die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO. Verantwortlicher ist demnach die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Hierbei lässt sich schon erkennen, dass sich der Begriff des Verantwortlichen nicht auf eine einzige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bezieht. Verantwortlicher im Sinne der DSGVO können auch mehrere Stellen sein, wenn sie gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Damit die Wahrung der bestehenden datenschutzrechtlichen Verpflichtungen auch im Falle einer gemeinsamen Verantwortlichkeit sichergestellt ist, finden sich weitere Regelungen zur gemeinsamen Verantwortlichkeit in Art. 26 DSGVO. Insbesondere haben die gemeinsam Verantwortlichen in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtungen gemäß der DSGVO erfüllt (insbesondere im Hinblick auf die Informationspflichten und die Betroffenenrechte).
Zweck der gemeinsamen Verantwortlichkeit
Warum bedarf es der Figur der gemeinsamen Verantwortlichkeit? Auf diese Frage geht der Gesetzgeber insbesondere in Erwägungsgrund 79 zur DSGVO ein. Dort heißt es:
„Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.“
Insbesondere für die betroffenen Personen sollen die Verantwortlichkeiten bei der Verarbeitung ihrer personenbezogenen Daten transparent und nachvollziehbar sein. Bei zunehmend komplexeren Verarbeitungskonstellationen, bei denen zahlreiche Personen und Stellen an der Verarbeitung personenbezogener Daten beteiligt sind, soll ein Raum der Verantwortungslosigkeit auf jeden Fall vermieden werden. Die von einer Datenverarbeitung betroffenen Personen sollen nicht zum Spielball von Unternehmen oder sonstigen Stellen werden, die bei der Frage nach der Verantwortlichkeit stets auf eine weitere Stelle verweisen. Sich aus den bestehenden Regelungen ggf. ergebende Abgrenzungsschwierigkeiten werden zum Schutze der betroffenen Personen in Kauf genommen.
Die Verantwortlichkeit mit Facebook
Unternehmen verwenden für ihr medialen Außendarstellung regelmäßig auch Social-Media-Kanäle. Weit bekannt sind dabei Facebook-Fanpages.
Unternehmen nutzen Facebook-Fanpages, um ihr Unternehmen Online zu repräsentieren. Über die Fanpage ist es möglich mit den Kunden zu kommunizieren und eine gewisse Beziehung aufzubauen. Facebook stellt interessierten Unternehmen dabei nicht nur seine Plattform zur Verfügung, sondern auch eine Reihe von Auswertungsmöglichkeiten zur Effektivität der Fanpage. Grundlage für die Auswertungen sind zahlreiche Nutzerdaten. In der Vergangenheit wurde die Verantwortlichkeit für die Erhebung und Auswertung von Nutzerdaten eher pauschal bei Facebook gesehen, da letztendlich auch nur Facebook entsprechende Daten erhebt und auswertet.
Die Frage, wer bei einer Nutzung von Facebook-Fanpages für die Verarbeitung der personenbezogenen Daten der Fanpage-Besucher verantwortlich ist, ist vor kurzem vom EuGH entschieden worden. Gemäß der Entscheidung des EuGH sind sowohl Facebook als auch das jeweilige Unternehmen oder die jeweilige Einrichtung, die eine Facebook-Fanpage betreiben, gemeinsam für die Verarbeitung der personenbezogenen Daten der Nutzer verantwortlich. Gemäß der Entscheidung des EuGH ist es für eine gemeinsame Verantwortlichkeit nicht relevant, dass jeder Beteiligte in gleichwertiger Art und Weise Einfluss auf die Zwecke und Mittel der Verarbeitung personenbezogener Daten hat. Im Falle von Facebook-Fanpages sei ausreichend, dass der jeweilige Betreiber einer Facebook-Fanpage über bestimmte Einstellungen beeinflussen und entscheiden kann, welche Auswertung erstellt und übermittelt werden. Nach Auffassung des EuGH ist das ausreichend, um eine gemeinsame Verantwortung zu begründen. Hierzu hatten wir in der Vergangenheit bereits detaillierter berichtet.
Der Betriebsrat als Verantwortlicher
Gemäß der Rechtsprechung des BAG wurde der Betriebsrat bisher stets als Bestandteil der verantwortlichen Stelle angesehen und nicht selbst als Verantwortlicher im datenschutzrechtlichen Sinne bewertet. Ob diese Einschätzung auch für die Rechtslage seit dem 25. Mai 2018 übernommen werden kann, ist umstritten. Gemäß der Rechtslage bis zum 25. Mai 2018 kamen als verantwortliche Stellen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts in Betracht (§ 2 Abs. 4 BDSG a.F.). Betriebsräte unterfallen keiner dieser Stellen. Da sich die Definition des Verantwortlichen mit der Einführung der DSGVO geändert hat, lässt sich auch wieder darüber streiten, ob Betriebsräte selbst verantwortliche Stellen sind oder weiterhin als Bestandteil eines anderen verantwortlichen (des jeweiligen Unternehmens) zu werten sind.
Die Frage ist bisher nicht gerichtlich entschieden. Die Aufsichtsbehörden haben sich jedoch teilweise bereits zu der Frage geäußert. Beispielsweise positioniert sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württembergs in seinem Tätigkeitsbericht Datenschutz 2018 deutlich zu dieser Frage – nach Auffassung der Aufsichtsbehörde aus Baden-Württemberg ist der Betriebsrat als eigener verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einzustufen.
Abgrenzungskriterien gemäß der Englischen Aufsichtsbehörde (Information Commissioner’s Office)
In einem Leitfaden zur Datenschutz-Grundverordnung hat die Englische Aufsichtsbehörde Abgrenzungskriterien veröffentlicht, mit deren Hilfe die Frage beantwortet werden soll, ob eine gemeinsame Verantwortlichkeit vorliegt.
- Das Unternehmen hat mit einem anderen Unternehmen ein gemeinsames Ziel im Rahmen der Verarbeitung personenbezogener Daten.
- Das Unternehmen verarbeitet die personenbezogenen Daten für den gleichen Zweck wie ein anderer Verantwortlicher.
- Das Unternehmen verwendet für diese Verarbeitung die gleichen personenbezogenen Daten (z.B. eine Datenbank) wie ein anderes Unternehmen.
- Das Unternehmen hat sich bezüglich der Verarbeitung der personenbezogenen Daten mit einem anderen Unternehmen abgestimmt (gemeinsames Konzept/Kampagne).
- Das Unternehmen hat sich bezüglich der Informationspflichten/Wahrnehmung der Betroffenenrechte gemeinsam mit einem anderen Unternehmen abgestimmt.
Inwieweit diese Kriterien geeignet sind, die Bestimmung einer gemeinsamen Verantwortlichkeit zu vereinfachen, wird sich noch zeigen.
Klar identifizieren und differenzieren
Ob gemeinsame oder eigene Verantwortlichkeit, in der Praxis ist stets zu prüfen in welchem Verhältnis sich Unternehmen befinden. Mit der Verantwortlichkeit gehen Pflichten einher, welche klar aufgeteilt werden müssen. Ebenfalls können Bußgelder verhängt werden, sodass auch Haftungsfragen im Innen- als auch im Außenverhältnis geklärt werden sollten.
Wer ist denn der Verantwortliche für die Datenverarbeitung wenn bei uns im Laden, an einem PC, Daten eines Kunden von einem unserer Mitarbeiter direkt in die Eingabemaske auf der Homepage eines Lieferanten eingegeben werden?
Verantwortlicher im Sinne der DS-GVO seit Ihr, da Ihr die Daten erhebt und eingebt. Ihr müsstet dann einen AV-Vertrag mit Eurem Lieferanten haben. Somit sollte es gemäß DS-GVO konform sein.
Hallo, wer ist denn Verantwortlicher in einer Lieferkette. Ist der Hersteller Verantwortlicher, wenn dieser Endverbraucherdaten vom Verkäufer erhält? Sagen wir mal, der Hersteller verarbeitet diese Endverbraucherdaten (durch Speicherung) um ein Individualprodukt für den Verkäufer herzustellen. VG
In den meisten Lieferketten sind der Hersteller und der Verkäufer jeweils als verantwortliche Stelle einzustufen (2 Verantwortliche). Bestellt ein Endverbraucher beispielsweise bei einem Verkäufer ein paar individualisierte Schuhe, die vom Hersteller noch angefertigt werden müssen, sind für die Verarbeitung der erforderlichen personenbezogenen Daten sowohl der Verkäufer als auch der Hersteller jeweils selbst verantwortlich (zwei Verantwortliche). Sowohl der Verkäufer als auch der Hersteller verarbeiten die Daten im Wesentlichen für eigene Zwecke. Es kommt letztendlich jedoch immer noch darauf an, welche personenbezogenen Daten für welche Zwecke weitergegeben werden, so dass man um eine Einzelfallbetrachtung nicht herumkommen wird.
Vielen Dank für Ihre rasche Antwort! In der Lieferkette haben Hersteller und Endverbraucher ja selten direkten Kontakt zueinander. Es erschließt sich mir nicht, wie der Schuhhersteller eine Einwilligung vom Verbraucher für seine Daten einholen soll (womöglich werden dabei ja sogar Gesundheitsdaten zwecks Plattfüßen ausgetauscht, Art 9 Abs. 1, 2a DSGVO). Und wie soll der Hersteller den Verbraucher nach Art. 14 DSGVO entsprechend informieren (Art. 14 DSGVO, da keine direkte Datenerhebung des Herstellers beim Verbraucher)? VG
Welche Rechtgrundlage für die Übermittlung von personenbezogenen Daten eines Bestellers vom Verkäufer an den Hersteller herangezogen werden kann, hängt vom jeweiligen Einzelfall ab. In der Regel wird man hier auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) zurückgreifen können – bei Gesundheitsdaten kann hingegen eine vorherige Einwilligung erforderlich sein. Informationen zum Datenschutz könnten der jeweiligen Paketsendung beigelegt oder auf anderem Wege zur Verfügung gestellt werden. Hilfreiche Abgrenzungskriterien zu den datenschutzrechtlichen Verantwortlichkeiten finden sich z.B. in der Auslegungshilfe „Was ist Auftragsverarbeitung und was nicht?“ des BayLDA (https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf)
Das beantwortet nicht den Diskussionspunkt um die Einholung der Einwilligung in dem Beispiel. Dies zeigt mir, wie verwirrend im Moment die Vorgaben der DSGVO in der Praxis sein können. Allerdings denke ich, dass bei meinem Beispiel Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) eben nicht einschlägig ist. Vertragspartei des Herstellers ist ja eben nicht der Verbraucher. Hier wäre Art. 6 a) oder f) einschlägig. Bei Gesundheitsdaten wie im Beispiel komm meiner Meinung nach nur die Einwilligung in Betracht. Wie dies praxisgerecht gelöst werden kann, bleibt leider offen. VG
Wie ist das datenschutzrechtlich zu bewerten, wenn zwischen zwei Unternehmen ein Betriebsführungsvertrag abgeschlossen wurde! Muss hier ein Vertrag gem. Art. 28 DSGVO oder Art. 26 DSGVO abgeschlossen werden?
Dies lässt sich i.d.R. nicht so leicht beantworten. Es kommt wie so oft darauf an, was innerhalb des Betriebsführungsvertrags vereinbart wird.
Wird das Konstrukt objektiv betrachtet, lässt sich eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ausschließen, da eine Souveränität bzgl. der Eigentümergesellschaft trotz fremder Führung des Unternehmens weiterhin besteht und davon ausgegangen werden darf, dass das dienstleistende Unternehmen die personenbezogenen Daten nicht zu eigene Zwecke verarbeiten wird. Eine Auftragsverarbeitung würde ich ebenfalls ausschließen, da hierbei nicht die Verarbeitung von personenbezogenen Daten im Fokus steht. Demnach kann eine Eigenverantwortlichkeit des Dienstleisters angenommen werden.
Ich möchte jedoch darauf hinweisen, dass jeder Fall eine individuelle Abgrenzung benötigt.
Sind wir als Verantwortliche nach der DSGVO anzusehen, wenn wir als Beraterfirma nur die Links wie zum Beispiel Zoom oder Microsoft Teams zur Verfügung stellen, um mit MA oder Kunden zu sprechen? Wir entscheiden nicht über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten, da wir nur den Link zur Verfügung stellen.
Dies lässt sich mit den vorliegenden Informationen nicht abschließend beantworten. Sollten Sie die Anwendungen lokal oder über eine zugehörige Cloud betreiben, darf eine Verantwortlichkeit Ihrerseits angenommen werden. Werden die Zugänge lediglich von Dritten an Sie herangereicht bzw. erfolgt die Einladung durch Dritte und Sie leiten diese an Kunden weiter, so kann eine Verantwortlichkeit Ihrerseits verneint werden.
Wenn ein Radiosender im Rahmen einer Kampagne O-Töne aufnimmt und veröffentlicht, um dann nach der Veröffentlichung die weiteren Nutzungsrechte an der Aufnahme an den Kampagnenpartner zu übertragen, wer muss dann die vorherige datenschutzrechtliche Einwilligung für die Veröffentlichtung der O-Töne einholen? Der Radiosender oder der Kampagnenpartner?
In Bezug zu ihrer Frage kann keine allgemeine Aussage getroffen werden. Grund dafür ist, dass nicht ersichtlich ist, wie die Kampagne ausgestaltet ist. Handelt es sich um eine einfache Werbung, die im Radiosender abgespielt wird oder vielmehr um einen Gastauftritt, der wiederum für den Kampagnenpartner wirbt? Je nach Konstellation, sind andere datenschutzrechtliche Anforderungen zu beachten. Zumal im Falle von Nutzungsrechte und Veröffentlichungen auch andere Rechtsgebiete tangiert sind, wie das Urheberrecht als auch das Zivilrecht. Aus diesem Grund können wir keine Kampagnen-Spezifische Antwort liefern.