Abgrenzung der Verantwortlichkeit

Abgrenzung von Verantwortlichen, Auftragsverarbeiter und gemeinsam Verantwortlichen

Sobald ein Unternehmen personenbezogenen Daten verarbeitet, muss der Verantwortliche eine Abgrenzung der Verantwortlichkeit vornehmen. Die Klärung dieser Frage ist unter anderem wichtig für die Feststellung, ob ein Datenschutzbeauftragter bestellt werden muss. Gleichzeitig hat die Klärung Auswirkungen auf vertragliche Vereinbarungen, wie z.B. AV- und Joint-Venture-Verträge.

Im Grunde genommen kennt die DS-GVO an dieser Stelle drei Akteure:

• Zum einen gibt es den Verantwortlichen an sich, der nach Art. 4 Nr. 7 DS-GVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam oder mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, definiert wird.

• Zum anderen gibt es den Auftragsverarbeiter. Dieser wird in Art. 4 Nr. 8 DS-GVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

• Das dritte mögliche Konstrukt geht in Art. 26 DS-GVO davon aus, dass mehrere Akteure gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich sein könnten (Joint Controllership).Wichtig ist hierbei die Klarstellung in Abs. 1 des Artikels 26, wonach eine gemeinsame Verantwortlichkeit mehrerer Stellen vorliegt, wenn alle Stellen gemeinsam die Zwecke sowie die Mittel zur Verarbeitung festlegen. Somit liegt eine gemeinsame Verantwortung dann vor, wenn mindestens zwei Verantwortliche (siehe Art. 4 Nr. 7 DS-GVO) gemeinsam personenbezogene Daten verarbeiten.