Definition nach DSGVO und BDSG

Zu der zentralen Fragestellung im Datenschutzrecht: Wer ist für die Einhaltung der Datenschutzvorgaben verantwortlich, sieht die europäische Datenschutzgrundverordnung (DSGVO) in Ihrem Artikel 4 Nr. 7 sowie das Bundesdatenschutzgesetz (BDSG neu) in seinem § 46 Nr. 7 jeweils die folgende Definition vor:

„Verantwortlicher (ist) die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“…

Demnach sind die Unternehmen, Behörden, Einrichtungen und anderen Stellen die für den Datenschutz Verantwortlichen. Unternehmen werden dabei als juristische Person von Ihren Entscheidungsträgern vertreten. So vertritt zum Beispiel der Geschäftsführer eine Gesellschaft mit beschränkter Haftung (GmbH) oder der Vorstand eine Aktiengesellschaft (AG). Bei einem Verein ist der Vorstand die verantwortliche Stelle.

Ein Einzelunternehmer kann als natürliche Person auch ein Verantwortlicher sein. Ein Beschäftigter hingegen ist in der Regel kein Verantwortlicher, da dieser nicht über Zwecke und Mittel entscheidet.

Das Bundesdatenschutzgesetz (BDSG neu) regelt die Verarbeitung personenbezogener Daten durch öffentliche Stellen. Diese gelten nach § 45 BDSG Nr. 2 als die Verantwortlichen.

Haftung und Sanktionen

Nach Klarstellung der Aufsichtsbehörden haften Unternehmern als Verantwortliche für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern nicht ein sehr deutliches Überschreiten der Unternehmensvorgaben vorliegt. So ein Überschreiten ist seitens eines Beschäftigten gegeben, wenn personenbezogenen Daten verarbeitet werden, die nicht die Belange des Unternehmens betreffen und keinen Bezug zur Tätigkeitgeit haben. In diesem Fall wird der Beschäftigte selbst zum Verantwortlichen, weil er für eigene Zwecke gehandelt hat. Wenn ein Geschäftsführer ein ihm zurechenbaren Verstoß gegen die DSGVO selbst begeht, kann er von seinem Unternehmen dafür in Regress genommen werden.

Neben Haftungsansprüchen können bei Datenschutzverstößen zulasten Betroffener auch Sanktionen gegenüber dem Verantwortlichen verhängt werden. Diese richten sich maßgeblich nach den Bestimmungen der europäischen Datenschutzverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG neu) und können in Form von Bußgeldern bis hin zu Freiheitsstrafen bestehen.

Pflicht zur Verantwortung

Aus Artikel 24 DSGVO geht hervor, dass der Verantwortliche zum Schutz der personenbezogenen Daten verpflichtet ist. Er legt hierfür technische und organisatorische Maßnahmen fest, um eine nach den Vorgaben der Verordnung korrekte Datenverarbeitung sicherzustellen. Der Verantwortliche wahrt hierfür die Grundsätze für die Verarbeitung personenbezogener Daten nach Artikel 5 DSGVO und kann deren Einhaltung gemäß seiner Rechenschaftspflicht nachweisen.  

Funktion des Datenschutzbeauftragten

Bei der Frage nach der Verantwortung rückt zunächst häufig der Datenschutzbeauftrage in den Fokus. Dessen Aufgabe ist es allerdings, den Verantwortlichen in datenschutzrechtlichen Belangen zu beraten und ihn bei der Umsetzung der Anforderungen des Datenschutzes zu unterstützen. Der Datenschutzbeauftragte selbst ist also kein Verantwortlicher. Er wird stattdessen entweder von einem Verantwortlichen als extern Beauftragter bestellt oder intern als Beauftragter zum Datenschutz bestimmt. Dabei führt er weitere Aufgaben aus, die in Artikel 39 der DSGVO festgelegt sind. Hierzu gehört die Zusammenarbeit mit der Aufsichtsbehörde. Des Weiteren fungiert der Datenschutzbeauftragte als Ansprechpartner für die Betroffenen der Datenverarbeitung und wird in Schulungen der Mitarbeiter des Verantwortlichen eingebunden.

Auftragsverarbeitung

Im Rahmen einer Verarbeitung im Auftrag nach Artikel 28 DSGVO ist der Auftraggeber der Verantwortliche. Dieser erteilt nach seinen Weisungen dem Auftragsverarbeiter einen Auftrag zur Verarbeitung von personenbezogenen Daten. Als Verantwortlichen obliegt ihm die Gesamtverantwortung im Rahmen des Auftrags für die Datenverarbeitung und der Nachweispflicht. Die Aufsichtsbehörden haben festgelegt, dass sich der Verantwortliche mit der Beauftragung eines Auftragsverarbeiters von seiner Verantwortung nicht befreien kann.

Interessanterweise ist es auch möglich, dass der Auftragsverarbeiter selbst zu einem Verantwortlichen wird. Dies ist der Fall, wenn sich der Auftragsverarbeiter im Rahmen der Beauftragung nicht an die Vorgaben des Datenschutzes hält. Das wesentliche Merkmal ist hierbei die Entscheidung über Zweck und Mittel der Verarbeitung. Sofern also der Auftragsverarbeiter unter Verstoß gegen die DSGVO darüber bestimmt, gilt er in Bezug auf diese Verarbeitung als Verantwortlicher. So legt es Artikel 28 (10) der DSGVO fest.

Gemeinsame Verantwortung

Wie aus der Definition zum Begriff des Verantwortlichen hervorgeht, kann auch gemeinsam eine Entscheidung über Zweck und Mittel einer Verarbeitung erfolgen. Legen demnach zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung fest, sind Sie nach Artikel 26 DSGVO gemeinsam Verantwortliche. Die gemeinsam Verantwortlichen legen ihre jeweiligen Verpflichtungen transparent in einem Vertrag fest. Die betroffene Person kann ihre Rechte nach der DSGVO gegenüber jedem einzelnen Verantwortlichen ausüben.

Die Kunden der dacuro sind Verantwortliche

Die dacuro GmbH berät und unterstützt interne Datenschutzbeauftragte. Zudem wird sie als externer Datenschutzbeauftragter von ihren Kunden benannt. In beiden Fällen sind die Kunden die Verantwortlichen für den Datenschutz. Sie entscheiden über Zweck und Mittel der Verarbeitung ihrer personenbezogenen Daten.

Der interne Datenschutzbeauftragte wurde dabei von dem Unternehmen, bei dem er tätig ist, bestimmt. Bei der Durchführung seiner Aufgaben erhält er Unterstützung durch die dacuro GmbH.  

Als extern bestellter Datenschutzbeauftragter berät die dacuro GmbH den Kunden und unterstützt diesen bei der Umsetzung der datenschutzrechtlichen Anforderungen.

Das Team der dacuro GmbH besteht aus unterschiedlich spezialisierten Mitarbeitern. Wir decken mithilfe unserer technisch und juristisch versierten Kollegen den gesamten Bereich des Datenschutzes ab. Hierdurch haben wir die Möglichkeit, Kunden ganzheitlich zu betreuen. Wir unterstützen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit von Hamburg bis Freiburg. Sollten Sie Fragen haben, oder wir Sie bei einem Thema unterstützen können, nehmen Sie gerne Kontakt zu uns auf.