Verantwortlicher und Auftragsverarbeiter – DSGVO Grundlagen

Die Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ sind in der DSGVO zentral. Wer Verantwortlicher oder Auftragsverarbeiter ist, den treffen entsprechende Pflichten aus der DSGVO.

Doch ab wann genau ist man Verantwortlicher oder Auftragsverarbeiter und was hat das für Folgen?

Verantwortlicher

Die Definition des Verantwortlichen findet sich in Art. 4 Nr. 7 DSGVO. Demnach ist der Verantwortliche jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Um Verantwortlicher zu sein, muss man also gerade nicht selbst die Daten erheben oder verarbeiten, sondern es genügt, dass man die Zwecke und Mittel festlegt.

Wer Verantwortlicher ist, kann durch Gesetz festgelegt sein, ansonsten ist dies aber funktional zu verstehen: Es ist zu betrachten, inwieweit tatsächlichen Handlungen von dem in Frage stehenden Akteur vorgenommen werden. 

Wird in einem Unternehmen über Zwecke und Mittel von Datenverarbeitungen entschieden, ist aber nicht der einzelne Mitarbeiter der Verantwortliche, sondern das Unternehmen als Ganzes. Handelt eine einzelne natürliche Person (z.B. der Mitarbeiter) muss also immer untersucht werden, ob das Handeln der Person selbst oder der Organisation, für die er tätig ist (z.B. dem Unternehmen), zuzurechnen ist.

Denjenigen, der Verantwortlicher ist, trifft die Rechenschaftspflicht aus Art. 5 II DSGVO. Er ist also dafür verantwortlich, dass die datenschutzrechtlichen Grundsätze aus Art. 5 I DSGVO nachweisbar eingehalten werden.

Eine Besonderheit ergibt sich bei gemeinsamer Verantwortlichkeit. Nach Art. 26 DSGVO können gemeinsam Verantwortliche vorliegen, wenn zwei oder mehr Verantwortliche die Zwecke und Mittel zur Verarbeitung festlegen. Hierbei ist es entscheidend, dass die Verarbeitung auch wirklich gemeinsam erfolgt. Dies ist der Fall, wenn gemeinsame Zwecke verfolgt werden und die Verarbeitung nur dadurch möglich ist, dass alle Verantwortliche an ihr mitarbeiten. Der EuGH hat hinsichtlich der Einbindung des Facebook Like-Buttons in eine Website eine gemeinsame Verantwortlichkeit des Websitebetreibers und Facebook bejaht. Genauso können aber auch mehrere Verantwortliche gemeinsam an einer Verarbeitung beteiligt sein, ohne gemeinsam verantwortlich zu sein. Dies liegt vor, wenn ein reiner Datenaustausch stattfindet, ohne dass gemeinsame Zwecke und Mittel festgelegt werden.

In der Praxis kann eine gemeinsame Verantwortlichkeit besonders dann vorliegen, wenn die Verarbeitung der einen Stelle nicht ohne die Verarbeitung der anderen Stelle möglich oder sinnvoll ist.

Liegt eine gemeinsame Verantwortlichkeit vor, müssen die beteiligten Verantwortlichen in einer Vereinbarung nach Art. 26 I DSGVO festlegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen wie z.B. Informationspflichten übernimmt. Diese Vereinbarung muss transparent sein, also die tatsächlichen Beziehungen und Funktionen gegenüber betroffenen Personen aufzeigen. Nach Art. 26 III DSGVO kann sich die betroffene Person bei der Geltendmachung ihrer Rechte trotzdem an jeden beliebigen der Verantwortlichen wenden.

Rechtlich selbstständige Unternehmen sind immer als eigene Verantwortliche zu betrachten, was besonders innerhalb eines Konzerns zu beachten ist. Den Verantwortlichen einzelner Teile einer Unternehmensgruppe wird aber durch Erwägungsgrund 48 der DSGVO ein berechtigtes Interesse am Austausch personenbezogener Daten innerhalb der Unternehmensgruppe zugesprochen.

Auftragsverarbeiter

Der Auftragsverarbeiter wird in Art. 4 Nr. 8 DSGVO definiert als jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Es muss sich also um jemand anderen als den Verantwortlichen handeln und derjenige muss im Auftrag des Verantwortlichen handeln.

Der Auftragsverarbeiter ist nicht selbst Verantwortlicher. Er handelt allein auf Weisung des Verantwortlichen. Für die Einhaltung der datenschutzrechtlichen Vorschriften ist weiter der Verantwortliche verantwortlich. Wenn der Auftragsverarbeiter sich allerdings über seinen Auftrag hinwegsetzt und selbst Zwecke und Mittel der Verarbeitung bestimmt, gilt er insoweit als Verantwortlicher (Art. 28 X DSGVO).

Am Einzelfall zu messen ist, welchen Spielraum dem Auftragsverarbeite bei der Verarbeitung trotz seiner Weisungsgebundenheit noch bleiben darf. Hat er zu viel Eigenverantwortlichkeit, wird er schließlich zum Verantwortlichen.

Ein Auftragsverarbeiter liegt in der Praxis vor, wenn technische Hilfstätigkeiten und Datenverarbeitungsprozesse an externe Dienstleister ausgelagert werden. Typische Fälle von Auftragsverarbeitung sind z.B. die Aktenvernichtung, Speicherung von Daten durch Cloud-Dienste oder Verarbeitung von Daten in Callcentern.

Werden dem Auftragsverarbeiter bei seinem Auftrag personenbezogene Daten offengelegt, ist er zugleich Empfänger nach Art. 4 Nr. 9 DSGVO.