Читать книгу Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO - Carmen Födisch - Страница 39

Anders als der Unternehmensbegriff geht die Frage, wer rechtlich für die Einhaltung und Umsetzung der Datenschutzanforderungen verantwortlich ist, mit der Bestimmung des Verantwortlichen einher, denn der Begriff dient dazu, „Verantwortung zuzuweisen“.233 Für jede Verarbeitungstätigkeit soll eine Rechtsperson Verantwortung übernehmen.234 Primär wird durch die zentrale Rolle des Verantwortlichen aber nicht nur festgelegt, wem die Pflicht zur Einhaltung der Vorgaben der DSGVO und deren Nachweis auferlegt wird (vgl. Art. 24 DSGVO), sondern auch gegenüber wem betroffene Personen und Behörden ihre etwaigen datenschutzrechtlichen Ansprüche und anderen Begehren geltend machen können.235

Nach der Definition des Art. 4 Nr. 7 DSGVO, die wortgleich aus der EU-Datenschutzrichtlinie übernommen wurde, gilt jede natürliche oder juristische Person als Verantwortlicher, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.236 Grundsätzlich ist der Begriff extensiv auszulegen, denn das Ziel dieser Bestimmung liegt darin, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.237 Das wesentliche Merkmal eines Verantwortlichen ist dessen Entscheidungsmöglichkeit über die Zwecke und Mittel der Verarbeitung.238 Statt auf formale Kriterien kommt es vielmehr auf die tatsächliche Entscheidungsfähigkeit über und den faktischen Einfluss auf die Verarbeitungsvorgänge an sich an.239 Als Verantwortlicher gilt daher derjenige, der die eigentliche Kontrolle über die Verarbeitung innehat.240

Aus datenschutzrechtlicher Perspektive ist ferner eine Abgrenzung des Verantwortlichen zu anderen Akteuren erforderlich, wie sie in der Negativdefinition des Dritten i.S.v. Art. 4 Nr. 10 DSGVO genannt werden.241 Als Dritter gilt insbesondere jede natürliche oder juristische Person, die nicht betroffene Person, Verantwortlicher oder Auftragsverarbeiter ist. Außerdem werden von der Definition des Dritten solche Personen ausgeschlossen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten. Solche Dritte gehören in der datenschutzrechtlichen Organisation nicht dem Verantwortlichen oder Auftragsverarbeiter an, da sie funktionell für sich selbst arbeiten, jedoch (unabhängig von ihrer arbeitsrechtlichen Zuordnung) den fachlichen Weisungen unterstellt sind (bspw. freiberufliche Mitarbeiter).242 Folgerichtig bedeutet dies für das Merkmal des Verantwortlichen, dass grundsätzlich jeder Dritter, der von einem anderen dieselben personenbezogenen Daten empfängt, selbst zum tätigen Verantwortlichen gegenüber der betroffenen Person wird, vorausgesetzt, die weiteren Anforderungen zur Begründung der Verantwortlichkeit liegen vor.243