Читать книгу DS-GVO/BDSG - David Klein - Страница 138

131

Ausweislich des Wortlauts des Art. 4 Nr. 7 können natürliche oder juristische Personen, Behörden oder eine Einrichtung oder andere Stelle Verantwortlicher sein. Der Begriff des „Verantwortlichen“ ist daher ein Oberbegriff für verschiedene in Betracht kommende Normadressaten.

132

Somit können zunächst natürliche Personen Adressat und damit Verantwortlicher sein. Dies ist vor dem Hintergrund der Regelung des Art. 2 Abs. 2 lit. c sowie ErwG 18 S. 1 keineswegs selbstverständlich: Danach findet die DS-GVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Daraus folgt, dass natürliche Personen jedenfalls dann als Verantwortliche dem Anwendungsbereich der DS-GVO unterfallen, wenn sie im Rahmen einer beruflichen oder wirtschaftlichen Tätigkeit personenbezogene Daten verarbeiten.[307]

133

Für die Praxis ist in diesem Zusammenhang insbesondere bedeutsam, dass letztlich stets Einzelpersonen als natürliche Personen Daten verarbeiten, so dass sich die Frage stellt, wie die Verantwortlichkeiten zwischen einer natürlichen und einer juristischen Person i.S.d. Art. 4 Nr. 7 voneinander abzugrenzen sind. Grundsätzlich ist hierbei von der im WP 169 aufgestellten Leitlinie der Art.-29-Datenschutzgruppe[308] auszugehen. Letztlich lassen sich in diesem Zusammenhang folgende Kernaussagen für die Praxis festhalten:

–	Grundsätzlich soll das Unternehmen oder die (öffentliche) Stelle an sich als Verantwortlicher gelten. Hier liegt also die Verantwortlichkeit für die Verarbeitung von personenbezogenen Daten im Rahmen ihres Tätigkeits- und Haftungsbereichs.[309]
–	Datenverarbeitungen von Einzelpersonen, deren Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aus einem Beschäftigungsverhältnis folgt, führen nicht dazu, dass die natürliche Person als Verantwortlicher anzusehen ist. Verantwortlicher im Sinne des Art. 4 Nr. 7 bleibt der Arbeitgeber.[310]
–	Die Zuweisung einer internen Verantwortlichkeit von Einzelpersonen im Rahmen der betrieblichen Organisation hat ebenfalls nicht zur Folge, dass die Einzelperson zum Verantwortlichen wird. Auch hier verbleibt es bei der Verantwortlichkeit des Unternehmens als Arbeitgeber, sofern nicht eindeutig ersichtlich ist oder klare Anzeichen dafür bestehen, dass eine natürliche Person Verantwortlicher ist.[311] Ein derart klares Zeichen kann etwa dann bestehen, wenn die natürliche Person, die für eine juristische Person handelt, Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle der juristischen Person nutzt. In diesem Falle ist zumindest eine besondere Analyse erforderlich.[312] In diesem Sinne verhing der LfDI Baden-Württemberg im Juni 2019 ein Bußgeld gegen einen Polizeibeamten, weil dieser ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung personenbezogene Daten einer privaten Zufallsbekanntschaft abgefragt hatte.[313] Der LfDI betonte, dass die Handlungen des Polizeibeamten an dieser Stelle nicht der Dienststelle zuzurechnen sei „da dieser die Handlung nicht in Ausübung seiner dienstlichen Tätigkeit, sondern ausschließlich zu privaten Zwecken“ beging.[314] Grundsätzlich kann aber selbst der Missbrauch eines Funktionsträgers eines Unternehmens oder eines Mitarbeiters als Ergebnis unzureichender Sicherungsmaßnahmen angesehen werden und so zumindest eine Mitverantwortung des Unternehmens begründen.[315]

134

Anhand dieser Kernaussagen sowie aus ErwG 79 ergibt sich in der Praxis die Notwendigkeit für große und komplex strukturierte Organisationen eine „Datenschutzstrategie“ festzulegen, bei der sowohl eine klare Verantwortung der natürlichen Person, die das Unternehmen repräsentiert, als auch die konkreten und funktionellen Verantwortlichkeiten innerhalb der Organisationsstruktur sicherzustellen sind.[316] Die konkrete Ermittlung des Verantwortlichen im Rahmen des Datenschutzes erfolgt dabei unter Rückgriff auf die Rechtsnormen des Zivil-, Verwaltungs- und Strafrechts.[317]

135

Hinsichtlich des Begriffs der juristischen Person als Verantwortlichem folgt aus der Definition des Art. 4 Nr. 7, dass es nicht auf die jeweilige Organisationsform ankommt.[318] So werden Unternehmen, die nach europäischen oder nationalen Vorgaben wirksam gegründet wurden von der Vorschrift erfasst, unabhängig davon, ob es sich um eine juristische Person des Öffentlichen Rechts oder des Privatrechts handelt.[319] Zu beachten ist allerdings, dass es stets auf die juristische Person bzw. das Unternehmen als solches ankommt. Unselbstständige Niederlassungen oder Zweigstellen sind nicht Verantwortliche nach Art. 4 Nr. 7.[320] Insofern sind die jeweiligen Organisationseinheiten im Rahmen einer Zurechnung in der Praxis sorgsam zu ermitteln.[321] Besondere Bedeutung kommt wegen ihrer Eigenverantwortlichkeit hinsichtlich der Einhaltung der Datenschutzvorschriften insoweit der Einordnung von Mitarbeitervertretungen (Betriebs- und Personalräte) zu. Grundsätzlich werden diese nicht als Dritte und damit als eigenständiger Verantwortlicher im Sinne der DS-GVO, sondern als Teil des Unternehmens des Verantwortlichen angesehen.[322] An dieser Beurteilung ändert sich auch dann nichts, wenn Mitarbeitervertretungen selbst und eigenverantwortlich über die vorzunehmenden Datenverarbeitungen entscheiden und insoweit auch nicht der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegen.[323]

136

Bei Unternehmensverbänden nach Art. 4 Nr. 19[324] ist jedes rechtlich selbstständige Unternehmen, das personenbezogene Daten für eigene Zwecke verarbeitet als Verantwortlicher i.S.d. Art. 4 Nr. 7 zu qualifizieren.[325]

137

Die Behörde ist weder in Art. 4 Nr. 7 noch an sonstiger Stelle in der DS-GVO definiert. Voraussetzung ist jedenfalls ein hoheitliches Handeln, so dass sich in dieser Hinsicht an die Vorgaben der jeweiligen Mitgliedstaaten anknüpfen lässt.[326] In Deutschland wird daher auf den Behördenbegriff nach § 1 Abs. 4 VwVfG abzustellen sein. Danach ist ein funktionelles, d.h. aufgabenorientiertes und kein organisatorisches Verständnis zugrunde zu legen. Ausweislich § 2 Abs. 4 S. 2 BDSG n.F. sind auch „Beliehene“, also nichtöffentliche Stellen, die hoheitliche Aufgaben wahrnehmen vom Behördenbegriff umfasst.

138

Die Begriffe der sonstigen Stelle und Einrichtungen sind ebenfalls in der DS-GVO nicht erläutert. Im Zuge einer Negativabgrenzung fallen darunter alle Einrichtungen, die nicht bereits als natürliche oder juristische Person oder Behörde über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Die BGB-Gesellschaft oder der nicht-rechtsfähige Verein werden unter diese Auffangtatbestände zu subsumieren sein.[327]