Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 40

Adressat der Regelung in Art. 25 DS-GVO ist der Verantwortliche, d.h. diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO).9 Grundsätzlich können mehrere Verantwortliche an einem Datenverarbeitungsprozess beteiligt sein. Ist dies der Fall, ist eine Abgrenzung zur gemeinsamen Verantwortlichkeit notwendig. Eine Verarbeitung personenbezogener Daten durch einen (unabhängigen) Verantwortlichen und einen weiteren (unabhängigen) Verantwortlichen ist anzunehmen, wenn beide Verantwortliche keinen gemeinsamen Zweck verfolgen oder zur Datenverarbeitung keine gemeinsamen Mittel benutzen.

Demgegenüber liegt eine gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 DS-GVO vor, wenn die Verantwortlichen gemeinsam die Zwecke und die Mittel zur Verarbeitung personenbezogener Daten festlegen. Dies erfordert keine gleichwertige Verantwortlichkeit.10 Vielmehr können die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.11 Außerdem ist es nach ständiger Rechtsprechung auch nicht erforderlich, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat.12 Gerade in Konzern- und Unternehmensverbänden ist die Rechtsfigur der gemeinsamen Verantwortlichkeit von Bedeutung, weil Dienstleistungen hier zunehmend arbeitsteilig erbracht werden und insofern ein wesentlicher Teil dieser Dienstleistungen unter Art. 26 DS-GVO fallen dürfte.13 Gleiches gilt im Bereich des Outsourcing von Geschäftsprozessen im Verhältnis zwischen Dienstleister und Kunde.

Im Gegensatz dazu sind Auftragsverarbeiter nicht direkt vom Anwendungsbereich des Art. 25 DS-GVO erfasst. Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er verarbeitet die Daten strikt nach einer Anweisung des Verantwortlichen und ist somit derart stark weisungsgebunden, dass er keine selbstständige Entscheidung über Zweck und Mittel der Verarbeitung treffen kann.14 Art. 25 DS-GVO richtet sich seinem Wortlaut nach ausschließlich an Verantwortliche. Auftragsverarbeiter sind nur ausnahmsweise betroffen, wenn sie nach Art. 28 Abs. 10 DS-GVO für einen bestimmten Datenverarbeitungsprozess als Verantwortliche gelten. Dies ist der Fall, wenn sie systemwidrig für die Auftragsverarbeitung selbst die Mittel und Zwecke der Verarbeitung festlegen.15 Auftragsverarbeiter werden allerdings indirekt von den Anforderungen des Art. 25 DS-GVO betroffen. Dies ergibt sich einerseits aus Art. 28 Abs. 1 DS-GVO, demzufolge der Verantwortliche nur mit einem Auftragsverarbeiter zusammenarbeitet, der hinreichend Garantie dafür bietet, dass geeignete technische und organisatorische Maßnahmen derart durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Andererseits basiert Auftragsverarbeitung nach Art. 28 Abs. 3 DS-GVO auf einem Vertrag, der den Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO).16

In der Praxis ergeben sich bei der Abgrenzung von Verantwortlichkeiten im datenschutzrechtlichen Sinne beispielsweise Herausforderungen, wenn im Rahmen der Reparatur eines Kraftfahrzeugs in einer Werkstatt Daten aus den im Fahrzeug verbauten Datensammlern verarbeitet werden. Handelt es sich um fahrzeugbezogene Daten ohne Personenbezug, findet Datenschutzrecht ohnehin keine Anwendung. Erhält der Mitarbeiter der Werkstatt Zugriff auf personenbezogene Daten, die im Fahrzeug gespeichert sind, und kann er so das Fahrverhalten des betroffenen Fahrzeugnutzers nachvollziehen oder gar Bewegungsprofile des Betroffenen erstellen, hängt es von der konkreten Verarbeitung im Einzelfall ab, inwiefern die Werkstatt als Verantwortlicher oder Auftragsverarbeiter zu qualifizieren ist. Die Komplexität der Festlegung der Verantwortlichen steigt, wenn im Zusammenhang mit der Reparatur des Fahrzeugs die ausgelesenen Daten an den Hersteller weitergegeben werden (Stichwort: Gewährleistung und Kulanz) oder sonstige Dritte neben dem Nutzer des Fahrzeugs auf diese Daten unmittelbaren oder mittelbaren Zugriff haben (Vermieter, Leasinggeber oder Versicherer). Entsprechende Problemlagen sind ohne Weiteres im arbeitsteilig über einzelne Konzerngesellschaften hinweg organisierten Konzern, beispielsweise im Segment Werbung und Vertrieb ebenso vorstellbar wie beispielsweise im Bereich der Onlinewerbung – der vom EuGH entschiedene Fall Fashion ID17 verdeutlicht dies in anschaulicher Weise.