Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 171

172

Als eine der elementaren Definitionen der DSGVO bestimmt der Begriff des „Verantwortlichen“ nach Art. 4 Nr. 7 DSGVO, welche Stelle zur Einhaltung der jeweils anwendbaren datenschutzrechtlichen Vorgaben in Bezug auf ein Datenverarbeitungsverfahren verpflichtet ist. Nachgelagert bestimmt sich durch die Zuweisung der Stellung als „Verantwortlicher“ ferner, gegenüber welcher Stelle betroffene Personen ihre Rechte nach den Art. 12ff. sowie Art. 82 DSGVO ausüben können.351

173

Im Gegensatz zur Rechtslage unter der DSRl bzw. des BDSG a.F. sind Verantwortliche nicht nur dazu verpflichtet, personenbezogene Daten (stets) rechtmäßig zu verarbeiten. Vielmehr verlagert die DSGVO den Schwerpunkt datenschutzrechtlicher Compliance weg von einzelfallorientierten Zulässigkeitsprüfungen hin zur Pflicht einer systemischen Aufarbeitung von Datenschutz und des Aufbaus entsprechender Management- und Organisationsstrukturen, durch welche die Rechtmäßigkeit der Verarbeitung im Einzelfall gewährleistet werden soll.352 So statuiert Art. 24 Abs. 1 DSGVO, dass der Verantwortliche „[...] geeignete technische und organisatorische Maßnahmen um[setzt], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß [der DSGVO] erfolgt“.

174

Der Begriff des Verantwortlichen weist in erster Linie Zusammenhänge mit den Begriffen des „Auftragsverarbeiters“ nach Art. 4 Nr. 8 DSGVO sowie des „Dritten“ nach Art. 4 Nr. 10 DSGVO auf. Im Gegensatz zur Rolle als Verantwortlicher tragen Auftragsverarbeiter keine (umfassende) Verantwortung für im Auftrag eines Verantwortlichen verarbeitete personenbezogene Daten;353 Auftragsverarbeiter sind lediglich verpflichtet, dabei gewisse sie ausdrücklich adressierende Vorschriften der DSGVO, etwa Art. 32 DSGVO, einzuhalten.354 Vice versa bleibt der Auftraggeber für die Datenverarbeitung verantwortlich, auch wenn diese in seinem Auftrag durch einen Auftragsverarbeiter durchgeführt wird. Sofern im Rahmen eines Datenverarbeitungsverfahrens daher mehrere Akteure involviert sind, ist regelmäßig zu prüfen, welche der Beteiligten als Verantwortliche und welche als Auftragsverarbeiter tätig werden. Im Verhältnis zum (auftraggebenden) Verantwortlichen sind Auftragsverarbeiter zwar Empfänger i.S.v. Art. 4 Nr. 9 DSGVO, nicht hingegen Dritte i.S.v. Art. 4 Nr. 10 DSGVO.355 Demgegenüber stehen sich zwei (getrennt) Verantwortliche in aller Regel als Dritte gegenüber.356

175

Eine weitere Dependenz ergibt sich im Verhältnis zur Begriffsbestimmung der „Hauptniederlassung“ nach Art. 4 Nr. 16 lit. a DSGVO. So wird der für eine grenzüberschreitende Datenverarbeitung i.S.v. Art. 4 Nr. 23 DSGVO Verantwortliche in aller Regel auch als Hauptniederlassung für diesen Verarbeitungsvorgang zu klassifizieren sein.357