Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 172

176

Verantwortlicher kann grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, unabhängig davon, ob sie privat- oder öffentlich-rechtlich tätig ist.358 Hingegen kann die Verantwortlichkeit keinem technischen System, wie etwa einem intelligenten Algorithmus, zugewiesen werden, da ansonsten ihr Zweck, die Einhaltung der DSGVO-Vorgaben in handlungsfähige Hände zu legen, unterlaufen würde.359

177

Im Ausgang ist dabei auf die jeweilige datenverarbeitende rechtliche Einheit abzustellen. Im Falle juristischer Personen oder anderer Organisationen, bei denen personenbezogene Daten nicht durch die rechtliche Einheit selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden, wird dieses Handeln in aller Regel der rechtlichen Einheit zugerechnet. Dies gilt jedenfalls, sofern und soweit die Verarbeitung für die Zwecke der jeweiligen rechtlichen Einheit sowie in Ausübung der innerorganisatorischen Tätigkeit des Mitarbeiters und damit unter der potenziellen Kontrolle der rechtlichen Einheit erfolgt.360 Eine entsprechende Zurechnung erfolgt gleichermaßen bei der Datenverarbeitung durch Abteilungen, Funktionseinheiten, Organe und unselbstständige Zweigstellen.361 In Konsequenz trifft in erster Linie auch die rechtliche Einheit die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Mitarbeiter. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als Verantwortlicher anzusehen.362

178

Intern trägt die Verantwortung zur Einhaltung datenschutzrechtlicher Vorgaben originär die Geschäftsleitung. Die Geschäftsleitung kann jedoch die Verantwortung für einzelne Datenverarbeitungsverfahren und -vorgänge auf einzelne Mitarbeiter delegieren (vgl. Art. 39 Abs. 1 lit. b DSGVO).363 Zu beachten ist, dass die Zuweisung interner, datenschutzrechtlicher Verantwortlichkeit an bestimmte Mitarbeiter (etwa Fachabteilungsleiter) nicht dazu führt, dass die jeweilige rechtliche Einheit (im Umfang der übertragenen Verantwortlichkeit) nicht mehr als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen wäre. Anders ist dies jedoch zu bewerten, wenn die Entscheidungsbefugnis über einen bestimmten Datenverarbeitungsvorgang an eine andere rechtliche Einheit wirksam übertragen oder bereits originär von dort aus ausgeübt wird.364

179

Nach h.M. sind ebenfalls die datenverarbeitenden Aktivitäten unabhängig agierender, innerbetrieblicher Gremien wie etwa Betriebs- und Personalräten der jeweiligen rechtlichen Einheit, im Falle von Mitarbeitervertretungen daher dem Arbeitgeber zuzurechnen.365 Der deutsche Gesetzgeber hat dies (jedenfalls bis zu einer etwaigen Verwerfung durch den EuGH) im Hinblick auf Betriebsräte abschließend entschieden und in § 79a Satz 2 BetrVG entsprechend kodifiziert, dass der Arbeitgeber datenschutzrechtlich verantwortlich ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Diese Wertung kann jedoch durchaus in Zweifel gezogen werden. So liegt der Einschätzung, dass die Datenverarbeitung durch Mitarbeiter oder Organisationseinheiten der jeweiligen rechtlichen Einheit zuzurechnen ist, die Prämisse zugrunde, dass die rechtliche Einheit (durch ihre jeweilige Geschäftsleitung handelnd) die Zwecke der durchgeführten Datenverarbeitungsvorgänge festlegt und diese lediglich durch die Mitarbeiter ausgeführt werden. Demgegenüber ist zu beachten, dass Mitarbeitervertretungen weitestgehend eigenständig darüber entscheiden, wann und wie personenbezogene Daten verarbeitet werden, ohne dass der Arbeitgeber diesbezüglich Einfluss nehmen könnte. Dies indiziert eine eigene Verantwortlichkeit des Betriebsrats.366 Diese Einschätzung wird durch den Umstand untermauert, dass auch das Bundesarbeitsgericht (BAG) jedenfalls bislang davon ausging, dass dem betrieblichen Datenschutzbeauftragten keine Kontrollbefugnis im Hinblick auf die Datenverarbeitungsaktivitäten des Betriebsrats zustehe, da er als Repräsentant des Arbeitgebers auftrete.367 Insofern erscheint es unangemessen, dem Arbeitgeber eine datenschutzrechtliche Verantwortlichkeit zuzuschreiben, ohne dass dieser über die Zwecke der Datenverarbeitung entscheiden oder die Einhaltung datenschutzrechtlicher Vorschriften diesbezüglich kontrollieren könne. Der (neue) § 79a Satz 4 BetrVG indiziert hingegen eine grundsätzliche Kontrollbefugnis der/des Datenschutzbeauftragten auch im Hinblick auf die Datenverarbeitungsaktivitäten des Betriebsrats; sie/er ist lediglich zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Es wird abzuwarten sein, wie sich die Gerichte in dieser Hinsicht zukünftig positionieren werden.