Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 174

181

Die Eigenschaft als Verantwortlicher ergibt sich in erster Linie aus dem Umstand, dass eine Stelle sich für die Verarbeitung personenbezogener Daten entschieden hat und befugt ist, den Zweck, mithin das beabsichtigte Ergebnis einer Datenverarbeitung, sowie die hierzu eingesetzten Mittel, mithin die Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, zu bestimmen.369 Die Mittel der Verarbeitung beziehen sich unter anderem auf die technischen und organisatorischen Gegebenheiten bei der Verarbeitung personenbezogener Daten sowie die Festlegung des Umfangs der Verarbeitung, einschließlich der betroffenen Personenkategorien, der zu erhebenden Datenkategorien, der Gewährung des Zugangs für Dritte usw. Mit anderen Worten: Die Bestimmung des Zwecks und der Mittel ist gleichbedeutend mit der Bestimmung des „Warum“ und des „Wie“ im Hinblick auf die Verarbeitung von personenbezogenen Daten.370

182

Maßgeblich ist dabei die tatsächliche oder rechtliche Einflussmöglichkeit auf den jeweiligen Datenverarbeitungsvorgang. Sofern eine Stelle weder rechtlichen noch tatsächlichen Einfluss auf eine Datenverarbeitung hat, kann sie hierfür keine datenschutzrechtliche Verantwortung i.S.v. Art. 4 Nr. 7 DSGVO tragen.371 Dies ist im Rahmen einer umfassenden, wertenden Betrachtung zu evaluieren.372 Hierbei ist auf Grundlage der faktischen Umstände des Einzelfalls zu prüfen, ob daraus ein tatsächlicher Einfluss der jeweiligen Stelle abzuleiten ist.373 Welches Ausmaß diese Einflussfähigkeit dabei erreichen muss, ist bislang nicht abschließend geklärt. Noch unter der DSRl hat der EuGH dabei einen teilweise sehr niederschwelligen Ansatz verfolgt.374 Unter der DSGVO sollte nach der hier vertretenen Ansicht bei der Zuweisung von datenschutzrechtlicher Verantwortung maßgeblich darauf geachtet werden, ob die Möglichkeit zur Einflussnahme eines Beteiligten auch so ausgeprägt und signifikant ist, dass die (umfassende) Verpflichtung zur Einhaltung sämtlicher datenschutzrechtlicher Vorgaben und die damit einhergehende Haftung auch gerechtfertigt erscheint.375

183

Im Rahmen dieser umfassenden und wertenden Betrachtung können dabei folgende Faktoren einfließen und entsprechend abzuwägen sein: Zunächst kann sich eine entsprechende Möglichkeit zur Einflussnahme aus einer ausdrücklichen rechtlichen Zuständigkeit ergeben (vgl. insoweit Art. 4 Nr. 7 Hs. 2 DSGVO), mithin, wenn ein Gesetz den für die Verarbeitung Verantwortlichen ernennt oder ihm eine Aufgabe oder Pflicht zur Erhebung und Verarbeitung bestimmter Daten überträgt.376 Datenschutzrechtliche Verantwortung kann ferner aus anderen rechtlichen Bestimmungen oder bestehenden traditionellen Rollen und Positionen erwachsen, die in der Regel eine gewisse natürliche Verantwortlichkeit implizieren (z.B. der Arbeitgeber in Bezug auf die Daten seiner Mitarbeiter oder ein Verein in Bezug auf Daten seiner Mitglieder).377 Darüber hinaus kann sich die Verantwortung aus faktischen Umständen und anderen Aspekten, wie Vertragsverhältnissen, einer tatsächlichen Kontrolle durch eine Partei oder einer Offensichtlichkeit bzw. Außenwirkung einer Partei gegenüber den Betroffenen sowie deren Erwartungserhaltung ergeben.378 Ferner fließt in die Gesamtbetrachtung ein, ob eine Stelle eine Datenverarbeitung bewusst akzeptiert,379 etwa da sie von ihr profitiert.380 Auch eine organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit indizieren.381 Eine formale Benennung einer Partei als Verantwortlicher ist hingegen irrelevant, sofern dies nicht deren existente Einflussmöglichkeit in der Realität widerspiegelt.382 Unerheblich ist hingegen, ob die jeweilige Partei auch Zugang bzw. Zugriff auf die verarbeiteten personenbezogenen Daten hat.383

184

Die Entscheidungsfähigkeit über Zwecke und Mittel einer Datenverarbeitung steht dabei in einem Rangverhältnis.384 Insofern führt die Kompetenz, über die Zwecke einer Datenverarbeitung zu entscheiden, in aller Regel dazu, dass diejenige Stelle als Verantwortlicher anzusehen ist. Sofern ein Akteur über inhaltliche Fragen entscheiden kann, die den Kern der Rechtmäßigkeit der Verarbeitung betreffen, ist er demnach in aller Regel als Verantwortlicher zu klassifizieren.385 Nachrangig ist demgegenüber die Entscheidungsbefugnis über die Mittel der Verarbeitung. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittel entschieden wird.386 Die Mittel umfassen dabei nicht nur die technische Art und Weise der Erreichung des jeweiligen Verarbeitungszweck, sondern behandeln je nach Verarbeitung auch wesentliche Faktoren, etwa hinsichtlich der zu verarbeitenden Datenkategorien, zugangsberechtigten Dritten, Löschfristen usw.387 Dies zeigt, dass wesentliche Mittel und der jeweils verfolgte Verarbeitungszweck in der Regel nicht getrennt voneinander betrachtet werden können, sondern vielmehr voneinander abhängen und sich gegenseitig ergänzen; das „Wie“ ist somit dem „Warum“ inhärent.388 Die Entscheidung über nachrangige (unwesentliche), technische oder organisatorische Mittel der Verarbeitung kann hingegen vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.389