Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 175

185

Die Rolle des Verantwortlichen ist dabei je Datenverarbeitungsverfahren zu bestimmen. Die Verantwortlichkeit kann sich dabei sowohl auf den gesamten als auch lediglich auf gewisse Abschnitte eines Verarbeitungsvorgangs erstrecken, je nachdem wie weit sich die Entscheidungsfähigkeit über Zwecke und Mittel der beteiligten Akteure erstreckt.390

186

Die Identifizierung des Verantwortlichen kann dabei weitestgehend unproblematisch sein, etwa im Falle rein interner Vorgänge. Im Zeitalter der Digitalisierung ist die Verarbeitung von personenbezogenen Daten jedoch zunehmend durch die Vernetzung und die arbeitsteilige bzw. ineinandergreifende Zusammenarbeit mehrerer Akteure geprägt.391 Diese Zusammenarbeit kann sich durchaus auch auf einen an sich einheitlich zu betrachtenden, jedoch mehrere Akteure überspannenden Datenverarbeitungsvorgang beziehen. In solchen Fällen kann es daher Schwierigkeiten bereiten, den (oder die) Verantwortlichen zu identifizieren sowie den Umfang der jeweiligen Verantwortung zu bestimmen, sofern es sich um abtrennbare Verarbeitungsschritte handelt.392 Ferner können auch mehrere Stellen für gewisse Abschnitte gemeinsam verantwortlich sein.393

187

Zu beachten ist ferner, dass sich die Zwecksetzungsbefugnis stets auf die Verarbeitung eines konkreten Datensatzes bezieht. Insofern führt die abstrakte Bestimmung von Verarbeitungszwecken und -mitteln zu keiner Stellung als Verantwortlicher; vielmehr ist maßgeblich, welche Stelle sich autark dazu entscheidet, sich in ihrer Verantwortlichkeit befindende personenbezogene Daten anhand dieser Zwecke und Mittel zu verarbeiten.394 So stellt sich bei Verwendung geschlossener Systeme, die zwar durch den Hersteller abschließend programmiert wurden, dennoch der Betreiber bzw. Nutzer des Systems als Verantwortlicher dar, da er über die Zwecke und Mittel hinsichtlich des konkreten Verarbeitungsvorganges (bzw. die konkret zu verarbeitenden personenbezogenen Daten) bestimmt.395