Skip to content Skip to footer
info@datenschutz-rehbein.de
0152 / 22 00 65 34
Close

Ver­ant­wort­li­che und Auftragsverarbeiter

137Ansichten 1Kommentar
Lese­dau­er 5 Minu­ten

Die Nut­zung von Dienst­leis­ter zur Aus­la­ge­rung von Tätig­kei­ten und Pro­zes­sen ist ein oft vor­han­de­ner Pro­zess in einer Orga­ni­sa­ti­on. Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter, zu wel­chem die Dienst­leis­ter im Sin­ne der DSGVO meis­ten wer­den, bedür­fen eines genau­en Bli­ckes im Hin­blick auf die Ver­ant­wor­tung. Vor die­sem Hin­ter­grund ist eine Dif­fe­ren­zie­rung bzw. Erken­nung der allei­ni­gen Ver­ant­wort­lich­keit, der gemein­sa­men Ver­ant­wort­lich­keit und der Auf­trags­ver­ar­bei­tung in der Pra­xis von größ­ter Bedeutung.

Ver­ant­wort­li­che

Ver­ant­wort­lich ist nach der DSGVO in ers­ter Linie die Per­son, wel­che für die Ein­hal­tung der Daten­schutz­nor­men ver­ant­wort­lich und in Art. 4 Nr. 7 DSGVO legal defi­niert ist. Denn der Begriff des Ver­ant­wort­li­chen ist von gro­ßer Bedeu­tung, wenn es um die Aus­übung und Ein­hal­tung der Betrof­fe­nen­rech­te geht. Denn Verantwortliche:r ist gemäß Art. 4 Nr. 7 DSGVO eine juris­ti­sche oder eine natür­li­che Per­son, eine Behör­de, eine Ein­rich­tung oder ande­re Stel­le. Grund­le­gen­des Erken­nungs­merk­mal eines Ver­ant­wort­li­chen im Sin­ne der Ver­ord­nung ist die Ent­schei­dungs­be­fug­nis über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten in der jewei­li­gen Organisation.

Ent­schei­dungs­macht ist maßgeblich

Die Ent­schei­dungs­macht ist maß­geb­lich für die vor­han­de­ne Ver­ant­wor­tung und ist anhand der Umstän­de des Ein­zel­falls zu prü­fen. Die­se Ent­schei­dungs­macht kann aller­dings auch aus gesetz­li­chen Rege­lun­gen des Uni­ons­rechts oder eines Mit­glied­staa­tes resul­tie­ren. Zum Bei­spiel wenn ein Betei­lig­ter zu einer Daten­ver­ar­bei­tung zu einem bestimm­ten Zweck gesetz­lich ver­pflich­tet ist. Oder zur Erfül­lung einer Auf­ga­be dient, für die eine Daten­ver­ar­bei­tung erfor­der­lich ist. Daher sind die abge­schlos­se­nen Ver­trä­ge zwi­schen den Betei­lig­ten zu prü­fen und maß­geb­lich dabei ist der tat­säch­li­che Ein­fluss auf die Daten­ver­ar­bei­tung. Daten­schutz­recht­li­che Rol­le eines Akteurs sind somit nicht verhandelbar.

Ver­ant­wort­li­che

Bei einer Daten­ver­ar­bei­tung unter Betei­li­gung von meh­re­ren Akteu­ren ist neben einer getrenn­ten allei­ni­gen Ver­ant­wort­lich­keit auch eine Ver­ar­bei­tung in Form einer gemein­sa­men Ver­ant­wort­lich­keit oder einer Auf­trags­ver­ar­bei­tung mög­lich. Die Unter­schei­dung der unter­schied­li­chen Ver­ar­bei­tungs­for­men ist an die unter­schied­li­chen buß­geld­be­wehr­ten Pflich­ten geknüpft und daher unentbehrlich.

Auf­trags­ver­ar­bei­ter

Ver­ant­wort­li­che benö­ti­gen für die Daten­ver­ar­bei­tung immer eine eige­ne Rechts­grund­la­ge, die­se gilt auch für die Daten­ver­ar­bei­tung durch den Auf­trags­ver­ar­bei­ter wenn kei­ne wei­te­re Rechts­grund­la­ge erfor­der­lich als die­je­ni­ge, auf die sich die Daten­ver­ar­bei­tung durch den Ver­ant­wort­li­chen stützt. Dabei bil­det ein Ver­trag zwi­schen dem Ver­ant­wort­li­chen und dem Auf­trags­ver­ar­bei­ter gemäß Art. 28 Abs. 3 DSGVO die Grund­la­ge für die Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten an den Auf­trags­ver­ar­bei­ter durch Verantwortliche.

Gemein­sa­me Verantwortlichen

Sind die Vor­aus­set­zun­gen für eine gemein­sa­me Ver­ant­wort­lich­keit gege­ben, dann müs­sen gemein­sam Ver­ant­wort­li­che gemäß Art. 26 Abs. 1 S.2 DSGVO in einer Ver­ein­ba­rung u.a. fest­le­gen, wel­che daten­schutz­recht­li­chen Pflich­ten von wel­cher Sei­te erfüllt sind. Der ers­te Schritt ist daher eine Prü­fung, ob es sich um Ver­ant­wort­li­cher im Sin­ne von Art. 4 Nr. 7 DSGVO han­delt oder ob er die per­so­nen­be­zo­ge­nen Daten im Auf­trag von Ver­ant­wort­li­chen ver­ar­bei­tet wer­den. Ist die­ses der Fall, dann ist im zwei­ten Schritt zu prü­fen, ob die­se als getrenn­te allei­ni­ge Ver­ant­wort­li­che oder als gemein­sa­me Ver­ant­wort­li­che anzu­se­hen sind.

Der fei­ne Unterschied

Im Unter­schied zum Ver­ant­wort­li­chen ent­schei­det der Auf­trags­ver­ar­bei­ter nicht selbst über die Mit­tel und Zwe­cke der Daten­ver­ar­bei­tung, son­dern setzt ledig­lich die Wei­sun­gen von Ver­ant­wort­li­chen um. Ent­schei­dungs­kri­te­ri­um für die Abgren­zung zwi­schen der Auf­trags­ver­ar­bei­tung und der Ver­ant­wort­lich­keit ist daher, ob der jewei­li­ge Akteur einen Ein­fluss auf die Daten­ver­ar­bei­tung hat.

Aller­dings las­sen sich bei Auf­trags­ver­ar­bei­tern durch­aus Spiel­räu­me in Bezug auf die Mit­tel der Ver­ar­bei­tung ein­räu­men, ohne dass hier­durch eine Ver­ant­wort­lich­keit ent­steht. Hin­sicht­lich der Mit­tel der Ver­ar­bei­tung ist zwi­schen den tech­ni­schen und orga­ni­sa­to­ri­schen Aspek­ten der Daten­ver­ar­bei­tung und den wesent­li­chen Mit­teln zu unter­schei­den. Die Ent­schei­dung über die tech­ni­schen und orga­ni­sa­to­ri­schen Mit­tel (TOMs), zum Bei­spiel die ein­ge­setz­te Hard- oder Soft­ware für die Daten­ver­ar­bei­tung, lässt sich unpro­ble­ma­tisch auf Auf­trags­ver­ar­bei­ter übertragen.

Kann ein Betei­lig­ter jedoch über die wesent­li­chen Mit­tel der Daten­ver­ar­bei­tung ent­schei­den, wie zum Beispiel:

  • dem Zweck
  • dem Umfang
  • der Recht­mä­ßig­keit der Verarbeitung
  • der Spei­cher­dau­er der Daten
  • der Kate­go­rien von Betroffenen
  • der Kate­go­rien von Empfängern
  • der Art der per­so­nen­be­zo­ge­nen Daten

Dann ist immer eine Ver­ant­wor­tung für die Daten­ver­ar­bei­tung gege­ben. Auf­trags­ver­ar­bei­ter sind daher eher ein ver­län­ger­ter Arm des Ver­ant­wort­li­chen und ver­ar­bei­ten per­so­nen­be­zo­ge­ne Daten nach Wei­sun­gen des Verantwortlichen.

Auf­trags­ver­ar­bei­tung – Art. 28 DSGVO

Nach­fol­gend ein Bei­spiel für eine Auf­trags­ver­ar­bei­tung:

Der IT-Dienst­leis­ter D erbringt für ein Unter­neh­men U Dienst­leis­tun­gen im Zusam­men­hang mit der Web­sei­te des Unter­neh­mens, indem er das Hos­ting der Web­sei­te tech­nisch umsetzt. 

Dabei ver­ar­bei­tet D auch per­so­nen­be­zo­ge­ne Daten der Nut­zer im Auf­trag des U. V und D sind daher ver­pflich­tet, für die Abwick­lung der Dienst­leis­tun­gen im Zusam­men­hang mit dem Web­sei­ten-Hos­ting einen AV-Ver­trag abzu­schlie­ßen, da D per­so­nen­be­zo­ge­ne Daten des U in des­sen Auf­trag wei­sungs­ge­bun­den verarbeitet.

Gemein­sa­me Ver­ant­wort­lich­keit – Art. 26 DSGVO

Eine gemein­sa­me Ver­ant­wort­lich­keit nach Art. 26 Abs. 1 S. 1 DSGVO besteht, wenn zwei oder mehr Ver­ant­wort­li­che gemein­sam die Zwe­cke und die Mit­tel zur Ver­ar­bei­tung fest­le­gen. Die Unter­neh­men A und B haben ein gemein­sa­mes Pro­dukt auf den Markt gebracht (Co-Bran­ding) und möch­ten nun ein Event orga­ni­sie­ren, um das Pro­dukt zu ver­mark­ten. Dazu tei­len sie Daten aus ihren jewei­li­gen Kund:innen-Datenbanken und erstel­len dar­aus die Lis­te der Per­so­nen, die eine Ein­la­dung erhal­ten. Sie eini­gen sich auch über die Moda­li­tä­ten des Ein­la­dungs­ver­sands, wie ein Feed­back wäh­rend des Events ein­ge­holt wird und über wei­te­re Wer­be­maß­nah­men. Da A und B in die­sem Kon­text zusam­men die defi­nier­ten Zwe­cke und wesent­li­chen Mit­tel der Daten­ver­ar­bei­tung fest­le­gen, sind die­se gemein­sam verantwortlich.

Vor­ge­hens­wei­se

Die Rol­len der betei­lig­ten Per­so­nen bei einer Daten­ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten brin­gen unter­schied­li­che daten­schutz­recht­li­che Pflich­ten mit sich und eine Nicht­ein­hal­tung kann mit einem Buß­geld sank­tio­niert wer­den. Eine kor­rek­te Ein­ord­nung der unter­schied­li­chen Rol­len ist daher zwin­gend erfor­der­lich und setzt eine Prü­fung aller Umstän­de des Ein­zel­falls vor­aus. Unter­neh­men sind daher gut bera­ten, ihre:n Datenschutzbeauftrage:n bei sol­chen Prü­fun­gen früh­zei­tig einzubinden.

Also las­sen Sie sich gut beraten.

Tags:
0Likes

Kommentar

Nach oben