Der „Verantwortliche“ und der „Auftragsverarbeiter“ stellen die zentralen Rollen im Datenschutzrecht dar. Durch sie wird festgelegt, wen die datenschutzrechtlichen Pflichten hinsichtlich einer bestimmten Datenverarbeitung treffen. Der folgende Beitrag aus unserer DSGVO Essentials-Reihe erläutert, auf welche Weise diese Rollen vergeben werden und welche Folgen dies hat.

Glaskuppel Bundestag

Wer „Verantwortlicher“ und wer „Auftragsverarbeiter“ ist und damit Verantwortung für die Einhaltung des Datenschutzrechts trägt, bestimmt sich anhand der tatsächlichen Bedingungen der Datenverarbeitung. Die beiden Begriffe sind daher funktional zu verstehen. Dies bedeutet, dass für den rechtlichen Status eines Akteurs nicht die formale Bezeichnung als „Verantwortlicher“ oder „Auftragsverarbeiter“ etwa in einem Vertrag entscheidend ist. Stattdessen ergibt sich die jeweilige Rolle jeweils nach der tatsächlichen Tätigkeit, die ein Akteur in einer bestimmten Situation ausführt.

Der Verantwortliche

Der „Verantwortliche“ ist nach der Definition des Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Verantwortlicher ist also, wer über bestimmte Schlüsselelemente, eben die Zwecke und die Mittel der Datenverarbeitung bestimmt. Mit anderen Worten entscheidet der Verantwortliche über das Warum und das Wie der Verarbeitung. Die englische Fassung der DSGVO macht dies besser deutlich. Hier wird der Verantwortliche „Controller“ genannt.

Die Rolle des Verantwortlichen kann einem Akteur durch das Gesetz zugewiesen werden. Ist dies nicht der Fall, ist anhand einer Analyse der tatsächlichen Elemente oder Umstände zu bestimmen, ob ein Akteur der Verantwortliche für eine Verarbeitungstätigkeit ist.

Verantwortlicher ist beispielsweise:

  • ein Arbeitgeber für die Verarbeitung von Daten über seine Beschäftigten;
  • ein Händler für die Verarbeitung von Daten über seine Kunden;
  • ein Websitebetreiber für die Verarbeitung von Daten über die Nutzer seiner Website.

Grundsätzlich kann die Rolle des Verantwortlichen auch einer einzelnen Person zufallen. In Unternehmen wird in der Praxis aber regelmäßig nicht beispielsweise der Geschäftsführer oder ein Mitarbeiter als Verantwortlicher angesehen, sondern das Unternehmen selbst.

Der Verantwortliche ist der zentrale Adressat der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Er ist damit für die Einhaltung der datenschutzrechtlichen Grundsätze aus Art. 5 Abs. 1 DSGVO verantwortlich und muss deren Einhaltung auch nachweisen können.

Gemeinsam Verantwortliche

Eine Besonderheit stellt die Verarbeitung durch gemeinsam Verantwortliche dar. Diese liegt nach der Regelung des Art. 26 DSGVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen. Es kommt also darauf an, dass mehrere Akteure gemeinsam eine Entscheidung über die Zwecke und Mittel der Datenverarbeitung treffen.

In welchen konkreten Fällen eine solche gemeinsame Entscheidung vorliegt, ist schwierig zu bestimmen. Einige Kriterien hierzu wurden in den letzten Jahren durch den Europäischen Gerichtshofs näher herausgearbeitet. Dennoch sind viele Einzelfragen nach wie vor offen. Ob eine gemeinsame Verantwortlichkeit vorliegt, muss daher im Wege einer Einzelfallanalyse der jeweiligen Tätigkeit und der genauen Rolle jedes Akteurs in Bezug auf die jeweilige Verarbeitung festgestellt werden.

Mehrere Akteure können gemeinsam Verantwortliche sein, wenn Sie einen gemeinsamen Zweck verfolgen und die Verarbeitung nur unter der Mitwirkung aller Akteure möglich ist. Dies wäre beispielsweise der Fall, wenn zwei Akteure personenbezogene Daten nur in der Kombination ihrer Mittel erheben und verarbeiten können.

So hat der EuGH entschieden, dass ein Websitebetreiber und Facebook hinsichtlich der Einbindung des Facebook Like-Buttons in die Website als gemeinsam Verantwortliche bewertet werden. Denn die Datenerhebung erfolgt zwar über den Like-Button, dieser ist aber technisch darauf angewiesen, in eine Website eingebunden zu werden.

Allerdings muss die bloße Tatsache, dass mehrere Akteure gemeinsam an einer Verarbeitung beteiligt sind, nicht notwendigerweise zu einer Verarbeitung durch gemeinsam Verantwortliche führen. So kann beispielsweise ein Datenaustausch ohne gemeinsam festgelegte Zwecke und Mittel auch eine Datenübermittlung zwischen zwei Einzel-Verantwortlichen darstellen.

Liegt eine Verarbeitung durch gemeinsam Verantwortliche vor, müssen die beteiligten Akteure eine Vereinbarung gem. Art. 26 DSGVO abschließen. In dieser soll in transparenter Form festlegt werden, welcher der Beteiligten jeweils welche Verpflichtung aus der DSGVO erfüllt. Diese Vereinbarung wird auch als Joint-Controller-Agreement (JCA) bezeichnet. Die Vereinbarung muss außerdem die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung ist der betroffenen Person gem. Art. 26 Abs. 2 DSGVO zur Verfügung gestellt.

Sowohl für eine Art.-26-Vereinbarung als auch für die Information über diese, hat der Landesbeauftrage für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI-BaWü) Mustervorlagen auf Deutsch und Englisch bereitgestellt.

Der Auftragsverarbeiter

Ein „Auftragsverarbeiter“ ist nach Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Um von einer Auftragsverarbeitung ausgehen zu können, müssen zwei Kriterien vorliegen: Es muss sich zum einen, um einen von dem Verantwortlichen getrennten Akteur handeln. Zum anderen müssen die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden. Dies bedeutet, dass der Auftragsverarbeiter die Daten nicht anders als nach den Anweisungen des Verantwortlichen verarbeiten darf.

Der Auftragsverarbeiter hat allerdings einen gewissen Spielraum, mit welchen konkreten Mitteln er den Weisungen des Verantwortlichen am besten nachkommen kann. Er kann hierzu diejenigen technischen und organisatorischen Mittel auswählen, die ihm zur Umsetzung der Weisung am besten geeignet erscheinen.

Eine Auftragsverarbeitung kann beispielsweise in den folgenden Fällen vorliegen:

  • Verarbeitung von Kundendaten durch ein Callcenter;
  • Speicherung von Daten durch Cloud-Dienste;
  • SaaS-Leistungen wie Video- oder Messenger-Dienste.

Weitere Beispiele hat das Bayerische Landesamt für Datenschutzaufsicht hier zusammengestellt.

Im Fall einer Auftragsverarbeitung, muss zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Vertrag über die Auftragsverarbeitung (sog. AV-Vertrag oder AVV) abgeschlossen werden. Im englischen Sprachraum wird ein solcher Vertag häufig als Data-Processing-Agreement (DPA) bezeichnet. 

Ein solcher Vertag muss bestimmte Pflichtangaben enthalten, die in Art. 28 Abs. 3 DSGVO aufgeführt sind. Die Europäische Kommission hat hierzu einen Mustervertrag in Form von Standardvertragsklauseln vorgelegt. Eine AVV-Mustervorlage des LfDI-BaWü gibt es außerdem hier.

Im Gegensatz zum Verantwortlichen, treffen den Auftragsverarbeiter die datenschutzrechtlichen Pflichten nur eingeschränkt. Wenn der Auftragsverarbeiter aber die Daten entgegen der Weisungen des Verantwortlichen zu eigenen Zwecken verarbeitet, verstößt er gegen die DSGVO. Er wird in diesem Fall außerdem in Bezug auf diese Verarbeitung als Verantwortlicher betrachtet und kann Sanktionen unterworfen werden.

 

Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.