litres-logo
Lekka lektura
Poważna lektura
Historia
Książki biznesowe
Wiedza i umiejętności
Psychologia, motywacja
Sport, zdrowie, uroda
Hobby, rozrywka
Dom, dacza
Książki dla dzieci
Dla rodziców
Publicystyka i czasopisma
Ekskluzywne
Szkice
Darmowe książki
Wszystkie 142 gatunki

Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 24

Czcionka:

c) Rechtsfolgen gemeinsamer Verantwortlichkeit

222

Sofern zwei oder mehrere Stellen eine Datenverarbeitung gemeinsam verantworten, stellt die Regelung von Art. 26 Abs. 3 DSGVO klar, dass jeder der gemeinsam Verantwortlichen nach außen jeweils voll für die Einhaltung aller Vorgaben der DSGVO einzustehen hat.449 Dies gilt im Außenverhältnis in der Regel ungeachtet dessen, zu welchem Grad eine Einflussmöglichkeit der beteiligten Akteure besteht. Etwaige Gefälle oder Zuständigkeitsvereinbarungen zwischen den Akteuren wirken sich grundsätzlich lediglich im Innenverhältnis aus.450 Denkbar verbleibt aber, dass die Verantwortlichkeiten zwischen den Parteien so klar und eindeutig vertraglich separiert sind, dass – im Zusammenhang mit einem konkreten Datenschutzverstoß – sich die jeweils hierfür nicht verantwortliche Partei unmittelbar von einem Vertretenmüssen befreien kann (etwa gemäß Art. 82 Abs. 3 oder Art. 83 Abs. 2 S. 2 lit. d DSGVO).451 Zweideutig sind insoweit die Aussagen des EuGH, dass das Bestehen einer gemeinsamen Verantwortlichkeit „[...] nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, [...]“.452 An anderer Stelle heißt es wiederum, dass bei Vorlage einer gemeinsamen Verantwortlichkeit, „[...] jeder von ihnen [den Verantwortlichen] den Datenschutzvorschriften unterliegt“.453 Insofern wird nicht klar, ob der EuGH es grundsätzlich für möglich erachtet, dass ein beteiligter Akteur lediglich graduelle, datenschutzrechtliche Verantwortung tragen könne, mit der Folge, dass er nur gewisse (jedoch nicht alle) datenschutzrechtlichen Vorgaben einzuhalten habe. Zu beachten ist hingegen, dass diese Äußerungen noch auf Grundlage der DSRl erfolgten, die unter Umständen einer solchen, graduellen Verantwortlichkeit grundsätzlich zugänglich gewesen wäre.454 Jegliche Formen einer abgeschichteten Verantwortung kann es in diesem Sinne aber (außer in sich aus Verstößen ergebenden Haftungs- und Sanktionsfragen, vgl. oben) unter der DSGVO nicht geben.455 Die Möglichkeit zur Einflussnahme eines Beteiligten sollte daher in jedem Fall so ausgeprägt sein, um eine auch umfassende Verantwortlichkeitszuweisung gerechtfertigt erscheinen zu lassen.456

5. Delegation datenschutzrechtlicher Verantwortlichkeiten

223

Datenschutzrechtliche Verantwortung kann sowohl zwischen verschiedenen Stellen als auch innerhalb einer Stelle (an deren Mitarbeiter) delegiert werden. Die Zuweisung an eine andere Stelle kann dazu führen, dass die abtretende Stelle ihre Stellung als Verantwortlicher (im Umfang der Übertragung) verliert. Die (personelle) Delegation an Mitarbeiter innerhalb einer Stelle führt hingegen nicht dazu, dass die Stelle von ihrer datenschutzrechtlichen Verantwortung i.S.v. Art. 4 Nr. 7 DSGVO frei wird.457 Der Aufbau einer solchen Datenschutz-Organisation kann vielmehr ein integraler Bestandteil der vom Verantwortlichen nach Art. 24 DSGVO zu ergreifenden technischen und organisatorischen Datenschutzmaßnahmen sein458 und überdies (im Umfang der Delegation) zur „Enthaftung“ der jeweiligen Geschäftsleitung führen.459

a) Zwischen rechtlichen Einheiten: Zuweisung des Status als Verantwortlicher

224

Nach der hier vertretenen Ansicht ermöglicht die DSGVO, dass datenverarbeitende Stellen den Status als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO in Bezug auf bestimmte Verarbeitungsverfahren ganz oder teilweise an eine andere Stelle übertragen können.

225

Dies kann insbesondere bei Datenverarbeitungsvorgängen relevant sein, die übergreifend über mehrere Niederlassungen einer Unternehmensgruppe hinweg durchgeführt werden. Zu den Niederlassungen können dabei sowohl bloße Zweigstellen des Verantwortlichen als auch (rechtlich unabhängige) Tochtergesellschaften zählen (vgl. ErwG 22). Von dem gleichen Verständnis des Niederlassungsbegriffs geht letztlich auch der EuGH aus.460 Sowohl ErwG 22 als auch die Aussagen des EuGH beziehen sich zwar jeweils auf den Kontext der Anwendbarkeit europäischen Datenschutzrechts. Nicht ersichtlich ist jedoch, dass dem Begriff der Niederlassung im vorliegenden Zusammenhang ein anderes Verständnis innewohnt.461

aa) Grundregel: Verantwortung innerhalb des eigenen Einflussbereichs

226

Grundsätzlich gilt, dass auch im Falle einer niederlassungsübergreifenden Datenverarbeitung jede Niederlassung für die Einhaltung der Datenschutzbestimmungen in ihrem jeweiligen Einflussbereich (getrennt) verantwortlich ist. Vor diesem Hintergrund trägt jede Niederlassung grundsätzlich die datenschutzrechtliche Verantwortung in dem Umfang bzw. bis zu dem Punkt, in dem sie über den Zweck und die Mittel einer niederlassungsübergreifenden Datenverarbeitung entscheidet bzw. entscheiden kann.462 Rechtlich nicht selbstständige Niederlassungen werden jedoch in aller Regel nicht über die nötigen Einrichtungen oder Organe verfügen, um derartige Entscheidung autark bzw. unabhängig von der jeweils kontrollierenden Stelle zu treffen. Demgemäß wird Letztere grundsätzlich bereits initial die Datenverarbeitung im Rahmen einer solchen Niederlassung steuern und daher auch die datenschutzrechtliche Verantwortung tragen. Im Einzelfall kann es hier jedoch auch Abweichungen geben.

bb) Zuweisung des Status als Verantwortlicher an eine andere Stelle

227

Nach der hier vertretenen Ansicht ermöglicht die DSGVO eine Zuweisung der Entscheidungsbefugnis über Zwecke und Mittel eines bestimmten Datenverarbeitungsvorgangs auch dann, wenn der Datenverarbeitungsvorgang bei einer anderen Stelle durchgeführt wird. So kann eine Stelle als Verantwortlicher für einen Datenverarbeitungsvorgang fungieren, auch wenn der Verarbeitungsvorgang bei einer anderen Stelle stattfindet, sofern erstere Stelle die Zwecke und (wesentlichen) Mittel des Datenverarbeitungsvorgangs umfassend und abschließend festlegt.

228

Dieses Verständnis lässt sich insoweit aus dem Konzept der „Hauptniederlassung“ nach Art. 4 Nr. 16 lit. a DSGVO ableiten, das gedanklich voraussetzt, dass Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einer Niederlassung eines Verantwortlichen getroffen werden und diese Niederlassung befugt ist, diese Entscheidungen in einer anderen Niederlassung umsetzen zu lassen. Die entscheidungsbefugte Niederlassung gilt in solchen Fällen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 lit. a DSGVO.463 In diesem Zusammenhang präzisiert ErwG 36 weiter, dass diejenige Niederlassung als Hauptniederlassung anzusehen sei, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Überdies sei nicht ausschlaggebend, ob diese Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird.

229

Vor dem Hintergrund, dass die Hauptniederlassung nach der Entscheidungsbefugnis hinsichtlich Zwecke und Mittel eines Datenverarbeitungsvorgangs bestimmt wird, ist davon auszugehen, dass diese Niederlassung in aller Regel auch als Verantwortlicher für diesen konkreten Verarbeitungsvorgang zu klassifizieren sein wird.464 Insofern spricht auch Art. 56 Abs. 1 DSGVO bei der Bestimmung der für eine Hauptniederlassung zuständigen federführenden Aufsichtsbehörde von diesem Verantwortlichen und impliziert damit, dass ein und derselbe Verantwortliche mehrere (auch rechtlich selbstständige) Niederlassungen umfassen kann. Hieraus folgt, dass zum einen ein mit einer Unternehmensgruppe verbundenes Unternehmen als Verantwortlicher für eine Datenverarbeitung fungieren kann, die bei einem anderen Unternehmen der Unternehmensgruppe angesiedelt ist, sowie, dass es zum anderen grundsätzlich möglich ist, die Verantwortlichkeit für bestimmte Datenverarbeitungsvorgänge einem anderen Unternehmen der gleichen Unternehmensgruppe zuzuordnen. Hierbei muss die Kompetenz zur Bestimmung der Zwecke und der Mittel der jeweiligen Datenverarbeitung diesem Unternehmen zugewiesen werden (z.B. durch Zuweisung im Rahmen einer Unternehmenssatzung). Die Delegation muss jedoch tatsächlich umgesetzt werden und die Gegebenheiten in der Praxis widerspiegeln; eine lediglich „auf dem Papier“ existierende Zuweisung genügt daher nicht.465 Nicht ersichtlich ist, warum dies nicht grundsätzlich auch außerhalb von Unternehmensgruppen möglich sein sollte.

230

Die Zuordnung dieser Befugnisse an eine bestimmte Stelle hat zur Folge, dass die jeweilige Stelle zum Verantwortlichen wird und somit für die Einhaltung der Datenschutzbestimmungen und die Erfüllung der vorstehenden Verpflichtungen des Verantwortlichen aus dem Verarbeitungsvorgang einstehen muss. Umgekehrt folgt daraus auch, dass die Stelle, bei welcher der Datenverarbeitungsvorgang tatsächlich stattfindet (ohne die Befugnis, die Zwecke und Mittel zu beeinflussen), kein Verantwortlicher ist und damit auch nicht die Verantwortung für die Verarbeitung trägt.466 In der Praxis sind hierbei freilich graduelle Abstufungen bei der Verantwortlichkeit möglich. Insofern kann es durchaus sein, dass die beteiligten Stellen durch die Delegation als gemeinsam Verantwortliche anzusehen sein können oder die Verantwortlichkeit für gewisse Abschnitte eines Datenverarbeitungsverfahrens bei der abtretenden Stelle verbleiben.467 Dies bestimmt sich danach, ob und wenn ja, wie weit eine Entscheidungsbefugnis im Hinblick auf Zwecke und Mittel der jeweiligen Datenverarbeitung bei der „kontrollierten“ Stelle verbleibt.

231

Auch wertungsmäßig muss eine solche Betrachtung keinen Widerspruch darstellen: Insofern macht es für den Schutz der Betroffenen keinen Unterschied, ob ihre Daten durch eine rechtlich unselbstständige Zweigstelle (deren Datenverarbeitung in der Regel originär der jeweils verantwortlichen Hauptniederlassung zugeordnet wird) oder eine rechtlich selbstständige Niederlassung (die ihre datenschutzrechtliche Verantwortung auf die Hauptniederlassung delegiert hat) verarbeitet werden, sofern die Zwecke und Mittel der Datenverarbeitung durch eine andere Stelle (etwa eine Muttergesellschaft) vorgegeben werden. Entscheidend sollte vielmehr sein, dass die Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmung klar (etwa an eine Muttergesellschaft) und für die Betroffenen transparent zugewiesen ist, und der jeweilige Verantwortliche auch in der Lage ist, seine Pflichten als Verantwortlicher (insbesondere gegenüber den Betroffenen) umfassend zu erfüllen. Sofern dabei keine Schutzlücken zu befürchten sind, besteht insoweit kein Bedarf für einen „zusätzlichen“ Verantwortlichen.

232

Für den Fall, dass die abtretende Stelle mangels hinreichender Entscheidungsbefugnis keine Stellung als Verantwortlicher trifft, ist fraglich, welche Funktion sie in der datenschutzrechtlichen Nomenklatur einnimmt. Für eine Stellung als Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO spricht, dass sie personenbezogene Daten auf Weisung einer anderen Stelle verarbeitet, für welche Letztere Verantwortlicher im datenschutzrechtlichen Sinne ist. Im Unterschied zur gewöhnlichen Auftragsverarbeitungssituation besteht jedoch der Unterschied, dass die „kontrollierte“ Stelle keine „fremden“ Daten im Auftrag des Verantwortlichen, sondern vielmehr eigene Geschäftsprozesse betreffende Daten nach Maßgabe des Verantwortlichen verarbeitet. Demgemäß besteht nicht die eine Auftragsverarbeitung charakterisierende Risikolage, dass personenbezogene Daten an eine andere Stelle übermittelt werden, um dort für den jeweils Verantwortlichen von einem Außenstehenden (dem Auftragsverarbeiter) verarbeitet zu werden. Vor diesem Hintergrund könnten solche „kontrollierte“ Stellen im datenschutzrechtlichen Kontext auch als unselbstständige Zweigstellen betrachtet werden, deren Datenverarbeitungstätigkeiten der jeweils „kontrollierenden“ Stelle zuzurechnen sind.468 Hierfür spricht ferner die Definition des „Dritten“ nach Art. 4 Nr. 10 DSGVO, wonach Personen (neben u.a. Auftragsverarbeitern) gerade nicht als Dritte anzusehen sind, sofern sie unter der unmittelbaren Verantwortung des Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten, da sie der Sphäre des Verantwortlichen zuzurechnen sind (was sich auch bereits aus der funktionalen Betrachtung des Verantwortlichkeitsbegriffs ergibt, vgl. oben Rn. 184ff.). Anerkannt ist, dass hierunter nicht lediglich (unmittelbare) Angestellte des Verantwortlichen zu fassen sind, sondern vielmehr auch Externe, sofern und soweit sie funktional für den Verantwortlichen tätig werden und diesem fachlich unterstellt sind;469 nicht ersichtlich ist, warum dies nicht auch entsprechend für unselbstständige Zweigstellen bzw. selbstständige, jedoch im obigen Sinne „kontrollierte“ Niederlassungen gelten sollte.470 Der Wortlaut der Definition enthält insoweit auch keine Beschränkung auf natürliche Personen; demnach könnten darunter grundsätzlich auch juristische Personen oder anderweitige Stellen gefasst werden.

cc) Übertragung bestimmter Verantwortlichen-Pflichten auf andere Stellen

233

Darüber hinaus können Verantwortliche die Ausführungen von einzelnen Datenschutzverpflichtungen auf andere Stellen übertragen. Vorausgesetzt, dass eine solche Übertragung nicht dazu führt, dass die andere Stelle in die Lage versetzt wird, Entscheidungen in Bezug auf Zweck und Mittel des jeweiligen Datenverarbeitungsvorgangs zu treffen, wird weder die abtretende Stelle frei von ihrer Stellung als Verantwortlicher (bzw. von der gesetzlichen Pflicht zur Erfüllung der abgetretenen Pflicht), noch wird die übernehmende Stelle alleinig oder gemeinsam Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO. Eine solche Übertragung kann daher im Falle von Unterstützungs- und (in begrenzten Fällen) (Infra-)Strukturaufgaben sinnvoll sein, z.B. um eine ordnungsgemäße Dokumentation sicherzustellen oder IT-Sicherheitsmaßnahmen umzusetzen.

234

Vice versa ist zu berücksichtigen, dass, sobald die beauftragte Stelle im Zuge der Erfüllung der übertragenen Aufgabe personenbezogene Daten weisungsgebunden und im Auftrag des Verantwortlichen verarbeitet, diese Stelle als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO anzusehen ist. In der Konsequenz wäre der Verantwortliche dann verpflichtet, einen Auftragsverarbeitungsvertrag in Übereinstimmung mit den Anforderungen nach Art. 28 Abs. 3 DSGVO abzuschließen.

b) Innerhalb einer rechtlichen Einheit: Aufbau einer Datenschutz-Organisation

235

Sofern es sich bei dem Verantwortlichen um keine natürliche Person handelt, trifft die (interne) Verantwortung zur Einhaltung datenschutzrechtlicher Vorgaben originär die Geschäftsleitung.471 Die Geschäftsleitung kann jedoch die Verantwortung für die einzelnen Datenverarbeitungsvorgänge auf einzelne Mitarbeiter delegieren. Je nach Größe und Tätigkeitsfeld der jeweiligen Stelle kann der Aufbau einer solchen Datenschutz-Organisation als organisatorische Datenschutzmaßnahme i.S.v. Art. 24 i.V.m. Art. 39 Abs. 1 lit. b DSGVO sogar verpflichtend sein.472 Für Unternehmen bzw. die Unternehmensleitung kann sich eine entsprechende Pflicht aus § 130 Abs. 1 (i.V.m. § 9 Abs. 1) OWiG ergeben, wonach Unternehmensinhaber bzw. die Geschäftsleitung verpflichtet sind, Aufsichtsmaßnahmen zu ergreifen, um Verstöße gegen Gesetze zu verhindern, die mit Bußgeldern geahndet werden;473 dies gilt insofern auch für Verstöße gegen die Bestimmungen der DSGVO.

236

Im Falle einer solchen Delegation sind die jeweiligen Mitarbeiter (intern) verpflichtet, die Einhaltung der ihnen übertragenen datenschutzrechtlichen Pflichten bzw. die datenschutzrechtliche Konformität der ihnen anvertrauten Datenverarbeitungsverfahren zu gewährleisten. Die Verantwortlichkeiten der einzelnen Mitarbeiter müssen hierbei jedoch klar definiert und kommuniziert werden.474 Soweit die Verantwortlichkeiten nicht eindeutig definiert sind, bleibt die Geschäftsleitung für solche Verstöße verantwortlich. Für die Art und Weise der Pflichtendelegation auf Unternehmensmitarbeiter enthält die DSGVO keine verbindlichen Vorgaben. Die Pflicht zur Einhaltung einer oder mehrerer der vorgenannten Verpflichtungen kann pro Gesellschaft, pro Geschäftseinheit, pro Geschäftsprozess oder für jeden einzelnen Datenverarbeitungsvorgang übertragen werden.

237

Jede Delegation muss in der Praxis auch umsetzbar sein. Demgemäß müssen die verantwortlichen Mitarbeiter in der Lage sein, ihren Verpflichtungen nachzukommen. Entscheidend ist hierbei insbesondere, dass die verantwortliche Person die Befugnis haben muss, die betreffenden Datenverarbeitungsaktivitäten zu ändern, d.h. die Verantwortung für die Einhaltung bestimmter datenschutzrechtlicher Vorgaben darf nicht an eine Person delegiert werden, die nicht befugt ist, (verbindliche) Weisungen zu derartigen Datenschutzvorgängen zu erteilen. Daher kann die Verantwortung für die Einhaltung geltender Datenschutzbestimmungen nicht niedriger übertragen werden als die Ebene, auf welcher die inhaltliche und operative Entscheidungsbefugnis über die Datenverarbeitung liegt. In der Regel können daher lediglich leitende Angestellte sowie Prozessverantwortliche für die materielle Rechtmäßigkeit der Datenverarbeitung verantwortlich sein, die (intern) die Entscheidung darüber treffen können, welche personenbezogenen Daten zu welchem Zweck und mit welchen Mitteln verarbeitet werden.475

IX. Auftragsverarbeiter (Nr. 8)
1. Allgemeines/Gesetzessystematischer Zusammenhang
a) Rechtlicher Hintergrund

238

Die Begriffsbestimmung des Auftragsverarbeiters nach Art. 4 Nr. 8 DSGVO ist im engen Zusammenhang mit der Definition des Verantwortlichen nach Art. 4 Nr. 7 DSGVO zu sehen. Beide Begriffe dienen in erster Linie dem Zweck, an einem Datenverarbeitungsvorgang beteiligte Akteure im Hinblick auf die Verantwortlichkeit zur Einhaltung diesbezüglich einschlägiger datenschutzrechtlicher Vorschriften voneinander abzugrenzen. Auftragsverarbeiter können so von Verantwortlichen mit der Verarbeitung personenbezogener Daten beauftragt werden, ohne hierfür (umfassende) datenschutzrechtliche Verantwortlichkeit tragen zu müssen.476 Im Hinblick auf einen bestimmten Datenverarbeitungsvorgang bzw. auf bestimmte abgrenzbare Verarbeitungsabschnitte schließen sich ein datenverarbeitendes Tätigwerden als Verantwortlicher oder Auftragsverarbeiter daher gegenseitig aus.477

b) Datenschutzrechtliche Klassifizierung der Auftragsverarbeitung

239

Auftragsverarbeiter sind Empfänger i.S.v. Art. 4 Nr. 9 DSGVO, nicht hingegen Dritte i.S.v. Art. 4 Nr. 10 DSGVO.478 Welche Konsequenzen diese Kategorisierung für die datenschutzrechtliche Klassifizierung der Weitergabe personenbezogener Daten an Auftragsverarbeiter nach sich zieht, ist umstritten. Uneinigkeit besteht insoweit darüber, ob Datenweitergaben an einen Auftragsverarbeiter generell privilegiert sind oder ob die Weitergabe der zu verarbeitenden personenbezogenen Daten an den Auftragnehmer eine datenschutzrechtlich relevante und somit zu rechtfertigende Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 2 DSGVO darstellt,479 mithin der Auftraggeber dem Auftragsverarbeiter zur Durchführung des Auftrags ungeprüft alle notwendigen personenbezogenen Daten zur Verfügung stellen darf, oder ob er vorher sicherstellen muss, dass hierfür eine Erlaubnis in Gestalt einer Einwilligung oder eines gesetzlichen Erlaubnistatbestands greift.480

240

Das Auftrags- sowie Vertragsverhältnis zwischen dem Auftraggeber und dem Auftragsverarbeiter unterliegt dabei den Anforderungen von Art. 28 DSGVO.481 Der Abschluss eines Auftragsverarbeitungsvertrags wirkt jedoch nicht konstitutiv; vielmehr erfordert die Vorlage einer Auftragsverarbeitungskonstellation482 den Abschluss eines den Anforderungen von Art. 28 DSGVO entsprechenden Vertrags.

DSGVO - BDSG - TTDSG
Tekst
0
Zostaw recenzję
1209,24 zł
Gatunki i tagi
Adwokatura
Ograniczenie wiekowe:
0+
Objętość:
4734 str. 7 ilustracje
ISBN:
9783800594207
Redaktor:
Wydawca:
Właściciel praw:
Bookwire
Format pobierania:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip
Część serii "Kommunikation & Recht"
Wszystkie książki z serii

Z tą książką czytają

Круть
Ekskluzywny

Круть

Wiktor Pielewin
Audiobook z wersją tekstową
3,6
105