Inhaltsverzeichnis
Verantwortlicher
Verantwortlicher im Sinner der DSGVO ist die Stelle, die Personenbezogene Daten verarbeitet.
Der Begriff Verantwortlicher ist in Art. 4 Nr. 7 DSGVO legal definiert als: „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“.
Vor Inkrafttreten der DSGVO wurde nach § 3 Abs. 7 BDSG-alt- die Formulierung verantwortliche Stelle verwendet, die gerade für den öffentlichen Bereich noch eher selbsterklärend war.
Der Verantwortliche ist der zentrale Normadressat der DSGVO in dem Sinne, dass sich fast alle aus der DSGVO resultierenden Pflichten gegen den Verantwortlichen richten.1)
Personaler Anwendungsbereich
Wer persönlich Verantwortlicher sein kann, ist teilweise in der DSGVO geregelt: Zunächst kann es eine natürliche Person sein, also ein (lebender) Mensch.
Auch recht eindeutig ist die Lage bei einer juristischen Person, die Verantwortlicher sein kann. Hier ist zu beachten, dass Verantwortlicher die juristische Person als ganzes ist und zwar vertreten durch ihre gesetzlichen Organe (z.B. GmbH-Geschäftsführer, Vorstand, bei Hochschulen Präsident/Rektor) auch wenn diese nicht in Person gehandelt haben: Die Einbindung (weiterer) Personen als z.B. als innerorganisatorische Ansprechpartner (oder missverständlich „innerorganisatorisch Verantwortliche“) ändert daran nichts. Das gilt auch für Personen, die zwar kein Organ sind aber auch keine weisungsgebunden Mitarbeiter (vgl. Art. 29 DSGVO).2) Mitarbeiter und insoweit vergleichbare Personen sind also nie Verantwortlicher im Sinne der DSGVO.
Bei den Personengesellschaften dürfte die Lage bei den Personenhandelsgesellschaften OHG und KG recht eindeutig sein, dass sie als quasijuristische Personen Verantwortlicher sein können. Gleiches dürfte für die klassische Außen-GbR („Klempnerbetrieb Müller&Schulze GbR“) gelten. Aber bei einer Innen-GbR, die in den Anwendungsbereich der DSGVO fällt (z.B. durch Buchhaltung), muss die Einordnung vorläufig offen bleiben.
Ebenfalls muss einstweilen offen bleiben, wann eine „Behörde, Einrichtung oder andere Stelle“ die nötige Selbständigkeit besitzt, um selbst Verantwortlicher sein zu können. Im Zweifel sollte sich an der juristischen Person orientiert werden.
Auch in komplexen Strukturen ist die juristische Person aber immer die „oberste Ebene“, die Verantwortlicher sein kann. Ein Konzern als ganzes kann also nie Verantwortlicher sein,3) sondern es ist auf die Konzerngesellschaften abzustellen.
Sachlicher Anwendungsbereich
In der Sache kann nur Verantwortlicher sein, wer im Anwendungsbereich der DSGVO (Vgl. Art. 2 DSGVO Personenbezogene Daten verarbeitet, wobei es für die Verarbeitung ausreicht, über Zweck und Mittel der Verarbeitung (mit) entscheiden zu können. Hier stellt sich die Frage, wo die Grenzen liegen damit der Begriff des Verantwortlichen nicht völlig konturlos wird. In der Öffentlich breit diskutiert wurde die Frage des Betriebsrats als Verantwortlichem.4) Weitere Problemfälle sind absehbar. Bei öffentlichen Einrichtungen drängt sich analog zum Betriebsrat der Personalrat auf. Auch andere Gremien unterfallen nicht der Weisungsbefugnis des gesetzlichen Vertreters einer juristischen Person: beispielsweise bei der Aktiengesellschaft (und ggf. auch GmbH und eingetragenem Verein) der Aufsichtsrat, bei Körperschaften öffentlichen Rechts die Selbstverwaltungsgremien (bei Hochschulen der Senat, die Vertretungen der Studierenden, eventuell auch Fakultätsräte). Weitere Probleme mit dem Begriff des Verantwortlichen stellen sich beim Datenschutz in der Forschung.
Praktische Umsetzung (TU)
Zur Benennung des Verantwortlichen an der TU Ilmenau siehe Verantwortlicher (TU).
Quellen
- ARTIKEL-29-DATENSCHUTZGRUPPE Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“: wp169_de_verantwortlicher_vs._auftragsverarbeiter_2010_02_16_1_.pdf (Noch in den Artikel einzuarbeiten)