Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
verantwortlicher [2019/02/12 23:36] – [Sachlicher Anwendungsbereich] Martin Neldnerverantwortlicher [2019/05/15 10:13] – [Personaler Anwendungsbereich] Admin
Zeile 13: Zeile 13:
 Wer persönlich Verantwortlicher sein kann, ist teilweise in der DSGVO geregelt: Zunächst kann es eine **natürliche Person** sein, also ein (lebender) Mensch.  Wer persönlich Verantwortlicher sein kann, ist teilweise in der DSGVO geregelt: Zunächst kann es eine **natürliche Person** sein, also ein (lebender) Mensch. 
  
-Auch recht eindeutig ist die Lage bei einer **juristischen Person**, die Verantwortlicher sein kann. Hier ist zu beachten, dass Verantwortlicher die juristische Person als ganzes ist und zwar vertreten durch ihre gesetzlichen Organe (z.B. GmbH-Geschäftsführer, Vorstand, bei Hochschulen Präsident/Rektor) auch wenn diese nicht in Person gehandelt haben: Die Einbindung (weiterer) Personen als z.B. als [[innerorganisatorische Ansprechpartner]] (oder missverständlich "innerorganisatorisch Verantwortliche") ändert daran nichts. Das muss in letzter Konsequenz auch für Personen gelten, die zwar kein Organ sind aber auch keine weisungsgebunden Mitarbeiter (vgl. [[https://dejure.org/gesetze/DSGVO/29.html|Art. 29]] DSGVO).((Das könnte an einer Hochschule so unterschiedliche Angehörige betreffen wie den Kanzler, die Mitglieder des Personalrats in dieser Eigenschaft aber auch Studierende und Gastwissenschaftler.))+Auch recht eindeutig ist die Lage bei einer **juristischen Person**, die Verantwortlicher sein kann. Hier ist zu beachten, dass Verantwortlicher die juristische Person als ganzes ist und zwar vertreten durch ihre gesetzlichen Organe (z.B. GmbH-Geschäftsführer, Vorstand, bei Hochschulen Präsident/Rektor) auch wenn diese nicht in Person gehandelt haben: Die Einbindung (weiterer) Personen als z.B. als [[innerorganisatorische Ansprechpartner]] (oder missverständlich "innerorganisatorisch Verantwortliche") ändert daran nichts. Das gilt auch für Personen, die zwar kein Organ sind aber auch keine weisungsgebunden Mitarbeiter (vgl. [[https://dejure.org/gesetze/DSGVO/29.html|Art. 29]] DSGVO).((Das könnte an einer Hochschule so unterschiedliche Angehörige betreffen wie den Kanzler, die Mitglieder des Personalrats in dieser Eigenschaft aber auch Studierende und Gastwissenschaftler.))
  
-Offen muss einstweilen bleiben, wann eine "Behörde, Einrichtung oder andere Stelle" die nötige Selbständigkeit besitzt, um selbst Verantwortlicher sein zu können. Im Zweifel sollte sich an der juristischen Person orientiert werden.+Bei den **Personengesellschaften** dürfte die Lage bei den Personenhandelsgesellschaften OHG und KG recht eindeutig sein, dass sie als quasijuristische Personen Verantwortlicher sein können. Gleiches dürfte für die klassische Außen-GbR ("Klempnerbetrieb Müller&Schulze GbR") gelten. Aber bei einer Innen-GbR, die in den Anwendungsbereich der DSGVO fällt (z.B. durch Buchhaltung), muss die Einordnung vorläufig offen bleiben. 
 + 
 +Ebenfalls muss einstweilen offen bleiben, wann eine "Behörde, Einrichtung oder andere Stelle" die nötige Selbständigkeit besitzt, um selbst Verantwortlicher sein zu können. Im Zweifel sollte sich an der juristischen Person orientiert werden.
  
 Auch in komplexen Strukturen ist die juristische Person aber immer die "oberste Ebene", die Verantwortlicher sein kann. Ein **Konzern** als ganzes kann also nie Verantwortlicher sein,((Vgl. [[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKDatenS_26%2fEWG_DSGVO%2fcont%2fBECKOKDATENS%2eEWG_DSGVO%2eA4%2eglB%2eglVII%2ehtm|BeckOK DatenschutzR/Schild, 26. Ed. 1.2.2018, DS-GVO Art. 4 Rn. 88]].)) sondern es ist auf die Konzerngesellschaften abzustellen. Auch in komplexen Strukturen ist die juristische Person aber immer die "oberste Ebene", die Verantwortlicher sein kann. Ein **Konzern** als ganzes kann also nie Verantwortlicher sein,((Vgl. [[https://beck-online.beck.de/?vpath=bibdata%2fkomm%2fBeckOKDatenS_26%2fEWG_DSGVO%2fcont%2fBECKOKDATENS%2eEWG_DSGVO%2eA4%2eglB%2eglVII%2ehtm|BeckOK DatenschutzR/Schild, 26. Ed. 1.2.2018, DS-GVO Art. 4 Rn. 88]].)) sondern es ist auf die Konzerngesellschaften abzustellen.
Zeile 23: Zeile 25:
 In der Sache kann nur Verantwortlicher sein, wer im Anwendungsbereich der DSGVO (Vgl. [[https://dejure.org/gesetze/DSGVO/2.html|Art. 2]] DSGVO [[personenbezogene Daten]] [[Verarbeitung|verarbeitet]], wobei es für die Verarbeitung ausreicht, über Zweck und Mittel der Verarbeitung (mit) entscheiden zu können. Hier stellt sich die Frage, wo die Grenzen liegen damit der Begriff des Verantwortlichen nicht völlig konturlos wird. In der Öffentlich breit diskutiert wurde die Frage des Betriebsrats als Verantwortlichem.((Vgl. [[https://www.datenschutzbeauftragter-info.de/ist-der-betriebsrat-ein-eigener-verantwortlicher-nach-der-dsgvo/|Datenschutzbeauftragter.info: Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?]] und [[https://efarbeitsrecht.net/betriebsrat-selbst-fuer-datenschutz-verantwortlich/|Wybitul, Tim: Betriebsrat selbst für Datenschutz verantwortlich: Sorgen Datenschutzbehörden bald für Paukenschlag?]].)) Weitere Problemfälle sind absehbar. Bei öffentlichen Einrichtungen drängt sich analog zum Betriebsrat der Personalrat auf. Auch andere Gremien unterfallen nicht der Weisungsbefugnis des gesetzlichen Vertreters einer juristischen Person: beispielsweise bei der Aktiengesellschaft (und ggf. auch GmbH und eingetragenem Verein) der Aufsichtsrat, bei Körperschaften öffentlichen Rechts die Selbstverwaltungsgremien (bei Hochschulen der Senat, die Vertretungen der Studierenden, eventuell auch Fakultätsräte). Weitere Probleme mit dem Begriff des Verantwortlichen stellen sich beim [[Datenschutz in der Forschung]]. In der Sache kann nur Verantwortlicher sein, wer im Anwendungsbereich der DSGVO (Vgl. [[https://dejure.org/gesetze/DSGVO/2.html|Art. 2]] DSGVO [[personenbezogene Daten]] [[Verarbeitung|verarbeitet]], wobei es für die Verarbeitung ausreicht, über Zweck und Mittel der Verarbeitung (mit) entscheiden zu können. Hier stellt sich die Frage, wo die Grenzen liegen damit der Begriff des Verantwortlichen nicht völlig konturlos wird. In der Öffentlich breit diskutiert wurde die Frage des Betriebsrats als Verantwortlichem.((Vgl. [[https://www.datenschutzbeauftragter-info.de/ist-der-betriebsrat-ein-eigener-verantwortlicher-nach-der-dsgvo/|Datenschutzbeauftragter.info: Ist der Betriebsrat ein eigener Verantwortlicher nach der DSGVO?]] und [[https://efarbeitsrecht.net/betriebsrat-selbst-fuer-datenschutz-verantwortlich/|Wybitul, Tim: Betriebsrat selbst für Datenschutz verantwortlich: Sorgen Datenschutzbehörden bald für Paukenschlag?]].)) Weitere Problemfälle sind absehbar. Bei öffentlichen Einrichtungen drängt sich analog zum Betriebsrat der Personalrat auf. Auch andere Gremien unterfallen nicht der Weisungsbefugnis des gesetzlichen Vertreters einer juristischen Person: beispielsweise bei der Aktiengesellschaft (und ggf. auch GmbH und eingetragenem Verein) der Aufsichtsrat, bei Körperschaften öffentlichen Rechts die Selbstverwaltungsgremien (bei Hochschulen der Senat, die Vertretungen der Studierenden, eventuell auch Fakultätsräte). Weitere Probleme mit dem Begriff des Verantwortlichen stellen sich beim [[Datenschutz in der Forschung]].
  
 +===== Quellen =====
 +
 +  * ARTIKEL-29-DATENSCHUTZGRUPPE Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“: {{:quellen:wp169_de_verantwortlicher_vs._auftragsverarbeiter_2010_02_16_1_.pdf|wp169_de_verantwortlicher_vs._auftragsverarbeiter_2010_02_16_1_.pdf}}  (Noch in den Artikel einzuarbeiten)
  
  
Drucken/exportieren
QR-Code
QR-Code Verantwortlicher (erstellt für aktuelle Seite)