- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

FAQ zur Verantwortlichkeit: Antworten des LfDI BaWü

Wer ist Verantwortlicher? Wie kann gemeinsame Verantwortlichkeit ausgestaltet sein? Kann ein Auftragsverarbeiter für Datenschutzverletzungen haftbar gemacht werden? Das sind nur drei von 23 Fragen rund um die Europäische Datenschutz-Grundverordnung (DSGVO), die der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) in seinen aktuellen FAQs beantwortet.

Endlich verständlich“ – der Name ist Programm – und deshalb erklärt der LfDI BaWü alle Fakten zur Verantwortlichkeit, gemeinsamen Verantwortlichkeit und Auftragsverarbeitung möglichst einfach. Er bezieht sich dabei auf die neuen Leitlinien des Europäischen Datenschutzausschusses EDSA.

Gegen die Verwirrrung

„Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? Die Verwirrung ist bei dieser Frage groß und gerade im Online-Bereich fällt die Abgrenzung oft schwer“, heißt es in der Pressemitteilung des baden-württembergischen LfDI.

Deshalb fasst Dr. Stefan Brink die Kernaussagen der neuen EDSA-Leitlinien „Guidelines on the concepts of controller and processor in the GDPR“, die bisher nur auf Englisch vorliegen, zusammen – und gibt einen verständlichen Überblick über die „doch recht komplexen Rechtsfragen“.

23 Fragen und Antworten

Die FAQs sind – analog zu den Guidelines – in zwei Teile gegliedert. Im ersten Teil stellt der LfDI BaWü Fragen und Antworten zu den „Rechtlichen Konzepten“ zusammen, in zweiten Teil zu den „Folgen der gemeinsamen Verantwortlichkeit“.

Insgesamt sind es 23 Fragen und Antworten. Hier die wichtigsten im Überblick:

Wer ist überhaupt „Verantwortlicher“?

Die erste Frage dreht sich um den Begriff des „Verantwortlichen“.

Laut Artikel 4 der Europäischen Datenschutz-Grundverordnung (DSGVO) ist das jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Was das konkret bedeutet, erklärt der LfDI BaWü in seiner Antwort: Die Rolle des Verantwortlichen könne

Was bedeutet „Bestimmung der Zwecke und Mittel“?

Die zweite Frage beleuchtet die „Bestimmung der Zwecke und Mittel“ – oder einfacher ausgedrückt: Warum und wie sollen Daten verarbeitet werden?

Hier nimmt der LfDI BaWü in seiner Antwort die Verantwortlichen in die Pflicht. Er oder sie lege fest

Die nächsten Fragen – von drei bis zehn – vertiefen die Rolle des Verantwortlichen.

Wie kann die Mitwirkung bei gemeinsamer Verantwortlichkeit ausgestaltet sein?

Ab Frage 11 geht es um die gemeinsame Verantwortlichkeit, beginnend mit „Wie kann die Mitwirkung bei gemeinsamer Verantwortlichkeit ausgestaltet sein?“

Dr. Stefan Brink nennt in seiner Antwort zwei Möglichkeiten:

  1. Gemeinsame Entscheidungen: Die Verantwortlichen treffen zusammen Entscheidungen und verfolgen eine gemeinsame Absicht.
  2. Konvergierende Entscheidungen: Die Entscheidungen der Verantwortlichen ergänzen sich derart, dass die Verarbeitung ohne die Beteiligung beider Parteien in dem gewünschten Sinne nicht möglich wäre.

Wie legen gemeinsame Verantwortliche fest, wer welche Pflichten hat?

Frage 14 bezieht sich auf Artikel 26 der DSGVO. Dieser sieht vor, dass die gemeinsam Verantwortlichen in transparenter Weise festlegen sollen, wer von ihnen welche Verpflichtung aus der DSGVO erfüllt.

Aber: Wie legen die gemeinsam Verantwortlichen das fest?

In seiner Antwort verweist der LfDI BaWü auf die Empfehlung des Europäischen Datenschutzausschusses. Dieser rät zum Abschluss eines rechtlich bindenden Dokuments. Nur dann entstehe eine Haftung desjenigen, der sich gegebenenfalls nicht an die Vereinbarung halte.

Kann ein Auftragsverarbeiter für Datenschutzverletzungen haftbar gemacht oder mit einem Bußgeld belegt werden?

Die Fragen 16 bis 23 drehen sich um die sogenannten „Auftragsverarbeiter“ laut DSGVO.

Sie sind gewissermaßen die verlängerten Arme der Verantwortlichen und verarbeiten in deren Auftrag die Daten. Ob sie auch bei Datenschutzverletzungen haftbar gemacht werden können, ist die 23. und letzte FAQ.

Hier mahnt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg in seiner Antwort zur Vorsicht:

Mehr Informationen:

Elke Zapf