Datenschutz

In diesem Artikel soll der persönliche Anwendungsbereich genauer betrachtet werden.

Jeder der personenbezogene Daten verarbeitet oder dafür verantwortlich zeichnet unterliegt den Regelungen der DSGVO. Dabei ist es nicht erheblich, welche Rechtsform das Unternehmen hat. Entscheidend ist allein der Fakt der Verarbeitung oder Verantwortung für die Verarbeitung personenbezogener Daten. Daraus ergeben sich durchaus unterschiedliche Rollen und Pflichten für Verantwortliche und Auftragsverarbeiter. Auch die Frage wer nun eigentlich dem Schutz durch die DSGVO unterliegt soll geklärt werden.

Die DSGVO beschreibt in ihrem Artikel 4 – Begriffsbestimmungen – unter lfd. Nr. 7

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

DSGVO Art. 4 Nr. 7

Verantwortlicher

Wie bereits erwähnt spielt die Rechtsform des Verantwortlichen keine Rolle. Ob nun natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle – wo personenbezogene Daten verarbeitet werden finden die Regelungen der DSGVO Anwendung.
Für Konzerne gibt es kein Konzernprivileg mehr, sondern jedes Unternehmen innerhalb einer Unternehmensgruppe oder eines Konzerns ist für die Datenverarbeitungstätigkeiten, welche unter dessen Kontrolle durchgeführt werden, selbst verantwortlich.
Innerhalb der Unternehmen werden die Entscheidungen zur Datenverarbeitung von der Geschäftsleitung gefällt. Es gilt zu beachten das diese Personen für die jeweilige Gesellschaft handeln und somit die Gesellschaft als Verantwortliche gilt. Dies ist auch in Punkto drohender Bußgelder oder anderer Ansprüche gegenüber dem Verantwortlichen eine vorzuziehende Regelung. Nicht zuletzt für die Gewährung der Rechte der Betroffenen ist diese Verantwortlichkeitszuweisung wichtig.

Ein oder mehrere Verantwortliche

Die DSGVO legt in Artikel 26 – Gemeinsam für die Verarbeitung Verantwortliche – fest

(1)Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, ….
…. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

DSGVO Art. 26 Abs. 1

Da bei mehreren, gemeinsam für die Verarbeitung Verantwortlichen dafür Sorge zu tragen ist das die Zwecke und Mittel gemeinsam festgelegt werden, muss auch klar festgelegt werden welche Partei welche Pflichten nach der DSGVO erfüllt. Insbesondere muss für betroffene Personen eine Anlaufstelle benannt werden.

(2)Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

DSGVO Art. 26 Abs. 2

Damit nicht der Eindruck entsteht das bei mehreren gemeinsam für die Verarbeitung Verantwortlichen eher eine Auftragsverarbeitung stattfindet gibt es einige Kriterien, die dabei helfen den Auftragsverarbeiter vom Verantwortlichen zu unterscheiden.

  • Das jeweils für die Verarbeitung verantwortliche Unternehmen haftet für die Richtigkeit und Rechtmäßigkeit der Verarbeitung;
  • Jeder Verantwortliche kann die zu verarbeitenden Daten in eigenen Datenbanken zusammenführen;
  • Anders als bei der Auftragsverarbeitung ist eine weiterer Verantwortlicher frei von Weisungen durch einen Auftraggeber;
  • Die Daten können für eigene Zwecke verwendet werden welche nicht mit dem Auftraggeber vereinbart wurden;
  • Zwischen dem verarbeitenden Unternehmen und den Betroffenen wird die Verabeitung auf Grund einer rechtlichen Beziehung durchgeführt.

Wer legt Mittel und Zweck der Verarbeitung fest

Die datenschutzrechtliche Verantwortlichkeit, ist nicht abhängig von der Durchführung der Verarbeitungstätigkeit sondern von der Entscheidungsbefugnis über die Zwecke und wesentlichen Mittel der Verarbeitung. Eine Entscheidung über den Einsatz entsprechender technischer und organisatorischer Maßnahmen kann – wenigsten teilweise – an jemand anderen delegiert werden.
Dem Verantwortlichen obliegt die Pflicht festzulegen welche Daten verarbeitet werden (Zweckbindung und Datenminimierung), für wie lange (Speicherbegrenzung), und wer letztendlich Zugriff auf diese Daten erhält (Vertraulichkeit und Integrität). Es gilt dafür Sorge zu tragen das geeignete technische und organisatorische Maßnahmen (TOM) ergriffen werden, um die Sicherheit der Daten zu gewährleisten.

Der Auftragsverarbeiter

Nicht nur Verantwortliche unterliegen der DSGVO sonder auch Auftragsverarbeiter.

Die DSGVO beschreibt in ihrem Artikel 4 – Begriffsbestimmungen – unter lfd. Nr. 8

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

8.„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

DSGVO Art. 4 Nr. 8

Auch die Beauftragung eines Auftragsverarbeiters für die Datenverarbeitung bedarf einer Entscheidung des Verantwortlichen da dieser verantwortlich bleibt solange der Auftragsverarbeiter weisungsgemäß arbeitet. Zwei Faktoren sind für die Qualifikation als Auftragsverarbeiter zu erfüllen:

  • die juristische oder natürliche Person ist vom Verantwortlichen unabhängig und
  • die Verarbeitung personenbezogener Daten erfolgt im Auftrag eines Verantwortlichen

Beispiele für typische Auftragsverarbeiter können zum Beispiel Betreiber von Rechenzentren sein. Auch die Rechtsform ist, wie bereits beim Verantwortlichen gesagt, nicht von Bedeutung. Also können auch hier wieder unterschiedlichste Beteiligte auftauchen. Der Auftragsverarbeiter arbeitet aber immer auf Weisungen des Verantwortlichen. Sobald er eigene Verarbeitungen mit den Daten vornimmt wird er selbst zum Verantwortlichen mit allen Konsequenzen. Auch die Frage der Beauftragung weiterer Auftragsverarbeiter durch den Auftragsverarbeiter ist im Auftragsverarbeitungsvertrag (AVV) zu regeln. Die Zustimmung zur Unterbeauftragung ist vom Verantwortlichen erforderlich da dieser auch hier verantwortlich bleibt.

Wen schütz die DSGVO

In Artikel 1 DSGVO – Gegenstand und Ziele – heißt es:

(1)Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

DSGVO Art. 1 Abs. 1 und 2

Das bedeutet dass jede natürliche Person den Schutz durch die DSGVO geniest unabhängig von ihrer Nationalität oder ihrem Aufenthaltsort.

Besonderer Schutz gilt den Minderjährigen

Kinder profitieren in besonderer Weise vom Schutz durch die DSGVO. Im Gegensatz zu Erwachsenen sind sie sich in der Regel nicht bewusst welchen Risiken sie ausgesetzt sind, welche Konsequenzen sich für sie ergeben, welche Sicherheitsvorkehrungen zu treffen sind und welche Rechte sie in Bezug auf die Verarbeitung ihrer personenbezogenen Daten haben.

Schutz juristischer Personen

Juristische Personen genießen den Schutz durch die Regelungen der DSGVO nicht. Die DSGVO zielt darauf ab die Grundrechte natürlicher Personen
gem. Art. 8 EU-Grundrechte-Charta zu stärken. Es könnte und kann jedoch auch sein das die hinter einer juristischen Person steckende natürliche Person, zum Beispiel in Form eines Geschäftsführers, den Schutz der DSGVO genießt. In der Praxis gilt das ein Soloselbständiger als natürliche Person anzusehen ist da man in diesen Fällen die geschäftlichen und privaten Daten nicht voneinander trennen kann.