Adressaten der DSGVO
Sind mehrere Personen an einer Datenverarbeitung beteiligt, muss bestimmt werden, welche Rolle sie jeweils innehaben. Die weitere Person kann sein
Unabhängig hiervon kann es sich zudem um
handeln.
Der Verantwortliche, Art. 4 Nr. 7
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Relevant ist der Verantwortlichenbegriff im Rahmen der
Behörde ist nach § 1 Abs. 4 VwVfG jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt. Andererseits ist nicht jedes Organ der öffentlichen Verwaltung zugleich eine Behörde. Entscheidend ist insofern der maßgebliche Organisationsakt, der einem bestimmten Organ rechtliche Selbständigkeit im Außenverhältnis gibt. Eine gewisse Indizwirkung hat dabei, ob die jeweilige Stelle einen eigenen Personalrat hat. Für die datenschutzrechtliche Würdigung sind letztlich folgende Gesichtspunkte entscheidend:
Die verschiedenen Organisationseinheiten innerhalb derselben Behörde ohne rechtliche Verselbständigung im Außenverhältnis sind deshalb keine eigenen Behörden im datenschutzrechtlichen Sinn. Das gilt etwa für den Personalrat, die Schwerbehindertenvertretung und die Gleichstellungsbeauftragte, weil sie weder über die Zwecke noch über die Mittel der Datenverarbeitung entscheiden.
Der Auftragsverarbeiter, Art. 4 Nr. 8
„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Entscheidend ist also, dass die Datenverarbeitung nicht zur Verfolgung eigener Zwecke erfolgt, sondern zur Verfolgung fremder Zwecke im Auftrag.
Der Verarbeitungsbefugte, Art. 4 Nr. 10
"Verarbeitungsbefugte" sind Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Es handelt sich dabei um einzelne Personen, vor allem selbständige freiberufliche Mitarbeiter oder Berater, die organisatorisch nicht dem Verantwortlichen oder einem Auftragsverarbeiter angehören, ihm aber fachlich so unterstellt sind, dass sie die Weisungen des Verantwortlichen in Bezug auf die Datenverarbeitung beachten müssen.
Die unterstellte Person, Art. 29
Eine dem Verantwortlichen unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.
Die Gemeinsamen Verantwortlichen, Art. 26 DSGVO
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.
Der Dritte, Art. 4 Nr. 10
„Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Relevant ist der Drittenbegriff im Rahmen der Informationspflicht nach Art. 14 DSGVO.
Der Empfänger, Art. 4 Nr. 9
„Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
Relevant ist der Empfängerbegriff im Rahmen der
Empfänger ist deshalb stets jeder Dritte (auch andere datenschutzrechtliche Verantwortliche).
Unklar ist aber, ob auch „Teile“ des datenschutzrechtlich Verantwortlichen Empfänger sein können. Die Frage ist nicht trivial, weil etwa der Auskunftsberechtigte auch Auskunft darüber verlangen könnte, welche Stelle innerhalb der Behörde die in fraglichen Daten erhalten hat.
Entscheidend ist (sehr strittig), ob der „Teil“ eine rechtliche Eigenständigkeit besitzt (s. Hartung in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 4 Nr. 9 Rn. 5-7 und Ernst in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art.4 Nr. 9).
Zu bejahen ist die Empfängereigenschaft deshalb für den Auftragsverarbeiter, weil er rechtlich eigenständig ist. Zu bejahen ist das ferner für die Verarbeitungsbefugten nach Art. 4 Nr. 10, weil sie in aller Regel ebenfalls rechtlich selbständig sind. Ansonsten ist das aber zu verneinen, sodass die „Organisationsteile“ der Behörde keine Empfänger sind.
Der Autor der Website:
Dr. Michael Luber, LL.M.Eur. ist Leitender Ministerialrat im Bayerischen Staatsministerium der Finanzen und für Heimat. Er ist Leiter des Personal- und Grundsatzreferats der Personalabteilung des Ministeriums und stellvertretender Abteilungsleiter. Zuvor war er u.a. in der Bayerischen Staatskanzlei tätig. Herr Dr. Luber arbeitet an verschiedenen beamtenrechtlichen (Online-)Kommentaren mit und ist Mitautor von Monographien zum Neuen Dienstrecht in Bayern, zum Amtshaftungsrecht (www.staats-haftung.de) und zum Kostenrecht. Er hat Jura an der Ludwig-Maximilians-Universität München studiert und wurde dort zum Dr. iur. promoviert. Er war Teilnehmer des 23. Lehrgangs für Verwaltungsführung.
Die Website ist privat erstellt und nicht als dienstliche Äußerung zu verstehen.
Stand 01.03.2021