Adressaten der DSGVO

 

 

 

Sind mehrere Personen an einer Datenverarbeitung beteiligt, muss bestimmt werden, welche Rolle sie jeweils innehaben. Die weitere Person kann sein

  • ein eigener datenschutzrechtlich Verantwortlicher
  • ein gemeinsam Verantwortlicher
  • ein Auftragsverarbeiter
  • ein Unterstellter oder Verarbeitungsbefugter.

 

Unabhängig hiervon kann es sich zudem um

  • einen Dritten (relevant für die Informationspflichten nach Art. 14 DSGVO) und
  • einen Empfänger (relevant für das Verarbeitungsverzeichnis)

handeln.

 

 

Der Verantwortliche, Art. 4 Nr. 7

 

 

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

 

Relevant ist der Verantwortlichenbegriff im Rahmen der

  • Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO
  • Erfüllung der Betroffenenrechte nach Art. 12 – 23 DSGVO, insbes. Informationspflichten
  • Durchführung der TOM nach Art. 24 DSGVO
  • Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, Art. 30 DSGVO
  • Durchführung der Datenschutz-Folgenabschätzung, Art. 35 DSGVO

 

Behörde ist nach § 1 Abs. 4 VwVfG jede Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt. Andererseits ist nicht jedes Organ der öffentlichen Verwaltung zugleich eine Behörde. Entscheidend ist insofern der maßgebliche Organisationsakt, der einem bestimmten Organ rechtliche Selbständigkeit im Außenverhältnis gibt. Eine gewisse Indizwirkung hat dabei, ob die jeweilige Stelle einen eigenen Personalrat hat. Für die datenschutzrechtliche Würdigung sind letztlich folgende Gesichtspunkte entscheidend:

  • die Integration in die Dienststelle (insbes. durch Bestimmung des Dienstvorgesetzten),
  • die Selbständigkeit des durchgeführten Verfahrens
  • die Zweckidentität auf Basis der jeweiligen Zuständigkeit.

Die verschiedenen Organisationseinheiten innerhalb derselben Behörde ohne rechtliche Verselbständigung im Außenverhältnis sind deshalb keine eigenen Behörden im datenschutzrechtlichen Sinn. Das gilt etwa für den Personalrat, die Schwerbehindertenvertretung und die Gleichstellungsbeauftragte, weil sie weder über die Zwecke noch über die Mittel der Datenverarbeitung entscheiden. 

 

 

 

 

Der Auftragsverarbeiter, Art. 4 Nr. 8

 

 

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Entscheidend ist also, dass die Datenverarbeitung nicht zur Verfolgung eigener Zwecke erfolgt, sondern zur Verfolgung fremder Zwecke im Auftrag.

 

 

 

Der Verarbeitungsbefugte, Art. 4 Nr. 10

 

 

"Verarbeitungsbefugte" sind Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

 

Es handelt sich dabei um einzelne Personen, vor allem selbständige freiberufliche Mitarbeiter oder Berater, die organisatorisch nicht dem Verantwortlichen oder einem Auftragsverarbeiter angehören, ihm aber fachlich so unterstellt sind, dass sie die Weisungen des Verantwortlichen in Bezug auf die Datenverarbeitung beachten müssen.

 

 

 

Die unterstellte Person, Art. 29

 

 

Eine dem Verantwortlichen unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

 

 

 

Die Gemeinsamen Verantwortlichen, Art. 26 DSGVO

 

 

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.

 

 

 

 

Der Dritte, Art. 4 Nr. 10

 

 

„Dritter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

 

Relevant ist der Drittenbegriff im Rahmen der Informationspflicht nach Art. 14 DSGVO.

 

 

 

Der Empfänger, Art. 4 Nr. 9

 

 

„Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

 

Relevant ist der Empfängerbegriff im Rahmen der

  • Mitteilungen aufgrund von Informationspflichten (Art. 13, 14 Abs. 1 lit. e),
  • Auskunftsrechte (Art. 15),
  • Mitteilungspflichten (Art. 19) und
  • Verzeichniserstellung (Art. 30)

 

Empfänger ist deshalb stets jeder Dritte (auch andere datenschutzrechtliche Verantwortliche).

Unklar ist aber, ob auch „Teile“ des datenschutzrechtlich Verantwortlichen Empfänger sein können. Die Frage ist nicht trivial, weil etwa der Auskunftsberechtigte auch Auskunft darüber verlangen könnte, welche Stelle innerhalb der Behörde die in fraglichen Daten erhalten hat.  

Entscheidend ist (sehr strittig), ob der „Teil“ eine rechtliche Eigenständigkeit besitzt (s. Hartung in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 4 Nr. 9 Rn. 5-7 und Ernst in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art.4 Nr. 9). 

Zu bejahen ist die Empfängereigenschaft deshalb für den Auftragsverarbeiter, weil er rechtlich eigenständig ist. Zu bejahen ist das ferner für die Verarbeitungsbefugten nach Art. 4 Nr. 10, weil sie in aller Regel ebenfalls rechtlich selbständig sind. Ansonsten ist das aber zu verneinen, sodass die „Organisationsteile“ der Behörde keine Empfänger sind.