Ausweislich der Art.-29-Datenschutzgruppe dient der Begriff des Verantwortlichen dazu „zu bestimmen, wer für die Einhaltung der Datenschutzbestimmungen verantwortlich ist und wie die betroffenen Personen ihre Rechte in der Praxis ausüben können“[300]. Unter Berücksichtigung des Wortlauts der DS-GVO wird so klargestellt, dass „Verantwortlicher“ nur derjenige ist, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten alleine oder gemeinsam mit anderen entscheidet.
129
Dabei folgt Art. 4 Nr. 7 einem zweigliedrigen Ansatz: Die Norm dient zum einen dem Zweck, die Verantwortung für die Einhaltung der Vorschriften zum Datenschutz und den Vorgaben der DS-GVO dem Verantwortlichen zuzuweisen. Der Verantwortliche wird damit in einem ersten Schritt zum Adressaten der Pflichten der DS-GVO und so zur Einhaltung der datenschutzrechtlichen Grundsätze verpflichtet. Sollte der Verantwortliche diese Vorgaben nicht einhalten, finden auf ihn in einem zweiten Schritt die Vorschriften über Haftung und Recht auf Schadensersatz[301] der betroffenen Person sowie die Vorschriften über Geldbußen[302] Anwendung.[303] Insofern ist Art. 4 Nr. 7 sowohl im Rahmen der Ansprüche der Betroffenen als auch für die Maßnahmen der Aufsichtsbehörde bedeutsam.[304]
3. Tatbestandsmerkmale des Verantwortlichen im Einzelnen
130
Nach der Rechtsprechung des EuGH ist der Begriff des Verantwortlichen zum Zwecke des wirksamen und umfassenden Schutzes der betroffenen Person weit zu verstehen.[305] Die Feststellung des Verantwortlichen erfolgt nach der Art.-29-Datenschutzgruppe[306] anhand von drei Hauptkomponenten, die der Darstellung im Folgenden zugrunde gelegt werden:
| 1. | „die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle“ (Normadressat), |
| 2. | „die allein oder gemeinsam mit anderen“ (alleinige oder gemeinsame Verantwortlichkeit), |
| 3. | „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Entscheidungsbefugnisse über Zwecke und Mittel). |
a) Normadressaten
131
Ausweislich des Wortlauts des Art. 4 Nr. 7 können natürliche oder juristische Personen, Behörden oder eine Einrichtung oder andere Stelle Verantwortlicher sein. Der Begriff des „Verantwortlichen“ ist daher ein Oberbegriff für verschiedene in Betracht kommende Normadressaten.
132
Somit können zunächst natürliche Personen Adressat und damit Verantwortlicher sein. Dies ist vor dem Hintergrund der Regelung des Art. 2 Abs. 2 lit. c sowie ErwG 18 S. 1 keineswegs selbstverständlich: Danach findet die DS-GVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Daraus folgt, dass natürliche Personen jedenfalls dann als Verantwortliche dem Anwendungsbereich der DS-GVO unterfallen, wenn sie im Rahmen einer beruflichen oder wirtschaftlichen Tätigkeit personenbezogene Daten verarbeiten.[307]
133
Für die Praxis ist in diesem Zusammenhang insbesondere bedeutsam, dass letztlich stets Einzelpersonen als natürliche Personen Daten verarbeiten, so dass sich die Frage stellt, wie die Verantwortlichkeiten zwischen einer natürlichen und einer juristischen Person i.S.d. Art. 4 Nr. 7 voneinander abzugrenzen sind. Grundsätzlich ist hierbei von der im WP 169 aufgestellten Leitlinie der Art.-29-Datenschutzgruppe[308] auszugehen. Letztlich lassen sich in diesem Zusammenhang folgende Kernaussagen für die Praxis festhalten:
| – | Grundsätzlich soll das Unternehmen oder die (öffentliche) Stelle an sich als Verantwortlicher gelten. Hier liegt also die Verantwortlichkeit für die Verarbeitung von personenbezogenen Daten im Rahmen ihres Tätigkeits- und Haftungsbereichs.[309] |
| – | Datenverarbeitungen von Einzelpersonen, deren Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aus einem Beschäftigungsverhältnis folgt, führen nicht dazu, dass die natürliche Person als Verantwortlicher anzusehen ist. Verantwortlicher im Sinne des Art. 4 Nr. 7 bleibt der Arbeitgeber.[310] |
| – | Die Zuweisung einer internen Verantwortlichkeit von Einzelpersonen im Rahmen der betrieblichen Organisation hat ebenfalls nicht zur Folge, dass die Einzelperson zum Verantwortlichen wird. Auch hier verbleibt es bei der Verantwortlichkeit des Unternehmens als Arbeitgeber, sofern nicht eindeutig ersichtlich ist oder klare Anzeichen dafür bestehen, dass eine natürliche Person Verantwortlicher ist.[311] Ein derart klares Zeichen kann etwa dann bestehen, wenn die natürliche Person, die für eine juristische Person handelt, Daten für ihre eigenen Zwecke außerhalb des Tätigkeitsbereichs und der möglichen Kontrolle der juristischen Person nutzt. In diesem Falle ist zumindest eine besondere Analyse erforderlich.[312] In diesem Sinne verhing der LfDI Baden-Württemberg im Juni 2019 ein Bußgeld gegen einen Polizeibeamten, weil dieser ohne dienstlichen Bezug unter Verwendung seiner dienstlichen Benutzerkennung personenbezogene Daten einer privaten Zufallsbekanntschaft abgefragt hatte.[313] Der LfDI betonte, dass die Handlungen des Polizeibeamten an dieser Stelle nicht der Dienststelle zuzurechnen sei „da dieser die Handlung nicht in Ausübung seiner dienstlichen Tätigkeit, sondern ausschließlich zu privaten Zwecken“ beging.[314] Grundsätzlich kann aber selbst der Missbrauch eines Funktionsträgers eines Unternehmens oder eines Mitarbeiters als Ergebnis unzureichender Sicherungsmaßnahmen angesehen werden und so zumindest eine Mitverantwortung des Unternehmens begründen.[315] |
134
Anhand dieser Kernaussagen sowie aus ErwG 79 ergibt sich in der Praxis die Notwendigkeit für große und komplex strukturierte Organisationen eine „Datenschutzstrategie“ festzulegen, bei der sowohl eine klare Verantwortung der natürlichen Person, die das Unternehmen repräsentiert, als auch die konkreten und funktionellen Verantwortlichkeiten innerhalb der Organisationsstruktur sicherzustellen sind.[316] Die konkrete Ermittlung des Verantwortlichen im Rahmen des Datenschutzes erfolgt dabei unter Rückgriff auf die Rechtsnormen des Zivil-, Verwaltungs- und Strafrechts.[317]
135
Hinsichtlich des Begriffs der juristischen Person als Verantwortlichem folgt aus der Definition des Art. 4 Nr. 7, dass es nicht auf die jeweilige Organisationsform ankommt.[318] So werden Unternehmen, die nach europäischen oder nationalen Vorgaben wirksam gegründet wurden von der Vorschrift erfasst, unabhängig davon, ob es sich um eine juristische Person des Öffentlichen Rechts oder des Privatrechts handelt.[319] Zu beachten ist allerdings, dass es stets auf die juristische Person bzw. das Unternehmen als solches ankommt. Unselbstständige Niederlassungen oder Zweigstellen sind nicht Verantwortliche nach Art. 4 Nr. 7.[320] Insofern sind die jeweiligen Organisationseinheiten im Rahmen einer Zurechnung in der Praxis sorgsam zu ermitteln.[321]