oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; [...]“.
171
Die Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO entspricht inhaltlich derjenigen des § 3 Abs. 7 BDSG a.F. und Art. 2 lit. d DSRl, wobei die Möglichkeit einer gemeinsamen Verantwortlichkeit nicht in das BDSG a.F. übernommen wurde.349 Die Arbeitspapiere der Art.-29-Datenschutzgruppe und EuGH-Entscheidungen mit Bezug zur Auslegung des Begriffs noch nach der DSRl sind dementsprechend auch unter der DSGVO heranzuziehen.350
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
172
Als eine der elementaren Definitionen der DSGVO bestimmt der Begriff des „Verantwortlichen“ nach Art. 4 Nr. 7 DSGVO, welche Stelle zur Einhaltung der jeweils anwendbaren datenschutzrechtlichen Vorgaben in Bezug auf ein Datenverarbeitungsverfahren verpflichtet ist. Nachgelagert bestimmt sich durch die Zuweisung der Stellung als „Verantwortlicher“ ferner, gegenüber welcher Stelle betroffene Personen ihre Rechte nach den Art. 12ff. sowie Art. 82 DSGVO ausüben können.351
173
Im Gegensatz zur Rechtslage unter der DSRl bzw. des BDSG a.F. sind Verantwortliche nicht nur dazu verpflichtet, personenbezogene Daten (stets) rechtmäßig zu verarbeiten. Vielmehr verlagert die DSGVO den Schwerpunkt datenschutzrechtlicher Compliance weg von einzelfallorientierten Zulässigkeitsprüfungen hin zur Pflicht einer systemischen Aufarbeitung von Datenschutz und des Aufbaus entsprechender Management- und Organisationsstrukturen, durch welche die Rechtmäßigkeit der Verarbeitung im Einzelfall gewährleistet werden soll.352 So statuiert Art. 24 Abs. 1 DSGVO, dass der Verantwortliche „[...] geeignete technische und organisatorische Maßnahmen um[setzt], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß [der DSGVO] erfolgt“.
174
Der Begriff des Verantwortlichen weist in erster Linie Zusammenhänge mit den Begriffen des „Auftragsverarbeiters“ nach Art. 4 Nr. 8 DSGVO sowie des „Dritten“ nach Art. 4 Nr. 10 DSGVO auf. Im Gegensatz zur Rolle als Verantwortlicher tragen Auftragsverarbeiter keine (umfassende) Verantwortung für im Auftrag eines Verantwortlichen verarbeitete personenbezogene Daten;353 Auftragsverarbeiter sind lediglich verpflichtet, dabei gewisse sie ausdrücklich adressierende Vorschriften der DSGVO, etwa Art. 32 DSGVO, einzuhalten.354 Vice versa bleibt der Auftraggeber für die Datenverarbeitung verantwortlich, auch wenn diese in seinem Auftrag durch einen Auftragsverarbeiter durchgeführt wird. Sofern im Rahmen eines Datenverarbeitungsverfahrens daher mehrere Akteure involviert sind, ist regelmäßig zu prüfen, welche der Beteiligten als Verantwortliche und welche als Auftragsverarbeiter tätig werden. Im Verhältnis zum (auftraggebenden) Verantwortlichen sind Auftragsverarbeiter zwar Empfänger i.S.v. Art. 4 Nr. 9 DSGVO, nicht hingegen Dritte i.S.v. Art. 4 Nr. 10 DSGVO.355 Demgegenüber stehen sich zwei (getrennt) Verantwortliche in aller Regel als Dritte gegenüber.356
175
Eine weitere Dependenz ergibt sich im Verhältnis zur Begriffsbestimmung der „Hauptniederlassung“ nach Art. 4 Nr. 16 lit. a DSGVO. So wird der für eine grenzüberschreitende Datenverarbeitung i.S.v. Art. 4 Nr. 23 DSGVO Verantwortliche in aller Regel auch als Hauptniederlassung für diesen Verarbeitungsvorgang zu klassifizieren sein.357
2. Mögliche Adressaten
176
Verantwortlicher kann grundsätzlich jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, unabhängig davon, ob sie privat- oder öffentlich-rechtlich tätig ist.358 Hingegen kann die Verantwortlichkeit keinem technischen System, wie etwa einem intelligenten Algorithmus, zugewiesen werden, da ansonsten ihr Zweck, die Einhaltung der DSGVO-Vorgaben in handlungsfähige Hände zu legen, unterlaufen würde.359
177
Im Ausgang ist dabei auf die jeweilige datenverarbeitende rechtliche Einheit abzustellen. Im Falle juristischer Personen oder anderer Organisationen, bei denen personenbezogene Daten nicht durch die rechtliche Einheit selbst, sondern durch die dort beschäftigten natürlichen Personen verarbeitet werden, wird dieses Handeln in aller Regel der rechtlichen Einheit zugerechnet. Dies gilt jedenfalls, sofern und soweit die Verarbeitung für die Zwecke der jeweiligen rechtlichen Einheit sowie in Ausübung der innerorganisatorischen Tätigkeit des Mitarbeiters und damit unter der potenziellen Kontrolle der rechtlichen Einheit erfolgt.360 Eine entsprechende Zurechnung erfolgt gleichermaßen bei der Datenverarbeitung durch Abteilungen, Funktionseinheiten, Organe und unselbstständige Zweigstellen.361 In Konsequenz trifft in erster Linie auch die rechtliche Einheit die Haftung gegenüber betroffenen Personen und Aufsichtsbehörden für etwaige Verstöße durch dessen Organe oder Mitarbeiter. Verarbeitet ein Mitarbeiter personenbezogene Daten hingegen für eigene (private) Zwecke, ist er regelmäßig als Verantwortlicher anzusehen.362
178
Intern trägt die Verantwortung zur Einhaltung datenschutzrechtlicher Vorgaben originär die Geschäftsleitung. Die Geschäftsleitung kann jedoch die Verantwortung für einzelne Datenverarbeitungsverfahren und -vorgänge auf einzelne Mitarbeiter delegieren (vgl. Art. 39 Abs. 1 lit. b DSGVO).363 Zu beachten ist, dass die Zuweisung interner, datenschutzrechtlicher Verantwortlichkeit an bestimmte Mitarbeiter (etwa Fachabteilungsleiter) nicht dazu führt, dass die jeweilige rechtliche Einheit (im Umfang der übertragenen Verantwortlichkeit) nicht mehr als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO anzusehen wäre. Anders ist dies jedoch zu bewerten, wenn die Entscheidungsbefugnis über einen bestimmten Datenverarbeitungsvorgang an eine andere rechtliche Einheit wirksam übertragen oder bereits originär von dort aus ausgeübt wird.364
179
Nach h.M. sind ebenfalls die datenverarbeitenden Aktivitäten unabhängig agierender, innerbetrieblicher Gremien wie etwa Betriebs- und Personalräten der jeweiligen rechtlichen Einheit, im Falle von Mitarbeitervertretungen daher dem Arbeitgeber zuzurechnen.365 Der deutsche Gesetzgeber hat dies (jedenfalls bis zu einer etwaigen Verwerfung durch den EuGH) im Hinblick auf Betriebsräte abschließend entschieden und in § 79a Satz 2 BetrVG entsprechend kodifiziert, dass der Arbeitgeber datenschutzrechtlich verantwortlich ist, soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet. Diese Wertung kann jedoch durchaus in Zweifel gezogen werden. So liegt der Einschätzung, dass die Datenverarbeitung durch Mitarbeiter oder Organisationseinheiten der jeweiligen rechtlichen Einheit zuzurechnen ist, die Prämisse zugrunde, dass die rechtliche Einheit (durch ihre jeweilige Geschäftsleitung handelnd) die Zwecke der durchgeführten Datenverarbeitungsvorgänge festlegt und diese lediglich durch die Mitarbeiter ausgeführt werden. Demgegenüber ist zu beachten, dass Mitarbeitervertretungen weitestgehend eigenständig darüber entscheiden, wann und wie personenbezogene Daten verarbeitet werden, ohne dass der Arbeitgeber diesbezüglich Einfluss nehmen könnte. Dies indiziert eine eigene Verantwortlichkeit des Betriebsrats.366 Diese Einschätzung wird durch den Umstand untermauert, dass auch das Bundesarbeitsgericht (BAG) jedenfalls bislang davon ausging, dass dem betrieblichen Datenschutzbeauftragten keine Kontrollbefugnis im Hinblick auf die Datenverarbeitungsaktivitäten des Betriebsrats zustehe, da er als Repräsentant des Arbeitgebers auftrete.367 Insofern erscheint es unangemessen, dem Arbeitgeber eine datenschutzrechtliche Verantwortlichkeit zuzuschreiben, ohne dass dieser über die Zwecke der Datenverarbeitung entscheiden oder die Einhaltung datenschutzrechtlicher Vorschriften diesbezüglich kontrollieren könne. Der (neue) § 79a Satz 4 BetrVG indiziert hingegen eine grundsätzliche Kontrollbefugnis der/des Datenschutzbeauftragten auch im Hinblick auf die Datenverarbeitungsaktivitäten des Betriebsrats; sie/er ist lediglich zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Es wird abzuwarten sein, wie sich die Gerichte in dieser Hinsicht zukünftig