3. Bestimmung des Verantwortlichen
180
Verantwortlich ist derjenige, der über die Zwecke und Mittel eines Datenverarbeitungsvorgangs bestimmt. Anhand dieses Kriteriums erfolgt dabei die Abgrenzung zwischen Verantwortlichen und Auftragsverarbeitern, Verantwortlichen untereinander sowie eventuell anderen in einem Datenverarbeitungsvorgang involvierten Akteuren.368 Im Einzelnen:
a) Entscheidungsbefugnis über Zwecke und Mittel der Datenverarbeitung
181
Die Eigenschaft als Verantwortlicher ergibt sich in erster Linie aus dem Umstand, dass eine Stelle sich für die Verarbeitung personenbezogener Daten entschieden hat und befugt ist, den Zweck, mithin das beabsichtigte Ergebnis einer Datenverarbeitung, sowie die hierzu eingesetzten Mittel, mithin die Art und Weise, wie das beabsichtigte Ergebnis erreicht werden soll, zu bestimmen.369 Die Mittel der Verarbeitung beziehen sich unter anderem auf die technischen und organisatorischen Gegebenheiten bei der Verarbeitung personenbezogener Daten sowie die Festlegung des Umfangs der Verarbeitung, einschließlich der betroffenen Personenkategorien, der zu erhebenden Datenkategorien, der Gewährung des Zugangs für Dritte usw. Mit anderen Worten: Die Bestimmung des Zwecks und der Mittel ist gleichbedeutend mit der Bestimmung des „Warum“ und des „Wie“ im Hinblick auf die Verarbeitung von personenbezogenen Daten.370
182
Maßgeblich ist dabei die tatsächliche oder rechtliche Einflussmöglichkeit auf den jeweiligen Datenverarbeitungsvorgang. Sofern eine Stelle weder rechtlichen noch tatsächlichen Einfluss auf eine Datenverarbeitung hat, kann sie hierfür keine datenschutzrechtliche Verantwortung i.S.v. Art. 4 Nr. 7 DSGVO tragen.371 Dies ist im Rahmen einer umfassenden, wertenden Betrachtung zu evaluieren.372 Hierbei ist auf Grundlage der faktischen Umstände des Einzelfalls zu prüfen, ob daraus ein tatsächlicher Einfluss der jeweiligen Stelle abzuleiten ist.373 Welches Ausmaß diese Einflussfähigkeit dabei erreichen muss, ist bislang nicht abschließend geklärt. Noch unter der DSRl hat der EuGH dabei einen teilweise sehr niederschwelligen Ansatz verfolgt.374 Unter der DSGVO sollte nach der hier vertretenen Ansicht bei der Zuweisung von datenschutzrechtlicher Verantwortung maßgeblich darauf geachtet werden, ob die Möglichkeit zur Einflussnahme eines Beteiligten auch so ausgeprägt und signifikant ist, dass die (umfassende) Verpflichtung zur Einhaltung sämtlicher datenschutzrechtlicher Vorgaben und die damit einhergehende Haftung auch gerechtfertigt erscheint.375
183
Im Rahmen dieser umfassenden und wertenden Betrachtung können dabei folgende Faktoren einfließen und entsprechend abzuwägen sein: Zunächst kann sich eine entsprechende Möglichkeit zur Einflussnahme aus einer ausdrücklichen rechtlichen Zuständigkeit ergeben (vgl. insoweit Art. 4 Nr. 7 Hs. 2 DSGVO), mithin, wenn ein Gesetz den für die Verarbeitung Verantwortlichen ernennt oder ihm eine Aufgabe oder Pflicht zur Erhebung und Verarbeitung bestimmter Daten überträgt.376 Datenschutzrechtliche Verantwortung kann ferner aus anderen rechtlichen Bestimmungen oder bestehenden traditionellen Rollen und Positionen erwachsen, die in der Regel eine gewisse natürliche Verantwortlichkeit implizieren (z.B. der Arbeitgeber in Bezug auf die Daten seiner Mitarbeiter oder ein Verein in Bezug auf Daten seiner Mitglieder).377 Darüber hinaus kann sich die Verantwortung aus faktischen Umständen und anderen Aspekten, wie Vertragsverhältnissen, einer tatsächlichen Kontrolle durch eine Partei oder einer Offensichtlichkeit bzw. Außenwirkung einer Partei gegenüber den Betroffenen sowie deren Erwartungserhaltung ergeben.378 Ferner fließt in die Gesamtbetrachtung ein, ob eine Stelle eine Datenverarbeitung bewusst akzeptiert,379 etwa da sie von ihr profitiert.380 Auch eine organisatorische und koordinierende Hoheit kann eine Verantwortlichkeit indizieren.381 Eine formale Benennung einer Partei als Verantwortlicher ist hingegen irrelevant, sofern dies nicht deren existente Einflussmöglichkeit in der Realität widerspiegelt.382 Unerheblich ist hingegen, ob die jeweilige Partei auch Zugang bzw. Zugriff auf die verarbeiteten personenbezogenen Daten hat.383
184
Die Entscheidungsfähigkeit über Zwecke und Mittel einer Datenverarbeitung steht dabei in einem Rangverhältnis.384 Insofern führt die Kompetenz, über die Zwecke einer Datenverarbeitung zu entscheiden, in aller Regel dazu, dass diejenige Stelle als Verantwortlicher anzusehen ist. Sofern ein Akteur über inhaltliche Fragen entscheiden kann, die den Kern der Rechtmäßigkeit der Verarbeitung betreffen, ist er demnach in aller Regel als Verantwortlicher zu klassifizieren.385 Nachrangig ist demgegenüber die Entscheidungsbefugnis über die Mittel der Verarbeitung. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittel entschieden wird.386 Die Mittel umfassen dabei nicht nur die technische Art und Weise der Erreichung des jeweiligen Verarbeitungszweck, sondern behandeln je nach Verarbeitung auch wesentliche Faktoren, etwa hinsichtlich der zu verarbeitenden Datenkategorien, zugangsberechtigten Dritten, Löschfristen usw.387 Dies zeigt, dass wesentliche Mittel und der jeweils verfolgte Verarbeitungszweck in der Regel nicht getrennt voneinander betrachtet werden können, sondern vielmehr voneinander abhängen und sich gegenseitig ergänzen; das „Wie“ ist somit dem „Warum“ inhärent.388 Die Entscheidung über nachrangige (unwesentliche), technische oder organisatorische Mittel der Verarbeitung kann hingegen vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.389
b) Gegenständlicher Anknüpfungspunkt zur Bestimmung der Verantwortlichkeit
185
Die Rolle des Verantwortlichen ist dabei je Datenverarbeitungsverfahren zu bestimmen. Die Verantwortlichkeit kann sich dabei sowohl auf den gesamten als auch lediglich auf gewisse Abschnitte eines Verarbeitungsvorgangs erstrecken, je nachdem wie weit sich die Entscheidungsfähigkeit über Zwecke und Mittel der beteiligten Akteure erstreckt.390
186
Die Identifizierung des Verantwortlichen kann dabei weitestgehend unproblematisch sein, etwa im Falle rein interner Vorgänge. Im Zeitalter der Digitalisierung ist die Verarbeitung von personenbezogenen Daten jedoch zunehmend durch die Vernetzung und die arbeitsteilige bzw. ineinandergreifende Zusammenarbeit mehrerer Akteure geprägt.391 Diese Zusammenarbeit kann sich durchaus auch auf einen an sich einheitlich zu betrachtenden, jedoch mehrere Akteure überspannenden Datenverarbeitungsvorgang beziehen. In solchen Fällen kann es daher Schwierigkeiten bereiten, den (oder die) Verantwortlichen zu identifizieren sowie den Umfang der jeweiligen Verantwortung zu bestimmen, sofern es sich um abtrennbare Verarbeitungsschritte handelt.392 Ferner können auch mehrere Stellen für gewisse Abschnitte gemeinsam verantwortlich sein.393
187
Zu beachten ist ferner, dass sich die Zwecksetzungsbefugnis stets auf die Verarbeitung eines konkreten Datensatzes bezieht. Insofern führt die abstrakte Bestimmung von Verarbeitungszwecken und -mitteln zu keiner Stellung als Verantwortlicher; vielmehr ist maßgeblich, welche Stelle sich autark dazu entscheidet, sich in ihrer Verantwortlichkeit befindende personenbezogene Daten anhand dieser Zwecke und Mittel zu verarbeiten.394 So stellt sich bei Verwendung geschlossener Systeme, die zwar durch den Hersteller abschließend programmiert wurden, dennoch der Betreiber bzw. Nutzer des Systems als Verantwortlicher dar, da er über die Zwecke und Mittel hinsichtlich des konkreten Verarbeitungsvorganges (bzw. die konkret zu verarbeitenden personenbezogenen Daten) bestimmt.395
4. Gemeinsame Verantwortlichkeit/Anderweitige Zusammenarbeit
188
Ausweislich des Wortlauts von Art. 4 Nr. 7 Hs. 1 DSGVO kann die Verantwortung über einen bestimmten Datenverarbeitungsvorgang auch gemeinsam von zwei oder mehreren Parteien gemeinsam getragen werden.
189
In